Betroffene Personen haben ein Recht auf Löschung
Ein zentraler Aspekt der DSGVO sind die Rechte, die sie Privatpersonen in Bezug auf ihre personenbezogenen Daten gewähren. Es gibt mehrere Rechte, die der Einzelne wahrnehmen kann. Ein entsprechender Antrag auf Inanspruchnahme dieser Rechte muss binnen einer kurzen Zeitspanne von 30 Tagen bearbeitet werden. Daher ist es unerlässlich, dass Unternehmen wissen, wo personenbezogene Daten zu allen Unternehmensvorgängen gespeichert werden. Eines dieser Rechte, das sich für ein Unternehmen durchaus als problematisch erweisen kann, ist das Löschungsrecht, auch als das „Recht, vergessen zu werden“ bekannt.
Da viele Softwareanwendungen in Unternehmen das selektive Löschen von Daten nicht unterstützen, ist es ratsam, mit der IT-Abteilung zu klären, ob und wie das Löschungsrecht umgesetzt werden kann. Unter Umständen muss ein Unternehmen in diesen Bereich investieren oder innerbetriebliche Maßnahmen ergreifen, um jene Arbeitsabläufe umzustrukturieren, die das Löschen von Daten aus mehreren internen und externen Verzeichnissen verlässlich ermöglicht.
KMU als Arbeitgeber
Die DSGVO verlangt, dass die Zustimmung der betroffenen Personen „freiwillig“ erteilt wird. Mit anderen Worten: Wird ein Ungleichgewicht bei der Kräfteverteilung zwischen der zustimmenden Seite und der Organisation festgestellt, so wird die Zustimmung ungültig. Angesichts der von Natur aus gelegentlich ungleichen Beziehungen zwischen Arbeitnehmer und Arbeitgeber, würde sich eine derartige Regelung als nicht praktikabel erweisen.
Ein solcher Fall wäre die Verarbeitung persönlicher Daten von Mitarbeitern, etwa bei der Gehaltsabrechnung. Hier ist es für einen Arbeitgeber vollkommen angemessen, die personenbezogenen Daten eines Arbeitnehmers zu speichern und zu verarbeiten. Tatsächlich könnte der Arbeitgeber seine Pflichten als Arbeitgeber ohne die Verarbeitung gewisser personenbezogener Daten des Arbeitnehmers nicht in angemessener Weise erfüllen – demzufolge sollte er nicht für jede einzelne Transaktion eine „Zustimmung“ einholen müssen. Gleiches gilt für Vorgänge im Zusammenhang mit der Auszahlung des gesetzlichen Krankengelds.
Wie also verhält sich ein KMU rechtskonform, wenn es sich nicht darauf verlassen kann, dass die Zustimmung des Arbeitnehmers freiwillig gegeben wird? Eine dafür häufig angewandte Rechtsgrundlage ist die Vertragserfüllung – in diesem Fall der Arbeitsvertrag.
Angepasste Unternehmenskultur für die Einhaltung von Vorschriften
Die Unternehmenskultur wird sich aufgrund der DSGVO verändern müssen, wenn Imageverluste und finanzielle Folgekosten vermieden werden sollen: Zu den größten Herausforderungen gehört dabei die Transparenz darüber, wie und warum persönliche Daten verarbeitet werden – und das sollte höchste Priorität haben, unabhängig von der Größe des Unternehmens. Dabei bedarf es einer neuen Kultur der Transparenz: Nach außen, also gegenüber dem Kunden, in Bezug auf die Art und Weise, wie seine Daten verarbeitet werden. Ebenso aber auch unternehmensintern gegenüber den eigenen Mitarbeitern, damit Zwischenfälle mit personenbezogenen Daten so schnell wie möglich aus dem Weg geräumt und bearbeitet werden können.
Fazit: Für alle Unternehmen, die auch ein Jahr nach Inkrafttreten mit der Umsetzung noch nicht begonnen haben, wird es Zeit, den Kopf aus dem Sand zu nehmen. Unternehmen sind dazu verpflichtet, nachzuweisen, dass die DSGVO eingehalten wird und nationale Regelungen werden sukzessive angepasst. Sie müssen übersichtliche, gut dokumentierte Aufzeichnungen darüber erstellen, wie sie Daten in ihren jeweiligen Datenbanken ablegen, verschlüsseln und verarbeiten und die Schritte dokumentieren, die sie unternommen haben, um die Datenbeschaffung und -verarbeitung zu verbessern.
Barry Cook, Datenschutzbeauftragter bei VFS Global
www.vfsglobal.com