In aller Regel wird vor der Übernahme oder dem Kauf eines Unternehmens eine sorgfältige Unternehmensprüfung – auch Due Diligence Investigation genannt – durchgeführt.
Da niemand gerne die Katze im Sack kauft, wird dabei auch eine Überprüfung der Mitarbeiter und vor allem der Führungskräfte durchgeführt. Wie lässt sich das aber mit den geltenden Datenschutzregeln vereinbaren?
Auch wenn die DSGVO bereits seit 2018 in Kraft ist, herrscht vielerorts gerade bei Unternehmern im Einzelhandel und Kleingewerbe immer noch Unklarheit über die zu beachtenden Spielregeln. Angst vor „schon wieder neue Vorschriften“ und „wer soll sich da noch auskennen“ ist ein schlechter Ratgeber. Einfach die Augen verschließen „betrifft mich ja doch nicht“ hilft auch nicht weiter. Datenschutzvorschriften sind eine zwingende Rechtsnorm, die einzuhalten ist. Nichteinhaltung oder falsche Anwendung können sehr schnell sehr teuer werden. Im Jahr 2020 ist die Anzahl der Datenschutzbeschwerden, Schadensersatzforderungen und Abmahnungen gegenüber dem Vorjahr um ca. 40% gestiegen und es wurden schmerzhafte Bußgelder und Strafen verhängt. Und das nicht nur für Großunternehmen. Das muss nicht sein! Bei richtigem Einsatz können die Datenschutzmaßnahmen nicht nur Rechtssicherheit erzeugen, sondern sowohl als Marketinginstrument als auch zur Erhöhung des Kundenvertrauens eingesetzt werden.
Das neue Corona-Home-Office Gesetz macht alles ganz einfach. Oder nicht?
Stellt sich die Frage, was ist überhaupt Home-Office? Das ist nämlich gar nicht so leicht zu beantworten. Zunächst einmal heißt das, dass hier eine Arbeitstätigkeit in das private Umfeld verlagert wird.
Das kann aber auf verschiedene Art und Weise erfolgen. Und auf verschiedenen Rechtsgrundlagen. Grundsätzlich unterscheidet man zwischen stationärem Home-Office Arbeitsplatz und mobilem Arbeiten. Beim stationären Arbeitsplatz wird ein festinstallierter Arbeitsplatz gefordert, den der Arbeitgeber auszustatten hat. D.h. es muss Platz für einen dienstlichen Rechner, einen dienstlichen Router und einen dienstlichen Drucker sein. Es wird die Arbeit also unverändert in den privaten Bereich verlagert und die technische Ausstattung muss eigentlich in privat und geschäftlich getrennt werden.
Fast jedes Unternehmen oder jeder Soloselbständige lässt irgendwelche Daten von einem Dritten verarbeiten. Das kann der IT-Dienstleister sein oder der Lieferservice um die Ecke. Oder aber die externe Buchhaltung, die externe Rechnungsschreibung oder der Lettershop zum Versand von Newslettern. Nun geht es in der DSGVO ja vor allem um den Schutz der personenbezogenen Daten und nicht um irgendwelche Daten, die in keiner Beziehung zu einer natürlichen Person gebracht werden können. Bleibt die Frage, wie sich eine Auftragsverarbeitung von der Erbringung einer Dienstleistung abgrenzt.
Jetzt zu Weihnachten und durch die Einschränkung des stationären Handels durch Corona boomt der E-commerce und Onlinehandel wie nie zuvor. Die meisten Onlinehändler bedienen sich dabei verschiedener externer Dienstleister um Nebenleistungen wie Zahlungsabwicklung, Transport, Garantiebearbeitung etc. abzuwickeln.
Das bringt besondere Herausforderungen an den legalen Datentransfer und die korrekte Datenerhebung mit sich. Die allgemeinen Grundsätze der DSGVO, einer verbindlichen Rechtsnorm, müssen ohnehin von jedem umgesetzt werden, der in irgendeiner Form personenbezogene Daten erfasst und verarbeitet.
Zu beantworten sind die spezifischen Fragen:
Welche Daten dürfen im Zusammenhang mit einem Bestellvorgang überhaupt erfasst werden?
Welcher externe Dienstleister darf korrekterweise welche Daten erhalten?
Die Regeln der DSGVO und des Datenschutzes sind seit 2018 der „Informationellen Selbstbestimmung“ natürlicher Personen gewidmet. Das bedeutet, dass jeder Mensch gesetzlicher Eigentümer seiner personenbezogenen Daten ist und dass nur der Eigentümer über die Verwendung dieser Daten entscheidet.
Um die Entscheidung über eine Verwendung treffen zu können, muss die Person jedoch zunächst wissen, welche Daten erhoben werden und was mit diesen Daten im Einzelnen passiert. Genau das will der Artikel 5 der DSGVO erreichen, der fordert, dass personenbezogene Daten auf „rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet werden müssen.
Am 16.7.2020 beschloss der EuGH, dass der EU-US privacy shield für die Übertragung von Daten in die Vereinigten Staaten nicht mehr das geforderte Sicherheitsniveau garantiert. Damit wurde eine der grundlegenden Rechtsgrundlagen für die Übertragung von personenbezogenen Daten in die Vereinigten Staaten gekippt. Man mag jetzt sagen, wir übertragen ja nichts in die USA! Stimmt aber i.d.R. nicht.
Stellen wir uns einmal folgendes Szenario vor:
Ein Arbeitgeber hat einem Mitarbeiter im Home Office die benötigte Hardware in Form eines Rechners/Laptops für dienstliche Anwendungen zur Verfügung gestellt. Der Mitarbeiter speichert jedoch auch private Daten auf diesem Rechner – was er tunlichst unterlassen sollte.
Der Arbeitgeber hat einen begründeten Verdacht einer Pflichtverletzung und greift per Remote-Zugriff auf alle Inhalte zu und findet z.B. Sachverhalte, die dem Beschäftigungsvertrag entgegenstehen. Daraufhin spricht er eine Kündigung aus.
Ist das erlaubt?
