Home >

Anders mit personenbezogenen Daten umgehen

Annuska van den Eijnden ist Beauftragte für Datenschutz bei Hago Zorg. Sie sorgt dafür, dass die Organisation möglichst optimal auf die Einführung der Allgemeinen Datenschutzverordnung vorbereitet ist. Verläuft alles nach Plan?

Seit 2013 übt Annuska eine überwachende und beratende Rolle zugleich aus. „Das neue Gesetz, das ab Mai kommenden Jahres in der Europäischen Union in Kraft tritt, sorgt dafür, dass wir anders mit personenbezogenen Daten umgehen müssen. Wir sind in erster Linie gehalten, verständlich nachzuweisen, wie unsere Organisation mit der Verarbeitung personenbezogener Daten umgeht.“

Ich beschäftige mich mit der Entwicklung von Strategien und Instrumenten, der Einrichtung von Prozessen und der Bereitstellung von Informationen.

Transparenz

Daten sind heutzutage besonders wertvoll. Sie sind bares Geld wert. Hacker versuchen tagtäglich, sich personenbezogene Daten anzueignen. Schauen Sie nur einmal in die Zeitung und auf den sozialen Medien.

„Probleme vermeiden gelingt nur, wenn man klar zu dem Wie und Warum kommuniziert. Es ist von großer Bedeutung, alle Kollegen in die Veränderungen einzubeziehen.“ Nach Ansicht von Annuska ist Transparenz dabei sehr wichtig. „Welche Daten erhält man? Warum erhält man sie? Was macht man damit? Wie ist die Sicherheit gewährleistet?“

Veränderungen

„Wir liegen im Zeitplan. Neue Verfahren und Regelungen sind bereits erstellt. Daten werden zusätzlich gesichert, häufig muss man in zwei Schritten einloggen, und sie können manchmal nicht mehr direkt eingesehen werden. Darüber hinaus darf man nicht mehr ohne Weiteres alles speichern.“

Abschluss von Bearbeitungsverträgen

In dem Moment, in dem eine Vertragspartei personenbezogene Daten verarbeitet, sind wir gemäß Wbp verpflichtet, einen Bearbeitungsvertrag mit der entsprechenden Partei abzuschließen. Ein Beispiel dafür ist der Lieferant, dem wir die Gehaltsbuchführung übertragen haben. 2016 haben alle Privacy Officers mit der Inventarisierung der entsprechenden Lieferanten begonnen, wobei diese Maßnahme in Zusammenarbeit mit den Abteilungen in Gang gesetzt worden ist.

Abwesenheitssignal

Annuska: „Seit 2016 arbeiten verschiedene Betriebe innerhalb der Vebego-Gruppe mit dem so genannten Abwesenheitssignal (Online-Abwesenheits-Registrierungssystem). Bei der Ausgestaltung dieses Systems Anfang 2016 waren unter anderem die Unternehmensjuristin Danielle Adams und ich unmittelbar daran beteiligt, zu überprüfen, ob keine im Gegensatz zum Wbp stehenden Maßnahmen ergriffen worden sind. Parallel zur Einrichtung war ich gemeinsam mit einigen Kollegen intensiv damit beschäftigt, eine Strategie hinsichtlich der Festlegung von Abwesenheiten zu erstellen, und das System ist dort, wo dies möglich ist, auch darauf ausgerichtet. Darüber hinaus haben alle Privacy Officers ein Training bezüglich der Einführung des Systems absolviert.“

Was geht nun konkret nicht mehr?

  • Es dürfen keine Angaben über Art und Ursache von Erkrankungen in der Abwesenheitsakte aufgenommen werden. Fragen Sie auch nicht danach. Wenn jemand freiwillig erzählt, was er oder sie hat, darf man das nicht in der Akte festhalten, es sei denn, es liegt eine bestimmte Dringlichkeit vor. Dies knüpft an unsere HR- und Abwesenheitsstrategie an, wobei wir überprüfen, was jemand sehr wohl kann, und von diesem Ausgangspunkt aus vorgehen, anstatt nur zu sehen, was jemand nicht kann.

  • Es dürfen keine medizinischen Daten oder solche Daten gespeichert werden, die etwas über Diagnosen, Beschwerden, Schmerzhinweise und/oder Medikamentenkonsum aussagen.

  • Es dürfen keine Informationen darüber gespeichert werden, welchen Behandlungen sich jemand unterzieht und über welchen Facharzt das geschieht.

Um nun doch eine praktikable Situation handhaben zu können, wurde im Rahmen der Strategie eine Übersicht aufgenommen, in der aufgeführt ist, was noch festgehalten werden darf. Hier wurden konkret alle Krankheitsbilder in eine Umsetzungstabelle umgewandelt. Das heißt alles, woran jemand leiden kann, wurde in eine gewisse Anzahl von Kategorien neu aufgegliedert. 

Neben der Art und Weise der Registrierung wurden auch die einzelnen Rollen innerhalb des Systems kritisch geprüft. In den Governance-Regeln ist festgelegt, wer wozu einen entsprechenden Zugang hat. Außerdem fanden verschiedene Wissenssitzungen statt, in deren Rahmen Informationen bezüglich des Teilens der Abwesenheitsakte mit Dritten wie einem Betriebsarzt, dem Integrationsbüro und sonstigen bereitgestellt worden sind.

Am Arbeitsplatz

In praktischer Hinsicht merken die Mitarbeiter auch etwas davon. So kann man nicht mehr einfach so einen Druckauftrag erteilen, wobei die Gefahr besteht, dass der Ausdruck den ganzen Tag auf dem Drucker liegt. Heutzutage muss der Druckauftrag am Drucker mit einem persönlichen Code (Locked Print) bestätigt werden. Auch wenn man mit Dritten arbeitet und beispielsweise für ein Mailing personenbezogene Daten bereitstellen muss, ist dies nicht mehr ohne weiteres möglich. Sämtliche Vorgänge werden heutzutage mit Passwörtern gesichert und/oder es werden Plattformen wie SharePoint als Ersatz für die Mailbox eingesetzt. Diese kleinen Aktionen sind mindestens ebenso relevant, denn schließlich ist am 1. Januar 2016 auch das Gesetz über die Meldepflicht von Datenlecks verabschiedet worden. 

Zukünftig gewährleistet

Die Abteilungen werden ausschließlich noch über Daten verfügen, die sie auch wirklich benötigen. E-Mails werden ausschließlich bei den Personen landen, für die sie auch wirklich gedacht sind. Und um Zugang zu bestimmten personenbezogenen Daten zu erhalten, bedarf es zusätzlicher Vorgänge.

„Letzteres ist für einige Mitarbeiter ganz gewiss gewöhnungsbedürftig. Der sorgfältige Umgang mit personenbezogenen Daten ist jedoch, wie man es auch dreht und wendet, eine positive Sache. Denn schließlich geht es auch um ihre eigenen Daten…“