EU-DSGVO 2018 einfach erklärt: Wenn der Chef die Daten verschlampt...

Wann muss der Arbeitgeber dem Betroffenen mitteilen, dass er dessen Daten verschlampt hat? Liebe Kolleginnen und Kollegen, die neue Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz, die stellen die Praxis vor einige Herausforderungen. Manche Arbeitgeber gehen ausgesprochen schlampig mit den personenbezogenen Daten ihrer Arbeitnehmer um. Manche Betriebsräte allerdings auch, aber das ist eine andere Geschichte. Wann nun muss nach der neuen Rechtslage der Arbeitgeber einem Betroffenen mitteilen, dass eine Schutzverletzung stattgefunden hat, dass also etwas schief gelaufen ist? Zum Beispiel, dass der ITler im Betrieb seinen Laptop, ich denken mir gerade etwas aus, in der U-Bahn vergessen hat. Mit natürlich allen wichtigen Gesundheitsdaten der Arbeitnehmer auf diesem Laptop. Und natürlich keineswegs verschlüsselt. Müsste der Arbeitgeber hier die Betroffenen anschreiben? Sie ahnen es: Der Arbeitgeber wird das ungern tun. Tut er das, muss er ja ein eigenes Versäumnis, ein Fehlverhalten einräumen, dann droht die Klage. Muss er es nun? Nicht in jedem Fall. Vielleicht wollen Sie das mal nachlesen. In Artikel 34 der DSGVO, der neuen Datenschutzgrundverordnung, da steht, ich fasse das mal mit meinen Worten zusammen, dass der Arbeitgeber in solchen Fällen, in katastrophalen Fällen, wenn etwas schief gelaufen ist, eine Risikoprognose anstellen muss. Er muss sich also konkret überlegen: Ist durch die Schutzverletzung, die hier eingetreten ist, möglicherweise das Persönlichkeitsrecht des Betroffenen, hier des betroffenen Arbeitnehmers, im besonderen Maße gefährdet? Also droht dem einzelnen großer Schaden? Ja oder Nein? Wenn der Arbeitgeber mit Hilfe seines Datenschutzbeauftragten und vielleicht auch mit Hilfe des Betriebsrats zu dem Ergebnis gelangt: Ja, ein Schaden droht! Dann beißt die Maus keinen Faden ab, dann muss der Arbeitgeber den Betroffenen informieren, und zwar in klarem Deutsch, also bitte kein IT-Kauderwelsch, und unverzüglich. Und ja, dann wird er wohl zu rechnen haben mit einer Klage. Übrigens nochmal ein Hinweis: Je sorgfältiger der Arbeitgeber sich auf solche Ernstfälle vorbereitet, zum Beispiel durch das Anlegen eines ordentlichen, gut gepflegten Verarbeitungsverzeichnisses, je besser er vorbereitet ist, desto eher wird er den Erfolg einer solchen Klage dann abwenden können. Einer aber es ist wichtig, dass Sie sich das merken, ist immer zu informieren nach der neuen Rechtslage, das ist die jeweilige Datenschutzaufsichtsbehörde. Und dazu bitte gestatten Sie mir noch einen Hinweis: Wenn in der Literatur, in der wissenschaftlichen Literatur, in der Ratgeberliteratur, in den Datenschutzbüchern, wenn da die Rede ist von der Aufsichtsbehörde, dann hat das immer so den Klang eines Peitschenknalls. Weil es immer um Bußgelder geht. Hohe Bußgelder, die ausgereicht werden. Was dabei ein bisschen, nach meinem Geschmack, übersehen wird: Die Datenschutzaufsichtsbehörden, die sind auch auf Posten gestellt, um den Arbeitgebern zu helfen. Das heißt, die beraten auch.