Seit Ende Dezember des letzten Jahres führt das BAyLDA wieder eine breit angelegte, anlasslose Datenschutzprüfung im nichtöffentlichen Bereich durch. Aktuell wird dabei die „datenschutzgerechte Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ geprüft.

GRUND DER PRÜFUNG

Wer ein entsprechendes Ankündigungsschreiben der Aufsichtsbehörde erhält, erfährt darin, dass die Prüfung angestoßen wurde, da das BayLDA immer wieder Anfragen erreichen – sowohl von Beschäftigten als auch von Arbeitgebern – ob und in welchem Umfang die private Nutzung von Telefon, Internet und E-Mail überwacht werden darf.

GRAVIERENDE FEHLER

Im Rahmen der Beratungstätigkeit ist der Aufsichtsbehörde aufgefallen, dass hier teils gravierende Datenschutzverstöße durch die Arbeitgeber passieren, die sogar teilweise strafrechtliche Konsequenzen haben können. Die Tatsache, dass diese meist aus Unkenntnis resultieren, schützen dabei aber nicht vor Strafe.

DER FRAGEBOGEN

Der Fragebogen konzentriert sich auf die fünf Punkte E-Mail-Nutzung, Internetnutzung, Berufsgeheimnisträger, Spamfilter und Datenschutzbeauftragter. Dabei ist von entscheidender Bedeutung ob private E-Mail- und Internetnutzung ausdrücklich erlaubt, verboten oder geduldet ist. Sind diese z. B. ausdrücklich gestattet oder geduldet, so will man hier auch entsprechende Vereinbarungen und Verhaltensregeln sehen. Auch möchte das BayLDA dann wissen, wie im Falle von Krankheit oder Ausscheiden des Mitarbeiters mit dessen elektronischen Postfach verfahren wird. Hier kommt das Stichwort „Einwilligung“ ins Spiel. Bei der Internetnutzung kommen noch die log-Daten dazu: Wie lange werden diese gespeichert? Wird eine private Nutzung darin überprüft? Erfolgt eine Verhaltens- und Leistungskontrolle anhand der Daten? usw.
Was Berufsgeheimnisträger angeht, so interessiert vor allem, ob diese spezielle Funktionspostfächer besitzen und wie gewährleistet wird, dass E-Mails an diese nicht durch Geschäftsleitung oder sonstige gelesen werden können.
Aber auch der Spamfilter haben Relevanz für die Behörde: Findet eine zentrale Spamfilterung statt? Wurden die Arbeitnehmer darauf hingewiesen? Und was passiert mit den „Spam-Mails“ nach der Filterung?
Letztlich wird noch abgefragt ob der Datenschutzbeauftragte -sofern das Unternehmen einen hat- bisher in die Rechtmäßigkeit personenbezogener Kontrollen einbezogen wurde und falls nein, wieso nicht.