Grundsätzlich muss bei Arbeitgebern ein Einstellungswandel stattfinden. Bislang haben sie alle erreichbaren personenbezogenen Daten gesammelt, es war nämlich einfach und die Daten sind leicht verfügbar. Nunmehr ist das Sammeln und Verarbeiten der personenbezogenen Daten grundsätzlich verboten, es sei denn es ist ausdrücklich erlaubt. Daher muss jeder Arbeitgeber bei jedem Bearbeitungsvorgang dieser Daten (Erfassen, Übertragen, Bearbeiten usw.) die Frage stellen, ist das notwendig oder durch eine Einwilligung des Arbeitnehmers gedeckt?
Personenbezogene Daten sind in diesem Zusammenhang nicht nur besonders sensible Daten (Geburtsdatum, Religionszugehörigkeit usw.), sondern auch Wohnort, Telefonnummer und sogar eine personalisierte E-Mail-Adresse.
Dieser inhaltliche Datenschutz ist durch technische und organisatorische Maßnahmen zu flankieren. Hier lohnt sich tatsächlich die Hilfestellung durch einen Experten. Einen Datenschutzbeauftragten braucht der Arbeitgeber hingehen nur dann, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das dürfte bei der reinen Lohnbuchhaltung mittelständiger Betriebe eher die Ausnahme sein.
Praxistipp:
Die neue Daten-Compliance beginnt mit dem Bewusstsein der Sensibilität personenbezogener Daten. Der Rest besteht aus durchaus erlernbaren und verständlichen Verfahrensregeln.