Im April befasste sich ein Beitrag bereits mit dem Inhalt einer Artikel 13, 14 DSGVO-Information.
Nun möchten wir die Art der Bereitstellung von Datenschutzhinweisen einmal näher beleuchten – und dort die Frage, ob eine Veröffentlichung von Datenschutzhinweisen für Mitarbeiter im Intranet als ausreichend bewertet werden kann.
Nach Art. 12 DSGVO trifft der Verantwortliche geeignete Maßnahmen, „um der betroffenen Person alle Informationen gem. den Artikeln 13 und 14 […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln […].“ (Fettung nicht im Original)
Erstinformation
Beschäftigte sind grundsätzlich bereits vor bzw. spätestens bei Erhebung der Daten über die Verarbeitung zu informieren. Dies kann z. B. durch ein separates Informationsblatt, welches dem Personalfragebogen oder dem Arbeitsvertrag beigefügt ist, umgesetzt werden. Möglich ist auch ein Aushang des Informationsblatts oder eine Veröffentlichung der Information im Intranet. Empfehlenswert können zudem Datenschutz-Dashboards sein, die auf der eigenen Webseite integriert werden. Hierüber können z. B. eine Vielzahl von Betroffenengruppen informiert werden.
Aktualisierung bei Änderungen
Im Falle von Änderungen bestehender Datenverarbeitungsprozesse oder der Einführung neuer Prozesse muss die Erst-Information für neue Mitarbeiter entsprechend angepasst werden bzw. muss das „Bestandspersonal“ mithilfe einer (Folge-)Information, die wiederum als Aushang / im Intranet veröffentlicht oder als Rund-Mail verschickt wird, über die Änderung informiert werden.
Transparenz und Zugänglichkeit
Wichtig ist, dass die Betroffenen selbst tatsächlich die Möglichkeit haben, die Datenschutzhinweise zur Kenntnis zu nehmen und erkennen zu können, welche Datenschutzhinweise für sie gelten. Insofern sollte vorab geprüft werden, ob z. B. jedem Mitarbeiter ein Computer zugänglich ist, mittels dessen die Datenschutzhinweise im Intranet aufgerufen werden können oder ob es nicht ergänzend notwendig wird, z. B. einen Aushang am Schwarzen Brett anzubringen.
Zudem kann es sich auch im Falle von mehreren Betroffenengruppen und Verarbeitungstätigkeiten im Sinne der Transparenz eignen, vorab eine kurze Beschreibung der verschiedenen Betroffenengruppen oder ein Inhaltsverzeichnis einzubinden.
Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) empfiehlt z. B. im Ratgeber Beschäftigtendatenschutz, Stand April 2020, dort. S. 15, im Beschäftigtendatenschutz den Arbeitgebern, „[…] die Informationspflichten gegenüber den Mitarbeitern in einer Form vorzunehmen, die es den Beschäftigten jederzeit ermöglicht, die Information abzurufen. Hierfür können die im Unternehmen üblicherweise zur Verfügung stehende Kanäle genutzt werden, wie zum Beispiel Veröffentlichungen im Intranet, ein zentraler Aushang am schwarzen Brett oder eine entsprechende E-Mail an alle Mitarbeiter.“
Fazit
Datenschutzinformationen dienen dazu, Betroffene über die Verarbeitung ihrer Daten zu informieren. Nun dürfte es stets eine Vielzahl von Datenverarbeitungen geben, über die ein Verantwortlicher informieren muss. Auch gibt es unterschiedliche Betroffenengruppen, die es zu berücksichtigen gilt. Um die Datenschutzinformationen so transparent wie möglich zu gestalten, empfiehlt es sich daher, diese thematisch zu trennen bzw. je Zielpublikum unterschiedliche Datenschutzinformationen bereitzustellen. Schließlich ist bei der Wahl der Art der Bereitstellung der Informationen darauf zu achten, dass diese auch sämtlichen Betroffenen zugänglich ist.