Kostenlose Ratgeber
Icon Shop
Shop
Icon Ratgeber
Ratgeber
Suche
Suche
Suche
Alle Ergebnisse anzeigen
Infografik zum Datenschutz von Organigrammen

Organigramme: Wie sichern Sie den Datenschutz?

Datenschutz
6 min | Stand 13.10.2023
Andreas Würtz
Nichts ist so beständig wie der Wandel – das gilt sicher auch für Ihr Unternehmen: Neue Geschäftsbereiche oder Abteilungen kommen hinzu, andere werden geschlossen oder umbenannt. Gerade im Herbst ändert sich viel oder wird aktualisiert – auch Organigramme. Diese gehen oft mit personenbezogenen Daten einher. Deshalb dürfen Unternehmen den Datenschutz bei Organigrammen auf keinen Fall vergessen. Damit die Neustrukturierung nicht zur Datenschutzfalle wird, achten Sie auf diese Punkte!
Inhaltsverzeichnis

Datenschutzfalle: Die Risiken von Organigrammen im Datenschutz

Wer in welchem Unternehmensbereich arbeitet, wer Führungskraft und wer Mitarbeiter ist und wie die Berichtswege verlaufen – darüber geben typischerweise Organigramme Auskunft. Das ist praktisch, denn anhand dieser Informationen, kann man sich einen Überblick über die aktuelle Unternehmensstruktur verschaffen und z. B. passende Ansprechpartner schnell ausfindig machen. Kommen beim Inhalt des Organigramms allerdings datenschutzrechtliche Aspekte zu kurz, kann es dabei auch schnell zum Datenschutzproblem werden. Grund genug für Sie, bei Organigrammen einmal genauer hinzuschauen, um nicht in die Datenschutzfalle zu tappen.

Erlaubnisvorbehalt nach DSGVO: Wann die Verwendung personenbezogener Daten erlaubt ist

Im Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt: Personenbezogene Daten zu verarbeiten ist grundsätzlich verboten. Das ist nur ausnahmsweise erlaubt, und zwar nur dann, wenn sich dies auf eine entsprechende Rechtsgrundlage stützen lässt, nämlich unter Erlaubnisvorbehalt. Dieses Grundprinzip des Datenschutzes ist in Art. 6 Abs. 1 Datenschutz-Grundverordnung (DSGVO) verankert. Hier sind auch die Bedingungen zu finden, unter welchen die Verwendung personenbezogener Daten erlaubt ist.

Nehmen Sie die Organigramme und die dort enthaltenen personenbezogenen Daten unter die Lupe. Orientieren Sie sich neben der DSGVO an den folgenden Schritten, um Ihr Organigramm zu prüfen und die Datenschutzfalle zu umgehen:

Schritt 1: Überprüfen der Rahmenbedingungen von Organigrammen

Beginnen Sie mit der Analyse der vorhandenen Organigramme in Ihrem Unternehmen. Nehmen Sie sich ausreichend Zeit, um diese gründlich zu durchleuchten. Dies schließt die Untersuchung ihrer Speicherorte ein, wie beispielsweise das Intranet oder Anwendungen, die von externen Anbietern betrieben werden. Hierbei sollten Sie auch datenschutzrechtliche Fragen in Betracht ziehen, wie die Sicherheit der Datenverarbeitung gemäß Artikel 32 der Datenschutz-Grundverordnung (DSGVO) und die Umsetzung der Anforderungen zur Auftragsverarbeitung gemäß Artikel 28 der DSGVO.

Ebenfalls klären Sie, ob es generelle Organigramme gibt oder ob spezifische Organigramme in verschiedenen Abteilungen oder für bestimmte Personengruppen existieren. Es könnte auch detaillierte Übersichten in Veröffentlichungen oder im Intranet geben, die Verantwortlichkeiten, Aufgabenbereiche und Schwerpunkte genauer darstellen. Hierbei sollten Sie erneut datenschutzrechtliche Fragen beachten.

Expertentipp: Reden Sie mit den zuständigen Personen der Organigramme

Das Erstellen von Organigrammen erfordert oft die Zusammenarbeit mit entsprechend zuständigen Mitarbeitern, wie beispielsweise in der Personalabteilung oder im Büro der Geschäftsführung. Diese Gespräche bieten die Möglichkeit, Informationen über vorhandene Organigramme und den Prozess ihrer Erstellung zu sammeln. Sie können auch Datenschutzaspekte ansprechen, die in zukünftigen Versionen berücksichtigt werden sollten.

Schritt 2: Überprüfen der Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten in Organigrammen kann sich aus verschiedenen Quellen ergeben, wie der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG), anderen gesetzlichen Regelungen oder der Einwilligung der betroffenen Person. In den meisten Fällen sind die Vorschriften gemäß Artikel 6 Absatz 1 der DSGVO und § 26 Absatz 1 des BDSG relevant.

Für Ihre Überprüfung bedeutet dies, dass Sie bei jeder im Organigramm enthaltenen Information die Frage stellen sollten, ob sie beispielsweise gemäß § 26 Absatz 1 Satz 1 des BDSG für die Verwaltung von Arbeitsverhältnissen erforderlich ist. Dies ermöglicht das Argument, dass Organigramme unverzichtbar sind, damit Mitarbeiter ihren arbeitsvertraglichen Verpflichtungen nachkommen können und die Zusammenarbeit innerhalb des Unternehmens besser organisiert wird.

Möglichkeit 1: Das überwiegende Interesse

Eine alternative Möglichkeit besteht darin, sich auf Artikel 6 Absatz 1 Satz 1 Buchstabe f der DSGVO zu stützen. In diesem Fall muss Ihr Unternehmen als Verantwortlicher die Interessen des Unternehmens und der betroffenen Person abwägen. Diese Abwägung sollte zu Gunsten des berechtigten Interesses Ihres Unternehmens ausfallen.

In diese erforderliche Interessenabwägung kann beispielsweise das berechtigte Interesse Ihres Unternehmens an einer effizienten Unternehmensorganisation mithilfe eines Organigramms einbezogen werden. Dies erfordert jedoch die Prüfung jedes einzelnen Typs von Informationen im Organigramm, wie beispielsweise Namen, Abteilungsbezeichnungen, Aufgaben und Fotos, um festzustellen, ob die Interessen der betroffenen Person das berechtigte Interesse des Unternehmens überwiegen.

Expertentipp: Erforderlichkeit steht bei Organigrammen im Fokus

Wenn Sie mit der Aussage konfrontiert werden, dass bestimmte Informationen im Organigramm notwendig sind, weil es ohne sie unbrauchbar wäre, sollten Sie nicht einfach zustimmen. Stattdessen sollten Sie gemeinsam mit Ihrem Kollegen eine sorgfältige Überprüfung der Erforderlichkeit durchführen. Eine Information im Organigramm muss folgende Kriterien erfüllen, um als gerechtfertigt zu gelten:

  1. Sie muss geeignet sein, um legitime Ziele zu erreichen, wie die Förderung der effektiven Zusammenarbeit oder die Darstellung von Hierarchien.
  2. Sie muss erforderlich sein, wobei keine milderen Alternativen zur Verfügung stehen sollten, die weniger in die Privatsphäre der betroffenen Personen eingreifen (d.h., Beschränkung auf das Notwendige).
  3. Sie muss angemessen sein, was bedeutet, dass die Verarbeitung nicht unverhältnismäßig zum verfolgten Zweck sein darf.

Folglich können Sie schlussfolgern, dass Informationen, die keinen direkten Bezug zum Unternehmen und den beruflichen Aktivitäten der betroffenen Person haben, in der Regel kritisch betrachtet werden sollten. Nicht erforderliche Informationen umfassen in der Regel beispielsweise:

  • Fotos der Mitarbeiter
  • Private Informationen wie Geburtsdatum, private Kontaktdaten und
  • Angaben zum Leben außerhalb des Arbeitsverhältnisses

Es ist wichtig zu betonen, dass das Organigramm auch ohne Fotos und private Informationen funktioniert. Bei arbeits- und organisationsrelevanten Informationen wie Abteilung, Aufgabenbereich oder Verantwortungsbereich dürfte die Interessenabwägung in der Regel zugunsten Ihres Unternehmens ausfallen.

Möglichkeit 2: Einholen von Einwilligungen für die Organigramm-Daten

Wenn sich eine im Organigramm enthaltene Information nicht auf eine der genannten gesetzlichen Rechtsgrundlagen stützen lässt, bedeutet das nicht automatisch, dass sie unzulässig ist. Stattdessen können zusätzliche Informationen auf der Grundlage der Einwilligung der betroffenen Person verarbeitet werden.

Wichtige Aspekte bei der Einholung von Einwilligungen sind:

  • Die Einwilligung muss freiwillig erfolgen, ohne Zwang für den Mitarbeiter.
  • Der Mitarbeiter hat das Recht, die Einwilligung in der Zukunft zu widerrufen, und darauf muss hingewiesen werden.
  • Die Einwilligung sollte schriftlich oder elektronisch erklärt werden, um sicherzustellen, dass sie nachgewiesen werden kann.

Schritt 3: Handlungsbedarf erkennen und Maßnahmen ergreifen

Wenn Sie feststellen, dass etwas im Organigramm nicht den rechtlichen Anforderungen entspricht, ist die Vorgehensweise klar: Es muss eine Anpassung vorgenommen werden. Treten Sie in Kontakt mit den zuständigen Kollegen und nutzen Sie diese Gelegenheit, um Ihr Fachwissen zu teilen. Dies kann beispielsweise durch die Bereitstellung einer kurzen Checkliste erfolgen, mit der sie eine erste Bewertung selbst durchführen können.

Checkliste zur Prüfung des Datenschutzes bei Organigrammen

Frage zum PrüfenErklärung des Prüfpunktes
Halten Sie die im Organigramm enthaltenen Informationen alle für notwendig?Stellen Sie sich die Frage, ob die jeweilige Information für die Organisation und den reibungslosen Ablauf des Unternehmens unerlässlich und somit erforderlich ist.
Haben Sie das Minimalprinzip beachtet?Verwenden Sie ausschließlich die minimal erforderlichen personenbezogenen Daten, um den beabsichtigten Zweck zu erfüllen. Alle Informationen, die nicht zur besseren Veranschaulichung der Organisationsstruktur notwendig sind, sollten entfernt werden.
Betreffen alle Informationen organisatorisches oder berufliches?Untersuchen Sie bitte jede individuelle Information und prüfen Sie, ob sie eher persönlichen und außerdienstlichen Charakter hat oder mit dem Leben außerhalb der Arbeitswelt in Verbindung steht. Beachten Sie, dass die Veröffentlichung privater Informationen wie Geburtsdatum, Hobbys, private Kontaktdaten, Wohnort oder familiäre Verhältnisse im Allgemeinen nicht gestattet ist. Dies ist nur dann möglich, wenn der Mitarbeiter seine Einwilligung dazu völlig freiwillig erteilt.
Wurde bei privaten Informationen die Einwilligung eingeholt? Wenn in das Organigramm eher persönliche Informationen (wie beispielsweise Fotos, Geburtstage oder private Kontaktdaten) und nicht unbedingt erforderliche Angaben aufgenommen werden sollen, ist dies in der Regel nur dann zulässig, wenn die betroffene Person ausdrücklich ihre Einwilligung erteilt. Die genauen rechtlichen Rahmenbedingungen ergeben sich aus § 26 Absatz 2 des Bundesdatenschutzgesetzes (BDSG) und den Artikeln 7 sowie 4 Nummer 11 der Datenschutz-Grundverordnung (DSGVO).
Wurden oder werden die Daten in regelmäßigen Abstanden geprüft?Wenn Mitarbeiter das Unternehmen verlassen, ist es unerlässlich, das Organigramm unverzüglich anzupassen. Schließlich besteht keine rechtliche Grundlage mehr für die Verarbeitung ihrer personenbezogenen Daten.
Checkliste für mehr Datenschutz in Organigrammen
Von: Andreas Würtz

Andreas Würtz ist Rechtsanwalt und widmet sich in erster Linie Fragen aus dem Datenschutz- und Arbeitsrecht. Er ist zertifizierter Datenschutzbeauftragter, Privacy Professional (CIPP/E, CIPM, FIP), ISO-27001-Lead-Auditor und Krisenkommunikationsmanager. Seit 2005 berät er Unternehmen, vom Start-up bis zum internationalen Konzern, wie man datenschutzrechtlichen Anforderungen gerecht werden kann. Sein Know-how und seine Erfahrungen machen ihn zum Profi aus der Praxis.

Andreas Würtz
Mehr zum Thema Datenschutz
Zeitaufwand als Datenschutzbeauftragter berechnen – so geht’s
Viele Datenschutzbeauftragte stehen vor der Herausforderung, die ihnen zugewiesenen Aufgaben angemessen zu bewältigen, was oft mehr Zeit erfordert, als zur Verfügung steht. In solchen Fällen bietet es sich...
Aufgaben vom Datenschutzbeauftragten – umfassender Überblick
Der Datenschutz im Unternehmen ist ein zunehmend wichtiger Aspekt, der in der heutigen Welt eine immer größere Rolle spielt. Unternehmen müssen sich an zahlreiche Vorschriften halten, um sicherzustellen,...
Datenschutzbeauftragter – ab wann besteht Bestellpflicht?
Viele Unternehmen, die personenbezogene Daten von Mitarbeitern oder auch Kunden verarbeiten, stellen sich früher oder später die Frage, ob sie eigentlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind. In...
Datenschutz-Sensibilisierung: So sensibilisieren Sie Ihre Mitarbeiter
Datenschutz ist in aller Munde – trotzdem scheinen viele Menschen nicht zu wissen, was Datenschutz in der Praxis wirklich bedeutet. Mit cleveren Awareness- und Kommunikationsmaßnahmen bringen Sie den...
Datenschutz in sozialen Netzwerken: Tipps für Unternehmen und Mitarbeiter
In der Ära der digitalen Vernetzung sind soziale Netzwerke zu einem unverzichtbaren Bestandteil unseres persönlichen und beruflichen Lebens geworden. Sie bieten Unternehmen die Möglichkeit, mit Kunden zu interagieren,...
Technisch-organisatorische Maßnahmen (TOM) gemäß DSGVO und BDSG
Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass die Verarbeitung personenbezogener Daten einheitlich geschützt werden muss. Dazu zählen auch die Technisch-organisatorischen Maßnahmen, kurz „TOM“. Worum es sich dabei genau handelt...
Einführung neuer Software zur Verarbeitung personenbezogener Daten + Checkliste
Mit der DSGVO sind höhere Anforderungen an die Datenschutzbewertung von Datenverarbeitungen entstanden, indem der risikobasierte Ansatz betont wird. Die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte von...
Datenschutz im Gesundheitswesen: Umgang mit Gesundheitsdaten
Im Gesundheitsbereich kommen viele private Informationen zusammen, die streng vertraulich behandelt werden müssen, was einige Herausforderungen mit sich bringt. Im Zuge der voranschreitenden Digitalisierung von Krankenhäusern, Arztpraxen, Pflege-...
Auskunftsrecht: Wie erfüllen Sie das Recht auf Auskunft?
Die in der DSGVO geregelten Rechte der betroffenen Personen und die darin enthaltenen Informations- und Auskunftspflichten verfolgen das Ziel, Transparenz herzustellen und den betroffenen Personen Kontrolle über die Verwendung ihrer...
Datensicherung im Unternehmen: Daten mit Backups sichern
In der heutigen Zeit kann kaum ein Unternehmen noch ohne Daten, insbesondere personenbezogene Daten, bestehen. Selbst wenn diese nur unbeabsichtigt beschädigt oder verloren gehen, kann dies für viele...
IT-Grundschutz implementieren | Pflicht, Inhalte & Standards
Der IT-Grundschutz ist für jedes Unternehmen, welches datenschutzrechtlich auf der sicheren Seite sein möchte, essenziell. Doch welche Inhalte umfasst der IT-Grundschutz und auf welchen Standards basiert eben dieser?...
Betrieblich genutzte Smartphones und Datenschutz – so geht’s
Seit Einführung der neuen Datenschutz-Grundverordnung herrscht in vielen Bereichen Unsicherheit. Was ist erlaubt? Worauf muss man achten? Wir widmen uns heute dem Thema Datenschutz und Handy und gehen...
Zugriffskontrolle: So verhindern Sie unerlaubte Datenzugriffe
Mit der neuen Datenschutzgrundverordnung sind weiterhin zahlreiche technische und organisatorische Maßnahmen zu treffen, die in Art. 32 DSGVO geregelt sind. Dazu gehört es auch, unberechtigte Zugriffe zu erkennen und erfolgreich...
Werbeeinwilligung nach DSGVO: Wann ist eine Einwilligung nötig?
Als Datenschutzbeauftragter sind Sie in erster Linie Berater in Datenschutzfragen. Dabei gibt es zahlreiche Fragestellungen, die auf den ersten Blick ziemlich banal ausschauen. Doch wenn Sie sich intensiver...
So geht IT-Notfallplanung für Unternehmen
Die digitale Infrastruktur eines Betriebs ist essenziell für dessen Funktionsfähigkeit. Ausfälle können zu signifikanten finanziellen Einbußen, Schäden am Unternehmensimage und Compliance-Verstößen führen. Daher ist ein durchdachter IT-Notfallplan unverzichtbar....
Datenschutzschulung für Mitarbeiter: Pflicht, Schritte & Inhalte
Der Schutz von personenbezogenen Daten sollte in Unternehmen aller Größenordnungen Priorität haben. Ein professioneller Fokus auf Datenschutzrichtlinien der DSVO und BDSG und eine verantwortliche Umsetzung ist für jeden...
Bestellung des Datenschutzbeauftragter: Ablauf, Voraussetzungen & Muster + Checkliste
Die Bestellung des Datenschutzbeauftragten birgt für Unternehmen leider einige Fallstricke, die es zu vermeiden gilt. Ansonsten besteht die Gefahr, dass die Benennung des Datenschutzbeauftragten als nicht betrachtet wird....
Ausgeschiedene Mitarbeiter: Vorsicht bei der Löschung des E-Mail-Postfachs
Die Nutzung von E-Mails als Kommunikations- und Arbeitsmittel gehört bestimmt auch in Ihrem Unternehmen zum Alltag. Und vielleicht ist es in Ihrem Unternehmen sogar so, dass man hinsichtlich...
Die Personalakte: Wer sie sonst noch einsehen darf
Die Personalakten unterliegen dem Grundsatz der Vertraulichkeit. Demnach müssen Sie die Personalakte vertraulich behandeln und vor Einsicht durch unbefugte Dritte schützen. Mitglieder Ihres Betriebsrats können unter Umständen auch...
Urlaubslisten: Hier schlägt der Datenschutz erbarmungslos zu!
Ein Leser hat Probleme mit den Urlaubslisten, die in seinem Betrieb ausliegen. Einige Arbeitnehmer möchten das nicht und argumentieren, dass solche Listen gegen den Datenschutz verstoßen. Liegen sie...
Die acht Grundregeln des Datenschutzes
Kennen Sie schon die „8 Grundregeln des Datenschutzes“? Sie ergeben sich aus den Nr. 1 bis 8 der „Anlage zu § 9 Satz 1“ des BDSG. Sie stellen...
Hinweis: Selbstverständlich können Sie unsere kostenlosen Sonder-Reports auch ohne einen E-Mail-Newsletter anfordern. Schreiben Sie uns dafür einfach eine kurze Email. Wenn Sie den schnellsten Weg beibehalten wollen gilt wie immer unser Versprechen: Alle ausgewiesenen Sonder-Reporte sind zu 100% kostenlos und jeden Newsletter können Sie sofort am Ende des Newsletters wieder abbestellen.