Die Datenschutzgrundverordnung macht IT-Richtlinien Feuer unter dem Hintern! (Teil 7) – Oder: Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

In diesem Blog haben wir uns in jüngerer Zeit schon viel mit der DSGVO und der Frage, worauf sich Unternehmen jetzt im Hinblick auf Mai 2018 einstellen müssen, befasst. Daneben ist natürlich das Datenschutzrecht in verschiedensten Konstellationen immer wieder Gegenstand unserer Beiträge. Mindestens genaus so häufig sind Social Media bzw. IT-Richtlinien in diesem Blog ein Thema. Von dort ist es dann natürlich nicht weit zu all den arbeitsrechtlichen Aspekten, die sich aus der Nutzung digitaler Arbeitsprozesse ergeben.

Symbolbild für: Orr. Diese DSGVO!

Wer sich nun die Mühe gemacht und vielleicht auf die vorstehenden Links geklickt hat, wird erkennen, dass in den verschiedenen Blogkategorien (EU-DSGVO, Datenschutzrecht, Social Media Guidelines, Arbeitsrecht) durchaus dieselben Artikel auftauchen. Es gibt also Überschneidungen. Das ist zumindest in Teilen schon auf praktischer Ebene logisch. Schließlich drängt es sich auf, dass (verbindliche) IT-Richtlinien einen Einfluss auf das Arbeitsverhältnis haben. Und wenn wir die IT-Sicherheit als die Kehrseite der Medaille zum Datenschutz begreifen, wird auch deutlich, dass es hier eine Verbindung geben muss. Und Compliance… tja, Compliance könnte ich auf jeden meiner Blogposts als Kategorie kleben – schließlich geht es bei dem Thema „Compliance“ um nichts anderes als die Einhaltung von Regeln. An sich eine Selbstverständlichkeit. Aber so ganz eben doch nicht – wie die zunehmende Anzahl an Compliance-Officers und Compliance-Abteilungen in den Unternehmen anzeigt.

Heute will ich einmal erläutern, was schon immer irgendwie an der einen oder anderen Stelle in meinen Artikeln durchschimmerte, ich aber doch noch nicht so klar erklärt habe: Nämlich, dass es zwischen den genannten Bereichen, also vom Datenschutzrecht über die IT-Richtlinien und Compliance bis hin zum Arbeitsrecht nicht nur eine ideelle, sondern auch eine juristische Klammer gibt. Diese juristische Klammer nennt sich „technisch und organisatorische Maßnahmen“, kurz TOM und ist schon lange im Bundesdatenschutzgesetz verankert. Doch wie so vieles, was dort steht und bereits „State of the Art“ im Unternehmen sein sollte, bekommt auch diese Vorschrift und alles, was damit zu tun hat, mit der EU-Datenschutzgrundverordnung „Feuer unter dem Hintern“ – um es mal ganz nonchalant auszudrücken.

TOM ./. Sicherheit der Verarbeitung

Die Norm, die eine rechtliche Verbindung vom Datenschutzrecht über Richtlinien ins Arbeitsrecht zieht, findet sich in in § 9 BDSG  und der Anlage zu § 9 Abs. 1 BDSG. Dort heißt es unter der Überschrift „Technische und organisatorische Maßnahmen“:

[Unternehmen] die die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.

Eine ganz ähnliche Norm findet sich ebenfalls in Artikel 32 DSGVO, überschrieben mit dem Titel „Sicherheit der Verarbeitung“ heißt es nun:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]

Liest man die Normen in Gänze nebeneinander, so ergeben sich einige Unterschiede. Während § 9 die Maßnahmen verlangt, die „erforderlich“ sind, „wenn ihr Aufwand in einem angemessenen Verhältnis zum Schutzzweck steht“, verlangt Art. 32 DSGVO „nur noch“ ein dem Risiko angepasstes Schutzniveau unter Berücksichtigung des Aufwandes. (Im Einzelnen habe ich dazu schon in Teil 4 ausgeführt und verweise an dieser Stelle gerne darauf).

Der ganz maßgebliche Unterschied ist aber in den Bußgeldvorschriften zu sehen.

Die unterschiedlichen Rechtsfolgen § 9 BDSG ./. Art. 32 DSGVO

Ein Verstoß gegen § 9 BDSG kann nur mittelbar in dem Sinne geahndet werden, wenn aufgrund mangelnder technische und organisatorische Maßnahmen ein Datenschutzverstoß entsteht; so etwa zum Beispiel, dass Email-Adressen von Kunden gegen deren Willen in E-Mail-Verteilerlisten (aka Newsletter-Verteiler!) aufgenommen werden (vgl. § 43 Abs. 1 Nr. 6 iVm § 29 Abs. 3 S. 1 BDSG). Ein solcher Verstoß  ist derzeit mit einem Bußgeld von maximal 50.000 EUR bewehrt. Dabei sagen die Erfahrung sowie die Tätigkeitsberichte der Datenschutzbehörden der Länder, dass bei einem ersten und einmaligen Verstoß in der Regel „nur“ mit Bußgeldern im oberen dreistelligen und unteren vierstelligen Bereich geahndet werden.

Nach Artikel 83 Abs. 4 DSGVO können nun bei Verstößen gegen Artikel 32 DSGVO Bußgelder in Höhe von bis 10 Millionen EUR (oder bis 2% des Jahresumsatzes) verhängt werden. Das heißt, wer im Falle eines datenschutzrechtlichen Verstoßes oder einer datenschutzrechtlichen Prüfung nicht nachweisen kann, dass er die entsprechenden technischen und organisatorischen Maßnahmen zum Schutz von Daten ergriffen hat, hat schon aufgrund dieses Unterlassens mit einem entsprechenden Bußgeld zu rechnen. Ob ein solcher Verstoß dann bei einem Unternehmen mit 8.000 oder 50.000 EUR, 500.000 EUR oder weit darüber hinaus geahndet wird, ist sicher von der Art der unterlassenen Maßnahmen und der Größe bzw. des Umsatzes des Unternehmens abhängig. Allerdings wird es sich ziemlich sicher nicht mehr um Summen handeln, für die mal eben eine Rückstellung geschaffen wird bzw. werden kann.

Die Intention des Gesetzgebers ist hier wieder einmal klar: Er möchte, dass der Datenschutz künftig ernst genommen wird. Und das bedeutet, dass die Unternehmen bitte auch die gesetzlich angeforderten technischen und organisatorischen Maßnahmen, welche für eine Sicherheit der Daten sorgen, bitte nicht mehr so stiefmütterlich behandeln wie bislang. Und als Anreiz wird eben mit einem entsprechenden Bußgeld bei Missachtung gedroht.

Was sind denn jetzt aber diese „TOM“!?!

Möglicherweise fragen Sie sich jetzt, was diese TOM denn nun aber eigentlich in drei Gottes Namen sind.  Nun, das sind einerseits all die technischen Maßnahmen, die sich schon in der Anlage zu § 9 BDSG finden lassen, wie etwa:

  • Zutrittskontrollen, d.h. Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen zu verwehren;
  • Zugangskontrollen, d.h. Unbefugte müssen an der Nutzung von Datenverarbeitungsanlagen gehindert werden;
  • Zugriffskontrollen; d.h. dass ausschließlich befugte Personen Zugriff auf bestimmte Segmente personenbezogener Daten erhalten;
  • Verfügbarkeitskontrolle, d.h. Daten sind vor (zufälliger) Zerstörung oder Verlust zu schützen;

und so einige mehr, die sie alle in der vorgenannten Anlage finden. Die zu treffenden organisatorischen Maßnahmen ergeben sich aus den hier aufgeführten technischen Maßnahmen. Natürlich muss technisch die Möglichkeit zur Zugangs- und Zugriffskontrolle geschaffen werden – etwa durch den Einsatz von Passwörtern für Systeme und verschiedene Speicherorte. Genauso wie im Unternehmen Daten grundsätzlich vor dem Verlust mittels Backup-System etc. pp. geschützt werden müssen. Das Problem ist an dieser Stelle jedoch der Mensch. Der Mensch vergibt das Passwort 123456. Der Mensch speichert Dokumente auf der Festplatte des Laptops statt auf dem mit einem automatischen Backup versehenen Serverplatz.

IT-Richtlinien sind Bestandteil der technisch und organisatorischen Maßnahmen

In Folge dessen erfolgt, wenn man das so sagen möchte, die organisatorische Umsetzung der technischen Maßnahmen über Datenschutz- und IT-Richtlinien. (Bzw. in Unternehmen mit Betriebsräten: Über die Betriebsvereinbarungen. Ich mag hier nicht immer doppelt-gemoppelt schreiben. Wenn Sie in einem Unternehmen mit Betriebsrat tätig sind, lesen Sie hier (aufgrund der idR vorhandenen Mitbestimmungspflichtigkeit) bitte anstelle von Richtlinie regelmäßig „Betriebsvereinbarung“)

Datenschutzrichtlinien regeln den grundsätzliche Umgang mit personenbezogenen und sonstigen relevanten Daten im Unternehmen. Hier werden sozusagen die datenschutzrechtlichen Grundsätze des Unternehmens aufgestellt. Zum Beispiel unter welchen Voraussetzungen personenbezogene Daten erhoben und verarbeitet werden dürfen, den Grundsatz der Zweckmäßigkeit und Datensparsamkeit, in welchen Fällen Daten übermittelt werden dürfen oder wann Daten endgültig vernichtet werden müssen.

Die IT- Richtlinien (sowie Geräte-, BYOD oder Social Media Richtlinien) verpflichten demgegenüber die Mitarbeiter eines Unternehmens konkret bestimmte IT-Sicherheitsstandards einzuhalten, damit Datensicherheit und folglich den Datenschutz zu gewährleisten. Dazu gehört beispielsweise die Verpflichtung,

  • dass Passwörter nicht nur eine bestimmte Sicherheitsstufe erreichen müssen, sondern auch ausschließlich über bestimmte Passwort-Manager gespeichert werden dürfen;
  • dass Passwörter regelmäßig zu ändern sind (ja, viele Programme fordern dazu von sich aus auf; viele SaaS-Lösungen aber nicht und soziale Netzwerke schon gar nicht – oder wann sind Sie das letzte Mal von XING oder Twitter aufgefordert worden, ihr Passwort zu ändern?);
  • dass ein Arbeitsgerät bei Verlassen des Arbeitsplatzes zu sperren ist,
  • dass der auf dem Flur gefundene, unbekannte USB-Stick genauso wenig wie das private und ungeschützte Handy einfach an das Firmennetzwerk geschlossen wird „um mal zu gucken, was da drauf ist“.

Das sind jetzt nur einige ganz wenige Beispiele. Sie ziehen sich aber quer durch alle möglichen harten sicherheitstechnischen Fragestellungen (auch: Nutzung von dienstlichen Geräten wie Smartphones und Laptops sowie Fragen im Zusammenhang mit BringYourOwnDevice, BYOD, bis hin zu den ganz weichen Faktoren, welche (ggf. streng vertraulichen) Daten über (welche) Social Media Anwendungen genutzt werden dürfen. Dabei geht es aus datenschutzrechtlicher Sicht natürlich ausschließlich um personenbezogene Daten. Aus Sicht eines Unternehmens macht es hier Sinn auch so gleich Regelungen bezüglich vertraulichen Daten aus dem Bereich der Betriebs- und Geschäftsgeheimnisse zu schaffen. (Darauf kommen wir sogleich noch einmal zurück.)

Soweit aber lange Rede, kurzer Sinn: Es ist jetzt hoffentlich deutlich geworden, dass die IT-Richtlinien (sowie BYOD-, Geräte-Richtlinien etc.) Bestandteil der technisch und organisatorischen Maßnahmen sind und diese faktisch mit dem notwendigen Leben füllen.

Mit derartigen Richtlinien können Sie Ihre organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO nachweisen.

Richtlinien tragen das Arbeitsrecht ins sich 

Dass derartige Richtlinien wiederum neben dem Datenschutz das Arbeitsrecht in sich tragen, kann selbst jemand, der auf diesem Auge blind sein möchte, kaum übersehen. Um ehrlich zu sein, wird die Notwendigkeit von derartigen Richtlinien aus arbeitsrechtlicher bzw. compliance-technischer Sicht zu meist sogar noch eher gesehen. … allerdings auch gerne mit einem „Ach, das ist ja kompliziert, das brauchen wir nicht, hier passiert schon ohnehin nichts. Bei uns läuft die Kommunikation!“ auf später verschoben.

Nun möchte ich an dieser Stelle nicht auf die vielen compliance-technischen und arbeitsrechtlichen Fragen eingehen, die aufgrund digitaler Prozesse und digitaler Kommunikation im Unternehmen auftauchen und die zum Beispiel mit der (Verwebung von) dienstlicher und privater Nutzung im Arbeitsverhältnis zu tun haben. Das würden den Rahmen dieses Artikels einfach sprengen.


Zu den vorgenannten Themenblöcken möchte ich Ihnen hier dann lieber u.a. die nachfolgenden Artikel ans Herz legen:


Ich möchte an dieser Stelle einfach aufzeigen, dass Datenschutz- und Arbeitsrecht an dieser Stelle sowohl miteinander als auch zusammen mit der IT-Sicherheit eng mit einander verbunden sind und dass diese Bereiche im Besten aller Fälle zusammen betrachtet werden.

Denn keinem Unternehmen nützt eine (IT-)Richtlinie, die nicht arbeitsrechtlich verbindlich im Unternehmen implementiert oder die im Ergebnis unwirksam ist. Genauso wenig nützt es aus datenschutzrechtlicher Sicht entweder keine organisatorischen Maßnahmen im Sinne der TOM nachweisen zu können oder aber nicht nachweisen zu können, dass im konkreten Schadensfall die Mitarbeiter auch tatsächlich – zur Entlastung des Unternehmens – entsprechende Richtlinien kannte und nachweislich zu verfolgen hatte.

Fazit – Grundsätzlich nichts Neues

Grundsätzlich ist das alles nichts Neues. Arbeitsrechtlich sind Unternehmen schon lange gut beraten, ihre digitalen Kommunikations- und Arbeitsprozesse auf sichere Füße zu stellen, wenn Ihnen nicht eben diese auf jene Fallen sollen.



 

Datenschutzrechtlich ist das alles, wie erläutert, ein alter Hut. Allerdings einer, der gerade zum Hutmacher gebracht wurde, nun wieder leuchtet und strahlt und darum ganz gut behandelt werden möchte – um es einmal ganz positiv zu formulieren.

Man kann es aber auch anders ausdrücken: Wenn Sie als Unternehmen sich jetzt nicht um eine solide Aufstellung ihrer digitalen Prozesse im Unternehmen bemühen, könnte es – gerade aus datenschutzrechtlicher Sicht – äußerst unangenehm werden.

Möglicherweise murmeln Sie jetzt auch gerade in den (nicht vorhandenen) Bart und schimpfen ein wenig über „diese Bürokratie“ und den „Regelungswahn“ und eventuell sogar über „das Konjunkturprogramm für Berater“. Das können Sie gerne tun. Dabei werden Sie werden in Deutschland relativ wenig Arbeit mit der DSGVO haben, wenn Sie bisher auch schon entsprechend nach dem BDSG gearbeitet haben. Das haben jedoch die wenigsten. (Sollten Sie sich also „ertappt“ fühlen, dann macht das nichts, Sie sind damit nicht allein.) Das Datenschutzrecht fristete ein Schattendasein. Mehr etwas, das man beachten konnte, nicht musste. Hier hat der Gesetzgeber nun über die DSGVO entschieden, dass sich dies ändern muss und dass dem Datenschutzrecht mehr Bedeutung als bisher zukommen muss (grundsätzlich eine richtige Entscheidung, wie ich finde). Diese Bedeutung sucht der Gesetzgeber über hohe Bußgelder bei Datenschutzverstößen kenntlich zu machen.

Und insoweit nützt all das Geschimpfe gar nichts. Die DSGVO ist in Kraft. Und 2018 entfaltet Sie Ihre Wirkung. Von daher, besser nicht weiter schimpfen. Sondern die internen Prozesse angehen. (Und wenn Sie das aus datenschutzrechtlicher Sicht nicht tun wollen, dann tun sie es aus Gründen des Arbeitsrechts und der Mitarbeiterführung, wenn Sie das mehr motiviert. 😉 )

In diesem Sinne,

auf bald!

PS: Bisher in der Reihe zur DSGVO außerdem erschienen:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 8 – Der Datenschutzbeauftragte unter der DSGVO

Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I

PPS: Wenn Sie mit all diesen Dingen im Unternehmen nicht gehört werden, dann rufen Sie einfach ganz laut „Aber das ist wichtig wegen der Compliance!!“ – das sagt zwar, wie gesagt, eigentlich nichts, aber bei dem Trigger-Wort horchen alle auf. 😉

PPPS: Und da! Sehen Sie! Alles nicht so schlimm. Der Nebel ist weg. Die Sonne geht schon wieder auf.