Interne Kommunikation und DSGVO: Auf der sicheren Seite mit dem 30-Fragen-Assessment

Vor dem Hintergrund der neuen Datenschutz-Grundverordnung der EU, kurz DSGVO, bewegen sich viele Unternehmen in Deutschland datenschutzrechtlich auf dünnem Eis. Denn um den zeitgemäßen Austausch der Mitarbeiter untereinander zu ermöglichen, kommt häufig eine breite Palette an Anwendungen und IT-Systemen zum Einsatz. Diese reichen vom Intranet über Social-Media-Kanäle bis hin zu Apps oder Cloud-Diensten. Für die interne Kommunikation erheben, speichern und verarbeiten Arbeitgeber so oft ungewollt viele personenbezogene Daten –  etwa technische wie die IP-Adresse, Zugriffe auf Dokumente, Aufenthaltsorte oder Nutzungszeiten, aber auch kulturelle, wirtschaftliche, medizinische und soziale Informationen.

Datenschutz beginnt beim einzelnen Mitarbeiter
Die DSGVO vereinheitlicht ab dem 25. Mai 2018 die Regeln für die Verarbeitung personenbezogener Daten von EU-Bürgern durch private Unternehmen und öffentliche Institutionen. Die Verordnung soll insbesondere den Schutz von personenbezogenen Daten innerhalb der Europäischen Union sicherstellen. Die Herausforderung für Arbeitgeber besteht darin, in dieser Situation den durch die private Nutzung von Smartphones und Social Media geprägten Erwartungen der Mitarbeiter an eine moderne interne Kommunikation genauso gerecht zu werden wie dem Datenschutz. Wer in einem Unternehmen für die IT oder die interne Kommunikation verantwortlich zeichnet, sollte nicht hoffen, dass der Datenschutzbeauftragte alles rechtzeitig regeln wird. Entscheidend ist vielmehr, dass sich alle Abteilungen und jeder einzelne Mitarbeiter verantwortlich fühlen und sich über die Maßnahmen klarwerden, die für den eigenen Verantwortungs- oder Arbeitsbereich wichtig sind.

pixabay.com ©geralt (Creative Commons CC0)
Interne Kommunikation und DSGVO: Auf der sicheren Seite mit dem 30-Fragen-Assessment 1

Drei zentrale Anforderungen an eine datenschutzkonforme Kommunikation
Um sicherzustellen, dass ab Ende Mai alle personenbezogenen Daten datenschutzkonform verwaltet und verarbeitet werden, sollte die interne Kommunikationsplattform die Konzepte der Vertraulichkeit, Integrität und Verfügbarkeit garantieren.

  • Vertraulichkeit: Es ist kein unautorisierter Zugriff auf Daten möglich, was beispielsweise durch die Verschlüsselung der Inhalte erzielt werden kann.
  • Integrität: Die Korrektheit der Daten und des Systems sind sichergestellt und Dritte haben keine Chance, Daten zu manipulieren.
  • Verfügbarkeit: Alle Systeme müssen jederzeit betriebsbereit sein. Ausschließlich autorisierte Nutzer können die Datenverarbeitung vollziehen.

Mit Hilfe des „30-Fragen-Assessments für die neue Datenschutz-Grundverordnung der EU“ der Beekeeper AG lässt sich jetzt leicht überprüfen, welche Anforderungen der Datenschutz-Grundverordnung im eigenen Unternehmen bereits erfüllt sind und welche zusätzlichen Maßnahmen noch ergriffen werden müssen.

Checkliste: Ist Ihre interne Kommunikation fit für die DSGVO?

  • Ihr Unternehmen hat all seine Kanäle identifiziert, mittels derer es persönliche Daten verarbeitet.
  • Ihr Unternehmen hat ein Inventar aller verarbeiteten persönlichen Daten.
  • Ihr Unternehmen besitzt das Recht, alle Systeme eigenhändig zu überprüfen, mittels derer persönliche Daten verarbeitet werden.
  • Ihr Unternehmen ist nur so lange im Besitz von personenbezogenen Daten, wie es sie benötigt.
  • Ihr Unternehmen erzeugt ausschließlich aggregierte Daten und verzichtet auf ein auf persönlichen Daten basierendes Profiling mittels Analyse von Arbeitsleistung, wirtschaftlicher Situation, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten und Aufenthaltsorten.
  • Persönliche Daten werden verschlüsselt oder anonymisiert, bevor sie langfristig, zum Beispiel als Backup, gespeichert werden.
  • Ihr Unternehmen verfügt über alle wichtigen technischen Mittel, mittels derer es die persönlichen Daten einer Person permanent löschen kann.