FOCUS RGPD et employés : quel cadre légal ?

FOCUS DSGVO und Arbeitnehmer: Welcher Rechtsrahmen?

Legal Watch – Mai 2019.

Zwei aktuelle Fälle, in die ein großer Online-Buchhändler verwickelt ist, werfen Fragen zum Spielraum der Mitarbeiter bei der Verarbeitung personenbezogener Daten der Kunden des Unternehmens auf.

Zwar ist die Datenverarbeitung mittlerweile durch Gesetze und zahlreiche Richtlinien – sei es die der CNIL oder des Europäischen Datenschutzausschusses (EDSA) – detailliert geregelt, doch die Verantwortlichkeiten im Unternehmen selbst werfen noch immer viele Fragen auf.

Welche Verantwortung trägt der Arbeitgeber hinsichtlich der Verarbeitung personenbezogener Daten durch seine Mitarbeiter? Dabei sollten einige Grundsätze beachtet werden:

Der Anwendungsbereich der DSGVO ist weit gefasst[1]. Die automatisierte Verarbeitung personenbezogener Daten umfasst Vorgänge, die mit traditionell in Unternehmen eingesetzter Software durchgeführt werden: Datenbanken, E-Mail, Tabellenkalkulationen usw., sowie gegebenenfalls die Datenverarbeitung mit Textverarbeitungsprogrammen.

Die Verantwortung für das Handeln der Arbeitnehmer liegt gemäß dem Bürgerlichen Gesetzbuch2, aber auch gemäß der DSGVO grundsätzlich beim Arbeitgeber, da der Arbeitgeber der Verantwortliche für die Datenverarbeitung ist: Er ist es, der die Mittel und Zwecke der Verarbeitung im Sinne des Gesetzes3 festlegt.

Aus demselben Grund haftet der Arbeitgeber im Falle einer Sicherheitsverletzung, selbst wenn diese auf die Handlungen eines Mitarbeiters zurückzuführen ist, da er die Pflicht hat, die Daten in seinem Unternehmen zu sichern4.

Haftet der Arbeitgeber gegenüber Dritten, kann er selbstverständlich gegen den Arbeitnehmer, der rechtswidrig gehandelt hat, insbesondere wegen Untreue oder Betrug, vorgehen und eine Disziplinarstrafe oder sogar eine Kündigung verhängen. Auch der betrügerische Zugriff oder die Aufrechterhaltung des Zugriffs auf ein automatisiertes Datenverarbeitungssystem oder Teile davon ist strafbar.

Unabhängig von der Haftung des Arbeitgebers kann auch eine eigene Haftung des Arbeitnehmers gegenüber seinem Arbeitgeber, aber auch gegenüber Dritten bestehen: Der Arbeitnehmer, der von den Weisungen des Arbeitgebers abweicht und eigene Zwecke verfolgt, wird selbst für die Verarbeitung im Sinne des Gesetzes verantwortlich (siehe die Analyse der Europäischen Arbeitsgruppe zu Artikel 29 6 – jetzt EDPB).

Gleiches gilt, wenn er gegen die IT-Charta des Unternehmens verstößt, um die Daten für eigene Zwecke zu verwenden.

Zusammenfassend ist es für den Arbeitgeber unerlässlich, die folgenden Vorkehrungen zu treffen:

  • Definieren Sie die Zwecke und Mittel der Verarbeitung genau und machen Sie die Mitarbeiter auf diesen Rahmen aufmerksam
  • Lassen Sie sie eine Vertraulichkeitsklausel im Arbeitsvertrag sowie eine IT-Charta unterzeichnen
  • Beziehen Sie den Datenschutzbeauftragten und den Betriebsrat in die Erstellung dieser Dokumente ein.

Diese Vorkehrungen haben den doppelten Vorteil, dass sie die Personen, deren Daten verarbeitet werden, besser schützen und die Haftung des Arbeitgebers im Falle eines Missbrauchs klären.

Es ist zu beachten, dass auch Arbeitnehmer vom Schutz ihrer Privatsphäre – und ihrer personenbezogenen Daten – am Arbeitsplatz profitieren. Dies wird Gegenstand weiterer Entwicklungen sein.

Und außerdem:

In Frankreich:

Am 15. April veröffentlichte die CNIL ihren Tätigkeitsbericht und kündigte an, dass sie sich bei ihren künftigen Prüfungen auf die Achtung der Rechte des Einzelnen, die Verarbeitung der Daten Minderjähriger und die Verteilung der Verantwortlichkeiten zwischen dem Verantwortlichen und dem Subunternehmer konzentrieren werde.

Unter der neuen Leitung von Marie-Laure Denis verfügt die CNIL über ein neues Kollegium.

In Europa:

Am 12. April hat der EDSA Leitlinien zur Datenerhebung im Rahmen von Diensten der Informationsgesellschaft verabschiedet. Dabei geht es insbesondere um die Rechtsgrundlage für die Erhebung im Rahmen eines Vertragsverhältnisses mit dem Kunden (Artikel 6 Absatz 1 Buchstabe b DSGVO). Dieser Text ist bis zum 24. Mai Gegenstand einer öffentlichen Konsultation.

In der Welt:

Nigeria verabschiedet ein Datenschutzgesetz ähnlich der DSGVO.

1 Artikel 2.1 und 4 1) und 2) DSGVO.

2 Siehe insbesondere Artikel 1242 Absatz 1 und Absatz 5 des Bürgerlichen Gesetzbuches.

3 Artikel 4.7) DSGVO.

4 Artikel 32 DSGVO.

5 Artikel 323-1 des Strafgesetzbuches.

6 Seite 16

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT