DSGVO - 1 Jahr nach Inkrafttreten

Da­ten­schutz

DS­GVO: Schreck­ge­spenst in Eu­ro­pas Un­ter­neh­men

Services der Bundesagentur für Arbeit
Mein Faktor A

Seit einem Jahr ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Für viele Unternehmen bedeutet sie noch immer Unsicherheit. Dabei haben sich die meisten Befürchtungen kaum bestätigt. Im Interview mit Faktor A räumt Barbara Rüstemeier, Datenschutzbeauftragte bei der Bundesagentur für Arbeit, mit Mythen auf und beklagt die zunehmende Bürokratisierung des Datenschutzes.

Faktor A: Frau Rüstemeier, Sie sind Datenschutzbeauftragte der Bundesagentur für Arbeit. Wie war das vergangene Jahr für Sie?

Barbara Rüstemeier: Wir hatten 150 Prozent mehr Beschwerden zu bearbeiten. Das stellte unsere Stabsstelle natürlich vor große Herausforderungen. Leider hat sich bewahrheitet, was wir im Vorfeld befürchtet haben: Die Datengrundschutzverordnung ist ein Bürokratiemonstrum, das sehr viel Personal bindet. Ich persönlich finde, dass man dem Datenschutz keinen Gefallen tut, wenn man mit erhobenem Zeigefinger auftritt und mit Strafen droht. Akzeptanz für einen sicheren Umgang mit Daten schafft man nicht mit Bürokratie.

Haben Sie ein Beispiel für bürokratische Auswüchse?

Wir müssen aufgrund der neuen Bestimmungen jede Panne beim Datenschutz melden. Wenn also jemand einen Brief in den falschen Umschlag eingetütet hat oder eine Mail falsch weitergeleitet wurde, muss sich ein Mitarbeiter bei uns damit befassen – ganz gleich was da genau verschickt wurde. Da hängen wir derzeit in der Bearbeitung hinterher, obwohl wir Personal aufgestockt haben. Früher betraf das nur Fälle, in denen es zu Pannen bei Gesundheitsdaten kam – in diesen Fällen finde ich das auch angemessen. Oder nehmen Sie die Datenschutzfolgenabschätzung …

Was ist das?

Nach der DSGVO sind wir verpflichtet, dynamisch zu überwachen, welche Risiken sich durch die Datenverarbeitung für die Rechte und Freiheiten der Betroffenen ergeben. Wenn also zum Beispiel eine neue App der Bundesagentur für Arbeit angeboten werden soll, müssen wir uns vorab damit beschäftigen, welche datenschutzrechtlichen Konsequenzen für die Nutzer sich daraus ergeben.

Kleine und mittelständische Betriebe kann das sicher vor schwere Aufgaben stellen.

Die gute Nachricht ist, dass viele Bestimmungen für kleine Betriebe überhaupt nicht gelten. Wenn zum Beispiel ein Kfz-Mechatroniker-Meister eine kleine Werkstatt betreibt mit zwei Angestellten und einem Lehrling, gilt ein Teil der DSGVO für ihn nicht. Und auch bei größeren Betrieben kann es sein, dass ihr Anwendungsbereich gar nicht eröffnet ist: Das hängt nämlich davon ab, wie viele Menschen in der Firma mit personenbezogenen Daten arbeiten – außer in ganz sensiblen Bereichen, in Arztpraxen etwa.

Das ist jetzt der Bereich, in denen Kundendaten verarbeitet werden. Was darf ich denn über meine Mitarbeiter sammeln?

Die Grundregel ist, dass nur Tatsachen gespeichert werden dürfen. Keine Tatsachen sind Vermutungen, Schlussfolgerungen oder Gerüchte. Wenn mir also zum Beispiel die örtliche Arbeitsagentur einen Bewerber in die Firma schickt und dieser nach Alkohol riecht, sollte meine Gesprächsnotiz lauten: „Der Bewerber erschien mit einer Alkoholfahne, was XY bezeugen kann.“ Unzulässig dagegen wäre: „Als der Bewerber erschien, hatte ich den Eindruck, dass er Alkoholiker ist.“ Das wäre nämlich eine medizinische Schlussfolgerung, die ich als Arbeitgeber nicht treffen darf.

Muss ich als Arbeitgeber den Bewerbern eigentlich mitteilen, wenn ich der Arbeitsagentur ein Feedback gebe?

Theoretisch ja, praktisch nein: Das Gesetz sieht eine Informationspflicht vor, wenn persönliche Daten weitergegeben werden. Das betrifft zunächst einmal auch das Feedback auf ein Bewerbungsgespräch, zu dem der Arbeitgeber nach § 39 Abs. 3 SGB III ja sogar verpflichtet ist, wenn er einen Bewerber ablehnt. Allerdings informieren die Arbeitsvermittler ihre Kunden bereits im Vermittlungsvorschlag darüber, dass es solche Rückmeldungen gibt. Damit verfügen die Bewerber bereits „über die Information“, wie es in Art. 13 Abs. 4 DSGVO heißt. Arbeitgeber müssen also keine Angst haben, den Vermittlern von der Arbeitsagentur zu berichten, wie das Gespräch gelaufen ist.

Wie erfahre ich denn als Mittelständler, ob ich beim Thema Datenschutz gut aufgestellt bin?

Es gibt gute Informationsseiten dazu im Internet und Beratungsangebote, etwa bei den Industrie- und Handelskammern. Der Bundesdatenschutzbeauftragte hat leider das Thema sehr zögerlich aufgegriffen, obwohl man im Vorfeld der Einführung im vergangenen Frühling ja gemerkt hat, dass der Informationsstand bei den betroffenen Unternehmen oft katastrophal schlecht ist und die Ängste groß sind. Auf Länderebene fehlt mir zugegebenermaßen der Überblick, ich kann nur sagen, dass man hier in Bayern vorbildlich gearbeitet hat: In einer großen Infokampagne hat man sehr pragmatisch Leitfäden vorgestellt und Mustererklärungen formuliert und ins Netz gestellt. Dort findet man gute Orientierungshilfen.

Im Vorfeld fürchtete man in der öffentlichen Diskussion vor allem eine Welle von Abmahnungen durch Anwälte, die die DSGVO als schnelle Einnahmequelle für sich entdeckt haben sollen.

Das hat sich glücklicherweise nicht bewahrheitet. Dienstlich ist mir kein einziger Fall bekannt, in meinem privaten Umfeld habe ich von einer Abmahnung gehört, die dann aber letztendlich keine weiteren Konsequenzen hatte, weil sich der abmahnende Anwalt offenbar selbst nicht ganz genau mit der Materie auskannte.

Ein anderer Punkt, der häufig angesprochen wurde, waren die horrenden Bußgelder, die nun bei Datenschutzverstößen drohen.

Auch da war die Angst im Vorfeld unbegründet. Gegen Google wurden zwar 50 Millionen Euro Bußgeld verhängt, bis zu vier Prozent des weltweiten Jahresumsatzes sind als Strafe pro Verstoß zulässig. Das sind aber Einzelfallentscheidungen, denn die Europäische Union hat es bislang versäumt, sich auf einen Bußgeldkatalog zu verständigen. Solange es den nicht gibt, haben kleine und mittelständische Unternehmen aus meiner Sicht nicht allzu viel zu befürchten, weil eine Einzelfallprüfung bei kleinen Verstößen zu aufwendig sein dürfte. Nichtsdestotrotz ahnden die jeweiligen Landesschutzbeauftragten Verstöße von Firmen, die ihren Sitz im jeweiligen Bundesland haben. Schon vor der DSGVO wurden hier zum Teil sechsstellige Bußgelder verhängt. Insofern ist das nichts Neues. Gleichwohl beginnen die Landesbehörden, Verstöße gegen den Datenschutz nun härter zu ahnden. Die ersten fünfstelligen Bußgelder wurden schon festgesetzt.

Datenschutz-Linktipp

Das Bayerische Landesamt für Datenschutzaufsicht hat Orientierungshilfen zu verschiedenen Themen ins Netz gestellt. Die Informationen werden fortlaufend überarbeitet.

Ihre Meinung: Jetzt kommentieren!
Kommentare

Teilen Sie Ihre Meinung zum Thema und Erfahrungen aus Ihrem Unternehmen mit anderen Nutzern! Bitte beachten Sie unsere Kommentarregeln.

Immer gut informiert

Faktor A als Newsletter

Mehr wertvolle Infos über Personalsuche, Qualifizierung, Führungsfragen und weitere wichtige Themen – wie Gesundheitsmanagement und die Zukunft der Arbeit – bietet unser kostenloser Newsletter. Fundiert, auf den Punkt und kostenlos alle zwei Wochen direkt in Ihre Inbox. Gleich anmelden!

Faktor A ist mobil

Faktor A ist für Smartphones und Tablets optimiert. Als kostenlose App ist Faktor A außerdem im App Store und bei Google Play erhältlich.

Faktor A auch offline lesen

Einige Reportagen auf Faktor A würden Sie gerne unterwegs lesen, ohne Internetzugang? Nutzen Sie die Sammelmappe „Mein Faktor A“, um Artikel zu Ihrer eigenen Auswahl hinzuzufügen und diese Sammlung als PDF zu versenden oder herunterzuladen.


Matthias Thiele
Titelfoto: © Plainpicture/Oliver Rüther