Fachbeiträge
Der neue Datenschutz - und die Auswirkungen für das betriebliche Wissensmanagement
von Karl-Uwe Lüllemann
Datenschutz und besonders die Datenschutzskandale – zum Beispiel bei der Telekom, der Deutschen Bahn und der Supermarktkette Lidl – bewegen zu Recht die Öffentlichkeit. Um solchen Geschehnissen einen Riegel vor zu schieben, ist kürzlich das Datenschutzgesetz novelliert worden – mit Auswirkungen auch für das Wissensmanagement. Denn auch hier geht es häufig um personenbezogene Daten, die der Beurteilung der Person und deren Leistungsfähigkeit dienen und entsprechend sensibel sind.
Inhaltsübersicht:
- Welche Relevanz hat der neue Datenschutz für das Wissensmanagement?
- Wie müssen Unternehmen auf die Datenschutzänderungen reagieren?
Das Bundesdatenschutzgesetz (BDSG) wurde in drei Wellen überarbeitet und erneuert. Diese Änderungen haben gravierende und ganz praktische Auswirkungen für jedes Unternehmen. Es gibt eine große Anzahl neuer Pflichten sowie eine Erhöhung und Erweiterung des Bußgeldkataloges bis hin zur neuen „Gewinnabschöpfung“. Die Vielzahl der Änderungen lassen sich hier nicht in aller Breite darstellen, sodass im Folgenden nur auf die für das Wissensmanagement relevanten Neuerungen eingegangen wird.
Welche Relevanz hat der neue Datenschutz für das Wissensmanagement?
Die folgenden acht Punkte zeigen die wesentlichen Änderungen bzw. Neuerungen des neuen Datenschutzes, die Relevanz für das Wissensmanagement haben:
Verbot der „Andersnutzung“ von Daten aus Wahrnehmung von Datenschutzrechten (§ 6 Abs. 3 BDSG)
Bedeutung: Übt ein Betroffener Rechte aus dem BDSG oder einer anderen Vorschrift zum Datenschutz aus, so darf diese Nutzung nicht anderweitig verwendet werden. Beispiel: In der Vergangenheit hat die Nutzung der gesetzlichen Auskunftspflicht gegenüber der Schufa zu einer Verschlechterung des Score-Wertes geführt.
Kennzeichnungspflicht von Schätzdaten (§ 35 Abs. 1 S. 2 BDSG)
Bedeutung: Wer beispielsweise Datamining betreibt oder Score-Werte bildet bzw. nutzt, muss diese Werte als Schätzwerte kennzeichnen.
Verbot der automatischen Einzelentscheidung mit negativer Entscheidung für den Betroffenen (§ 6a BDSG)
Bedeutung: Keine beeinträchtigenden Entscheidungen ausschließlich auf Basis automatisierter Datenverarbeitung Beispiel: Score-Verfahren
Zulässigkeit des Scorings
Anwendungsbereich: Score-Werte (Wahrscheinlichkeitswerte) dürfen zur Entscheidung verwendet werden, wenn es um den Beginn, die Durchführung oder die Beendigung eines Vertrages geht. Zulässigkeitsvoraussetzungen: Es muss ein wissenschaftlich anerkanntes mathematisch-statisches Verfahren zur Berechnung des Score-Wertes Verwendung finden. Für die Berechnung des Score-Wertes dürfen nicht nur Anschriftendaten genutzt werden. Wenn Anschriftendaten hinzugezogen werden, ist der Betroffene zuvor hierüber zu informieren und diese Info-Pflicht ist zu dokumentieren. Außerdem erfolgt eine starke Erweiterung der Auskunftspflichten, z.B. welche Datenarten zur Berechnung des Score-Wertes genutzt werden und welche Bedeutung der Score-Wert hat. Die Bußgelder werden auf 50.000 bzw. 300.000 Euro erhöht; die Geldbuße soll den wirtschaftlichen Vorteil übersteigen.
Auftragsdatenverarbeitung (§ 11 BDSG)
Es bestehen neue Anforderungen an die Vertragsgestaltung beim Outsourcing sowie neue Pflichten zur Auftragskontrolle vor und während des Outsourcings plus Dokumentation.
Arbeitnehmerdatenschutz (§ 32 BDSG)
Regelt die Datenverarbeitung im Beschäftigungsverhältnis. Erlaubt die Datenverarbeitung für die Anbahnung, Durchführung oder Beendigung des Beschäftigungsverhältnisses. Erlaubt Maßnahmen des Arbeitgebers zur Kontrolle der vertraglichen Pflichten der Arbeitnehmer (z.B. automatische Zeiterfassung). Erlaubt die Datenverarbeitung zur Aufdeckung einer Straftat.
Die von § 4 BDSG geforderte Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist, neben § 32, nach wie vor die individuelle Einwilligung (gem. § 4a BDSG) beziehungsweise die Betriebsvereinbarung.
Wie müssen Unternehmen auf die Datenschutzänderungen reagieren?
Da die ersten und wichtigsten Änderungen (Novelle II) bereits seit dem 1. September 2009 in Kraft sind (die Novelle I tritt zum 01.04.2010 in Kraft), besteht dringender Handlungsbedarf. Der Datenschutzbeauftragte des Unternehmens muss sich mit den Gesetzesänderungen vertraut machen. Anschließend geht es darum, den Neuerungen zeitnah Rechnung zu tragen sowie eventuelle Defizite abzustellen. Empfehlenswert ist es deshalb, die Gesetzesänderung zum Anlass zu nehmen, eine Datenschutzanalyse bzw. ein Audit auf Basis der aktuellen Novellen durchzuführen, um das bisher Umgesetzte zu validieren und sich die verbleibenden Risiken aufzeigen zu lassen.
Ziel muss es hier sein, Klarheit über den Status Quo des Datenschutzes im Unternehmen und die Aufgaben, die noch zu bearbeiten sind, zu erhalten und eine Handlungsanweisung für die nächsten Jahre zu erarbeiten, um die Ergebnisse im Bereich Datenschutz für den Datenschutzbeauftragten und die Geschäftsführung messbar zu machen.
Diese Artikel könnten Sie auch interessieren
Fachbeitrag IT-Sicherheit
Datenlecks verhindern - Kommt bald der digitale Fingerabdruck?
von Michael Scheffler
Fachbeitrag Human Resources
Elektronische Personalakten – Sensible Daten sicher und kosteneffizient verwalten
von Philipp Sander
Fachbeitrag IT-Sicherheit
Compliance – den Regelberg bezwingen
von Helfried Pirker
Fachbeitrag IT-Sicherheit
Externe Mitarbeiter: Die unterschätzte Sicherheitsgefahr
Fachbeitrag Gesetzgebung