Anzeige

DSGVO

Am 27.04.2021 hat das Bundesarbeitsgericht (BAG) ein Urteil darüber gefällt, wie weit die Auskunftspflicht des Arbeitgebers gemäß Artikel 15 reicht. Ein gekündigter Mitarbeiter hatte gefordert, dass ihm alle über ihn gespeicherten Daten sowie Kopien des gesamten E-Mailverkehrs zwischen ihm und dem Unternehmen, ja sogar die bloße Erwähnung seines Namens in der Geschäftskorrespondenz, ausgehändigt werden sollten.

Das BAG wies die Klage des Angestellten mit der Begründung ab, dass der Antrag auf Überlassung von E-Mail-Kopien nicht gemäß der Zivilprozessordnung (ZPO) eingereicht worden war. Demnach hatte der Kläger die E-Mails, von denen er Kopien haben wollte, nicht ausreichend bezeichnet. Dadurch wurde nicht klar, auf welche E-Mails sich die Richter bei einer Verurteilung in einem Vollstreckungsverfahren beziehen sollten. Das Recht auf die Herausgabe von Kopien ist damit nach wie vor nicht genau geklärt. Es begrenzt aber den datenschutzrechtlichen Auskunftsanspruch darauf, dass der Arbeitnehmer angehalten ist, die gewünschten Unterlagen genau zu bezeichnen.

„Dadurch, dass das BAG die Klage abgewiesen hat, wird die Auskunftspflicht für Unternehmen praktikabler. Angesichts der wachsenden Datenmengen kann es eine Sisyphus-Arbeit sein, dem Herausgabeanspruch nachzukommen“, erklärt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies. „Die DSGVO bleibt aber dennoch ein Druckmittel in Konflikten vor dem Arbeitsgericht. Daher ist es wichtig, die personenbezogenen Daten schnell und effizient zu finden.“ In diesem Fall kann die Klassifizierung und in einem zweiten Schritt die Indizierung der Daten helfen.

Für Auskunftsansprüche gewappnet sein: Sensible Daten klassifizieren und indizieren

Zunächst braucht es einen Überblick, wo welche Informationen gespeichert sind. Keine leichte Aufgabe, vor allem wenn die Daten auf unterschiedlichen Speicherorten lagern, sowohl lokal als auch in der Cloud. Denn dadurch ist es für Firmen schwer, Auskunft darüber zu geben, welche Informationen sie besitzen, und wo sich diese befinden. Deswegen ist es wichtig, Daten zu klassifizieren, um sogenannte Subject Access Requests (SAR) einhalten zu können. „Ein manuelles Suchen ist in der Regel bei großen Datenmengen schwer durchsetzbar sowie arbeitsintensiv und inkonsistent. Mit einer Klassifizierungstechnik werden sensible Daten so verwaltet, dass sie einfacher auffindbar sind, während sich redundante Daten leichter löschen lassen“, so Ahlgrim.

Werden Daten im Unternehmen abgespeichert, kommt es darauf an, sie durch entsprechende Software-Lösungen automatisiert mit Metadaten zu versehen und diese damit zu indizieren. Über die Indizierung lässt sich die Suche entsprechend anpassen – etwa durch die Verwendung von Schlüsselwörtern oder Keyphrases. Auf diese Weise sind die betreffenden Daten schnell auffindbar.

Mit den Funktionen zur schnellen Identifikation des Aufbewahrungsorts und Inhalts der Daten haben Unternehmen die maßgeblichen Tools an der Hand, um Compliance-Verstöße zu verhindern. „Das Verfahren hat eine gewisse Klarheit gebracht, inwieweit die DSGVO als Angriffspunkt gegen Arbeitgeber dienen kann, etwa um die Interessen ehemaliger Mitarbeiter durchzusetzen. Dennoch sollten Unternehmen den Auskunftsanspruch der DSGVO nicht unterschätzen und sensible Daten stets so handhaben, dass eine Herausgabe schnell und umfassend möglich ist“, erläutert Ahlgrim abschließend.  

www.veritas.com/de
 


Artikel zu diesem Thema

ePrivacy-Verordnung
Mai 04, 2021

EU-Datenschutz: Ausnahmen in der ePrivacy-Verordnung 2021

Die Entwurfs-Fassung der neuen ePrivacy-Verordnung vom Februar dieses Jahres stößt bei…
Datenschutz 2021
Apr 29, 2021

Drei Jahre DSGVO – 2020 gab es mehr Datenpannen und Bußgelder

Am 25. Mai jährt sich zum dritten Mal, dass die DSGVO (Datenschutzgrundverordnung)…
Compliance
Mär 24, 2021

Sicherheit und Compliance an allen Fronten

Das Erfüllen von Compliance-Pflichten zählt zu den größten Herausforderungen für…

Weitere Artikel

USA EU

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung.
Smartphone

Deutsche Smartphone-Nutzer legen viel Wert auf Privatsphäreeinstellungen

Anlässlich des Release der neuen iPhone 13-Reihe und der bedeutenden Datenschutz-Offensive von Apple haben die Datenschutzexperten von heyData, der digitalen Plattform für Datenschutzlösungen, eine Untersuchung veröffentlicht, die Aufschluss über die…
Kunden

6 Tipps für die datenschutzkonforme Lead-Generierung

Online-Marketing per E-Mail oder Newsletter wird immer mehr von der Kür zur Pflicht. Ein wichtiges Ziel ist die Lead-Generierung. Doch wer Direktmarketing im Netz betreibt, der sammelt personenbezogene Daten. Und deren Schutz verschärft der Gesetzgeber mehr…
DSGVO

Datenschutz setzt Unternehmen unter Dauerdruck

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz…
Datenschutz

Die sechs häufigsten Datenschutzfehler in Unternehmen

Datenschutz, Informationssicherheit und die DSGVO: Immer wieder passieren Unternehmen die gleichen Fehler und Fehlinterpretationen. Die Konsequenzen reichen von kleinen Unannehmlichkeiten für die Firma oder deren Kunden über negative Bewertungen auf…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.