Statt erst bei einem Datenschutzvorfall zu reagieren, sollte der Umgang mit Personendaten in einem Unternehmen geplant und koordiniert werden. Der Beitrag gibt Tipps, was bei der Umsetzung von Datenschutz in einem Unternehmen beachtet werden sollte.
Jedes Unternehmen bearbeitet Personendaten – sei es von Mitarbeitenden, Kunden, Lieferanten oder Geschäftspartnern. Im Vordergrund steht dabei in der Regel die optimale Nutzbarkeit der Daten für das Unternehmen – die Daten müssen stets verfügbar sein, Auswertungen und Verknüpfungen müssen möglich sein. Dass dabei auch datenschutzrechtliche Vorgaben einzuhalten sind, ist den Unternehmen meist durchaus bewusst, allerdings herrscht oft Ratlosigkeit darüber, was das Gesetz genau verlangt, und vor allem, wie man die gesetzlichen Vorgaben umsetzt.
Im Folgenden werden Tipps gegeben, was bei einer koordinierten und geplanten Umsetzung der gesetzlichen Vorgaben im Unternehmen beachtet werden sollte. Da die Möglichkeiten der Datenbearbeitung mit den heute zur Verfügung stehenden technischen Möglichkeiten aber schier grenzenlos sind, konzentriert sich der vorliegende Fachbeitrag auf die grundlegenden Umsetzungsthemen und ist nicht als abschliessender Leitfaden zu verstehen.
Um in der Lage zu sein, den Umgang mit Personendaten zu planen, muss sich das Unternehmen zunächst einen Überblick über die dabei anzuwendenden gesetzlichen Grundlagen verschaffen.
Dabei gilt es zu beachten, dass neben dem Datenschutzgesetz des Bundes (DSG) weitere gesetzliche Grundlagen für die Datenbearbeitung vorhanden sind. So ist bei der Bearbeitung von Mitarbeiterdaten Art. 328b OR massgebend, der besagt, dass der Arbeitgeber nur die Daten seiner Mitarbeitenden bearbeiten darf, die deren Eignung für das Arbeitsverhältnis betreffen oder für die Erfüllung des Arbeitsvertrages erforderlich sind.
Zudem existieren in vielen Branchen spezielle gesetzliche Vorschriften für die Bearbeitung von Personendaten, welche zusätzlich zum Datenschutzgesetz zu beachten sind. Als Beispiele können der Gesundheitsbereich, die Banken oder die Versicherungsbranche genannt werden. Die ärztliche Schweigepflicht, das Bankengeheimnis oder die Schweigepflicht des Sozialversicherungsrechts sind Spezialvorschriften, welche die Grenzen und Möglichkeiten der Datenbearbeitung durch Unternehmen dieser Branchen wesentlich bestimmen.
Werden die Daten über die Grenzen hinweg in mehreren Staaten bearbeitet, dann ist zudem zu überprüfen, welches nationale Datenschutzgesetz anwendbar ist.
Die für das Unternehmen relevanten gesetzlichen Vorschriften für die Bearbeitung von Personendaten sind somit – je nach Branche und Organisationsstruktur des Unternehmens – unter Umständen vielfältig. Erst wenn sich das Unternehmen einen Überblick über die gesetzlichen Grundlagen verschafft hat, können daraus die konkreten Massnahmen für die Umsetzung abgeleitet werden. Die praktische Anwendung der allgemeinen gesetzlichen Anforderungen in der Praxis ist aber schwierig, da der Interpretationsspielraum oft gross ist. Im Folgenden werden daher die wesentlichen Begriffe und Prinzipien des Datenschutzgesetzes des Bundes kurz erklärt.
Das Recht auf Schutz der persönlichen Daten ist in der Bundesverfassung verankert. Der Datenschutz fokussiert nicht den Schutz der Daten, sondern er zielt darauf ab, die Persönlichkeit und die Grundrechte von Personen, über die Daten bearbeitet werden, zu schützen, wobei sowohl natürliche als auch juristische Personen vom Schutzbereich erfasst sind. Unter der Bearbeitung ist dabei jeder Umgang mit Personendaten zu verstehen – von der Erhebung bis zur Archivierung und Vernichtung.
Damit datenschutzrechtliche Vorgaben überhaupt beachtet werden müssen, muss eine Bearbeitung von Personendaten vorliegen – dies ist dann der Fall, wenn die Angaben sich auf eine bestimmte oder eine zumindest bestimmbare Person beziehen. Diese scheinbar einfache Bestimmung führt in der Praxis nicht selten zu Auslegungsschwierigkeiten. So sind beispielsweise Autonummern oder E-Mail-Adressen grundsätzlich zu den Personendaten zu zählen, auch wenn die Person, zu welcher sie gehören, nicht unmittelbar ersichtlich ist. Wesentlich ist, dass es mit einem angemessenen Aufwand möglich ist, diese Daten einer bestimmten Person zuzuordnen. Werden die Daten anonymisiert, dann müssen die genannten gesetzlichen Vorschriften hingegen nicht mehr beachtet werden.
Das Risiko von Persönlichkeitsverletzungen ist nicht bei allen Arten von Personendaten gleich gross. Der Gesetzgeber bezeichnet daher auch bestimmte, in Art. 3 lit. c DSG abschliessend aufgelistete Personendaten als besonders schützenswert. Hierher gehören beispielsweise Daten über die Gesundheit, die Rassenzugehörigkeit, die Religion, die politischen Ansichten oder allfällige strafrechtliche Sanktionen. Entgegen einer weitverbreiteten Meinung zählen hingegen die Angaben über die Einkommens- oder Vermögensverhältnisse nicht zu den besonders schützenswerten Personendaten.
Mit der gleichen Sorgfalt zu behandeln sind die sogenannten Persönlichkeitsprofile. Darunter versteht man die Zusammenstellung von Daten, welche eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. In der Praxis ist es häufig schwierig zu bestimmen, wann diese Voraussetzungen gegeben sind. Ein Persönlichkeitsprofil liegt beispielsweise vor, wenn im Rahmen von sogenannten Customer-Relationship-Management-Systemen (CRM) verschiedenste Angaben über den Ansprechpartner beim Kunden gesammelt werden, um ihn marketingmässig optimal zu betreuen. Nicht selten werden dabei Angaben über die berufliche Stellung, die Zugehörigkeit zu politischen Parteien, Hobbys, die Anzahl der Kinder, die Ausbildung usw. der betreffenden Person gesammelt. Verfügt man über all diese Angaben, dann kann man Aussagen über den privaten Bereich, die soziale Stellung oder die finanziellen Verhältnisse machen – und es ist davon auszugehen, dass ein Persönlichkeitsprofil vorliegt. Nach herrschender Lehrmeinung zählen zudem Personaldossiers in der Regel zu den Persönlichkeitsprofilen.
Bei der Bearbeitung von besonders schützenswerten Personendaten und von Persönlichkeitsprofilen muss das Unternehmen besonders sorgfältig vorgehen und zudem spezielle, im Gesetz verankerte Pflichten erfüllen, auf die im Folgenden noch näher eingegangen wird.
Verfügt ein Unternehmen über Datensammlungen, dann sind damit bestimmte Pflichten verbunden. So muss der Inhaber einer Datensammlung das Auskunftsrecht nach Art. 8 DSG gewährleisten, er hat gewisse Informationspflichten und unter Umständen eine Meldepflicht. Eine Datensammlung liegt vor, wenn ein Bestand von Personendaten nach bestimmten Personen erschliessbar ist. Als Beispiele für Datensammlungen können wiederum Personaldossiers oder auch Datenbanken mit Kundendaten genannt werden.
Das Unternehmen darf Personendaten nur rechtmässig bearbeiten und benötigt dafür gemäss der herrschenden Lehre einen Rechtfertigungsgrund. Gründe, welche eine Datenbearbeitung rechtfertigen, sind beispielsweise die Einwilligung der betroffenen Person, das Vorliegen einer gesetzlichen Grundlage oder die Datenbearbeitung im Zusammenhang mit einem Vertragsabschluss.
Mit der Teilrevision des Datenschutzgesetzes des Bundes, welche seit 1.01.2008 in Kraft ist, wurde besonderes Augenmerk auf die Transparenz bei der Datenbeschaffung gelegt. Die Beschaffung von Daten soll für die betroffene Person erkennbar sein, ein heimliches Sammeln von Daten soll verhindert werden. Unproblematisch ist jede Datenerhebung, welche ein Mitwirken der betroffenen Person erfordert. Müssen Daten beispielsweise auf einer Website von der betroffenen Person selbst eingegeben werden, dann ist für sie die Datenbeschaffung transparent. Anders zu beurteilen sind aber beispielsweise Videoaufnahmen, auf welche die betroffene Person nicht durch entsprechende Hinweisschilder aufmerksam gemacht wird. Ebenfalls nicht transparent ist die heimliche Aufzeichnung des Surfverhaltens der Mitarbeitenden.
Höhere Anforderungen bestehen bei der Erhebung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen. Hier verlangt das Gesetz, dass die betroffenen Personen aktiv über den Zweck der Datenbearbeitung, den Inhaber der Datensammlung und die Kategorien der Datenempfänger (falls die Daten weitergegeben werden) informiert werden. Diese Informationspflicht des Art. 14 DSG muss nicht beachtet werden, wenn die Information nur mit einem unverhältnismässigen Aufwand möglich ist oder wenn das Unternehmen gesetzlich verpflichtet ist, diese Daten zu erheben. So müssen beispielsweise Spielcasinos aufgrund ihrer gesetzlichen Pflicht zur Verhinderung der schädlichen Auswirkungen des Spiels von ihren Kunden Daten bearbeiten, welche in den Bereich der Persönlichkeitsprofile oder der besonders schützenswerten Personendaten fallen, und Versicherungsunternehmen müssen im Bereich der Sozialversicherungen unter anderem Gesundheitsdaten erheben. Hier entfällt die gesetzliche Informationspflicht, wird von vielen dieser Unternehmen aber dennoch freiwillig erfüllt.
Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde. Sollen die Daten zu einem anderen Zweck verwendet werden, dann ist dafür die Einwilligung der betroffenen Person erforderlich. Wenn somit die Daten, welche ein Kunde bei seiner Bestellung auf dem Bestellformular angegeben hat, an ein anderes Unternehmen in derselben Firmengruppe weitergegeben werden sollen, damit dieses dem Kunden Werbung für die eigenen Dienstleistungen zustellen kann, ist zuvor die Einwilligung der betroffenen Person einzuholen. Will das Unternehmen die Unterlagen eines abgewiesenen Stellenbewerbers weiterhin behalten, um sie bei einer anderen Vakanz zu verwenden, dann muss dafür die Zustimmung des Bewerbers eingeholt werden.
Nach dem Grundsatz der Verhältnismässigkeit muss die Datenbearbeitung so erfolgen, dass sie den geringsten möglichen Eingriff in die Persönlichkeitsrechte der betroffenen Person darstellt, um den angestrebten Zweck zu erreichen. Als Beispiele bei der praktischen Umsetzung können das Verbot der Datensammlung auf Vorrat sowie die zu lange Aufbewahrung der Daten genannt werden.
Wer Personendaten bearbeitet, muss regelmässig überprüfen, ob diese richtig sind, und die Daten allenfalls berichtigen, ergänzen oder auch vernichten, wenn diese unrichtig oder unvollständig sind oder nicht mehr benötigt werden. Jedes Unternehmen hat ein starkes Eigeninteresse an der Einhaltung dieser gesetzlichen Forderung, da unrichtige oder unvollständige Daten in jedem Fall grossen Aufwand verursachen.
Im Rahmen der Datensicherheit müssen zudem die Integrität, die Vertraulichkeit und die Verfügbarkeit der Daten gewährleistet werden. Die dabei zu ergreifenden Massnahmen müssen angemessen sein – je grösser die Gefahr der Persönlichkeitsverletzung, desto sorgfältiger muss das Unternehmen vorgehen. In den Bereich der Datensicherheit fallen sowohl technische als auch organisatorische Massnahmen. Neben der Installation von Firewalls oder Antivirenprogrammen sollten daher beispielsweise, wenn nötig, Zugriffe beschränkt und kontrolliert werden, und die Mitarbeitenden sollten im Umgang mit den Personendaten geschult werden. Dabei sollte nicht vergessen werden, dass sehr viele Daten nicht nur elektronisch, sondern auch in Papierform vorliegen.
Damit die betroffene Person ihr Recht auf Berichtigung unrichtiger Daten sowie auf Vernichtung unrechtmässig bearbeiteter Daten geltend machen kann, muss sie sich die Kenntnis darüber verschaffen können, welche Daten über sie bearbeitet werden. Jeder Inhaber einer Datensammlung ist daher gesetzlich verpflichtet sicherzustellen, dass er auf Anfrage hin Auskunft über alle Daten geben kann, die er über eine Person bearbeitet. Auskunftsbegehren nach Art. 8 DSG sind vor allem in jenen Branchen häufig, welche sensible Daten ihrer Kunden bearbeiten, wie beispielsweise bei Krankenversicherern. Die Auskunft muss innerhalb von 30 Tagen und kostenlos erteilt werden. Um die Einhaltung dieser kurzen Frist gewährleisten zu können, sollte das Unternehmen die dafür zuständigen Personen bezeichnen und das Verfahren der Auskunftserteilung regeln. Dabei ist sicherzustellen, dass die Auskunft nicht an eine unberechtigte Person erteilt wird. Daher muss ein Identitätsnachweis der Person verlangt werden, beispielsweise eine Kopie eines Identitätsausweises oder eines Reisepasses. Die Auskunft an eine andere als die betroffene Person selbst sollte nur erteilt werden, wenn diese nachweisen kann, dass sie über eine korrekte Vollmacht verfügt. Die Beantwortung von Auskunftsbegehren sollte durch die zuständige Person erfolgen, die dann die Identität überprüft, die Zusammenstellung der Daten koordiniert und schliesslich die Auskunft erteilt sowie für die Beantwortung weiterer Fragen zur Verfügung steht. Diese Aufgabe übt in vielen Unternehmen der Datenschutzbeauftragte aus, häufig wird sie aber auch zur Chefsache erklärt und wird vom Geschäftsführer wahrgenommen.
Wer regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet oder regelmässig Personendaten an Dritte weitergibt, der muss diese Datensammlungen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Dieser führt ein Register der Datensammlungen, das der Öffentlichkeit zugänglich ist.
Allerdings gibt es zahlreiche Ausnahmen von der Meldepflicht. So müssen beispielsweise Datensammlungen nicht gemeldet werden, wenn das Unternehmen gesetzlich verpflichtet ist, die darin geführten Daten zu bearbeiten. Ausdrücklich von der Meldepflicht ausgenommen hat der EDÖB Personaldossiers, sofern darin nicht mehr Daten gespeichert werden, als es gesetzlich erlaubt ist. Weitere Ausnahmen betreffen Datensammlungen von Lieferanten und Kunden, die Buchhaltung oder sogenannte Hilfsdatensammlungen der Personalverwaltung. Damit gemeint sind die in fast allen Unternehmen üblichen Arbeitskopien von Dokumenten, welche aus organisatorischen Gründen erstellt werden. Diese müssen nicht gemeldet werden, wenn sie nur einen Auszug einer Datensammlung und keine neuen Daten enthalten.
Eine generelle Befreiung von der Meldepflicht ist möglich, wenn das Unternehmen einen Datenschutzbeauftragten beim EDÖB meldet oder ein Zertifikat nach der Verordnung über die Datenschutzzertifizierung (VDSZ) erwirbt und dies dem EDÖB meldet. In diesen Fällen muss allerdings intern eine Liste der Datensammlungen geführt werden.
Vor der Weiterleitung von Personendaten ins Ausland muss sich das Unternehmen vergewissern, dass im Empfängerstaat ein angemessener Schutz herrscht (Art. 6 DSG). Eine solche Weiterleitung ins Ausland setzt nicht zwingend eine aktive Übermittlung voraus, sondern sie liegt auch vor, wenn der ausländische Datenempfänger die Daten elektronisch abrufen kann. Auch bei einem Outsourcing ins Ausland müssen die gesetzlichen Bestimmungen des Art. 6 DSG eingehalten werden!
Der EDÖB publiziert auf seiner Website eine Liste von Staaten, deren Datenschutzgesetzgebung einen angemessenen Schutz gewährleistet. Soll die Datenübermittlung in ein Land erfolgen, das nicht auf dieser Liste aufgeführt ist, dann müssen zusätzliche Massnahmen ergriffen werden, um den Datenschutz sicherzustellen. Verwenden die Parteien Musterverträge oder Standardvertragsklauseln, welche vom EDÖB erstellt oder von ihm anerkannt sind, und wird dies dem EDÖB gemeldet, dann sind damit die gesetzlich geforderten Garantien erfüllt. Die Parteien können aber auch ein eigenes Vertragswerk erstellen, müssen dies aber ebenfalls dem EDÖB melden. Ist der angemessene Schutz im Empfängerland nicht gewährleistet und wird kein Vertrag abgeschlossen, dann kann die Rechtmässigkeit der Übermittlung aber auch anders, beispielsweise durch die Einwilligung der betroffenen Personen, sichergestellt werden. Dies dürfte sich in der Praxis aber zumindest dann als schwierig erweisen, wenn es sich nicht nur um die Daten einer Person handelt.
Um all die genannten gesetzlichen Anforderungen zu erfüllen und um die Datenbearbeitung im Unternehmen zu standardisieren und damit auch kontrollierbarer zu machen, ist zu empfehlen, bestimmte Mindestmassnahmen zu treffen, auf welche im Folgenden kurz eingegangen wird.
Zu den empfohlenen Mindestmassnahmen zählen
- die Erhebung der gesetzlichen Grundlagen
- die Ernennung eines betrieblichen Datenschutzbeauftragten
- der Erlass von Weisungen
- die Erhebung der Datensammlungen einschliesslich Konformitätsbeurteilung
- die Gewährleistung der Datensicherheit sowie
- die Schulung der Mitarbeitenden.
Auf die Erhebung der gesetzlichen Grundlagen wurde bereits oben eingegangen. Im Folgenden wird kurz erläutert, was bei den übrigen empfohlenen Massnahmen zu beachten ist.
Die vorhergehende – stark verkürzte – Auflistung der wesentlichen gesetzlichen Anforderungen zeigt, dass sich zumindest eine Person im Unternehmen vertieft mit dem Datenschutz auseinandersetzen sollte. Das haben viele Schweizer Unternehmen in der Zwischenzeit erkannt, weshalb die Funktion des oder der Datenschutzbeauftragten heute bereits häufig anzutreffen ist.
Im Gegensatz zu anderen Staaten besteht in der Schweiz keine grundsätzliche Pflicht, einen Datenschutzbeauftragten zu ernennen. Anders ist es aber, wenn sich das Unternehmen von seiner allenfalls bestehenden Pflicht zur Meldung von Datensammlungen befreien möchte. Dazu muss es entweder einen Datenschutzbeauftragten beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten melden oder ein Datenschutz-Zertifikat nach der Verordnung über die Datenschutz-Zertifizierung (VDSZ) erwerben, welches ebenfalls die Ernennung eines Datenschutzbeauftragten fordert.
Eine Befreiung von der Meldepflicht setzt aber voraus, dass der Datenschutzbeauftragte über die nötigen Fachkenntnisse verfügt und seine Aufgaben unabhängig ausüben kann. Häufig werden Mitarbeitende aus der IT-Abteilung mit der Funktion des Datenschutzbeauftragten betraut. Der EDÖB stellt in seinen Publikationen ausdrücklich klar, dass die Funktion des betrieblichen Datenschutzbeauftragten auch vertiefte Kenntnisse des Datenschutzrechts erfordert. Er empfiehlt daher, dass ein nicht juristisch ausgebildeter Datenschutzbeauftragter wenigstens ein halbes Jahr im Bereich Datenschutz gearbeitet oder eine Schulung von dieser Dauer absolviert haben soll. Da es auf dem Bildungsmarkt nur wenige Schulungsangebote gibt, welche diese Anforderung erfüllen, kommt daher der praktischen Erfahrung sehr grosse Bedeutung zu.
Der Datenschutzbeauftragte hat unter anderem die Aufgaben, die Datenbearbeitungen im Unternehmen unabhängig zu kontrollieren, Korrekturmassnahmen zu empfehlen und die Liste der Datensammlungen zu führen.
Die geforderte Unabhängigkeit ist dann gewährleistet, wenn er in Ausübung dieser Funktion nicht an die Weisungen seiner Vorgesetzten gebunden ist und auch nicht für seine Entscheidungen sanktioniert werden kann. Er darf zudem im Unternehmen keine anderen Tätigkeiten ausüben, welche einen Interessenskonflikt nach sich ziehen könnten. Aus diesem Grund sind beispielsweise Personen, welche gleichzeitig eine Funktion im Bereich der Personalführung innehaben oder die Verantwortung für die Führung von Datensammlungen haben, sowie beispielsweise auch der CEO, nicht für die Funktion des Datenschutzbeauftragten geeignet.
Damit der Datenschutzbeauftragte seine Aufgaben sinnvoll wahrnehmen kann, muss er über die nötigen finanziellen und personellen Ressourcen verfügen und Zugang zu allen Datenbearbeitungen haben. Um frühzeitig allfälligen Datenschutzverletzungen vorzubeugen, sollte er zudem in allen Projekten, welche die Bearbeitung von Personendaten zum Inhalt haben, gleich zu Beginn miteinbezogen werden. Je nach Grösse des Unternehmens empfiehlt es sich zudem, zusätzlich weitere Personen in allen Organisationseinheiten des Unternehmens mit gewissen Aufgaben im Bereich Datenschutz zu betrauen, die mit dem Datenschutzbeauftragten zusammenarbeiten – dies fördert das Verständnis für datenschutzrechtliche Anliegen bei den Mitarbeitenden und stellt sicher, dass der Datenschutzbeauftragte jeweils die für ihn relevanten Informationen erhält.
Eine Datenschutzverletzung ist aber immer durch das Unternehmen selbst zu verantworten, auch wenn ein Datenschutzbeauftragter bestimmt wurde. Der EDÖB weist denn auch ausdrücklich darauf hin, dass die im Gesetz enthaltene Bezeichnung «Datenschutzverantwortlicher» nicht bedeutet, dass dieser die Alleinverantwortung für den Datenschutz trägt, sondern dieser vielmehr eine beratende und kontrollierende Funktion einnimmt.
Eine Grundvoraussetzung für die Standardisierung des Umgangs mit Personendaten ist der Erlass unternehmensinterner Vorschriften. Wenig sinnvoll ist es allerdings, wenn dabei das Datenschutzgesetz abgeschrieben wird, wie es in der Praxis leider allzu häufig anzutreffen ist. Mit einer Datenschutz-Weisung sollte vielmehr festgelegt werden, wie die gesetzlichen Anforderungen im eigenen Unternehmen umgesetzt werden. Der praktische Bezug zum eigenen Geschäftsbereich und zu den konkreten unternehmensinternen Abläufen sollte dabei genauso berücksichtigt werden wie die spezifischen, für das eigene Unternehmen geltenden gesetzlichen Grundlagen. Vereinfacht ausgedrückt ist eine Datenschutz-Weisung, aus der nicht ersichtlich ist, ob sie für ein Krankenhaus oder für ein Treuhandunternehmen geschrieben wurde, wenig sinnvoll.
Themen, welche in der Datenschutz-Weisung geregelt werden sollten, sind beispielsweise die konkret zu beachtenden gesetzlichen Grundlagen, die Regelung der Verantwortung für den Umgang mit Personendaten auf allen Stufen, das Vorgehen bei Auskunftsbegehren nach Art. 8 DSG, Massnahmen der Datensicherheit sowie allfällige Sanktionen bei Verstössen. Eine durchdachte Datenschutz-Weisung, welche die Datenbearbeitung im eigenen Unternehmen und die damit verbundenen Risiken widerspiegelt, ist ein wertvolles Führungsinstrument, das erfahrungsgemäss von den Mitarbeitenden sehr geschätzt wird.
Der Umgang mit Informatikmitteln, und dabei insbesondere mit Internet und E-Mail, wird meist in einem separaten Nutzungsreglement geregelt. Im Rahmen seines Weisungsrechts ist der Arbeitgeber berechtigt zu regeln, wie die von ihm zur Verfügung gestellten Informatikmittel genutzt werden dürfen. Es ist zu empfehlen, eine ausdrückliche Aussage zur Zulässigkeit der privaten Nutzung der Informatikmittel zu machen, um in diesem Punkt Klarheit zu schaffen. Möchte der Arbeitgeber überprüfen, ob das Nutzungsreglement eingehalten wird, dann müssen die Tatsache der Überwachung und deren Voraussetzungen und Rahmenbedingungen ausdrücklich kommuniziert werden. Denn ohne eine derartige ausdrückliche Information der Mitarbeitenden ist die Überwachung verboten.
Ein kontrollierter Umgang mit Personendaten im Unternehmen setzt zwingend voraus, dass das Unternehmen sich einen Überblick über alle seine Datensammlungen verschafft. Wurde ein Datenschutzbeauftragter ernannt, dann wird diese Aufgabe in der Regel durch ihn wahrgenommen. Ohne die Unterstützung der einzelnen Mitarbeitenden ist eine vollständige Erhebung der Datensammlungen aber unmöglich zu realisieren, da dem Datenschutzbeauftragten in der Regel das Wissen darüber fehlt, wo welche Datensammlungen angelegt wurden. Die Entscheidung zur Erhebung der Datensammlungen und die Aufforderung zur Mitarbeit sollte daher von der Unternehmensführung ausdrücklich an die Mitarbeitenden kommuniziert werden.
Nach deren Erhebung sollte für jede Datensammlung beurteilt werden, ob die gesetzlichen Anforderungen bei der Datenbearbeitung erfüllt werden. Dieser Schritt erfordert zwar relativ viel Aufwand, führt aber häufig auch dazu, dass viele Datensammlungen, welche veraltet oder nicht mehr aktuell sind, vernichtet oder aktualisiert werden. Zudem ist diese sogenannte Konformitätsbeurteilung die unabdingbare Voraussetzung für eine Risikoanalyse. Sind die datenschutzrechtlichen Risiken erkannt, dann können diese bewertet und allfällige vorsorgliche Massnahmen zu deren Reduktion eingeleitet werden.
Im Rahmen der Umsetzung der Datensicherheit muss ein ganzheitlicher Ansatz gewählt werden. Es müssen somit sowohl die IT-Sicherheit als auch die physische Sicherheit, die elektronischen als auch die physischen Dokumente mitberücksichtigt werden. Die im Rahmen der Gewährleistung der Datenvertraulichkeit und der Datenverfügbarkeit sicherzustellenden Ziele sind in Art. 9 der Verordnung zum Datenschutzgesetz (VDSG) aufgelistet. Wichtig ist zudem, dass das Unternehmen sicherstellt, dass diese auch dann gewährleistet sind, wenn die Datenbearbeitung im Rahmen eines Outsourcings ausgelagert wird. Gemäss Art. 10a DSG bleibt das Unternehmen für die datenschutzkonforme Bearbeitung der ausgelagerten Personendaten verantwortlich. Daher muss im Rahmen eines Outsourcings beispielsweise sichergestellt werden, dass der Vertragspartner die Daten nur so verwendet, wie es auch das Unternehmen selbst dürfte. Eine Verwendung für eigene Zwecke oder eine Weitergabe an Dritte sollte daher ausdrücklich ausgeschlossen sein. Da das Unternehmen verpflichtet ist, sich zu vergewissern, dass der Outsourcingpartner die Datensicherheit gewährleistet, sollte ein vertragliches Informations- und Kontrollrecht vereinbart werden.
Die im vorliegenden Fachbeitrag beschriebenen Umsetzungsmassnahmen können Datenschutzverletzungen nicht absolut verhindern. Werden die Verantwortlichkeiten und Abläufe geregelt, dann werden diese in der Regel frühzeitig erkannt, und die Zuständigkeiten und Abläufe sind für die Mitarbeitenden klar. Dadurch sinkt auch das Risiko, dass ein solcher Vorfall schwerwiegende Imageschäden nach sich zieht. Die beschriebenen Massnahmen sind Teile eines Datenschutz-Management-Systems, welches nach der Verordnung über die Datenschutzzertifizierung (VDSZ) im Rahmen einer Datenschutzzertifizierung erstellt werden muss. Allerdings müssen für den Erwerb eines Datenschutzzertifikats noch weitere Anforderungen erfüllt werden, welche zu einem grossen Teil die Dokumentation der Verfahren und Prozesse im Rahmen des Datenschutzes betreffen.
Die Praxis zeigt, dass ein kontrollierter und systematischer Umgang mit Personendaten sowie die Regelung der entsprechenden Verantwortungen die Qualität der Datenbearbeitung erhöht und die entsprechenden Abläufe kontrollierbarer macht. Der Initialaufwand rentiert daher in jedem Fall.
- Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) mit Leitfäden, Merkblättern und Empfehlungen: www.edoeb.admin.ch
- Datenschutzbeauftragter (DSB) des Kantons Zürich: www.datenschutz.ch