Der Hamburgische Datenschutzbeauftragte berichtet \u00fcber ein 13.000 \u20ac – Bu\u00dfgeldverfahren wegen einer gemeinsamen Stammdatenhaltung. Die zentrale Verwaltung von Kunden- und Mitarbeiterstammdaten und die arbeitsteilige Datenverarbeitung innerhalb von Unternehmensverb\u00fcnden ist jedoch \u201eStand der Technik\u201c und auch aus Datenschutzsicht der zentrale Schl\u00fcssel f\u00fcr eine wirksame Umsetzung von Betroffenenrechten. Was war passiert?<\/p>\n
Ein aktueller Fall vom Hamburger Beauftragten f\u00fcr Datenschutz und Informationsfreiheit (HmbBfDI) verdeutlicht die Aktualit\u00e4t und Notwendigkeit einer entsprechenden unternehmensweiten Regelung und \u00dcberwachung.<\/p>\n
In einem Bu\u00dfgeldverfahren gegen ein gr\u00f6\u00dferes Unternehmen wurde die fehlende Rechtsgrundlage f\u00fcr die Weitergabe der Daten – hier w\u00e4re es eine Vereinbarung nach Art. 26 DSGVO gewesen – beanstandet und mit einem Bu\u00dfgeld in H\u00f6he von 13.000 Euro geahndet<\/u>. Es w\u00e4ren auch noch weitere Sanktionen\/Vorgaben denkbar gewesen. Ausl\u00f6ser war eine Beschwerde eines Kunden, dessen Daten an verschiedenen Stellen durch verschiedene konzernangeh\u00f6rige Gesellschaften genutzt wurden. Die Hamburger Aufsichtsbeh\u00f6rde pr\u00fcfte daraufhin die internen Vereinbarungen zum Datenaustausch des Konzerns.<\/p>\n
Der Einsatz einer gemeinsamen \u00fcbergreifenden Datenverwaltung innerhalb eines Unternehmensverbundes ist an eine zentrale datenschutzrechtliche Anforderung gekn\u00fcpft, die in der Praxis h\u00e4ufig nicht umgesetzt wird. Die DSGVO kennt kein \u201eKonzernprivileg\u201c, nach dem Daten eines Unternehmensverbundes ohne Rechtsgrundlage ausgetauscht werden d\u00fcrften. Jedes einzelne Unternehmen ist f\u00fcr sich voll umf\u00e4nglich verantwortlich – jede Weitergabe ist eine \u00dcbermittlung.<\/p>\n
F\u00fcr eine zul\u00e4ssige Nutzung von Daten durch andere Unternehmen ist immer eine Rechtsgrundlage, meist eine vertragliche Vereinbarung zwischen allen juristischen Personen erforderlich, die auf einen gemeinsamen Stammdatenbestand zur\u00fcckgreifen. In der Regel handelt es sich bei solchen Anwendungen um eine Vereinbarung als \u201egemeinsam Verantwortlicher\u201c gem. Art.\u00a026 DSGVO, die f\u00fcr die Betroffenen klar und transparent die jeweiligen Zust\u00e4ndigkeiten benennt. Diese Informationen m\u00fcssen in den Datenschutzhinweisen zur Verf\u00fcgung gestellt werden.<\/p>\n
Zus\u00e4tzlich braucht es aber auch ein funktionierendes Rollen- und Berechtigungskonzepts nach dem sog. \u201eNeed-to-know\u201c-Prinzip. Hier muss technisch sichergestellt sein, dass immer nur die Mitarbeiter in dem Umfang Zugriffsrechte haben, wie es f\u00fcr ihre konkrete Arbeit zwingend erforderlich ist. Zwingend ist zwischen lesendem und \u00e4nderndem Zugriffsrecht zu differenzieren.<\/p>\n
Wer Daten verarbeitet, muss dokumentieren, was er tut. Nachdem also alle Daten erfasst, eine passende Rechtsgrundlage und ein Verantwortlicher gefunden worden sind, folgt daher die Dokumentation.<\/p>\n
Als n\u00e4chsten Schritt gilt es daher, ein Berechtigungskonzept nach dem Need-to-know-Prinzip zu etablieren und zu dokumentieren. Jeder Mitarbeiter darf nur Zugriff auf die n\u00f6tigen Ressourcen (Software, mobile Endger\u00e4te, etc.) zur Erledigung der ihm vom Arbeitgeber zugewiesenen Aufgaben erhalten. Nicht mehr, aber auch nicht weniger.<\/p>\n
Kernpunkte eines solchen Berechtigungskonzepts sind:<\/p>\n
Hier treffen rechtliche Bewertungen und technische sowie organisatorische Ma\u00dfnahmen zusammen. Ein solches Berechtigungskonzept und dessen korrekte Umsetzung kann auch im gerichtlichen Verfahren \u00fcberpr\u00fcft werden (vgl. LAG D\u00fcsseldorf 12Sa186\/19<\/a> zum Schadenersatzanspruch wegen fehlerhaftem Rechte- und Rollenkonzept) und sollte auch deshalb besondere Aufmerksamkeit bei der Erstellung und der regelm\u00e4\u00dfigen Pr\u00fcfung genie\u00dfen.<\/p>\n Gern unterst\u00fctzen wir Sie als Ihre Datenschutzexperten bei der Erstellung und Dokumentation der erforderlichen internen Regelungen.<\/p>\n Quelle:<\/p>\n