Sind Datenlecks wie im Bundesgesundheitsministerium vermeidbar?

Das Bundesgesundheitsministerium hatte mit einem externen IT-Dienstleister zusammengearbeitet, der sich quasi als "Maulwurf" einschleuste und sensible Daten entwendete. So lautet der noch nicht bewiesene Vorwurf.

Auch "normale" Unternehmen betrauen oftmals dritte Personen, die nicht betriebsangehörig sind, mit sensiblen Daten, nämlich mit personenbezogenen Daten ihrer Mitarbeiter sowie unter Umständen auch mit Firmengeheimnissen. Hierzu gehören z. B. Steuerberater und Dienstleister, die die Entgeltabrechnungen für den Arbeitgeber vornehmen, oder externe Berater, die mit der Personalauswahl betraut werden oder im Rahmen von betriebsbedingten Kündigungen die Sozialdaten von Mitarbeitern erfahren.

Diese Personengruppen müssen den Datenschutz ebenso gewährleisten wie die eigenen Beschäftigten des Unternehmens, die intern mit personenbezogenen Daten von Mitarbeitern zu tun haben. Zu denken ist ferner an Subunternehmer oder Leiharbeitnehmer, die entsprechende Tätigkeiten ausführen.

Personenbezogene Daten müssen geschützt werden

Das Bundesdatenschutzgesetz (BDSG) schreibt den Schutz personenbezogener Daten vor. Eine missbräuchliche Verwendung soll vermieden und das Persönlichkeitsrecht des Einzelnen geschützt werden. Personenbezogene Daten müssen daher vertraulich behandelt werden.

Nach § 5 BDSG ist den bei der Datenverarbeitung beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Verstößt ein auf das Datengeheimnis Verpflichteter gegen seine Verpflichtung, hat der Arbeitgeber ihn aufzufordern, dies umgehend abzustellen und dies entsprechend nachzuweisen.

Auf diese Tücken müssen Sie achten

Wenn personenbezogene Daten erhoben werden und die mit der Nutzung und Verarbeitung betraute Person den Datenschutz nicht beachtet, kann dies eine Ordnungswidrigkeit des Arbeitgebers gemäß § 43 BDSG darstellen mit der Folge, dass die Aufsichtsbehörde eine Geldbuße verhängen kann.

Verpflichtet der Arbeitgeber aber die mit der Nutzung und Verarbeitung betrauten Personen zur Einhaltung des Datenschutzes, und hat er keine Gründe, von deren Unzuverlässigkeit auszugehen, liegt ein fahrlässiger Verstoß gegen das BDSG nicht vor, so dass auch keine Geldbuße verhängt werden kann.

Erfährt der Arbeitgeber, dass der mit den personenbezogenen Daten betraute Arbeitnehmer das Datengeheimnis nicht wahrt oder selbst keine Schutzmaßnahmen ergreift, muss sofort reagiert werden, indem der Beschäftigte aufgefordert wird, dieses Fehlverhalten abzustellen.