Praxistipp: Transparenz in der Praxis

Die Grundsätze einer fairen und transparenten Verarbeitung bringen mit sich, dass Betroffene ausreichend zu informieren sind – unter anderem darüber, dass eine  Verarbeitung stattfindet und welche Zwecke der Verantwortliche damit verfolgt.
 

Praxisfall

Beschäftigte im Homeoffice erhalten vom Unternehmen einen eigenen Router. So soll verhindert werden, dass Unbefugte personenbezogene Daten einsehen oder Zugang zu wertvollen betrieblichen Daten aus der Kommunikation der Beschäftigten erhalten.





Unverzichtbar: Regelungen für die Arbeit im Homeoffice

Im Unternehmen muss klar geregelt sein: Um im Homeoffice zu arbeiten, brauchen die Beschäftigten eine Erlaubnis. Der Grund ist einleuchtend: Eine Verarbeitung ohne Regelungen könnte bei nicht erkannten Gefährdungen oder Nachlässigkeit im Umgang mit personenbezogenen Daten auf den Verantwortlichen zurückfallen. Das führt im schlimmsten Fall zu einer Geldbuße. Darum müssen die Beschäftigten vorgegebene Prozesse beachten. Der Verantwortliche wiederum ist in der Pflicht, Kontrollen durchzuführen. Nur so kann er sicherstellen, dass die Regelungen eingehalten werden. Was gerne übersehen wird: Für die Arbeit im Homeoffice verarbeitet das Unternehmen personenbezogene Daten der Beschäftigten. Über diese Verarbeitung sind die Beschäftigten nach Artikel 13 DSGVO zu informieren.





Transparenz als zentrale Forderung der DSGVO

Transparenz ist eine der zentralen Forderungen der Datenschutzgrundverordnung. Entsprechend legt der Erwägungsgrund 60 zur DSGVO fest: „Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird.“ Deshalb fordert Erwägungsgrund 60 weiter: „Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.“





Transparenz auch bei Daten aus anderer Quelle

Zu beachten ist, dass der Verantwortliche nicht immer personenbezogene Daten verarbeitet, die die betroffene Person selbst in den Verarbeitungsprozess eingebracht hat. Im heutigen Geschäftsverkehr sind Abläufe etabliert, an denen mehrere Verantwortliche oder Auftragsverarbeiter beteiligt sind. Daher kommt zu Artikel 13 noch Artikel 14 – er regelt die Informationspflicht, wenn Daten nicht bei Betroffenen selbst erhoben werden. Insbesondere bei Prozessen, die in Zusammenarbeit mit anderen durchgeführt werden, ist auf vollständige Transparenz zu achten. Auch die personenbezogenen Daten, die von Dritten oder von Auftragsverarbeitern bezogen werden, müssen bei der Erfüllung der Informationspflicht genannt werden.





Transparenz – Artikel 13 ist relevant

Artikel 13 DSGVO fordert in Abs. 1 mit klaren Worten das Handeln des Verantwortlichen auch beim Führen der Besucherdokumentation: „Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
a)    den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b)    gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c)    die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d)    wenn die Verarbeitung auf Art. 6 Abs. 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
e)    gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
f)    gegebenenfalls die Absicht des Verantwortlichen, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln (es folgen Regelungen zur Übermittlung der Daten in Drittländer, die bei Bedarf heranzuziehen sind.)



Wann und wie informieren?

Die Informationspflicht ist zeitlich nicht näher umschrieben. Im Gesetz heißt es zwar, dass der Verantwortliche die Information „zum Zeitpunkt der Erhebung“ zur Verfügung stellt. Ob es damit aber getan ist oder die Daten darüber hinaus dauerhaft zur Verfügung gestellt werden müssen, ist nicht näher beschrieben. Um hier vorzubeugen, ist es ratsam, den Beschäftigten jederzeit zu ermöglichen, diese Informationen abzurufen. Dazu bietet sich das Intranet an, denkbar ist aber ebenso ein Aushang am Schwarzen Brett oder eine Information per Mail. Nicht vergessen: Alle neu eingestellten Beschäftigten müssen die Information natürlich ebenfalls erhalten.





Bei Prozessänderungen aktualisieren

Wichtig ist, die Information nach Artikel 13 DSGVO bei jeder Änderung der Prozesse und der dabei verarbeiteten personenbezogenen Daten zu aktualisieren. Hier empfiehlt es sich, genau wie bei der Erstinformation, den Beschäftigten die Mitteilung so zu geben, dass sie diese ohne weiteren Aufwand zur Kenntnis nehmen können. Für die ergänzende Information zur Verarbeitung personenbezogener Daten durch den unternehmenseigenen Router im Homeoffice genügt beispielsweise eine Mitteilung an die Personen, die eine Erlaubnis für die Arbeit im Homeoffice erhalten haben und den Router einsetzen.





Nachweisen

Eine Frage, die manchen umtreibt: Müssen Beschäftigte bestätigen, dass die Information erhalten und gelesen wurde? Die Rechenschaftspflicht verpflichtet zwar den Verantwortlichen, nachzuweisen, dass die Transparenzpflicht erfüllt wurde. Dafür genügt es allerdings, den eigentlichen Informationsvorgang zu dokumentieren. Wenn die Information per Mail verschickt wird wie andere Informationen im Unternehmen auch, reicht es aus, die versendete Mail revisionssicher zu archivieren. Ob Beschäftigte diese Information genau durchlesen, überfliegen oder ignorieren, kann dem Verantwortlichen allerdings völlig egal sein. Von einem Examen, ob die Beschäftigten die Information gelesen und verstanden haben, ist in der DSGVO nicht die Rede.





Folgerung für den Prozess der Verwendung des zusätzlichen Routers im Homeoffice

Aus Artikel 13 DSGVO folgt zwingend, dass die Beschäftigten über die Verarbeitung ihrer Daten im Unternehmen informiert werden müssen. Wichtig dabei: Dazu gehört nicht nur die Verarbeitung, die im Zusammenhang mit der Nutzung des Routers im Homeoffice erfolgt. Auch mögliche Auswertungen, die beispielsweise aus Gründen der Sicherheit der Datenverarbeitung erfolgen, und deren mögliche Auswirkungen für die Beschäftigten müssen berücksichtigt werden. Es empfiehlt sich, Prozess gleich zu Beginn so präzise wie möglich zu planen. Späteren Änderungen der Information wegen Ergänzungen beim Prozess lässt sich so vorbeugen.





Fazit

Verantwortliche haben die Pflicht, Betroffenen Informationen zu Datenverarbeitungen zur Verfügung zu stellen – und tragen damit dem Grundsatz der Transparenz Rechnung. Die im Unternehmen arbeitenden Beschäftigten sind umfassend über die Verarbeitung ihrer Daten zu informieren. Bei Änderungen gilt die Informationspflicht erneut. Ein Grund mehr, Prozesse von Anfang an gut zu planen und zu Ende zu denken.




Hier gibts den Praxistipp als kostenlosen PDF-Download.