Lesezeit: 3 Min
Vereinbarungen treffen – Mitarbeiter informieren
Wenn die Nutzung des firmeneigenen Internets auch privat erlaubt ist, sollte dies in einer Vereinbarung mit den Mitarbeitenden festgelegt werden. Je nachdem, was gewünscht ist, kann die private Nutzung verboten, teilweise oder ganz erlaubt sein. Das sollte immer schriftlich festgehalten werden. Dabei muss auch ein Blick auf den Datenschutz an unterschiedlichen Punkten geworfen werden.
Mitarbeiterdaten sind auch personenbezogene Daten
Wenn der Internetzugang privat oder auch nur teilweise genutzt werden kann, werden in der Regel auch personenbezogene Daten der Mitarbeiter verarbeitet. Daher ist es wichtig, den Datenschutz hierbei zu regeln.
Wie bei jeder Verarbeitung von personenbezogenen Daten, muss erst einmal festgelegt werden, welche Daten in welchem Umfang und bei welchem Prozess verarbeitet werden. Bei der privaten Nutzung vom Internet am Arbeitsplatz kann dies natürlich sehr vielfältig sein.
Besonders wichtig ist dabei, dass das Recht des Betroffenen, also in diesem Fall des Mitarbeiters im Vordergrund steht und der Verantwortliche hat auch bei einem berechtigten Interesse, nicht die gesetzliche Grundlage, um das Recht auf Datenschutz zu umgehen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Protokollfunktion zur IT-Sicherheit
Die IT-Sicherheit wird nicht selten durch Systeme unterstützt, die eine Protokollfunktion mit sich bringt. Das bedeutet, dass entsprechend personenbezogene Daten und auch Nutzerverhalten der Mitarbeiter gespeichert und ausgewertet werden könnten. Hierbei muss bewertet werden, wie die Vorgaben im Datenschutz ausreichend umgesetzt werden können.
Vor allem die Betroffenenrechte spielen hierbei eine wichtige Rolle, da es sich bei dieser Speicherung der Daten um einen Eingriff in das Recht der informationellen Selbstbestimmung handelt.
Andere Gesetze prüfen
Neben dem Datenschutz müssen auch immer wieder andere Gesetze geprüft werden. Wichtig ist, dass durch einen Fachmann die Einhaltung aller notwendigen Vorgaben geprüft wird. Oft muss dabei ein Fachmann beurteilen, welche Gesetze eingehalten werden müssen und welche unter Umständen den Vorrang erhalten müssen.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Der Arbeitgeber muss sich an DS-GVO und BDSG halten
Wenn die Nutzung vom Internet für die Mitarbeiter erlaubt ist, dann muss sich der Verantwortliche an den Datenschutz halten. Bei der Umsetzung kann der (externe) Datenschutzbeauftragte unterstützend tätig werden.
Die Verarbeitung von personenbezogenen Daten in diesem Zusammenhang muss allen Vorgaben im Datenschutz gerecht werden. Dazu gehören unter anderem:
- Führen des Verzeichnisses von Verarbeitungstätigkeiten (VVT) – auch die Verarbeitung bei der Internetnutzung muss hier dokumentiert werden
- Einsatz der notwendigen technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten
- Betroffenenrechte einhalten
- Die Verarbeitung von personenbezogenen Daten auf eine mögliche Auftragsverarbeitung hin prüfen (AV-Verträge)
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Homeoffice und Datenschutz
Besondere Vorgaben gelten in der Situation bei der Arbeit im Homeoffice. Dabei ist zu prüfen, über welchen Weg die Datenverarbeitung von personenbezogenen Daten erfolgt. Entsprechend ist die Verarbeitung im Datenschutz zu prüfen und zu dokumentieren.
BLOG-TIPP: WIE KANN IN NRW DER DATENSCHUTZ IM HOMEOFFICE SICHER UMGESETZT WERDEN?
IT-Sicherheit und Datenschutz
Wenn Überschneidungen der privaten und geschäftlichen Zugänge und Geräte nicht eindeutig zu trennen sind, gilt es die personenbezogenen Daten von Betroffenen und deren Schutz noch genauer unter die Lupe zu nehmen, Abläufe zu bewerten, zu sichern und Verarbeitungen zu dokumentieren.
Um die personenbezogenen Daten anderer Betroffenen durch beispielsweise Hacker-Angriffe zu schützen, muss auch die IT-Sicherheit besonders bewertet werden, wenn die Internetnutzung privat erlaubt ist.
Gerade im komplexen Umgang mit personenbezogenen Daten und den damit verbundenen unterschiedlichen Verarbeitungsprozessen, können Unternehmen sich durch einen externen Datenschutzbeauftragten beraten lassen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.