COMPLIANCE,
Mit dem DSK (Datenschutz-Koordinator) sowie externen DSBa (Datenschutzbeauftragten) haben wir Ihnen einen gängigen Vorschlag zur Aufbauorganisation (insbesondere Zuständigkeiten) geliefert. Beide sollten ein Besprechungs- und Berichtswesen auf die Beine stellen, ein weiterer Teil Ihres betrieblichen IKS (Internes Kontrollsystem). Schließlich wurde im vorigen Artikel auf Audits und Experten-Workshops eingegangen, welche uns zur Evaluierung und laufenden Verbesserung der DSGVO-Compliance dienen.
Die zuletzt besprochene „Angemessenheit und Wirksamkeit“ unserer IKS wird uns auch heute bei der Erörterung der Organisation Ihres Schulungswesens sowie dem Verfassen von Arbeitsrichtlinien beschäftigen.
Wie immer gilt im Datenschutz, dass wir unser Tätigwerden auf Grundlage und im Rahmen der Risikolage Betroffener (natürlicher Personen) ausrichten. Auch im Zuge der heutigen Abhandlung geht es um typische Bestandteile eines DSMS, welche neben dem gebührlichen Schutz der Betroffenen auch zum Ziel haben können, Strafen und Haftungsrisiken für das Unternehmen einzudämmen. Eine Win-win-Situation für Mitarbeiter, Kunden und jeden Geschäftsführer.
Arbeitsrichtlinien - Verba volant, scripta manent!
Dies bedeutet sinngemäß, dass nur das geschriebene Wort von Dauer ist. Umgangssprachlich: Wer schreibt, der… Es bleibt jedenfalls die Aufgabe vom Unternehmer, den Mitarbeitern in klarer Weise Verhaltensregeln vorzugeben. Einige Beispiele aus dem DSGVO-Dunstkreis:
- Data Breach Meldewesen mit Vorgaben zur Risikobewertung (ausführlich im dritten Teil dieses Expertenartikels)
- Vorgangsweise Betroffenenrechte (Recht auf Auskunft, Löschung, Richtigstellung…)
- Vorgaben zur Datenminimierung im ERP, oder bei der Personalverwaltung
- Hinweise zur digitalen Übermittlung von Gehaltszetteln (Verschlüsselung)
- Checkliste Mitarbeiterfotografie & Videos
- Komprehensives DSMS-Handbuch (mag die vorstehenden Positionen beinhalten)
Um die Wichtigkeit von Arbeitsrichtlinien zu verstehen, müssen Sie vorab wissen, dass Verwaltungsbehörden und Gerichte vorwiegend „mit Papier“ (und dies schließt den Bildschirm ein) arbeiten. Prüfabläufe, welche Sie nicht Schritt für Schritt verschriftlicht haben, sind im Zweifel nie passiert.
Umgekehrt: Das Geschriebene wird als verbindliche und bleibende Realität wahrgenommen. Dies soll keinesfalls als Aufforderung verstanden werden, „Papiertiger“ zu schaffen, und wird unser Schulungswesen dazu dienen, die Arbeitsrichtlinien zu guter Letzt in die Tat umzusetzen.
Beachten Sie die Regeln des kollektiven Arbeitsrechts in Österreich, vornehmlich das Arbeitsverfassungsgesetz. Oftmals ist eine Betriebsvereinbarung Mittel der Wahl. Jene kann gleichsam als Arbeitsrichtlinie dienen bzw. eben diese als Anlage enthalten.
Übliche Fehler:
- Betriebsrat wird nicht beigezogen trotz Mitarbeiterkontrolle / Leistungsbewertung, mögliche Berührung der Menschenwürde…
- Arbeitsrichtlinie wird nicht gebührlich in/außer Kraft gesetzt (vom GF)
- Keine Dokumentenlenkung, veraltete Fassungen im Umlauf u.dgl.
- Isoliertes Denken und Handeln, beispielsweise kein Einklang mit QM-Wesen
- Bloße Wiedergabe von Gesetzestexten anstatt Ummünzen auf eigene Betriebsabläufe (vom Mitarbeiter werden akademische Recherchen erwartet)
- Arbeitsrechtliches Vorpreschen bei „Fehlverhalten“ (Abmahnung, Entlassung), ohne dass es interne Regelungen (eines richtigen Verhaltens) gab
Wie werden nun unsere Arbeitsrichtlinien in die Praxis umgesetzt?
Schulungswesen
Von Zeit zu Zeit, insbesondere bei Spezialthemen wie der DSGVO, wird es nötig sein, „externes Wissen“ zu erwerben. Dies kann in der Form geschehen, dass einem besonders interessierten Mitarbeiter die Ausbildung zum Datenschutzbeauftragten mit Prüfung zuteilwird. Und nach einigen Jahren wird ein Rezertifizierungskurs, ebenso bei einem berechtigten Institut, fällig.
Für die Zwecke dieses Artikels gehen wir eher auf ein internes Schulungswesen ein, welches die Verwirklichung der Vorkehrungen aus den Arbeitsrichtlinien zum Ziel hat.
Um das oben erwähnten Bsp. „Checkliste Mitarbeiterfotografie & Videos“ heranzuziehen: Die Sachbearbeiter der Marketingabteilung werden zunächst informiert, dass das Ablichten vom Mitarbeiter nur auf Basis dessen (freiwilliger) Zustimmung geschehen darf. In der Folge werden Vor- und Nachteile von „Einwilligungen“ sowie „Model Release Verträgen“ erörtert. Letzten Endes weiß man in der Marketingabteilung, wie ein rechtssicheres Vorgehen aussieht und richtet sich danach. Neue Mitarbeiter werden nicht mehr zum Fotografen gedrängt.
Häufige Fehler:
- Information nicht zielgruppengerecht aufbereitet
- Ignorieren von Rückfragen der Zielgruppe
- Keine Evaluierung, quantitativ (Wie viele Prozent der Mitarbeiter haben die Schulung bereits besucht?) und qualitativ (War die Schulung aus Mitarbeitersicht von gutem Nutzen?)
- Es wird nicht klar kommuniziert, ob bzw. für wen die Schulung verpflichtend ist
- Es ist überhaupt nicht mehr nachvollziehbar, wer wann welche Schulung besucht hat…
- Verzicht auf die Ausstellung von Teilnahmezertifikaten
Es muss nicht eigens erwähnt werden, dass bloße Arbeitsfehler (Übersehen; Unkonzentriert sein, Missverständnisse) von Strafbehörden oft toleriert werden, d.h. für die Verantwortliche (idR Gesellschaft) ohne Folge bleiben. Schließlich haben wir im Unternehmen ein umfassendes IKS mit laufenden Schulungen der Inhalte unserer Arbeitsrichtlinien.
Ein Beispiel wäre eine Datenschutzverletzung (Data Breach) beim E-Mail-Versand durch „CC statt BCC“. Geboten ist eine Nachschulung (zumindest) jener Mitarbeiter, denen das Missgeschick unterlaufen ist. Aufgrund der entsprechenden Arbeitsrichtlinie „Outlook und Newsletter-Tool“ und der Ausbildungsmaßnahme ist ein wiederholtes Auftreten des Fehlers nicht zu erwarten, zumal wir nur sorgfältige Leute einstellen.
Bei Datenschutzverletzungen zieht die DSGVO folgende Grenze: Eine Meldepflicht bei der Datenschutzbehörde besteht nicht, wenn (voraussichtlich) kein Risiko für die Rechte und Freiheiten natürlicher Personen herrscht.
Besser jetzt als nie! Mut zum Provisorium. Und zur Lücke.
Im letzten Newsletter wurde ein ‚good enough‘-Prinzip angesprochen, wonach es besser sei, "zügig 80%" beim Aufbau eines Compliance-Systems zu erzielen, als das ganze Regime zu hinterfragen/verzögern. Die Empfehlung gilt nach wie vor, also auch für unsere Schulungen und Arbeitsrichtlinien.
Denn: Über das „Wie“ lässt sich selbst mit Strafbehörden oftmals diskutieren (und herrschen Spielräume) – während das „Ob“ im öffentlichen Recht zumeist klar festgelegt ist. In aller Regel handelt es sich beim Letztgenannten um zwingendes Recht (sog. ‚ius cogens‘).
Dies soll zum Abschluss an folgendem Beispiel erläutert werden: Artikel 39 DSGVO macht „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ zur Aufgabe eines DSBa. Das gänzliche Ausbleiben eines Schulungswesens ist demzufolge ein eklatanter Mangel.
Währenddessen könnte man vermutlich argumentieren, warum Ihre Datenschutz-Trainings nur einmal jährlich stattfinden, fürs Erste nur eine Stunde dauern, und die ausgegebenen Unterlagen sich in fünf A4-Seiten erschöpfen. Die Güte der Maßnahme ist nämlich ungleich schwerer festzustellen bzw. vorzuwerfen als das Fehlen. Man könnte fast von einer Sachverständigenfrage sprechen.
Beginnen Sie mit Ihrem DSMS also gleich heute – ohnehin handelt es sich um einen laufenden, stets verbesserungsfähigen Prozess! Und nach einem Jahr stehen wir in der Compliance noch viel besser da. Mit dem Erwähnen des Plan-Do-Check-Act Prinzips moderner Management-Systeme liegen wir Ihnen ohne Zweifel bereits in den Ohren.
Die VACE Digital Solutions ist Ihr Ansprechpartner u.a. in Sachen interne Kontrollsysteme und Compliance Management unter besonderer Berücksichtigung des Personendatenschutzes. Unser ‚DSGVO-fit‘ beäugt zunächst Ihren Ist-Zustand im Unternehmen und legt Ihnen die nächsten Schritte nahe!