Wer eignet sich als betrieblicher Datenschutzbeauftragter? Geht nebenbei als DSB? Wer unterliegt welchem Interessenkonflikt?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Es wird aufgeräumt mit dem Mythos Nebenbei-DSB und welche Interessenkonflikte bei wem und in welcher Funktion auftreten können. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Wer eignet sich als betrieblicher Datenschutzbeauftragter?

Wer eignet sich als betrieblicher Datenschutzbeauftragter?

In der Vergangenheit haben wir bereits oft berichtet, was Voraussetzungen und Aufgaben des Datenschutzbeauftragten sind. Hier soll nun ergänzend erläutert werden, welche Personen in einem Unternehmen bzw. Betrieb sich grundsätzlich eignen oder nicht eignen, um die Position bekleiden zu können.

Eignungskriterien aus der DSGVO?

Unabhängig davon, ob man gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, macht es wegen der rechtlichen und technischen Komplexität Sinn, jemanden mit dieser Aufgabe zu betrauen. Falls man diese intern vergeben möchte, stellt sich aber schnell die Frage, wer das Amt überhaupt übernehmen darf.

Dreh- und Angelpunkt ist hierbei Art. 38 Abs. 3 und 6 DSGVO:

„(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. (…)

(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Daraus leitet sich allgemein ab, dass der Datenschutzbeauftragte weisungsfrei agieren und zuverlässig sein muss. Insbesondere bei betrieblichen Datenschutzbeauftragten ist darauf zu achten, das eine mögliche Interessenkollision vermieden wird.

Bei welchen Personen entstehen typischerweise Interessenskonflikte?

In der Literatur und Praxis haben sich bestimmte Personengruppen herausgebildet, bei denen das Vorliegen von Interessenskonflikten grundsätzlich bejaht werden kann. Diese sollte man also gar nicht erst näher in Betracht ziehen, selbst wenn sie sich fachlich für die Position des betrieblichen Datenschutzbeauftragten eignen würden.

Geschäftsführung / Vorstand

Insbesondere bei jungen Startup-Unternehmen beweisen sich Geschäftsführer als Allrounder und versuchen auch Datenschutzthemen zu bearbeiten. Dies erfolgt meist aus der Not heraus, dass noch kein passendes Personal vorhanden ist und/oder das vorhandene Budget keine externe Beratung zulässt. Hier ist dringend zu empfehlen, diese Doppelrolle schnell zu separieren.

Der Datenschutzbeauftrage übt maßgeblich eine kontrollierende Funktion innerhalb des Unternehmens aus. Die Geschäftsführung, der Vorstand oder ähnliche Funktionen in einer Organisation hingegen definieren intern die Unternehmensziele und vertreten das Unternehmen nach außen hin. Sie treffen als allgemein Unternehmensentscheidungen, bei denen insbesondere wirtschaftliche Interesse wie Kosteneinsparungen und Gewinnmaximierungen eine große Rolle spielen. Wenn die Geschäftsleitung auch als Datenschutzbeauftragte agiert, würde sie sich selber bei dieser Entscheidungsfindung kontrollieren müssen. Dass dies selten funktioniert, zeigt uns die Geschichte. Nicht umsonst ist die Gewaltenteilung ein tragendes Verfassungsprinzip unseres Rechtsstaates. Eine solche Gewaltenteilung ist gleichfalls bei der Stellung des Datenschutzbeauftragten erforderlich, damit dieser effizient und unvoreingenommen seine Aufgaben wahrnehmen kann.

Aber nicht nur die Problematik der Selbstkontrolle schreit förmlich nach Interessenskonflikt. Zudem besteht durch die Doppelrolle die Gefahr, dass Mitarbeiter sich scheuen, Datenpannen oder sonstige Defizite im Bereich Datenschutz und -sicherheit zu melden. Zu groß ist die Sorge, dass die Meldung für sich oder andere arbeitsrechtliche Konsequenzen haben könnte. Dem Datenschutzbeauftragten kommt insofern nicht nur eine Vertrauensposition zu, sondern auch eine neutrale Stellung innerhalb des Unternehmens.

IT-Manager

IT-Manager haben naturgemäß einen sehr guten Gesamtüberblick über die Datenverarbeitungsvorgänge im Unternehmen. Sie müssen sich bereits Fragen zur IT- und Datensicherheit stellen – ein Vorgang, der über Art. 32 DSGVO Überschneidungen zum Datenschutz aufweist – und haben deshalb oftmals auch schon ein sehr gutes Grundverständnis für Datenschutz. Es liegt also nahe, eine solche Person mit der Aufgabe eines betrieblichen Datenschutzbeauftragten zu betrauen. Allerdings ist auch hier Vorsicht geboten.

Bereits im Jahre 2016 hatte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilungen darauf hingewiesen, dass bei einem „IT-Manager“ die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter besteht. Das BayLDA verhing wegen dieser Doppelbesetzung ein Bußgeld gegen ein Unternehmen. Es begründete die Entscheidung damit, dass der IT-Manager

„gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besitzt.“

In dieser Pressemitteilung wird leider nicht ausgeführt, was die konkreten Aufgaben des IT-Managers des betroffenen Unternehmens waren. Falls man sich doch dazu entschließen sollte, eine Person aus der IT-Abteilung zum Datenschutzbeauftragten ernennen zu wollen, dann muss man anhand der konkreten Aufgaben sicherstellen, dass dessen Unabhängigkeit gewahrt ist. Dies geht nur, wenn eine andere Person letztlich die operativen Entscheidungen trifft.

Vertriebsleiter (bei direktem Vertrieb) und Leiter der Personalverwaltung

Unter der Aufsicht des Vertriebsleiters werden viele Kundendaten verarbeitet, bei dem Leiter der Personalverwaltung sind es die Beschäftigtendaten. Diese Abteilungsleiter verantworten ebenfalls maßgebliche Datenverarbeitungstätigkeiten im Unternehmen. Der Ausführende würde sich abermals selber kontrollieren und damit seine „Arbeitsleistung“ hinsichtlich datenschutzrechtlicher Gesichtspunkte bewerten müssen. Insoweit bestehen die gleichen Bedenken wie beim IT-Manager, sodass hier eine Interessenkollision besteht.

Interne Revision

Große Unternehmen verfügen in der Regel über eine interne Revision, welche eine interne Kontrollinstanz darstellt. Zu ihren Aufgaben gehören u. a.:

  • Prüfung der Einhaltung gesetzlicher, satzungsmäßiger oder sonstigen Vorschriften und Weisungen
  • Überwachung aller Geschäftsvorgänge auf ordnungsgemäße Bearbeitung
  • Vorschläge für die Verbesserung der innerbetrieblichen Organisation erarbeiten
  • Untersuchung der Wirtschaftlichkeit
  • ggf. Überprüfung der IT, soweit es hierfür keine separate Revision gibt
  • unmittelbare Berichte an die Geschäftsführung.

Ähnlich wie dem Datenschutzbeauftragten hinsichtlich Verarbeitungsvorgänge von personenbezogenen Daten steht der Revision ein uneingeschränktes Informationsrecht zu. Da die Revision bereits selber eine kontrollierende Aufgabe wahrnimmt, könnte dies zwar für das Vorliegen der entsprechenden Fachkunde sprechen. Allerdings muss man sich hier die Frage stellen, wer eigentlich wen kontrollieren darf. Soweit die Revisionsabteilung selber personenbezogene Daten verarbeitet, unterliegt sie der Kontrolle des Datenschutzbeauftragten.

Auf der anderen Seite ist der Datenschutzbeauftragte weisungsfrei und unterliegt damit in seinem Aufgabenbereich nicht der Kontrolle durch die Revision. Insbesondere wenn sich aus dem Gesetz eine Pflicht zur Benennung eines Datenschutzbeauftragten ergibt, spricht die Pflicht zur Verschwiegenheit aus §§ 6 Abs. 5 S. 2 und 38 Abs. 2 BDSG gegen eine Personenidentität. Wie schon bereits erwähnt ist der Datenschutzbeauftragte auch eine Vertrauensperson.

Es wäre dann wie der seltsame Fall des Dr. Jekyll und Mr. Hyde: Mal kontrolliert man sich selber und mal darf man es nicht. Einerseits ist man Vertrauensperson und muss die erlangten Informationen vertraulich behandeln. Andererseits ist man der Geschäftsführung direkt unterstellt und soll daher im Rahmen von Audits vollumfänglich berichten. Auch wenn beide Instanzen eine Kontrollfunktion im Unternehmen wahrnehmen, verfolgen diese unterschiedliche Interessen. Damit beide ihre Kontrollfunktion entsprechend wahrnehmen können, ist auch hier eine strikte Trennung zwischen Revision und Datenschutzbeauftragter zu empfehlen.

Betriebsratsmitglied

Der Betriebsrat wacht und kontrolliert als Arbeitnehmervertretung, dass die Schutzvorschriften für die Arbeitnehmer durch den Arbeitgeber gewahrt werden. Der Datenschutzbeauftragte hat im Unternehmen wiederum eine neutrale Stellung inne und berät sowohl Arbeitgeber- als auch Arbeitnehmerseite. Wenn ein Betriebsratsmitglied nun als Datenschutzbeauftragter bestellt wird, könnte man sich fragen, inwieweit dieses neutral den Arbeitgeber beraten kann. 

Das Bundesarbeitsgericht sah in seinem Urteil vom 23.03.2011 – 10 AZR 562/09 keine Interessenkonflikte und führt u. a. aus:

Die bloße Mitgliedschaft im Betriebsrat und dessen EDV-Ausschuss macht die Klägerin für das Amt der Beauftragten für den Datenschutz nicht unzuverlässig. (…) Dass der betriebliche Datenschutzbeauftragte Kontroll- und Überwachungsbefugnisse gegenüber dem Arbeitgeber hat, macht ein Betriebsratsmitglied nicht generell für diesen Aufgabenbereich ungeeignet. Die Rechtsstellung des Arbeitgebers wird nicht dadurch unzulässig beeinträchtigt, dass er einem Datenschutzbeauftragten gegenübersteht, der zugleich die Rechte des Betriebsrats aus dem BetrVG wahrnimmt.“

Die richtige Besetzung – keine leichte Aufgabe

Es ist gar nicht so leicht, eine passende Person zu finden, die für das „Amt“ des betrieblichen Datenschutzbeauftragten geeignet ist. Einerseits soll sie die fachliche Expertise im Datenschutz aufweisen und die Datenprozesse im Unternehmen kennen. Andererseits darf es nicht zu Interessenkollisionen mit ihren anderen Aufgaben kommen. Dadurch scheiden viele Personen aus, die eigentlich einen guten Gesamtüberblick über das Unternehmen hätten. Da Datenschutz nunmehr alle Bereiche im Unternehmen betrifft, ist auch der zu erwartende Arbeitsaufwand nicht zu unterschätzen. Es kann daher geboten sein, diese Stelle als Vollzeitstelle zu behandeln und entsprechend auszuschreiben.

Zudem gilt es zu beachten, je großer das Unternehmen und komplexer die Datenprozesse werden, desto eher kann eine Person alleine die relevanten Themen nicht mehr alleine bearbeiten. In der Praxis hat sich daher zunehmend die Kombination aus internem Datenschutzkoordinator und externen Datenschutzbeauftragten bewährt. Über die Stellung und die Aufgaben eines Datenschutzkoordinators hatten wir bereits ausführlich berichtet.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Wer eignet sich als betrieblicher Datenschutzbeauftragter?.

Vielleicht doch lieber einen externen DSB benennen – DSB-Kündigungsschutz für 1 Jahr bleibt auch bei Abberufung bestehen: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man verstehe mich nicht falsch, interne betriebliche DSB sind fachlich gut, zuverlässig und arbeiten bestimmt ordentlich. Sie sind aber immer abhängige Beschäftigte, die ihren Arbeitgeber kontrollieren und überwachen müssen.

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

Die Änderung des Schwellenwertes durch das 2. DSAnpUG für die zwingende Bestellung eines Datenschutzbeauftragten von 10 auf 20 datenverarbeitende Mitarbeiter soll besonders kleinere Unternehmen entlasten. Diese Änderung wirft jedoch Fragen hinsichtlich der Stellung des internen Datenschutzbeauftragten in den davon betroffenen Unternehmen auf. Diese sollen vor dem Hintergrund eines aktuellen Urteils des Bundesarbeitsgerichts (BAG) näher betrachtet werden.

Änderungen des DSAnpUG

Am 26.11.2019 trat das 2. DSAnpUG mit wesentlichen Änderungen am Bundesdatenschutzgesetz in Kraft. Insbesondere gab es eine grundlegende Änderung bei der Pflicht zur Benennung eines Datenschutzbeauftragten. Nach der alten Rechtslage mussten Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, soweit in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Mit der Änderung wurde diese Grenze nun auf 20 Personen erhöht (vgl. § 38 Abs. 1 BDSG). Somit sind viele kleinere Unternehmen von der Pflicht, einen Datenschutzbeauftragten zu benennen, wieder befreit. Aktuell bestehen jedoch Rechtsunsicherheiten dahingehend, ob mit dem Wegfall der Verpflichtung zur Benennung eines Datenschutzbeauftragten auch der Sonderkündigungsschutz entfällt.

Abberufung Kündigung

Oft werden bei der Diskussion die Begriffe Kündigung und Abberufung miteinander vermischt, weshalb diese klar voneinander zu trennen sind. Benennt ein Unternehmen einen internen Datenschutzbeauftragten, handelt es sich dabei um eine Person, die bereits ein Mitarbeiter des betreffenden Unternehmens ist und somit in einem Arbeitsverhältnis mit ihm steht. Das bedeutet, dass diese Person zunächst lediglich von seiner Funktion als Datenschutzbeauftragter abberufen werden kann. An seiner Anstellung im Unternehmen ändert sich dadurch erstmal nichts.

Denn interne Datenschutzbeauftragte von öffentlichen sowie von nicht-öffentlichen Stellen genießen einen besonderen Kündigungsschutz nach § 6 Abs. 4 bzw. § 38 Abs. 2 BDSG. Das bedeutet, dass eine Kündigung des Arbeitsverhältnisses während ihrer Tätigkeit nur aus wichtigem Grund möglich ist (vgl. § 6 Abs. 4 BDSG i.V.m. § 626 BGB). Zudem wirkt dieser Schutz zugunsten des Datenschutzbeauftragten nach. Nach Ende der Tätigkeit als Datenschutzbeauftragter ist eine ordentliche Kündigung des Arbeitsverhältnisses innerhalb eines Jahres weiterhin unzulässig, sofern kein wichtiger Grund besteht, der eine fristlose Kündigung rechtfertigt.

Zu beachten ist, dass für die Geltung des besonderen Kündigungsschutzes für Unternehmen die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten eine zwingende Voraussetzung ist. In § 38 Abs. 2 BDSG heißt es für die Datenschutzbeauftragten nicht-öffentlicher Stellen:

„§ 6 Absatz 4, 5 Satz 2 und Absatz 6 [BDSG] finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

§ 6 Absatz 4 BDSG: „Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. […]“

Freiwillig eingesetzte Datenschutzbeauftragte genießen daher keinen besonderen Kündigungsschutz und dieser kann somit logischerweise auch nicht nachwirken. Fraglich ist aber, was nun für Datenschutzbeauftragte gilt, welche zwar nach der alten Rechtslage verpflichtend bestellt worden sind, nun aber nicht mehr benannt werden müssten, da das Unternehmen weniger als 20 Mitarbeiter hat, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Entfall des Sonderkündigungsschutzes bei sinkender Beschäftigtenanzahl

Aktuell wird man noch keine rechtssichere Antwort auf die Frage nach dem Entfall des Sonderkündigungsschutzes für diese Datenschutzbeauftragte geben können. Jedoch lässt sich aus einem erst kürzlich ergangenen Urteil des Bundesarbeitsgerichts eine Tendenz herauslesen. Das BAG hatte zu entscheiden, wann der Sonderkündigungsschutz für einen betrieblichen Datenschutzbeauftragten endet, wenn die Beschäftigtenzahl im Unternehmen unter den gesetzlich vorgeschriebenen Wert absinkt.

Die Entscheidung beruht jedoch noch auf der alten Rechtslage. Zudem ging es im dortigen Sachverhalt um die Unterschreitung des Schwellenwertes durch schwankenden Personalbedarf und nicht durch eine nachträgliche Anhebung des Schwellenwertes durch den Gesetzgeber. Dennoch lassen sich die Argumente und Wertungen des BAG auf die aktuelle Fragestellung zum Wegfall des besonderen Kündigungsschutzes übertragen.

In der Entscheidung des BAG heißt es:

„Der Sonderkündigungsschutz des Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 5 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) endet mit Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz 4 BDSG aF. Gleichzeitig beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF.“

Der Sonderkündigungsschutz, welcher einem betrieblichen Datenschutzbeauftragten nach alter Rechtslage zukam, erlischt also, sobald das Unternehmen unter den entsprechenden Schwellenwert fällt. Jedoch greift weiterhin die im Gesetz verankerte nachwirkende einjährige Kündigungsschutzfrist.

Rechtssichere Antwort liefert nur eine Prüfung des Einzelfalls

Nach der Entscheidung des BAG wird die Tendenz wohl dazu hingehen, dass der Sonderkündigungsschutz auch bei nachträglicher Anhebung des Schwellenwerts durch den Gesetzgeber entfällt. Insbesondere ist es naheliegend, dass die Benennung eines Datenschutzbeauftragten, der aufgrund der Gesetzesänderung nicht mehr verpflichtend ist, leichter zu beenden sein muss. Anderenfalls würde das Ziel des Gesetzgebers, die kleineren Unternehmen zu entlasten, ins Leere laufen. Solange jedoch noch keine Entscheidungen vorliegen, muss im Einzelfall geprüft werden, ob ein Weg vor das Arbeitsgericht eingeschlagen werden sollte.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten.

Kurzes Erklärvideo: “Was ist eigentlich das Problem mit… WhatsApp & Co.”?

Was ist eigentlich das Problem mit... WhatsApp & Co.?

Ein kurzes Erklärvideo zum Grundproblem mit WhatsApp & Co. Das Problem an sich ist, dass die Kommunikation Deutschland bzw. Europa verlässt. Allerdings hat eine Aufsichtsbehörde für den Datenschutz in Deutschland zumindest – unter bestimmten technischen Voraussetzungen – ein Einsatz von WhatsApp bei Behörden / Öffentlichen Stellen möglich ist. Wie das geht, sehen Sie im Video. Und dann, gerne melden!

So setzen Unternehmen die DSGVO um

SFC | Stephan Frank Consulting

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: So setzen Unternehmen die DSGVO um

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

So setzen Unternehmen die DSGVO um

Ein großer Teil der deutschen Unternehmen setzt bei der Umsetzung der DSGVO auf die Unterstützung von speziellen Softwarelösungen. Das hat der Branchenverband Bitkom im Rahmen einer Befragung herausgefunden.

The post So setzen Unternehmen die DSGVO um appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: So setzen Unternehmen die DSGVO um.

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Liebe Leser!
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten
Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Das beste Datenschutzmanagement und die ausgefeilteste IT-Sicherheit helfen wenig, wenn an Schulungen und Sensibilisierung von Mitarbeitern gespart wird. Diese gehören zum Grundrepertoire des datenschutzrechtlichen Einmaleins. Doch kann die Schulungsdokumentation Verantwortliche vor Herausforderungen stellen. Denn einerseits soll diese zum Wohle der Rechenschaftspflicht umfassend erfolgen, andererseits kann eine überschießende Speicherung wiederum für einen neuen Datenschutzverstoß sorgen. Wir geben einen Überblick.

Emotet und andere Späße

Mittlerweile ist im datenschutzrechtlichen Karussell etwas Ruhe eingekehrt, die Grundregeln sind scheinbar bekannt. Auf die Pflicht folgt nun bei vielen Unternehmen die Kür. Besonders in den letzten Wochen und Monaten zeigt sich immer mehr, dass die größten Haftungsrisiken für Unternehmen und andere verantwortliche Stellen im Bereich des Datenschutzes nicht in fehlerhaften Cookie-Bannern oder unvollständigen Datenschutzerklärungen auf der eigenen Website liegen. Vielmehr sorgen IT-Sicherheitslücken und Cyberattacken fast täglich für Schlagzeilen.

Die Schlagzeilen der letzten Wochen und Monate über Datenschutzvorfälle sowie lahmgelegte Unternehmen und Behörden zeigen, dass solche Angriffe oftmals auf das schwächste Glied in der Kette zielen: Den Menschen. Insbesondere die Schadsoftware „Emotet“ erwies sich hierbei als beängstigend effektiv. Die Malware zeichnet sich durch äußerst authentisch wirkende Spam-Mails aus, die anhand vorher ausgelesenen Daten aus E-Mails und Adressbüchern kaum von Originalen zu unterscheiden sind. Auch der LfDI Baden-Württemberg warnt in seinem aktuellen Tätigkeitsbericht (S. 28) vor Spear Phishing und Malware, da diese in der Praxis Unternehmen immer noch große Probleme bereiten und schnell existenzbedrohend werden können. So sollten

„auch kleine Firmen […] bei einem mehrtägigem bis teils mehrwöchigem Ausfall ihres IT-Netzes und den dabei anfallenden Lohnkosten, entgangenen Aufträgen, Strafzahlungen durch nicht eingehaltene Termine, Reputationsverlust, Bußgeldern, Lösegeldforderungen der Hacker, Kosten für spezialisierte IT-Firmen etc. von einem mindestens fünf- bis sechsstelligem Schaden ausgehen.“

Die beste IT-Sicherheit ist nicht viel wert, wenn die angegriffene Schwachstelle der Mitarbeiter selbst ist. Verantwortliche müssen diesem Problem daher auf andere Art und Weise Herr werden.

Schulungen als organisatorische Maßnahme

Die Datenschutz-Grundverordnung (DSGVO) enthält in Art. 5 DSGVO diverse Grundsätze, die sich durch das Fundament jedes datenverarbeitenden Prozesses ziehen.

Art. 5 Abs. 1 lit. f sowie Art. 32 DSGVO verpflichten den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Eine leicht durchzuführende und effektive organisatorische Maßnahme stellt die regelmäßige Schulung der Mitarbeiter dar. Hierin können einerseits datenschutzrechtliche Grundlagen, aber auch konkrete Handlungsanweisungen und Fallbeispiele hinsichtlich der Gefahren durch Malware und Social Engineering vermittelt werden.

Welche Inhalte bei einer solchen Schulung vermittelt werden können, haben wir an anderer Stelle bereits beleuchtet. Hier gilt: Weniger ist mehr. Anstatt Mitarbeiter mit ganztägigen Veranstaltungen zu quälen, sollten Schlaglichter gesetzt und aktuelle Problematiken besprochen werden.

Dokumentation und Speicherung

Die Durchführung einer Schulung sollte dokumentiert werden. So kann es im Einzelfall durchaus darauf ankommen, ob die Teilnahme an einer Schulung durch bestimmte Mitarbeiter nachgewiesen werden kann. Im Falle eines Datenschutzvorfalls stellt sich nämlich schnell die Frage, ob die verantwortliche Stelle alle erforderlichen Maßnahmen getroffen hat, um einen solchen Vorfall im Vorfeld zu vermeiden.

Üblicherweise werden bei Schulungen Teilnehmerlisten geführt, welche Teilnehmer- und Referentendaten sowie Zeitpunkt und Thema der Schulung beinhalten. Die Pflicht zur Dokumentation durchgeführter Schulungen lässt sich Art. 5 Abs. 2 DSGVO entnehmen, welcher eine Rechenschaftspflicht über ergriffene Maßnahmen enthält.

Spätestens bei einer Wiederholung solcher Schulungen oder beim Ausscheiden des Mitarbeiters aus dem Unternehmen entsteht jedoch ein Spannungsverhältnis zwischen der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO und dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO. Wo die Rechenschaftspflicht verlangt, dass die Einhaltung der technischen und organisatorischen Maßnahmen nachgewiesen werden kann, fordert die Speicherbegrenzung die Löschung von Daten nach Fortfall des Zwecks.

Somit stellt sich die Frage: Wie lange dürfen und müssen Belege von durchgeführten Schulungen tatsächlich aufbewahrt werden?

Keine gesetzliche Regelung

Ein Blick ins Gesetz lässt uns zunächst ernüchtert zurück. Weder enthält dieses Regelungen über die Dokumentation selbst, noch gibt es uns konkrete Handlungsanweisungen an die Hand, die Aufschluss über zulässige Speicherfristen geben könnten. Art. 5 Abs. 1 lit. e DSGVO besagt lediglich, dass Maßstab für die Frist der Speicherung der jeweils verfolgte Zweck sein soll.

Die Dokumentation von durchgeführten Schulungen bei aktuell angestellten Beschäftigten dürfte für die Dauer des Beschäftigungsverhältnisses somit relativ unproblematisch begründbar sein. Denn es kommt für den Verantwortlichen mitunter nicht nur darauf an, die Regelmäßigkeit von Unterweisungen belegen zu können. So besteht darüber hinaus auch ein Bedürfnis daran, bezüglich eines einzelnen, langjährigen Mitarbeiters nachweisen zu können, dass dieser durchgehend geschult wurde.

Diese Belege können als Bestandteil der Personalakte somit im Zweifel über die gesamte Dauer des Beschäftigungsverhältnisses gespeichert werden. Ob dies in jedem Einzelfall gilt, hängt maßgeblich von den vom Mitarbeiter übernommenen Aufgaben im Unternehmen und der Relevanz entsprechender Schulungen hierfür ab.

Dieses Bedürfnis endet jedoch in der Regel spätestens dann, wenn der Mitarbeiter schließlich das Unternehmen verlässt.

Zivilrechtliche Verjährungsfristen

Doch auch nach dem Ende des Arbeitsverhältnisses könnten tragfähige Gründe für eine Aufbewahrung von Teilnehmerlisten oder Zertifikaten bestehen. So sieht Art. 82 DSGVO einen Ersatzanspruch Betroffener gegen den Verantwortlichen vor, wenn diesen ein Schaden aufgrund eines Datenschutzverstoßes entstanden ist.

Diese Regelung unterliegt den nationalen Gesetzen zur Verjährung. In Anwendung der §§ 195, 199 BGB verjähren diese Schadensersatzansprüche somit 3 Jahre nach dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Betroffene Kenntnis von den Umständen erlangt hat oder ohne grobe Fahrlässigkeit hätte erlangen müssen.

Da Art. 82 Abs. 3 DSGVO eine Exkulpationsmöglichkeit für den Verantwortlichen ausdrücklich vorsieht, muss er zumindest in die Lage versetzt werden, sich bis zum Ablauf der zivilrechtlichen Verjährungsfrist rechtfertigen zu können.

Zwar können die konkreten Zeiträume, in welchen diese Verjährungsfrist beginnt, durchaus vom Beendigungszeitpunkt des Beschäftigungsverhältnisses abweichen. Jedoch erscheint es sachdienlich, im hier besprochenen Fall von drei Jahren ab dem Jahr des Austritts auszugehen. Allgemeinere Überlegungen zum Thema Verjährungsfristen und Löschpflichten haben wir an anderer Stelle genauer beleuchtet.

Verfolgungsverjährung nach dem OWiG

Ein weiterer – und für Unternehmen dieser Tage ungleich relevanterer – Aspekt der datenschutzrechtlichen Haftung stellen derzeit mit Sicherheit die Bußgelder dar, welche die Aufsichtsbehörden gegen Verantwortliche festsetzen können.

Hierfür gelten nach § 41 BDSG die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Ein Blick in § 31 Abs. 2 Nr. 1 OWiG zeigt, dass die sogenannte „Verfolgungsverjährung“ im Falle eines bußgeldbewährten Verstoßes gegen die DSGVO drei Jahre ab „Begehung der Tat“ eintritt. Da die Begehungshandlung durch den hier im Raume stehenden Mitarbeiter wohl spätestens am letzten Arbeitstag erfolgen kann, wäre dies auch der maßgebliche Zeitpunkt.

Abgestufte Dokumentation der Schulungen

Nun stehen Verantwortliche vor der Problematik, mit einer Vielzahl unterschiedlicher Verjährungsfristen und Argumenten für längerfristige Aufbewahrung von Teilnehmerlisten konfrontiert zu sein. Grundlegende Ordnung in das Chaos könnte ein abgestuftes Dokumentationssystem liefern. So wäre es beispielsweise denkbar,

  • konkrete Teilnehmerlisten einzelner Schulungen lediglich bis zur nächsten, thematisch ähnlichen Schulung aufzubewahren.
  • Ab diesem Zeitpunkt könnte eine Dokumentation der grundsätzlichen Teilnahme in der Personalakte, aber ohne eine konkrete Teilnehmerliste, angeschlossen werden.
  • Für längerfristige Dokumentation bietet es sich an, den allgemeinen Prozess zur Durchführung regelmäßiger Schulungen detailliert zu dokumentieren. So kann im Zweifelsfall immer noch dargelegt werden, dass zum Zeitpunkt der Beschäftigung des Mitarbeiters regelmäßige, verpflichtende Schulungen durchgeführt wurden.

Es kommt wie immer auf die Interessenlage an

Letzten Endes wird sich die Frage nach der zulässigen Speicherdauer von Teilnehmerlisten oder sonstigen Schulungsnachweisen wie so oft nicht pauschal beantworten lassen. Durchaus vertretbar erscheint es aber, Nachweise bis zum Ablauf etwaiger Verjährungsfristen aufbewahren zu dürfen.

Zwar gibt es auch hier Gegenansichten, welche für eine solche Speicherung verlangen, dass es zumindest Anhaltspunkte für einen drohenden Rechtsstreit geben müsse. Diese Ansicht vermag angesichts der Tatsache, dass Verantwortliche oftmals schlicht nicht wissen, ob durch unerkannt gebliebene Datenschutzverstöße konkrete Schäden entstanden sind, nicht zu überzeugen. Die Entscheidung über die Gefahr drohenden Rechtsstreits wird hierbei regelmäßig nicht mit hinreichender Sicherheit gefällt werden können.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Das Bild der Seminarteilnehmer habe ich eingefügt (Lizenziert: Shutterstock). Hier geht’s zum Original: Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten.