Compliance, BDSG, Urheberrecht

Mitarbeiterdatenschutz in IT-Projekten

11.07.2013
Von Andreas Bögemann

Mitarbeiterdatenschutz - eine Checkliste

Schon diese wenigen Beispiele vermitteln einen Eindruck davon, welche datenschutzrechtlichen Fallstricke bei einem internen IT-Projekt warten können. Zusammenfassend gesagt liegt der Schlüssel zum Erfolg stets in der frühzeitigen und nachhaltigen Einbindung aller Betroffenen. Dabei sollte Transparenz an erster Stelle stehen, um Misstrauen und Widerstand zu verhindern oder abzubauen. Die Ziele und der Nutzen für jeden Beteiligten müssen eindeutig und verständlich kommuniziert werden. Dies sollte nicht erst kurz vor Fertigstellung des Projektes erfolgen, sondern bereits in der Anfangsphase. So bleibt Zeit, Feedback einzuholen und zu berücksichtigen. Dabei sollte möglichst konkret angegeben werden, wie erhobene personenbezogene Daten verarbeitet werden. Dieser Fragenkatalog kann der Orientierung dienen, was Mitarbeiter üblicherweise wissen müssen:

  • Welche personenbezogenen Daten werden gespeichert und wie lange?

  • Welche Daten werden mit Mitarbeiterbezug abgelegt bzw. wann wird dieser Bezug entfernt?

  • Werden Daten archiviert und können sie wieder reaktiviert werden?

  • Kann der Mitarbeiter seine eigenen Daten verwalten bzw. löschen?

  • Wie werden Protokolle bzw. Logdateien ausgewertet?

  • Wie werden sensible Daten, wie beispielsweise Geburtsdatum und Wohnort, verschlüsselt?

Es kann darüber hinaus sinnvoll sein, sich beispielsweise beim ersten Login ein Opt-In vom Mitarbeiter abzuholen, wie dies bei öffentlichen Systemen üblich ist. Dies bedingt, dass konkrete Nutzungsbedingungen samt Rechten und Pflichten der Anwender definiert sind. Ein einmaliger Aufwand, der sich auf Dauer lohnen wird. Um ganz auf der sicheren Seite zu sein, sollte bei der Erarbeitung der Nutzungsbedingungen unbedingt ein Experte (idealerweise ein Jurist) hinzugezogen werden. Da es in diesem Bereich auch bei der Rechtsprechung regelmäßig neue Entwicklungen gibt, müssen die getroffenen Entscheidungen und Richtlinien immer wieder vor dem Hintergrund neuer Regelungen angepasst werden.