Organigramme: Diese 3 Schritte schützen vor der Datenschutzfalle

Organigramme: Diese 3 Schritte schützen vor der Datenschutzfalle

Nichts ist so beständig wie der Wandel – das gilt sicher auch für Ihr Unternehmen: Neue Geschäftsbereiche oder Abteilungen kommen hinzu, andere werden geschlossen oder umbenannt. Gerade im Herbst ändert sich viel oder wird aktualisiert – auch Organigramme.

Diese gehen oft mit personenbezogenen Daten einher. Deshalb dürfen Unternehmen den Datenschutz bei Organigrammen auf keinen Fall vergessen. Damit die Neustrukturierung nicht zur Datenschutzfalle wird, achten Sie auf diese Punkte!

Datenschutzfalle: Die Risiken von Organigrammen im Datenschutz

Wer in welchem Unternehmensbereich arbeitet, wer Führungskraft und wer Mitarbeiter ist und wie die Berichtswege verlaufen – darüber geben typischerweise Organigramme Auskunft. Das ist praktisch, denn anhand dieser Informationen, kann man sich einen Überblick über die aktuelle Unternehmensstruktur verschaffen und z. B. passende Ansprechpartner schnell ausfindig machen. Kommen beim Inhalt des Organigramms allerdings datenschutzrechtliche Aspekte zu kurz, kann es dabei auch schnell zum Datenschutzproblem werden. Grund genug für Sie, bei Organigrammen einmal genauer hinzuschauen, um nicht in die Datenschutzfalle zu tappen.

Erlaubnisvorbehalt nach DSGVO: Wann die Verwendung personenbezogener Daten erlaubt ist

Im Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt: Personenbezogene Daten zu verarbeiten ist grundsätzlich verboten. Das ist nur ausnahmsweise erlaubt, und zwar nur dann, wenn sich dies auf eine entsprechende Rechtsgrundlage stützen lässt, nämlich unter Erlaubnisvorbehalt. Dieses Grundprinzip des Datenschutzes ist in Art. 6 Abs. 1 Datenschutz-Grundverordnung (DSGVO) verankert. Hier sind auch die Bedingungen zu finden, unter welchen die Verwendung personenbezogener Daten erlaubt ist.

3 Schritte: So prüfen Sie Ihr Organigramm auf Rechtssicherheit

Nehmen Sie die Organigramme und die dort enthaltenen personenbezogenen Daten unter die Lupe. Orientieren Sie sich neben DSGVO und Bundesdatenschutzgesetz (BDSG) an den folgenden Schritten, um Ihr Organigramm zu prüfen und die Datenschutzfalle zu umgehen:

Schritt 1: Prüfen Sie die Rechtsgrundlage

Die entsprechende Rechtsgrundlage für die in einem Organigramm enthaltenen personenbezogenen Daten kann sich grundsätzlich aus der DSGVO, dem Bundesdatenschutzgesetz (BDSG), einer anderen gesetzlichen Regelung oder der Einwilligung der betroffenen Person ergeben. Die Regelungen aus Art. 6 Abs. 1 DSGVO und § 26 Abs. 1 BDSG sind hier ausschlaggebend. Für Ihre Prüfung bedeutet das: Stellen Sie sich bei jeder im Organigramm enthaltenen Information die Frage, ob diese beispielsweise für die Durchführung von Beschäftigungsverhältnissen gemäß § 26 Abs. 1 BDSG erforderlich ist.

Eine andere mögliche – und in der Regel die einschlägige – Rechtsgrundlage ist Art. 6 Abs. 1 Buchst. f DSGVO. Voraussetzung ist allerdings, dass Ihr Unternehmen als Verantwortlicher seine Interessen und die des Mitarbeiters als betroffene Person abwägen muss. Und diese Abwägung muss zugunsten Ihres Unternehmens ausfallen. In die notwendige Interessenabwägung kann beispielsweise das berechtigte Interesse Ihres Unternehmens an einer effektiven Unternehmensorganisation auf Basis eines Organigramms einbezogen werden. Das bedeutet allerdings auch, dass Sie jede einzelne, im Organigramm enthaltene Information prüfen müssen, um festzustellen, ob nicht die Interessen des Betroffenen das berechtigte Interesse des Unternehmens überwiegen.
Wichtig: Kommen Sie zu dem Ergebnis, dass ein berechtigtes Interesse gemäß den Vorgaben aus Art. 6 Abs. 1 Satz Buchst. f DSGVO zur Verarbeitung von personenbezogenen Daten besteht, ist den betroffenen Personen gem. Art. 21 Abs. 1 Satz 1 DSGVO ein Widerspruchsrecht einzuräumen.

Schritt 2: Nehmen Sie Einwilligungen unter die Lupe

Bei Informationen wie „Abteilung und Aufgabengebiet“ dürfte die oben genannte Interessenabwägung zugunsten Ihres Unternehmens ausfallen. Bei zusätzlichen Informationen wie Geburtsdatum oder einem Foto des betreffenden Mitarbeiters sieht die Sache jedoch ganz anders aus. Hier können Sie schnell in die Datenschutzfalle tappen. Es gilt die Faustregel: Alle Informationen, die nicht in direktem Zusammenhang mit dem Unternehmen und der beruflichen Tätigkeit der betreffenden Person stehen, sind grundsätzlich kritisch zu sehen.

Dazu gehören vor allem auch Angaben über das Privatleben oder die Freizeitgestaltung des Mitarbeiters wie beispielsweise Geburtsdatum, private Kontaktdaten, familiäre Verhältnisse, Hobbys, aber auch ein Foto des Mitarbeiters. Diese Informationen sind grundsätzlich für den Zweck des Organigramms als nicht erforderlich einzustufen. Bei dieser Art von Angaben ist das überwiegende schutzwürdige Interesse des Betroffenen problemlos festzustellen – daraus folgt wiederum ein Verbot der Verwendung solcher Informationen im Organigramm.

Einwilligung nach DSGVO und BDSG für private Informationen

Die berufliche Tätigkeit ist klar von dem Privatleben des Mitarbeiters zu trennen – das heißt: Lässt sich die im Organigramm enthaltene Information nicht auf eine der genannten gesetzlichen Rechtsgrundlagen stützen, bleibt – für diese Information – grundsätzlich nur der Weg der Einwilligung. Das bedeutet, dass der betreffende Mitarbeiter sich damit einverstanden erklärt, bestimmte Informationen über ihn in das Organigramm aufzunehmen. Dabei sind die Regelungen des § 26 Abs. 2 BDSG zu berücksichtigen, wobei der Freiwilligkeit besondere Bedeutung beikommt. Um die Einwilligung wirksam zu gestalten, sind außerdem die Anforderungen aus Art. 7 und 4 Nr. 11 DSGVO zu erfüllen.

Beachten Sie: Die Einwilligung ist nur wirksam, wenn die betroffene Person sie freiwillig abgibt. Das bedeutet, der Mitarbeiter darf nicht zu einer bestimmten Entscheidung gedrängt werden. Außerdem kann der Mitarbeiter diese Einwilligung in der Zukunft widerrufen, darauf muss er hingewiesen werden. Wird die Einwilligung nicht den gesetzlichen Vorgaben entsprechend erteilt oder wird sie widerrufen, ist sie unwirksam und somit fehlt die Rechtsgrundlage.

Schritt 3: Prüfen Sie Organigramme auf Datenschutzfallen

Eine datenschutzrechtliche Prüfung vorzunehmen gehört zu Ihren Aufgaben als Datenschutzbeauftragter. Checklisten helfen Ihnen dabei, den Überblick zu behalten, keinen wichtigen Punkt beim Thema Organigramme und Datenschutz zu vergessen und somit die Datenschutzfallen elegant zu umgehen. Aus diesem Grund können Sie unsere Checkliste zur Prüfung von Organigrammen auf Datenschutzkonformität unter https://premium.vnr.de/datenschutz-aktuell-online herunterladen.