Dipl.-Biol. Sabine Schaub, Dr. Gudrun L. Töpfer
Zusammenfassung
Datenschutz ist nicht nur ein aktuelles Thema, sondern häufig auch unübersichtlich. Oft ist unklar, was alles in den Bereich Datenschutz fällt und ob die eigene Tätigkeit davon betroffen ist. Hinzu kommt, dass der Schutz der Daten immer kompliziertere Anforderungen hat, die ein geplantes Projekt vor große Herausforderungen stellen können. Es ist daher von großer Bedeutung zu wissen, wann und wie der Datenschutz in Zuge der eigenen Tätigkeit berücksichtigt werden muss. Der nachfolgende Artikel gibt einen Überblick über die aktuelle Lage und skizziert mögliche Anwendungsfälle im Arbeitsschutzkontext.
1 Relevanz und Aktualität der Thematik
Der Datenschutz existiert schon sehr lange. Im Zuge der DSGVO – mit Geltungsbeginn 25.5.2018 – und den damit einhergehenden Medienberichten, wurde das Thema stark in den Fokus gerückt. In den darauffolgenden Jahren 2019 und 2020 beschäftigten sich zunehmend mehr Unternehmen mit der DSGVO und den Compliance-Anforderungen für einzelne Abteilungen und Bereiche. Während der Datenschutz in den Bereichen IT und Personal bereits seit langem fester Bestandteil der Arbeitsprozesse ist, gibt es einige Bereiche, die das Thema bisher nicht ausreichend berücksichtigt haben. Häufig liegt es daran, dass unklar ist, was in den jeweiligen Arbeitsbereichen mit Datenschutz zu tun hat und was nicht. Da die Unternehmen bei Verstößen gegen die DSGVO zum Teil hohe Strafen erhalten, ist es besonders wichtig, die Datenschutz-Anforderungen der eigenen Tätigkeit zu kennen, um DSGVO-konform handeln zu können.
2 Anwendungsfälle
Als Orientierung, wo im Bereich Arbeitsschutz auch der Datenschutz berücksichtigt werden sollte, werden nachfolgend einige Anwendungsfälle beschrieben. Zunächst soll jedoch die Begrifflichkeit des Datenschutzes und der "personenbezogenen Daten" eingegrenzt werden. Anhand der Beispiele wird dann jeweils die Problemlage dargelegt und mögliche Fragen aufgezeigt, die gemeinsam mit dem Datenschutzbeauftragten geklärt werden sollten.
Datenschutz
Die Basis des Datenschutzes ist die "Informationelle Selbstbestimmung". Das bedeutet: Jeder Mensch hat das Recht, zu entscheiden, wer was über ihn weiß. Da es um die informationelle Selbstbestimmung von Menschen geht, beschäftigt sich der Datenschutz nur mit personenbezogenen oder auf Personen beziehbaren Daten.
Informationen, die sich auf eine Person beziehen, wie z. B. Name, Adresse und Ausweisnummer gehören zu den personenbezogenen Daten. Personenbeziehbare Daten sind Informationen, welche über "Umwege" Aufschluss über die Person geben, wie etwa die Kontonummer, das Kfz-Kennzeichen oder die Personalnummer.
Reine Sachinformationen fallen nicht in den Bereich der DSGVO.
2.1 Digitale Gesundheits-Apps/Apps allgemein im betrieblichen Kontext
In vielen Unternehmen kommen zunehmend Apps zum Einsatz. Von der Prävention bis hin zu Infodiensten für Sicherheitsbeauftragte gibt es zahlreiche Applikationen und Anbieter. Abhängig von der App, werden nicht nur Kontaktdaten, sondern auch Gesundheitsdaten verarbeitet. Neben ethnischer Herkunft, politischer Meinung, religiöser oder philosophischer Überzeugung, Gewerkschaftszugehörigkeit oder Sexualleben gehören Gesundheitsdaten nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und sind damit besonders schützenswert. Die Verarbeitung dieser Daten ist nur in Ausnahmefällen erlaubt.
Bevor die Entscheidung für eine App getroffen wird, sollten daher 2 wichtige Punkte geklärt sein:
- Welchen Zweck hat die App?
- Hat der Datenschutzbeauftragte die datenschutzrelevanten Aspekte der App geprüft?
Der Datenschutzbeauftragte wird u. a. folgende Anforderungen prüfen:
- Welche Daten werden verarbeitet?
- Wie findet die Datenübermittlung statt?
- Setzt die App Tracking-Technologie ein?
- Wo hat der App-Anbieter seinen Hauptsitz?
- Erfolgt eine Weitergabe der Daten an Dritte?
Eine umfassende Prüfung der App schützt das Unternehmen vor teuren Fehlentscheidungen und reduziert Beschwerden seitens der Mitarbeiter und/oder Behörden.
2.2 Smart Technology/Smarte PSA
Die neuesten Entwicklungen im Bereich Persönliche Schutzausrüstung (PSA) versprechen mehr Sicherheit als bisherige Produkte. Mittels neuer Materialien, elektronischer Komponenten und hochsensibler Sensortechnologie ist es möglich, die Umgebungsluft zu analysieren oder die Vitalfunktionen des Tragenden zu überwachen. Was im ersten Moment großartig klingt, ist in Sachen Datenschutz eine Herausforderung: Smarte PSA verarbeiten ständig Daten. Neben personenbezogenen Daten sind es häufig auch Gesundheitsdaten, die verarbeitet und gespeichert werden.
Damit die Persönlichkeitsrechte des Trägers gewahrt bleiben, muss die Smarte PSA DSGVO-konform sein. Der Datenschutzbeauftragte kann hier unterstützend wirken und die entsprechenden Anforderungen prüfen. Datenschutzkonform ist beispielsweise die Anonymisierung der Daten und oder datenschutzfreundliche Voreinstellungen.
2.3 Videoaufzeichnung/Überwachung
Videoüberwachungsanlagen sind auf dem...