Anzeige

Anzeige

DSGVO

Am 27.04.2021 hat das Bundesarbeitsgericht (BAG) ein Urteil darüber gefällt, wie weit die Auskunftspflicht des Arbeitgebers gemäß Artikel 15 reicht. Ein gekündigter Mitarbeiter hatte gefordert, dass ihm alle über ihn gespeicherten Daten sowie Kopien des gesamten E-Mailverkehrs zwischen ihm und dem Unternehmen, ja sogar die bloße Erwähnung seines Namens in der Geschäftskorrespondenz, ausgehändigt werden sollten.

Das BAG wies die Klage des Angestellten mit der Begründung ab, dass der Antrag auf Überlassung von E-Mail-Kopien nicht gemäß der Zivilprozessordnung (ZPO) eingereicht worden war. Demnach hatte der Kläger die E-Mails, von denen er Kopien haben wollte, nicht ausreichend bezeichnet. Dadurch wurde nicht klar, auf welche E-Mails sich die Richter bei einer Verurteilung in einem Vollstreckungsverfahren beziehen sollten. Das Recht auf die Herausgabe von Kopien ist damit nach wie vor nicht genau geklärt. Es begrenzt aber den datenschutzrechtlichen Auskunftsanspruch darauf, dass der Arbeitnehmer angehalten ist, die gewünschten Unterlagen genau zu bezeichnen.

„Dadurch, dass das BAG die Klage abgewiesen hat, wird die Auskunftspflicht für Unternehmen praktikabler. Angesichts der wachsenden Datenmengen kann es eine Sisyphus-Arbeit sein, dem Herausgabeanspruch nachzukommen“, erklärt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies. „Die DSGVO bleibt aber dennoch ein Druckmittel in Konflikten vor dem Arbeitsgericht. Daher ist es wichtig, die personenbezogenen Daten schnell und effizient zu finden.“ In diesem Fall kann die Klassifizierung und in einem zweiten Schritt die Indizierung der Daten helfen.

Für Auskunftsansprüche gewappnet sein: Sensible Daten klassifizieren und indizieren

Zunächst braucht es einen Überblick, wo welche Informationen gespeichert sind. Keine leichte Aufgabe, vor allem wenn die Daten auf unterschiedlichen Speicherorten lagern, sowohl lokal als auch in der Cloud. Denn dadurch ist es für Firmen schwer, Auskunft darüber zu geben, welche Informationen sie besitzen, und wo sich diese befinden. Deswegen ist es wichtig, Daten zu klassifizieren, um sogenannte Subject Access Requests (SAR) einhalten zu können. „Ein manuelles Suchen ist in der Regel bei großen Datenmengen schwer durchsetzbar sowie arbeitsintensiv und inkonsistent. Mit einer Klassifizierungstechnik werden sensible Daten so verwaltet, dass sie einfacher auffindbar sind, während sich redundante Daten leichter löschen lassen“, so Ahlgrim.

Werden Daten im Unternehmen abgespeichert, kommt es darauf an, sie durch entsprechende Software-Lösungen automatisiert mit Metadaten zu versehen und diese damit zu indizieren. Über die Indizierung lässt sich die Suche entsprechend anpassen – etwa durch die Verwendung von Schlüsselwörtern oder Keyphrases. Auf diese Weise sind die betreffenden Daten schnell auffindbar.

Mit den Funktionen zur schnellen Identifikation des Aufbewahrungsorts und Inhalts der Daten haben Unternehmen die maßgeblichen Tools an der Hand, um Compliance-Verstöße zu verhindern. „Das Verfahren hat eine gewisse Klarheit gebracht, inwieweit die DSGVO als Angriffspunkt gegen Arbeitgeber dienen kann, etwa um die Interessen ehemaliger Mitarbeiter durchzusetzen. Dennoch sollten Unternehmen den Auskunftsanspruch der DSGVO nicht unterschätzen und sensible Daten stets so handhaben, dass eine Herausgabe schnell und umfassend möglich ist“, erläutert Ahlgrim abschließend.  

www.veritas.com/de
 


Artikel zu diesem Thema

ePrivacy-Verordnung
Mai 04, 2021

EU-Datenschutz: Ausnahmen in der ePrivacy-Verordnung 2021

Die Entwurfs-Fassung der neuen ePrivacy-Verordnung vom Februar dieses Jahres stößt bei…
Datenschutz 2021
Apr 29, 2021

Drei Jahre DSGVO – 2020 gab es mehr Datenpannen und Bußgelder

Am 25. Mai jährt sich zum dritten Mal, dass die DSGVO (Datenschutzgrundverordnung)…
Compliance
Mär 24, 2021

Sicherheit und Compliance an allen Fronten

Das Erfüllen von Compliance-Pflichten zählt zu den größten Herausforderungen für…

Weitere Artikel

Papiertiger

Drei Jahre DSGVO: Effektives Werkzeug oder Papiertiger?

Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 EU-weit offiziell in Kraft trat, waren die Hoffnungen der Datenschützer groß. Endlich sollten Verletzungen des Schutzes personenbezogener Daten mit erheblichen Geldstrafen geahndet, Digitalkonzerne wie…
Digitale Signaturen

Digitale Signaturen: Entrust stellt Remote Signing Service vor

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, integriert mit seinem Remote Signing Service (RSS) hochsichere, verifizierbare Mitarbeiter-Signaturfunktionen in Dokumentanwendungen und Workflows.
Cookies

DSGVO-Beschwerden: Cookies im Fadenkreuz der Datenschützer

Es zeigt sich, dass Cookies für Unternehmen schnell eine Gefahrenquelle beim Thema Datenschutz werden können. Die Datenschutzaktivisten der Gruppe Noyb rund um Max Schrems haben Beschwerden an über 560 Unternehmen verschickt und nach eigener Aussage 10.000…
Digitale Signatur

Dokumente rechtssicher digital unterschreiben

Dokumente, wie Rechnungen, Verträge, Vollmachten, Finanzunterlagen oder Konstruktionszeichnungen, enthalten sensible Informationen oder Betriebsgeheimnisse. Damit diese rechtssicher und ihre Integrität sowie Vertrauenswürdigkeit gewahrt bleiben, müssen sie…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.