Gerade mal im Internet geprüft, was die Arbeitsrechts-Szene in Hamburg aktuell umtreibt. Bin dabei auf die Website eines Kollegen gelangt, der mal vor fachkundigem Publikum (Anwälte und Richter) einen Vortrag zum Thema Beschäftigtendatenschutz gehalten hat. Ich gebe zu, dass ich selber nur da war um herauszufinden, wie ich im Vergleich zur Konkurrenz aufgestellt bin. Nach dem Vortrag war ich sehr beruhigt. Das hätte ich besser hinbekommen. Der Kollege (wie die meisten anderen Anwesenden) hat das Thema offenkundig nicht sehr tief durchdrungen. Soll nicht arrogant klingen, aber so ist es halt im Leben: Je spezieller ein Fachthema ist, umso weniger kann der Laie erkennen, ob sich ein “Experte” wirklich gut auskennt oder nur so tut als ob. Warum soll es auch bei Anwälten anders sein als beim Rest der Bevölkerung? Wissen Sie als Nicht-Arzt, ob sich Ihr Arzt wirklich extrem gut mit der Behandlung Ihres Bluthochdrucks auskennt oder das nur behauptet? Ich auch nicht…
Das lustige an der Episode war übrigens, dass ich den Kollegen später in einem öffentichen, voll besetzten Wartebereich wieder getroffen habe. Er war vertieft in das Studium von Unterlagen. Plötzlich steht der Kollege auf und legt die Unterlagen mit der “bedruckten” Seite nach oben auf seinen Sitz. Interessant, wen der Kollege da als Anwalt beraten hat 😉
Diese kleine Episode zeigt das “Problem” beim Datenschutz gut auf. Es ist sehr schwierig (um nicht zu sagen anstrengend), die datenschutzrechtlichen Vorgaben einzuhalten.
Und das bringt mich zum eigentlichen Kern meines Blog-Eintrags:
Datenschutz ist optimierbar. Ich meine damit, dass das ein Thema ist, das man sozusagen auf 100 Prozent bringen kann. Man kann Datenschutz ganz perfekt machen. In der Paxis ist das aber praktisch unmöglich. 100%iger Datenschutz ist nach meiner Überzeugung praktisch unmöglich.
Nur ein Beispiel: Jede Email müsste zweifach verschlüsselt werden (Inhalts- und Transportverschlüsselung). Jede Festplatte müsste verschlüsselt werden (z.B. mittels PGB o.Ä.). Eine elektronische Datei (mit geschützten Daten) dürfte nicht kopiert werden, beispielsweise um sie – erlaubterweise – jemand anderem zu zeigen (Grundsatz der Datensparsamkeit). Ich könnte noch viele Beispiele nennen.
Aber was ist jetzt das Fazit? Dass Datenschutz in der Praxis sowieso nicht funktioniert und das alles Unfug ist mit diesen ganzen Datenschutzregeln? Alles nur Schikane und überflüssige Arbeit?
Nein! Es lohnt sich, sich mit dem Thema zu befassen. Jede dabei gefundene und eingeführte Verbesserung des Datenschutzes ist gut! Weil es besser ist als vorher.
Die aktuelle Coronavirus-Krise hat das Thema wieder “hochgebracht”. Offenbar dämmert es jetzt vielen Mitbürgern, dass es mit den (eigenen) personenbezogenen Daten dann doch nicht ganz so einfach ist wie man es früher oft hörte: “Ich habe nichts zu verbergen, meine Daten kann jeder haben.”
Also mein Fazit: Der Schutz personenbezogener Daten ist wichtig. Man wird in der Praxis keinen perfekten/optimalen Schutz hinbekommen. Das darf aber nicht dazu führen, dass man es dann lieber gleich ganz sein lässt. Jede Verbesserung ist gut.
P.S.: Nach meiner Wahrnehmung hat sich seit Einführung der europäischen Datenschutz-Grundverordnung im Mai 2018 tatsächlich einiges verbessert. Zum Beispiel in Arztpraxen. Jahrzehntelang habe ich mich über die Nachlässigkeit von Arztpraxen geärgert, wo “gnadenlos” Namen in der Praxis ins Wartezimmer oder ins Telefon gebrüllt wurden, am besten noch verziert mit verschiedenen Gesundheitsdaten oder gerne auch mal Ergebnisse von Untersuchungen. “Herr Müller-Schulze, keine Sorge, der HIV-Test ist negativ, das ist da neulich bei … noch mal gut gegangen!”
Als Arbeitsrechtler treibt mich naturgemäß der Beschäftigtendatenschutz besonders um. Auch da beobachte ich, dass die meisten Unternehmen das Thema jetzt ernsthaft auf dem Zettel haben. Die Arbeitsunfähigkeitsbescheinigungen der Mitarbeiter werden jetzt nicht mehr auf einem große Stapel im Personalbüro (für alle einsehbar) gesammelt. Überhaupt werden Personalakten jetzt viel sorgfältiger “behandelt” als in seligen Vor-DSGVO-Zeiten. Und mittlerweile gehört es selbst in kleinen Unternehmen zum guten Ton, dass eine “BEM-Akte”, also die Unterlagen beim betrieblichen Wiedereingliederungsmanagement, besonders geschützt wird. Auch wenn neulich bei Verhandlungen einer Betriebsvereinbarung mal ein Geschäftsführer vorgeschlagen hat, bestimmte sensible Unterlagen des Betriebsrats könnten doch im Unternehmens-Safe sicher weggeschlossen werden. Das war tatsächlich gut gemeint (auch wenn es beim anwesenden Betriebsrat für eine kurze Verblüffung sorgte, weil der Geschäftsführer der einzige war, der den Schlüssel für den Safe hat). Es wurde dann vereinbart, dass auch für den Betriebsrat ein Safe angeschafft wird (und nur der Betriebsrat den Schlüssel bekommt).
Bei Verstößen gegen die Datenschutz-Grundverordnung können Bußgelder verhängt werden. Für besonders gravierende Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert höher ist.