DSGVO - 1 Jahr nach Inkrafttreten

Da­ten­schutz

DS­GVO: Schreck­ge­spenst in Eu­ro­pas Un­ter­neh­men

Services der Bundesagentur für Arbeit
Mein Faktor A

Seit einem Jahr ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Für viele Unternehmen bedeutet sie noch immer Unsicherheit. Dabei haben sich die meisten Befürchtungen kaum bestätigt. Im Interview mit Faktor A räumt Barbara Rüstemeier, Datenschutzbeauftragte bei der Bundesagentur für Arbeit, mit Mythen auf und beklagt die zunehmende Bürokratisierung des Datenschutzes.

Faktor A: Frau Rüstemeier, Sie sind Datenschutzbeauftragte der Bundesagentur für Arbeit. Wie war das vergangene Jahr für Sie?

Barbara Rüstemeier: Wir hatten 150 Prozent mehr Beschwerden zu bearbeiten. Das stellte unsere Stabsstelle natürlich vor große Herausforderungen. Leider hat sich bewahrheitet, was wir im Vorfeld befürchtet haben: Die Datengrundschutzverordnung ist ein Bürokratiemonstrum, das sehr viel Personal bindet. Ich persönlich finde, dass man dem Datenschutz keinen Gefallen tut, wenn man mit erhobenem Zeigefinger auftritt und mit Strafen droht. Akzeptanz für einen sicheren Umgang mit Daten schafft man nicht mit Bürokratie.

Haben Sie ein Beispiel für bürokratische Auswüchse?

Wir müssen aufgrund der neuen Bestimmungen jede Panne beim Datenschutz melden. Wenn also jemand einen Brief in den falschen Umschlag eingetütet hat oder eine Mail falsch weitergeleitet wurde, muss sich ein Mitarbeiter bei uns damit befassen – ganz gleich was da genau verschickt wurde. Da hängen wir derzeit in der Bearbeitung hinterher, obwohl wir Personal aufgestockt haben. Früher betraf das nur Fälle, in denen es zu Pannen bei Gesundheitsdaten kam – in diesen Fällen finde ich das auch angemessen. Oder nehmen Sie die Datenschutzfolgenabschätzung …

Was ist das?

Nach der DSGVO sind wir verpflichtet, dynamisch zu überwachen, welche Risiken sich durch die Datenverarbeitung für die Rechte und Freiheiten der Betroffenen ergeben. Wenn also zum Beispiel eine neue App der Bundesagentur für Arbeit angeboten werden soll, müssen wir uns vorab damit beschäftigen, welche datenschutzrechtlichen Konsequenzen für die Nutzer sich daraus ergeben.

Kleine und mittelständische Betriebe kann das sicher vor schwere Aufgaben stellen.

Die gute Nachricht ist, dass viele Bestimmungen für kleine Betriebe überhaupt nicht gelten. Wenn zum Beispiel ein Kfz-Mechatroniker-Meister eine kleine Werkstatt betreibt mit zwei Angestellten und einem Lehrling, gilt ein Teil der DSGVO für ihn nicht. Und auch bei größeren Betrieben kann es sein, dass ihr Anwendungsbereich gar nicht eröffnet ist: Das hängt nämlich davon ab, wie viele Menschen in der Firma mit personenbezogenen Daten arbeiten – außer in ganz sensiblen Bereichen, in Arztpraxen etwa.

Das ist jetzt der Bereich, in denen Kundendaten verarbeitet werden. Was darf ich denn über meine Mitarbeiter sammeln?

Die Grundregel ist, dass nur Tatsachen gespeichert werden dürfen. Keine Tatsachen sind Vermutungen, Schlussfolgerungen oder Gerüchte. Wenn mir also zum Beispiel die örtliche Arbeitsagentur einen Bewerber in die Firma schickt und dieser nach Alkohol riecht, sollte meine Gesprächsnotiz lauten: „Der Bewerber erschien mit einer Alkoholfahne, was XY bezeugen kann.“ Unzulässig dagegen wäre: „Als der Bewerber erschien, hatte ich den Eindruck, dass er Alkoholiker ist.“ Das wäre nämlich eine medizinische Schlussfolgerung, die ich als Arbeitgeber nicht treffen darf.

Lesen Sie die Fortsetzung dieses Interviews an dieser Stelle am kommenden Mittwoch, 22.05.2019.

Datenschutz-Linktipp

Das Bayerische Landesamt für Datenschutzaufsicht hat Orientierungshilfen zu verschiedenen Themen ins Netz gestellt. Die Informationen werden fortlaufend überarbeitet.


Matthias Thiele
Titelfoto: © Plainpicture/Oliver Rüther