Praxisbeispiel: Herausforderungen durch EU-Datenschutz-Grundverordnung

Wenn DSGVO und Auskunftspflicht die IT ins Schwitzen bringen

Das Schwierige an Gesetzen ist, dass sie zwar praktische Auswirkungen auf das Leben und Handeln haben, in ihren Formulierungen aber oft hoch theoretisch und komplex sind. Das gilt auch für die EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt. Sie wird die Art, wie Unternehmen in der EU Geschäfte abwickeln und sich organisieren, maßgeblich verändern. Allerdings erschließen sich die praktischen Konsequenzen vielen Unternehmen noch nicht. Dieser Artikel beschreibt einen fiktiven, aber realistischen Praxisfall, der mit dem Inkrafttreten der DSGVO auf ein Unternehmen zukommen könnte. Dadurch soll gezeigt werden, welche Auswirkungen die EU-Verordnung auf Unternehmen hat, welche Konsequenzen ein Verstoß nach sich zieht und was Unternehmen tun müssen, um die DSGVO zu erfüllen.

Es ist der 16. August 2018. Auf dem Firmengelände eines Automobil-Dienstleisters in Süddeutschland steht die Hitze. Und genauso heiß geht es gerade beim Management des Unternehmens mit 380 Beschäftigten sowie Tochtergesellschaften in Italien und Frankreich zu. Ein Vertreter des höheren C-Levels, Herr Management, der Leiter der IT-Abteilung, Herr IT, und der Interessensvertreter der Belegschaft, Herr Betriebsrat, sitzen im Konferenzraum. Der vierte Hauptakteur, Herr Gekündigt, ist nicht anwesend, aber Grund des Treffens. Er war im Projektmanagement für den Dienstleister tätig, wurde aber entlassen. Und damit fing alles an…

Herr Betriebsrat: „Herr Gekündigt akzeptiert die Kündigung nicht. Er behauptet, die Firma habe rechtswidrig Daten zur Leistungskontrolle gespeichert, ihn so überwacht und einen Grund für die Kündigung fingiert. Er bezieht sich hier auf Personaldaten und Daten aus dem Projektmanagement. Genauer gesagt geht es um Daten über seine Leistungsvergütung, seinen Krankenstand und seine Auslastung während seiner Tätigkeit als Projektmanager.“

Herr Management ereifert sich: „Natürlich haben wir seine Auslastung erfasst. Wie soll man ein Projekt planen, wenn man die Auslastung seiner Mitarbeiter nicht kennt?“

Herr Betriebsrat: „Das mag sein, aber Herr Gekündigt sieht das anders. Er möchte genau wissen, welche Daten von ihm wo im Unternehmen – hier in Deutschland sowie in Italien und Frankreich – gespeichert und an wen sie weitergegeben wurden. Außerdem will er erfahren, wie und zu welchem Zweck diese Daten erhoben und verarbeitet wurden. Dabei beruft er sich auf sein Auskunftsrecht, das ihm nach der EU-DSGVO zusteht.“

Herr Management: „Nach was?“

Herr IT: „EU-DSGVO steht für EU-Datenschutz-Grundverordnung. Sie regelt seit Mai den Datenschutz in der Europäischen Union.“

Herr Management: „Ach ja, da hatten wir letztes Jahr mal drüber geredet.“

Herr Betriebsrat: „Ein weiterer wichtiger Punkt ist, dass der Fall unter der Belegschaft viel Aufsehen erregt hat. Ich wurde schon mehrmals angesprochen, ob es stimmen würde, dass die Geschäftsleitung rechtswidrig Daten zur Leistungskontrolle erhebt.“

Herr Management: „Wir bewegen uns nie in rechtswidrigen Räumen. Und schon gar nicht in Bezug auf unsere Mitarbeiter.“

Herr Betriebsrat: „Ich fürchte, dafür verlangt nicht nur Herr Gekündigt, sondern mittlerweile auch Teile der Belegschaft einen Beweis. Wir als Betriebsrat sehen uns hier in der Pflicht. Wir wollen auch wissen, ob an den Vorwürfen was dran ist, und sei es nur, um die Gerüchte aus der Welt zu schaffen, die Kollegen zu informieren und beruhigen zu können.“

Herr Management: „Aber wir haben doch Betriebsvereinbarungen bezüglich des Datenschutzes.“

Herr Betriebsrat: „Und wir wollen sicher gehen und argumentieren können, dass diese Betriebsvereinbarungen von der Geschäftsleitung eingehalten werden.“

Herr Management wendet sich an Herrn IT: „Können wir die Daten und Nachweise denn liefern?“

Herr IT atmet langsam ein und aus: „Das ist nicht so einfach. Herr Gekündigt war über Jahre in unserem Unternehmen tätig. Die Daten zu seinen Projektzeiten und seiner Auslastungsraten liegen hier bei uns auf dem Firmen-Server. Was aber Krankheitsstand, Entlohnung, Leistungsvergütung usw. anbelangt, das liegt im Personalsystem in Italien. Nicht auszuschließen, dass auch in Frankreich noch Daten von ihm liegen, weil er mal an einem dortigen Projekt gearbeitet hat. Alle Daten zu finden, nachzuvollziehen und zusammenzutragen wird schwierig. Sehr schwierig…“

Unterschiedliche Daten, die unterschiedlich über einen längeren Zeitraum erhoben, mit unterschiedlichen IT-Programmen verarbeitet bzw. verwaltet und an verschiedenen Orten gespeichert wurden! Kein Wunder, dass es für Herrn IT eine Mammut-Aufgabe ist, alle Daten zu finden und nachzuvollziehen. Dennoch muss seine Abteilung dies bewältigen und gegenüber Herrn Gekündigt und dem Betriebsrat Aussagen und Nachweise über Datenschutz, Datenspeicherung sowie Datenverarbeitung liefern. Noch komplizierter wird es, wenn Herr Gekündigt zudem verlangt, dass alle seine Daten gelöscht werden. Dieser Vorgang muss nicht nur durchgeführt, sondern auch nachgewiesen werden, gerade in Befürchtung eines weiteren Rechtsstreits mit Herrn Gekündigt. Die Auskunftspflicht stellt das Unternehmen hier vor ein großes Problem. Das hätte vermieden werden können, wenn man im Jahr 2017 nicht nur über die DSGVO geredet, sondern sich richtig darauf vorbereitet hätte.

Wie genau diese Vorbereitung aussehen kann, vor allem bei Unternehmen mit komplexen und inhomogenen IT-Strukturen, und was es bezüglich der DSGVO noch zu beachten gibt, erfahren Sie in diesem Interview mit dem Rechtsanwalt und Datenschutz-Experten Rainer Olschewski:

Zudem informieren die IT-Sicherheitsexperten der CSPi GmbH in Köln bei einem Workshop über die zentralen Aspekte der DSGVO und die neu entstandenen Risiken für Unternehmen. Auch die datenschutzrechtlichen Herausforderungen beim Einsatz von Cloud-Diensten werden thematisiert und die Fachleute simulieren live einen Hackerangriff auf eine Produktionsanlage! Ist Ihr Interesse geweckt? Dann können Sie sich hier anmelden.

Kommentare

Noch nicht bewertet

Es gibt noch keine Kommentare

Kommentar hinterlassen

Haben Sie Fragen oder Anregungen?

Schreiben Sie uns an
info@weknowsecurity.de

Ähnliche Artikel