Die rechtlichen Aspekte der IT-Sicherheit, Teil 4

Datenschutz und Mitarbeiterkontrolle

Renate Oettinger ist Diplom-Kauffrau Dr. rer. pol. und arbeitet als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche sind Wirtschaft, Recht und IT.

Zu ihren Kunden zählen neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer.
Horst Speichert gibt in seinem IT-Rechtsleitfaden Tipps zum Umgang mit IT-Sicherheit im Spannungsfeld zwischen Datenschutz und Systemschutz. Im vierten Teil geht es um Datenschutz und Mitarbeiterkontrolle.

Die Rechtslage im Datenschutz ist ständig im Fluss, wie drei aktuelle Novellierungen des BDSG im Jahr 2009 belegen. Illegale Vorgänge gebieten Kontrollmaßnahmen, während zugleich jeder Mausklick überwachbar wird und der gläserne Mitarbeiter droht. Fast täglich werden neue Datenschutzskandale in den Medien veröffentlicht, die große Imageschäden verursachen. Die vorausgeeilte Technik ist durch technisch-organisatorische Maßnahmen und rechtliche Regulierung wieder einzufangen.

Quelle: Fotolia, BD-Photography
Quelle: Fotolia, BD-Photography
Foto: Fotolia, BD-Photography

Die Datenschutzskandale der jüngsten Vergangenheit werfen die Frage nach einer datenschutzkonformen Kontrolle von Mitarbeiten auf, insbesondere im Lichte des neuen § 32 BDSG sowie bei erlaubter Privatnutzung von E-Mail und Internet. Notwendige Datenbankabgleiche, Mitarbeiter-Screening oder die Auswertung von Protokolldateien sind künftig nur unter geänderten Rahmenbedingungen möglich. Welche Kontrollmaßnahmen noch zulässig oder - z. B. aus Gründen der Korruptionsbekämpfung - sogar vorgeschrieben sind, bedarf der Klärung.

Die Novellierung des BDSG

Das Bundesdatenschutzgesetz ist in drei Novellierungen, die zum 01.09.2009, zum 01.04.2010 und 11.06.2010 in Kraft treten, grundlegend erneuert worden.

Neu im BDSG sind insbesondere Regelungen zu

- Informationspflicht bei Datenpannen / unrechtmäßiger Kenntniserlangung nach § 42a BDSG:

-- werden besonders sensible Daten, u. a. besondere Daten nach § 3 Abs. 9 BDSG, Bank- oder Kreditkartendaten, Berufsgeheimnisse etc.,

-- unrechtmäßig übermittelt oder sind auf sonstige Weise Dritten zur Kenntnis gelangt,

-- und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen,

-- so besteht Mitteilungspflicht gegenüber der Aufsichtsbehörde und den Betroffenen.