Kontrolle durch Arbeitgeber

Wie funktioniert die Kontrolle durch die Arbeitgeber?

Die Arbeitgeber sind nicht nur verantwortlich, die DSGVO einzuhalten. Sie müssen auch nachweisen können, dass sie die Grundsätze für die Verarbeitung personenbezogener Daten einhalten, etwa den Grundsatz, dass die Verarbeitung nur für festgelegte Zwecke zulässig ist oder dass Daten nicht länger gespeichert werden, als für diesen Zweck erforderlich (Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO). Die Nachweispflicht kann der Arbeitgeber durch eine Dokumentation der Verarbeitung und der Datenschutzkonzeption erfüllen. Aus dieser Nachweispflicht ergibt sich gleichzeitig der Zwang, die Einhaltung auch zu überprüfen.

Jeder Arbeitgeber muss zudem überprüfen, ob seine technischen und organisatorischen Maßnahmen zum Datenschutz noch ausreichen, um sicherzustellen, dass die Datenverarbeitung der DSGVO entspricht (Art. 24 Abs. 1 Satz 2 DSGVO) (siehe hierzu unseren Artikel zum Datenschutz durch Technikgestaltung). Die Arbeitgeber müssen auch ihre Beschäftigten kontrollieren (bzgl. der Sicherheit der Datenverarbeitung Art. 32 DSGVO) sowie Unternehmen, die im Auftrag des Arbeitgebers Daten verarbeiten (sog. Auftragsdatenverarbeitung), überprüfen (Art. 28 DSGVO).

Ist ein umfassendes Datenschutzkonzept nötig?    
Diese Verpflichtungen zeigen, dass Arbeitgeber nach der DSGVO über ein umfassendes Konzept verfügen müssen, wie sie die Einhaltung der Regelungen der DSGVO überprüfen. Dieses Konzept gewinnt an Dringlichkeit, wenn man die Höhe möglicher Bußgelder berücksichtigt. Bestandteil hiervon ist, durch interne Organisation und Prozesse Vorkehrungen zu treffen, um die Einhaltung der datenschutzrechtlichen Anforderungen und deren Kontrolle sicherzustellen. Sinnvollerweise werden Zuständigkeiten festgelegt und die Aufgaben an eine oder mehrere Stellen neben dem – als unabhängige Stelle ausgestalteten betrieblichen Datenschutzbeauftragten – übertragen. Dies kann ein zentraler IT-Beauftragter, ein Datenschutz-Ausschuss, die Rechtsabteilung oder die interne Revision sein.

Praxistipp:
Um eine effektive Kontrolle zu gewährleisten, die auch die Interessen der Beschäftigten angemessen berücksichtigt, sollten Betriebsräte zum Beschäftigtendatenschutz eine Betriebsvereinbarung abschließen, worin u.a. Zuständigkeiten festlegen werden können. (Art. 88 DSGVO, § 87 Abs. 1 Nr. 6 BetrVG).


zurück

RSS abonieren Drucken Per Email empfehlen