Bei der DSGVO geht es nicht nur um Kunden, sondern auch um Mitarbeiter

Heute ist der Tag, auf den wir alle gewartet haben … der DSGVO-Tag!

Nach monatelanger Vorbereitung durch Teams aus Ihrem gesamten Unternehmen ist dieEU-Verordnungnun in Kraft getreten. Viele Unternehmen versendenaktualisierte Datenschutzerklärungenund stellen in letzter Minute Prozessdokumente fertig, um die Einhaltung der Vorschriften zu gewährleisten. Wie geht es nun weiter? Wie können Sie diese neuen Richtlinien künftig umsetzen, und inwiefern betrifft dies Ihre SAP-Anwendungen? Ein Aspekt, der möglicherweise übersehen wird, ist die Auswirkung der DSGVO auf Mitarbeiterdaten – nicht nur auf Kundendaten.

Falls Sie es noch nicht mitbekommen haben: Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die am 25. Mai (heute!) 2018 in Kraft tritt und den Schutz personenbezogener und sensibler Daten von EU-Bürgern regelt. Die DSGVO wird sich in der einen oder anderen Weise auf jedes Unternehmen auswirken, das groß genug ist, sich für SAP entschieden zu haben, da sie alle Aspekte des Geschäftsbetriebs betrifft. Nahezu jedes SAP-System enthält das Kernelement der DSGVO: personenbezogene Daten.

Die DSGVO ist eher beschreibend als vorschreibend – das heißt, sie behandelt allgemein die Rechte, die die Verordnung den betroffenen Personen in der EU einräumt, geht jedoch nicht im Detail darauf ein, wie diese Rechte technisch umgesetzt werden sollen. Ein wesentlicher Bestandteil ist, dass die betroffenen Personen ihre Einwilligung zur Verwendung ihrer Daten erteilen. In den meisten Artikeln, die sich mit diesem Thema befassen, wird davon ausgegangen, dass es sich bei den betroffenen Personen um Kunden des Unternehmens handelt.Es gibt jedocheine weitere Gruppe betroffener Personen, die berücksichtigt werden muss: die Mitarbeiter eines Unternehmens. Ein Unternehmen unterliegt der Sicherheitsanforderung (und oft auch der Compliance-/Audit-Anforderung), die Handlungen seiner Mitarbeiter zu überwachen, um versehentliche oder vorsätzliche betrügerische oder missbräuchliche Handlungen durch seine Mitarbeiter aufzudecken.

Inwiefern wirkt sich das in der DSGVO ausdrücklich verankerte Recht, wonach ein Nutzer die Löschung seiner Daten verlangen kann, auf die Notwendigkeit aus, dass ein Unternehmen das Nutzerverhalten überwacht? Das bedeutet nicht, dass alle Nutzer auf Antrag eines Mitarbeiters automatisch gelöscht werden müssen (sonst würde ich 1.000.000 Dollar über SAP überweisen und dann verlangen, dass alle mich betreffenden Protokolle gelöscht werden, um meine Spuren zu verwischen).

Bei der DSGVO geht es um das Recht des Einzelnen auf Privatsphäre. Es besteht ein großer Unterschied zwischen der Überwachung der Aktivitäten eines Mitarbeiters auf Facebook, LinkedIn usw. und der Überwachung seiner Aktivitäten in einem SAP-System. Eine interessante Lektüre istdieser Meinungsbeitrag, dervon der Artikel-29-Datenschutzgruppe (WP29) veröffentlicht wurde. Die WP29 ist eine offizielle EU-Einrichtung, die sich für die einheitliche Anwendung der Datenschutzgesetze in der EU einsetzt und sich aus Vertretern der nationalen Datenschutzbehörden sowie der EU-Institutionen zusammensetzt.

In Bezug auf den Einsatz von Überwachungslösungen wie OSP heißt es:

„Erstens müssen Arbeitgeber, die diese Produkte und Anwendungen einsetzen, die Verhältnismäßigkeit der von ihnen ergriffenen Maßnahmen prüfen und abwägen, ob zusätzliche Maßnahmen ergriffen werden können, um den Umfang und die Auswirkungen der Datenverarbeitung zu mindern oder zu verringern. Als Beispiel für bewährte Verfahren könnte diese Prüfung im Rahmen einer Datenschutz-Folgenabschätzung (DPIA) vor der Einführung jeglicher Überwachungstechnologie erfolgen. Zweitens müssen Arbeitgeber neben Datenschutzrichtlinien auch Richtlinien zur akzeptablen Nutzung einführen und kommunizieren, in denen die zulässige Nutzung des Netzwerks und der Geräte der Organisation dargelegt und die stattfindende Verarbeitung genau beschrieben wird.“

In denselben Stellungnahmen wird festgestellt, dass ein Arbeitgeber einen Arbeitnehmer nicht um seine Einwilligung bitten darf, da diese möglicherweise nicht freiwillig erteilt wird (z. B. „Gib mir deine Einwilligung zur Überwachung, sonst bist du gefeuert“) – daher werden die drei legitimen Gründe aufgeführt, aus denen ein Arbeitgeber einen Arbeitnehmer überwachen oder personenbezogene Daten über ihn speichern darf:

Erfüllung eines Vertrags (Artikel 7 Buchstabe b)
Arbeitsverhältnisse beruhen häufig auf einem Arbeitsvertrag zwischen dem Arbeitgeber und dem Arbeitnehmer. Bei der Erfüllung der Verpflichtungen aus diesem Vertrag, wie beispielsweise der Bezahlung des Arbeitnehmers, muss der Arbeitgeber bestimmte personenbezogene Daten verarbeiten.

Gesetzliche Verpflichtungen (Artikel 7 Buchstabe c)
Es ist durchaus üblich, dass das Arbeitsrecht dem Arbeitgeber gesetzliche Verpflichtungen auferlegt, die die Verarbeitung personenbezogener Daten erfordern (z. B. zum Zwecke der Steuerberechnung und der Lohnabrechnung). In solchen Fällen stellt das betreffende Gesetz eindeutig die Rechtsgrundlage für die Datenverarbeitung dar.

Berechtigtes Interesse (Artikel 7 Buchstabe f)
Wenn sich ein Arbeitgeber auf die Rechtsgrundlage gemäß Artikel 7 Buchstabe f der Datenschutzrichtlinie stützen möchte, muss der Zweck der Verarbeitung berechtigt sein, und die gewählte Methode oder spezifische Technologie, mit der die Verarbeitung durchgeführt werden soll, muss für das berechtigte Interesse des Arbeitgebers erforderlich sein. Die Verarbeitung muss zudem in einem angemessenen Verhältnis zu den geschäftlichen Erfordernissen stehen, d. h. zu dem Zweck, den sie erfüllen soll. Die Datenverarbeitung am Arbeitsplatz sollte so wenig in die Privatsphäre eingreifend wie möglich erfolgen und auf den spezifischen Risikobereich ausgerichtet sein. Wenn Art. 7(f) herangezogen wird, behält der Arbeitnehmer zudem das Recht, der Verarbeitung aus zwingenden berechtigten Gründen gemäß Art. 14 zu widersprechen.

Um die Überwachung der Benutzeraktivitäten durchzuführen, müssen Sie den Benutzer darüber informiert haben, dass er überwacht wird. Eine ausdrückliche Einwilligung ist nicht erforderlich, doch kann eine stillschweigende Einwilligung dadurch gegeben sein, dass der Mitarbeiter das Mitarbeiterhandbuch unterzeichnet und sich bereit erklärt hat, im Unternehmen zu arbeiten. 

Sie müssen eine Datenschutz-Folgenabschätzung durchführen, um sicherzustellen, dass Sie bei der Erhebung der für den berechtigten geschäftlichen Zweck erforderlichen Daten keine personenbezogenen Daten erfassen, die nicht benötigt werden.

All dies bedeutet jedoch nicht, dass Überwachungslösungen automatisch von der DSGVO ausgenommen sind. Wie Produkte wie dieOnapsis Security Platformund andere Protokollierungs- und Überwachungstools im Unternehmen aus Sicht der DSGVO zu bewerten sind, hängt von mehr Faktoren ab als nur von der Funktionsweise des jeweiligen Produkts.

Wir wünschen allen viel Erfolg bei der Umstellung ihres Unternehmens comply . Wir unterstützen Sie gerne dabei, Ihre Ziele zu erreichen.Bei Fragen zu Ihren Anforderungen hinsichtlich der SAP-Compliance stehen wir Ihnen gerne zur Verfügung.