Wer bestimmt die Regeln am Arbeitsplatz?
Während die Regeln früher mehr im Ermessen des Arbeitgebers lagen, zeichnen sich mittlerweile weitgehend die Datenschutz-Grundverordnung und ISO 27001 (Internationale Norm für Informationssicherheits-Managementsysteme) für die Vorgaben verantwortlich. Die Gesetze und Richtlinien sollen Unternehmen dabei unterstützen, den Datenschutz in Bezug auf sensible und personenbezogene Daten zu erfüllen. Festzulegen sind die Vorgaben im betriebsinternen Datenschutzkonzept und den technisch und organisatorischen Maßnahmen (TOM).
Die zehn goldenen Regeln
Wir empfehlen Arbeitgebern, die Regeln für den Datenschutz am Arbeitsplatz an jeden Beschäftigten auszuhändigen und zusätzlich am Arbeitsplatz zu hinterlegen.
- Der Zugriff auf Computer und/oder Laptop muss passwortgeschützt sein, bei Abwesenheit muss sich der Passwortschutz automatisch einschalten
- Passwörter dürfen niemals auf Zettel o.ä. geschrieben und im direkten Umfeld des Arbeitsgerätes hinterlassen werden (Schreibtischunterlage, Monitor)
- Passwörter müssen nach dem Offboarding umgehend geändert werden – immer auch darauf achten, dass die Passwörter dem gängigen Sicherheitsstandard entsprechen (Kombination aus Zahlen, Ziffern und Sonderzeichen)
- Hardware unbekannter Herkunft darf nicht am PC oder Laptop angeschlossen werden
- Dokumente mit personenbezogenen Daten gehören nicht auf den Schreibtisch, sondern in eine abschließbare Schublade oder einen abschließbaren Aktenschrank
- E-Mails von unbekannten Absendern sollten sorgfältig geprüft und dubiose Anhänge sicherheitshalber nicht geöffnet werden
- Offene WLAN Netzwerke sollten vermieden werden
- Log-in Daten gehören ebenso wie Passwörter zu sensiblen Daten und dürfen nicht einsehbar abgelegt und auch nicht an Freunde und andere Dritte weitergegeben werden
- Beim Verlust von Hardware oder Unregelmäßigkeiten muss sofort die zuständige Abteilung oder die Geschäftsleitung informiert werden. Sollte es zu einer Datenschutzpanne kommen, sind entsprechende Maßnahmen einzuleiten
- Wer nicht nur am eigenen Arbeitsplatz, sondern auch in der Öffentlichkeit (z.B. Cafe, Bahn) arbeitet, darf keine Einblicke auf sensible Daten gestatten
Gab es schon Kündigungen wegen Missachtung des Datenschutzes am Arbeitsplatz?
Im Frühjahr 2022 hat das LAG Sachsen die Kündigung einer Mitarbeiterin aufgrund zahlreicher Verstöße gegen organisatorische Maßnahmen am Arbeitsplatz als berechtigt eingestuft. Der Arbeitgeber hatte der Angestellten, einer Kreditsachbearbeiterin, nach zahlreichen Er- und Abmahnungen wegen Nicht-Einhaltung der Clean-Desk-Policy gekündigt. Nachdem die Beschäftigte sich in erster Instanz noch mit Erfolg gegen die Kündigung wehren konnte, urteilte das LAG wie folgt: „In der Summe handelt es sich um erhebliche Pflichtverletzungen, die auch zu Ablaufstörungen bei der Beklagten geführt haben.“
Was bedeutet Clean-Desk-Policy?
Bei der CDP geht es darum, in welchem Zustand der Mitarbeiter seinen Arbeitsplatz zurücklassen sollte – ganz gleich, ob Mittagspause, Meeting oder Feierabend anstehen. Dabei geht es nicht nur darum, die Kaffeetasse in die Spülmaschine zu räumen, sondern sensible Dokumente nicht unbeobachtet zu lassen. Im Idealfall liegen keinerlei Akten oder Dokumente offen auf dem Schreibtisch – ganz gleich ob selbiger im öffentlichen Raum mit Kundenkontakt, im Großraumbüro oder im eigenen Büro steht.
In Zeiten, in denen mit Home-Office und Desk-Sharing nicht mehr jeder an einem festen Arbeitsplatz arbeitet, ist es sinnvoller denn je, eine diesbezügliche Richtlinie in Arbeitsverträge aufzunehmen. Der Arbeitgeber sollte mit der Durchsetzung einer CDP dem Arbeitnehmer auch alle erforderlichen Hilfsmittel, wie z.B. abschließbare Rollcontainer oder Aktenschränke zur Verfügung stellen.
Welche Risiken bestehen, wenn die nötigen Vorgaben nicht eingehalten werden?
Nicht selten liegen durch Aktenberge oder auch einzelne Dokumente mehr Informationen offen herum als nötig. Während es in einer Rechtsanwaltskanzlei oder einer Arztpraxis ein ganz offensichtlicher Verstoß gegen den Datenschutz ist, gilt es auch in herkömmlichen Büros, Vorsicht walten zu lassen. Denn nicht nur Kunden und Patienten dürfen keinen Blick auf fremde Akten werden, je nach Sensibilität dürfen auch die Kollegen keine Einsicht nehmen. Die DSGVO regelt dies mit dem sogenannten Need-to-know Prinzip, worüber die Weitergabe an unberechtigte Dritte ausgeschlossen werden soll.
Nicht zuletzt sollten die Unterlagen natürlich auch vor den Blicken von Reinigungs- oder Sicherheitspersonal verborgen bleiben. Neben der Vermeidung des Verstoßes gegen den Datenschutz sollten Unternehmen auch im eigenen Interesse handeln und können mit der CDP Industriespionage verhindern.
Wer gegen die Gesetze für personenbezogen Daten verstößt, muss mit empfindlichen Bußgeldern rechnen.