Datenschutz, Teil 3

Personaldaten vor dem Rechnungsprüfer

Von Sabine Philipp

Einen Datenschutzbeauftragten braucht das Unternehmen, wenn mehr als neun Mitarbeiter personenbezogene Daten elektronisch verarbeiten (bei Adresshändlern ab einer Person – also immer). Das ist aber keineswegs ein Freifahrschein für kleinere Firmen, sorglos mit Informationen zu hantieren. „Die Anforderungen bestehen genauso, nur dass Sie keine Person einstellen müssen, die das kontrolliert“, erklärt Dr. Thomas Krätzig von der Hagener KJ-NetworX GmbH.

Solche personenbezogenen Daten häufen sich typischerweise z.B. in der Lohnbuchhaltung, die gerade bei kleinen Unternehmen oft im Haus gemacht wird. Diese Daten sind zugleich besonders schutzwürdig, da sie u.a. das Gehalt der Mitarbeiter verraten. Sie müssen in jedem Fall dafür sorgen, dass solche und andere sensible Daten, z.B. die Bankverbindungen von Kunden oder Krankheitsinformationen, nicht an Unbefugte weitergegeben werden.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Die Sicherheit beginnt prinzipiell beim Gebäude– und Einbruchsschutz. Auf IT-Ebene startet sie mit einer guten Authentifizierung. Davon ist die digitronic computersysteme gmbh überzeugt. Nach Angaben der Chemnitzer bieten Systeme, die auf einem USB-Token oder einer Smartcard basieren, ein besonders hohes Sicherheitsniveau. Sie setzen nämlich für eine erfolgreiche Anmeldung „Besitz und Wissen“ voraus – den Besitz des Hardwareschlüssels und das Wissen von der speziellen PIN.

Nur wenn eine Person beides hat, kann sie sich anmelden und ins System gelangen. Das schützt nicht nur vor Hackern und Dieben, die es auf den Laptop des Außendienstmitarbeiters abgesehen haben, sondern auch der Chef- und der Kollegen-PC bleibt so vor allzu neugierigen Blicken von Mitarbeitern sicher, die glauben, es genüge, das Passwort zu kennen.

Sortiert, markiert, abgesperrt

Wenn der Wirtschaftsprüfer vom Finanzamt elektronisch verarbeitete Daten sehen möchte, sollte man ihm schon aus eigenem Interesse ausschließlich die Daten zukommen lassen, die er sehen möchte. Und entsprechend vorsortieren, damit sich in den Buchhaltungsbelegen nicht unnötige Auskünfte befinden. „So kann er z.B. einsehen, dass ein Mitarbeiter häufig krank war“, erklärt Fachmann Dr. Krätzig. „Aus diesen Unterlagen darf aber nicht der Grund für die Krankmeldung hervorgehen.“ Diese Informationen müssen getrennt aufbewahrt werden.

ThomasKrätzig.jpg

Dr. Thomas Krätzig kommt ur­sprüng­lich selbst aus dem ISO-Manage­ment. Er grün­dete 2006 die KJ-Net­worX GmbH, weil er mit seinen bis­heri­gen IT-Dienst­leistern schlechte Er­fah­rungen ge­macht hat­te. Dem­ent­spre­chend wird Kunden­orientie­rung bei ihm jetzt groß­ge­schrieben. Der promo­vierte Wirt­schafts­ingnieur und ge­prüfte Daten­schutz­beauftragte be­rät u.a. in den Be­reichen Netz­werk­sicher­heit und IT-Security.

Wie aber die entsprechenden Daten herausfiltern? Hier kommen Dokumentenmanagementsysteme (DMS) ins Spiel. Dr. Thomas Krätzig setzt auf ELO, dessen Kosten etwa zwischen 1000 und 1500 Euro liegen. „Sie können sich das System wie einen Schrank mit verschiedenen Ordnern vorstellen, die Sie einzeln abschließen und an die Sie bestimmte Berechtigungen knüpfen können“, erläutert der Firmengründer. „Dann können Sie einen Nutzer, in diesem Fall den Wirtschaftsprüfer, anlegen, der nur verschiedene Ordner und Schrankabschnitte sehen darf, je nachdem, welche Daten sein Auftrag umfasst.“

Anders als etwa bei einem alkoholkranken Mitarbeiter kann der Prüfer dabei durchaus die Lohnpfändung eines Mitarbeiters einsehen. „Wenn er die Daten im Rahmen seines Auftrags sehen und verarbeiten muss, dann ist das auch in Ordnung“, sagt Dr. Krätzig. Auch wenn der Mitarbeiter ein besonders großes Problem damit hat, weil der Prüfer zufällig ein Bekannter ist. „Als Arbeitgeber müssen Sie den Prüfer eine Vereinbarung unterschreiben lassen, dass er die Infos geheim hält. Wenn der Prüfer dann in einer Bierlaune auf einem Nachbarschaftsfest von den Geldproblemen des Mitarbeiters erzählt, muss dieser das mit dem Wirtschaftsprüfer ausmachen.“

Ein anderes Problem könnte sich ergeben, wenn Sie Ihren Mitarbeiter erlauben, privat zu surfen.

AndreasGoebel.jpg

Andreas Göbel ist Inhaber der Hage­ner Kanz­lei WOLFF GÖBEL Rechts­anwälte Fach­anwälte sowie Spe­zia­list für IT-Recht und Arbeits­recht. Der Jazz­liebhaber berät auch rund um den Datenschutz und ist Do­zent bei der Deutschen Sach­ver­ständigen Aka­demie (DSA). 2007 wurde Göbel zum Lehr­beauf­tragten für IT-Recht an der Fach­hoch­schule Süd­west­falen ernannt.

Privatkram in der Firmenpost

„Sie sind dazu verpflichtet, das ursprüngliche und unverfälschte Dokument innerhalb einer möglichst kurzen Zeit nach dem Eingang zu archivieren“, erklärt Andreas Göbel von der Kanzlei Wolff Göbel Rechtsanwälte Fachanwälte. Das können Sie bei Mails mit Archivierungssystemen auf zweierlei Methoden lösen:

  • Bei Methode eins entscheidet der Mitarbeiter, ob er die Mail archiviert – was den Vorteil hat, dass er Spam herausfiltern kann. Der Fachanwalt warnt aber zugleich: Das Finanzamt sieht diese Herangehensweise ungern, weil die Mail manipuliert werden könnte. „Bei dieser Methode muss daher eine Information an das Dokument angebracht werden, wer dieses Dokument wann angefasst und wie geändert hat.“ Außerdem könne der Mitarbeiter die Wichtigkeit unterschätzen und die Mail versehentlich löschen.
  • Sicherer sei zweite Lösung, bei der alle eingehenden Dokumente automatisch archiviert werden, noch bevor der Mitarbeiter sie gelesen hat. Allerdings könnten Sie hier Probleme mit dem Datenschutz bekommen – wenn Sie nämlich Ihren Mitarbeitern erlauben, private Mails zu schreiben bzw. solche nicht ausdrücklich verbieten. Dann entsteht eine „betriebliche Übung“, d.h. der Mitarbeiter erwirbt das Recht, private Mails von seinem Arbeitsplatz zu schreiben. Gleichzeitig werden Sie zum Telekommunikationsanbieter und unterliegen dem Fernmeldegeheimnis. Die Mails Ihrer Mitarbeiter sind dann für Sie tabu.

„Am besten schreiben Sie gleich in den Arbeitsvertrag, dass privates Mailen und Surfen verboten ist“, rät Göbel. „Dann kann keine betriebliche Übung entstehen – wenn Sie regelmäßige Kontrollen durchführen und erwischte Mitarbeiter abmahnen.“

Serie: Datenschutz
Teil 1 erklärt, wann Unter­nehmen einen Be­auf­tragten für den Daten­schutz brau­chen und wa­rum ex­terne Pro­fis oft die bes­sere Wahl sind. Teil 2 setzt aus­einander, wie Be­triebs­rat und Mit­arbeiter am besten mit­spielen und was in den Ver­fahrens­plänen stehen muss. Teil 3 geht das The­ma von der an­deren Sei­te an und fragt, was der Wirt­schafts­prüfer bei der Kon­trolle zu Ge­sicht be­kommen darf. Teil 4 stellt ein Schutz­klassen­system vor und be­trachtet Daten­schutz und EDV-Com­pliance als Wett­bewerbs­vorteil.

Sollte das Kind schon in den Brunnen gefallen sein, ist es sicher das Beste, den Mitarbeiter ein Formular unterzeichnen zu lassen, auf dem Sie darauf hinweisen, dass das private E-Mailen verboten ist, und um eine schriftliche Bestätigung bitten. Damit wird der Arbeitsvertrag geändert. „Änderungskündigungen, bei denen das Arbeitsverhältnis gekündigt und unter neuen Bedingungen fortgeführt werden, sind teuer“, gibt Andreas Göbel zu bedenken. „Wenn der Mitarbeiter aber die Unterschrift verweigert, führt kein Weg daran vorbei. Und die Klage werden Sie gewinnen, da es sehr viele gute Gründe gegen das private Mailen gibt.“ Allen voran die, dass sie das Virenrisiko beträchtlich erhöhen.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Nun wollen Mitarbeiter aber nun einmal privat surfen. Wie das Problem also lösen? „Auf keinen Fall, indem Sie Mails von kostenlosen Internet-Konten erlauben“, warnt Göbel. „Damit unterlaufen Sie den Virenschutz, weil Sie die Firewall umgehen.“ Der Fachmann rät dazu, einen Rechner, der nicht an das Netzwerk angeschlossen ist, für solche Zwecke freizugeben.

„Ansonsten sind Geschäftsmails keine datenschutzrechtlich schützenswerten Dokumente, da es sich ja nicht um personenbezogene Daten handelt“, sagt Göbel. „Der Kauf von teuren Maschinen durch einen Einzelunternehmer leistet zwar eine persönliche Aussage über ihn, die der Prüfer aber einsehen darf.“

Ein Schutzklassensystem für Firmendaten stellt Teil 4 dieser Serie vor. Außerdem geht er genauer darauf ein, warum der Datenschutz zunehmend geschäftskritisch wird.

Nützliche Links