> Beschäftigtendatenschutz

„Chef-Trojaner“ – wenn der Arbeitgeber die Grenzen des Arbeitnehmerdatenschutzes (Beschäftigtendatenschutzes) überschreitet

ArbeitnehmerdatenschutzDie zunehmende Digitalisierung kann nicht nur den Arbeitsalltag im Büro erleichtern, sondern viele Risiken im Arbeitnehmerdatenschutz respektive Beschäftigtendatenschutz hervorrufen. Der Grund ist, dass sich für Vorgesetze immer mehr Möglichkeiten zur Verhaltens- und Leistungskontrolle sowie zur Überwachung der Mitarbeiter, mittels technisch gestützter IT-Systeme,  bieten. Es ist hierbei zunächst nebensächlich in welcher sogenannten „Verantwortlichen Stelle“ (z. B. Unternehmen, Behörde , Verein oder Verband) das Problem auftritt.

Das private Surfen deutscher Arbeitnehmer soll, so zumindest die Ansicht zahlreicher Arbeitgeber, verstärkt kontrolliert werden. Der Vorgesetzte könnte sich -dank digitaler Datenströme- jederzeit ein exaktes Bild über die Aktivitäten der Mitarbeiter verschaffen, dabei spielt vielfach keine Rolle, ob der Arbeitnehmer nun im Büro, im Homeoffice oder von unterwegs per Smartphone und Tablet arbeitet.

Gründe für die ansteigende Leistungs- und Verhaltenskontrolle sind zum einen der hohe finanzielle Schaden, der dem Arbeitgeber durch das private Surfen entsteht und andererseits auch Überlegungen im Hinblick auf die sogenannte Störerhaftung, die allerdings abgeschafft werden soll. Ein wesentlich höheres Risiko, das dem Arbeitgeber durch die Privatnutzung droht, ist allerdings der Verlust von sensiblen Daten, wie zum Beispiel von Firmengeheimnissen und personenbezogenen Daten, durch bewusstes oder unbewusstes Fehlverhalten der Mitarbeiter. Zum einen steigt die Gefahr vor Viren, Trojanern und anderen Schadprogrammen zum anderen ist das Risiko höher, dass Mitarbeiter sensible Daten an Unbefugte transferieren könnten. Die technische Entwicklung ist, wie bereits erläutert, ein weiterer Faktor, der die Verhaltens- und Leistungskontrolle verstärkt und den Arbeitnehmerdatenschutz / Angestelltendatenschutz gefährdet.

Doch wie viel Kontrolle ist erlaubt? Wo sind Grenzen im Arbeitnehmerdatenschutz / Beschäftigtendatenschutz?

Wie kann überwacht werden?

Zahlreiche Überwachungsprogramme existieren bereits seit Jahren. Jedoch wurden die Produkte ursprünglich, wie bei der Remote-Desktop-Software, für andere Zwecke entwickelt. Zweck der Remote-Desktop-Software war logischerweise der Einsatz zu Wartungsarbeiten und später, nach der Weiterentwicklung, erst  als „Spion-Software“.

Daneben existieren natürlich zahlreiche weitere Programme, die eine Kontrolle des Arbeitnehmers ermöglichen könnten und damit den Arbeitnehmerdatenschutz gefährden würden. Viele Hersteller werben mit sogenannter Monitoring-Software, die nicht nur Bildschirmaufnahmen ermöglicht, sondern regelmäßig Auswertungen an den Arbeitgeber übersendet. Des Weiteren ist eine Kontrolle mittels Filter-Programmen möglich. Je nach Einstellung könnten hier sogar Screenshots vom Bildschirm des Arbeitnehmers erstellt und an den Vorgesetzen verschickt werden. Kommunikationsdienste, wie zum Beispiel Skype for Business, können ebenfalls – wenn auch nur in einem sehr geringen Umfang – zur Kontrolle und Überwachung beitragen, weil der Vorgesetzte einsehen kann, wer verfügbar ist bzw. wer nicht verfügbar ist. Darüber hinaus tragen viele Mitarbeiter selbst zur erhöhten Kontrolle bei, indem sie verstärkt soziale Medien, wie Facebook, einsetzen. Doch selbst bei der typischen Ausübung ihrer Tätigkeit im Unternehmen hinterlassen die Mitarbeiter digitale Spuren, so können viele Unternehmen mittels GPS-Ortung der Firmen-Fahrzeuge den Aufenthaltsort oder Fahr- und Standzeiten ihrer Mitarbeiter ermitteln.

Für die Installation der Überwachungsprogramme auf dem Computer des Mitarbeiters gibt es mehrere Möglichkeiten. Der Systemadministrator kann die Software zum Beispiel unbemerkt installieren oder der Vorgesetzte sendet eine .EXE-Datei an alle Mitarbeiter, die nur noch ausgeführt werden muss. Durch die Versendung einer Anwendungssoftware und der unbemerkten / ungewollten Installation durch Mitarbeiter würde der Vorgesetze die gleichen Wege nutzen, wie die Versender von sonstiger Schadsoftware. Wer durch geeignete Datenschutzschulungen sensibilisiert ist, der dürfte auf eine solche „Masche“ natürlich nicht reinfallen.

Das der Arbeitnehmer nichts von der Installation und Ausführung merkt, ist sogar eine Eigenschaft, die von vielen Herstellern explizit beworben wird.

Was sagt der Arbeitnehmerdatenschutz?

In Hinblick auf den Beschäftigtendatenschutz greift § 32 BDSG für Beschäftigtendaten bzw. Arbeitnehmerdaten. Der richtige Umgang mit den betrieblichen Computern, den Handys und des WLANs bedarf allerdings klar definierter innerbetrieblicher Vorgaben. Diese Vorgaben können sich z. B. aus Arbeitsanweisungen, Betriebsvereinbarungen, Richtlinien oder sonstigen – bestenfalls schriftlichen –  Unterlagen ergeben. Derartige Maßnahmen sind anzuraten, da zu all diesen Themen für die Beschäftigten klare und verständliche rechtliche Regelungen weitestgehend fehlen. Viele Arbeitgeber versuchen den Umgang mit personenbezogenen Daten der Mitarbeiter im Zusammenhang mit der Internetnutzung durch klare und zur Transparenz beitragende Betriebsvereinbarungen zu regeln. In Unternehmen ohne Betriebsrat herrscht hingegen regelmäßig Chaos und Unstimmigkeit. Bei dem Betriebsrat handelt es sich um eine Kontrollinstanz, die auch auf die Einhaltung des Beschäftigtendatenschutzes hinwirkt. Gemäß § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat bei einer technischen Einrichtung, die eine Verhaltens- und Leistungskontrolle der Mitarbeiter ermöglicht, ein Mitbestimmungsrecht. Binden Sie als Firma daher frühzeitig Ihren Betriebsrat, als Behörde Ihren Personalrat und in sozialen Einrichtungen Ihre Mitarbeitervertretung (MAV) ein und schaffen Sie verständliche Vorgaben. Eine gute Zusammenarbeit mit Ihrem Datenschutzbeauftragten ist dabei absolut empfehlenswert.

Darf der Chef zusehen?

Um diese Frage zu beantworten, muss geprüft werden, welche Art der Internetnutzung vorliegt. Grundsätzlich sind drei Arten der Internetnutzung zu differenzieren:

  1. Betriebliche Nutzung

Um diese Art der Nutzung handelt es sich, wenn ein spezifischer Bezug zu den Arbeitsaufgaben des Arbeitnehmers besteht. Der Arbeitnehmer schreibt zum Beispiel E-Mails, um mit Kunden geschäftliche Angelegenheiten zu erörtern.

  1. Dienstlich veranlasste Nutzung

Diese könnte vorliegen, wenn ein Arbeitnehmer seinen Ehepartner kontaktiert, um ihm mitzuteilen, dass er sich aufgrund seiner Arbeit verspäten wird.

  1. Private Nutzung

Eine private Nutzung liegt vor, wenn kein spezifischer Bezug zu den Arbeitsaufgaben des Arbeitnehmers besteht.

Um die private Internetnutzung im Unternehmen zu regeln, bestehen für den Arbeitgeber verschiedene Formen von Nutzungsregelungen:

  1. Verbot

Wurde durch den Arbeitnehmer ein Verbot der privaten Internetnutzung am Arbeitsplatz ausgesprochen, unterliegt der Arbeitgeber auch nicht dem Fernmeldegeheimnis des § 88 Telekommunikationsgesetzes (TKG). Der Arbeitgeber darf in diesem Fall stichprobenartig prüfen, ob das Surfen der Arbeitnehmer dienstlicher Natur ist, wobei eine vollständige Verhaltens- und Leistungskontrolle des Arbeitsnehmers auch bei einem Verbot untersagt ist. Heißt: bestmöglich nur Kontrollen in der Kombination Vertreter des Unternehmens + Vertreter Betriebsrat + externer Datenschutzbeauftragter bzw. interner Datenschutzbeauftragter.

  1. Ausdrückliche Erlaubnis

Bei einer erlaubten Privatnutzung tritt der Arbeitergeber als Telekommunikationsanbieter auf und muss sich an Telekommunikationsgesetz, folglich an das Fernmeldegeheimnis, gemäß § 88 TKG, halten. In diesem Fall sollte der Arbeitgeber weder Verbindungsdaten noch den E-Mail-Verkehr einsehen. Dies gilt sogar, wenn der Mitarbeiter (ungeplant) für einige Wochen/Monate ausfällt oder das Beschäftigungsverhältnis beendet wird. Zudem darf der Arbeitgeber nicht auf die E-Mail-Postfächer und die Verbindungsdaten zugreifen, sogar bei Einwilligung des Arbeitnehmers. Der Grund ist, dass das Fernmeldegeheimnis nicht nur den Arbeitnehmer schützen soll, sondern auch die Kommunikationspartner.  Heißt: Vor sämtlichen Maßnahmen unbedingt  eine Abstimmung zwischen Vertreter des Unternehmens + Vertreter Betriebsrat + externer Datenschutzbeauftragter bzw. interner Datenschutzbeauftragter durchführen.

  1. Duldung

Eine sehr kritische Konstellation stellt die Duldung der privaten Internetnutzung durch den Arbeitgeber dar. Sollte die private Nutzung für den Arbeitgeber erkennbar sein und offensichtlich geduldet werden, entsteht nach einer Zeit von ca. 6-12 Monaten regelmäßig eine sogenannte betriebliche Übung. Diese kann zur Folge haben, dass der Arbeitnehmer auch in Zukunft das Internet zu privaten Zwecken nutzen darf. Das Beenden einer betrieblichen Übung, wenn es zu einer Verschlechterung für den Arbeitnehmer führt, ist in der Praxis gar nicht so einfach. Das Bundesarbeitsgericht (BAG) entschied, dass eine betriebliche Übung nicht mittels gegenläufiger betrieblicher Übung (BAG, Urteil vom 18.03.2009, Az.: 10 AZR 281/08) beseitigt werden kann. Zudem entschied das BAG im Urteil vom 05.08.2009, dass eine Betriebsvereinbarung, in der nicht klar formuliert ist, dass die betriebliche Übung mit der Vereinbarung beendet werden soll, zu keiner Beseitigung führt (Az.: 10 AZR 483/08).

Bei einer Duldung der privaten Nutzung muss sich der Arbeitgeber ebenfalls an das Fernmeldegeheimnis, gemäß § 88 TKG, halten und darf weder die Verbindungsdaten noch den E-Mail-Verkehr einsehen.

Soweit der Arbeitgeber die private Nutzung des Internets am Arbeitsplatz gestattet hat, darf er diese nicht kontrollieren. Das Überwachen des E-Mail-Verkehrs, der Browserverlaufs oder anderer Verbindungsdaten ist bei erlaubter oder geduldeter Privatnutzung untersagt, sonst würde er die Privatsphäre seiner Mitarbeiter verletzen. Insbesondere die informationelle Selbstbestimmung der Mitarbeiter (Arbeitnehmerdatenschutz) sollte gewahrt werden, denn jeder Mensch soll selbst darüber entscheiden, welche personenbezogenen Daten er preisgeben möchte. Bei der Kontrolle der privaten Internetnutzung könnte der Arbeitgeber, ohne Einwilligung des Mitarbeiters und ohne gesetzlicher Grundlage, eine Vielzahl an persönlichen Daten erheben und verarbeiten. Das Fernmeldegeheimnis soll die freie Persönlichkeitsentfaltung gewährleisten. Hierdurch sind sowohl der Inhalt, die näheren Umstände und die beteiligten Personen des Kontakts erfasst, § 88 Abs. 1 S. 1 TKG.

Ist die private Internet-Nutzung durch den Arbeitgeber nicht gestattet, ist es ihm unter bestimmten Voraussetzungen erlaubt Mitarbeiter zu überwachen. Dies wird damit begründet, dass eine unerlaubte private Internet-Nutzung letztlich einen Missbrauch der Arbeitszeit bedeutet. Um dem entgegenzuwirken, ist eine stichprobenartige Überprüfung durch den Arbeitgeber zulässig. Eine permanente Überwachung als eine Art elektronische Verhaltens- und Leistungskontrolle ist aber unter keinen Umständen erlaubt. Sind Prozesse geplant, die eine Leistungs- und Verhaltenskontrolle ermöglichen, so hat der Betriebsrat, gemäß § 87 Abs. 1 Nr. 6 BetrVG, ein Mitbestimmungsrecht und der Datenschutzbeauftragte sollte ebenfalls einbezogen werden. Laut § 4d Abs. 5 BDSG sollten Verfahren, die eine Verhaltens- und Leistungskontrolle ermöglichen durch den Datenschutzbeauftragten vorab kontrolliert werden (sogenannte Vorabkontrolle).

Eine stichprobenartige Kontrolle bei untersagter Internetnutzung sollte, wie bereits erwähnt, ebenfalls nur unter Anwesenheit eines Betriebsratsmitglieds und des Datenschutzbeauftragten erfolgen. Klare Prozesse, die Abstimmungen und gute Zusammenarbeit fordern, sind gefragt.

Strafbarkeit bei Fehlverhalten?

Der Arbeitgeber kann – wie bereits erläutert – durch die ausdrückliche Erlaubnis zur privaten Internetnutzung, rechtlich gesehen zum Anbieter von Telekommunikationsdienstleistungen werden. In diesem Fall unterliegt der Arbeitgeber dem Fernmeldegeheimnis, § 88 TKG. Dies kann erhebliche Konsequenzen mit sich bringen. Der Zugriff auf Inhalte privater E-Mails könnte ggf. zum einen als Ausspähen von Daten nach § 202 a Strafgesetzbuch (StGB) gewertet werden und damit zu einer Geldstrafe oder sogar einer Freiheitsstrafe von bis zu drei Jahren führen. Werden zudem Inhalte blockiert, wie zum Beispiel private E-Mails mittels Spam-Filter, oder teilt der Arbeitgeber die gewonnenen Informationen mit weiteren Personen, greift § 206 StGB. Eine Verletzung des Fernmeldegeheimnisses kann, laut § 206 StGB, zu einer Geldstrafe oder zu einer Freiheitsstrafe von bis zu fünf Jahren führen. Folge ist, dass der Arbeitgeber die näheren Umstände von Seitenaufrufen seitens seiner Arbeitnehmer in der Regel nicht mehr protokollieren und E-Mails nicht einsehen, filtern oder archivieren dürfte.

Der Arbeitgeber darf als Kommunikationsanbieter, gemäß § 100 Abs. 1 TKG, bei Störungen oder Fehlern auf Verkehrsdaten zurückgreifen. Der Zugriff auf die Daten sollte allerdings ausschließlich zum Erkennen und Beseitigen der Fehler erfolgen. Eine unzulässige Verwendung kann, gemäß § 149 Abs. 1 Nr. 16 und Abs. 2 Nr. 2 TKG, zu einem Bußgeld von bis zu 300.000 Euro führen.

Sind Sie innerhalb Ihres Unternehmens auf eine derartige Situation gestoßen und wissen Sie nicht, wie Sie verhalten sollen? Als erster Ansprechpartner sollte Ihr Datenschutzbeauftragter dienen. Falls Sie diese Funktion noch nicht besetzt haben, fordern Sie doch gleich ein unverbindliches Angebot an oder nehmen Sie direkt Kontakt zu uns auf.

Als externer Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund um das Thema des Angestelltendatenschutzes / Beschäftigtendatenschutzes /Arbeitnehmerdatenschutz.

 

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Vertrauen ist gut, Kontrolle ist besser! – Wieso Sie bei der Zeiterfassung Datenschutz-Risiken beachten sollten

Zeiterfassung Datenschutz„ Zeiterfassung Datenschutz “ sind häufig diskutierte Themen, die in der Praxis zu vielen Fragen und zu hohen Risiken für „verantwortliche Stellen“ führen können.

Grundsätzlich gilt, dass die Zeiterfassung nicht verteufelt werden sollte, da sie zahlreiche Vorteile sowohl für den Arbeitnehmer als auch für den Arbeitgeber birgt, allerdings sollten sich „verantwortliche Stellen“ vor der Einführung der Zeiterfassung an einen Datenschutzbeauftragten wenden, da vorab einige Kontrollen durchgeführt und Maßnahmen ergriffen werden müssen.

Wieso Sie besser einen Datenschutzbeauftragten kontaktieren sollten und wie Sie die Themen „Zeiterfassung Datenschutz“ unter einen Hut bekommen, berichtet Ihr externer Datenschutzbeauftragter.

Wieso Sie bei der Zeiterfassung Datenschutz nicht außer Acht lassen sollten

Erfasst ein Unternehmen, eine Behörde oder eine andere „verantwortliche Stelle“ die Arbeitszeiten der Mitarbeiter, so greift das Datenschutzrecht. Der Grund ist, dass mittels Zeiterfassungssysteme personenbezogene Daten erhoben, verarbeitet und genutzt werden können.

Bei personenbezogenen Daten handelt es sich, gemäß § 3 Bundesdatenschutzgesetz (BDSG), um Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Ist die Rede von bestimmten personenbezogenen Daten, so meint man Daten, die einer Person direkt zugeordnet werden können, wie der Name. Bei bestimmbaren Daten handelt es sich um personenbezogene Daten, die einer natürlichen Person nicht direkt, allerdings unter Zuhilfenahme einer weiteren Information oder Informationsquelle (z. B. einer Liste) zugeordnet werden können, wie zum Beispiel die Personalnummer.

Bei der Erfassung der Mitarbeiterzeiten sollte deshalb beachtet werden, dass im Datenschutzrecht das „Verbot mit Erlaubnisvorbehalt“ gilt, wodurch jegliche Erhebung, Verarbeitung und Nutzung, außer die basiert auf einer Rechtsgrundlage oder einer „informierten Einwilligung“, verboten ist.

Zulässigkeit der Zeiterfassung

Bevor Zeiterfassungssysteme eingeführt werden, sollte die „verantwortliche Stelle“ prüfen,

  • welche Daten,
  • für welchen Zweck,
  • und wie lange

erfasst werden dürfen und wer auf diese Daten zugreifen darf.

Des Weiteren sollten sie spätestens an diesem Punkt einen fachkundigen und zuverlässigen Datenschutzbeauftragten einschalten. Der Datenschutzbeauftragte, intern oder extern bestellt, sollte die geplante Zeiterfassung vorab prüfen, sogenannte Vorabkontrolle. Die Verpflichtung zur Vorabkontrolle ist in § 4 d BDSG aufgeführt. Gemäß der Vorschrift sollten automatisierte Datenverarbeitungen, wenn sie besondere Risiken für Betroffene aufweisen, durch einen Datenschutzbeauftragten vor Beginn der Datenverarbeitung geprüft werden.  Ganz besondere hohe Risiken könnten sich z. B. bei der (geplanten) Installation einer biometrischen Zeiterfassung ergeben, die üblicherweise mittels Fingerscan- bzw. Fingerprintsystem erfolgt. „Irgendwo“ muss daher systemseitig der Fingerabdruck aller Mitarbeiter hinterlegt sein. Selbst für Außenstehende mit stärkeren Berührungspunkten zum Datenschutz wird hierbei klar, dass ein derartiges Verfahren nicht ohne Weiteres eingeführt werden kann und zumindest Prüfschritte notwendig sind.

Im Rahmen der Vorabkontrolle muss der Datenschutzbeauftragte prüfen, ob die (geplante) Datenerhebung, -verarbeitung und -nutzung datenschutzkonform ist, wobei der Datenschutzbeauftragte ähnliche Beurteilungskriterien, wie bei der Videoüberwachung heranzieht. Möchten Sie mehr zum Thema „Videoüberwachung“ erfahren, dann lesen Sie doch unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“.

Ebenso, wie bei der Videoüberwachung, ist oft nur ein schmaler Grat zwischen dem Verbot und der Zulässigkeit, weswegen die Systeme genauestens geprüft werden sollten. Zudem ist das Erstellen einer:

  • Richtlinie zur Zeiterfassung (Richtlinie Zeitwirtschaft)
  • Betriebsvereinbarung zur Zeiterfassung (Betriebsvereinbarung Zeitwirtschaft)
  • Dienstvereinbarung zur Zeiterfassung (Dienstvereinbarung Zeitwirtschaft)

dringend anzuraten. Diese Vereinbarungen fördern zum einen die Transparenz, wodurch die betroffenen Mitarbeiter wissen, wer Zugriff auf welche Daten hat. Des Weiteren überblicken Führungskräfte und der Arbeitgeber, auf welche Daten sie für welchen Zweck und für wie lange zugreifen dürfen. Positiver und nicht zu verachtender Nebeneffekt: Verantwortliche Stellen, gleich ob es sich um kleine, mittlere oder große Unternehmen, Behörden oder Konzerne handelt, beschäftigen sich oft erst richtig mit den Anforderungen an eine Zeiterfassung, sobald Ihr betrieblicher oder behördlicher Datenschutzbeauftragter nebst (wenn vorhanden) Betriebsrat (respektive Mitarbeitervertretung / Personalvertretung) gemeinsam mit der Geschäftsleitung oder deren Vertretern an einem Tisch sitzen. Die „Betriebsvereinbarung Zeiterfassung“ sowie die damit verbundenen Zwecke werden thematisiert und im Ergebnis wird sich auf Eckpunkte abgestimmt und niedergeschrieben.

Haben Sie weitere Fragen zur Thematik „Zeiterfassung Datenschutz“ oder benötigen Sie Hilfe bei der Erstellung von Betriebsvereinbarungen, Dienstvereinbarungen oder Richtlinien? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?

Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf. Als Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund um das Thema Zeiterfassung, Videoüberwachung oder generell im Arbeitnehmerdatenschutz / Beschäftigtendatenschutz bzw. Personaldatenschutz.

Weitere Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Beschäftigtendatenschutz und Briefgeheimnis in Unternehmen – Wann darf die Post geöffnet werden?

Briefgeheimnis in UnternehmenKaum werden Mitarbeiter beschäftigt kommt die Frage über das Briefgeheimnis in Unternehmen auf. Es ist hierbei absolut nebensächlich, ob es sich um Unternehmen (von der kleinen Firma bis zum großen Konzern), Behörden, Vereine oder sonstige sogenannte Verantwortliche Stellen handelt. Eingehende Briefe werden regelmäßig von einem Mitarbeiter bzw. der Poststelle geöffnet und an die Kollegen ausgegeben bzw. weitergeleitet. Die geöffnete Post durchläuft hierbei schnell eine Vielzahl an Stationen im Hause des Arbeitgebers bis sie dann schließlich irgendwann im Postfach oder auf dem Schreibtisch des Empfängers landet.  Der Zugriff bzw. die Einsicht in die Post durch die Mitarbeiter oder die Geschäftsführung und das Aufbewahren der Post in offenen Postfächern führen oftmals zu Konflikten, da Unbefugten bzw. Nicht-Berechtigten der Zugriff auf personenbezogene Daten, vertrauliche Daten sowie Betriebsgeheimnisse viel zu leicht ermöglicht wird.

Wissen Sie, welchen Weg die Post in Ihrem Hause durchläuft?

Der Grund für entstehenden Streitigkeiten kann z. B. das Briefgeheimnis sein. Gemäß Artikel 10 des Grundgesetzes (GG) ist das Briefgeheimnis unverletzlich, wobei das unbefugte Öffnen und die unbefugte Kenntnisnahme eines Briefes oder eines anderen Schriftstücks, laut § 202 Strafgesetzbuch (StGB),  zu einer Geld- oder Freiheitsstrafe von einem Jahr führen können. Um gegen § 202 StGB zu verstoßen, reicht das bloße Öffnen des Briefes oder eines anderen Schriftstücks. Aus diesem Grund ist die Wahrung des Briefgeheimnisses, Unternehmen, Vereinen, Behörden sowie anderen verantwortlichen Stellen sowie ihren Beschäftigten dringendst anzuraten. In der Praxis sind sich Arbeitgeber und Arbeitsnehmer allerdings oft uneinig, wann das Öffnen erlaubt bzw. rechtswidrig ist.

Die Adressierung der Post ist entscheidend!

Bei der Entscheidung, ob ein Brief oder ein anderes Schriftstück geöffnet werden darf, spielt zunächst die Adressierung des Briefes eine große Rolle.

Unsere Berater greifen auf das „Ampelsystem“ nicht nur für die Tätigkeitsberichte des externen Datenschutzbeauftragten, sondern auch für Berichte eines Datenschutzaudits zurück.  Einen Auszug der Ampel „rot“ – „Finger weg“ und grün – „alles im grünen Bereich“ haben wir für die nachfolgenden Handlungsempfehlungen für Sie verwendet.

Bildschirmfoto 2016-08-15 um 12.28.12Richtet sich die Post an das Unternehmen, wie in dem aufgeführten Beispiel, so können die Briefe bzw. Schriftstücke ohne Bedenken von dem zuständigen Mitarbeiter bzw. der Posteingangsstelle geöffnet werden.

Bildschirmfoto 2016-08-15 um 12.28.22Das zweite Beispiel sollte in der Praxis ebenfalls zu keinen bzw. wenigen Konflikten führen, da in diesen Fällen das Öffnen üblich ist und der aufgeführte Name lediglich als Hilfestellung für die interne Verteilung der Briefe bzw. Schriftstücke angesehen wird.

Bildschirmfoto 2016-08-15 um 12.28.32Steht der Empfänger über dem Unternehmen, so wird häufig erwartet, dass die Briefe dem Empfänger ungeöffnet überreicht werden. Aus dem Urteil des Landgerichts Hamm vom 19. Februar 2003 (Az.  14 Sa 1972/02) geht allerdings hervor, dass die Post ohne einen Vertrauensvermerk, wie zum Beispiel „persönlich“, geöffnet werden kann.

Bildschirmfoto 2016-08-15 um 12.28.41Auch der Vermerk „zu Händen“ bzw. „z. Hd.“ schützt nicht vor dem Öffnen. Briefe mit dem Vermerk, der zur Erleichterung der Verteilung dient, dürfen vom zuständigen Mitarbeiter bzw. der Poststelle geöffnet werden. (LG Arnsberg, Urteil vom 27. Oktober 1989 – 1 O 367/89)

Bildschirmfoto 2016-08-15 um 12.28.49Bei der Adressierung mit dem Hinweis „care off“, kurz „c/o“, bzw. „per Adresse“, kurz „p. Adr.“, ist vom Öffnen der Post abzuraten. Der Vermerk lässt sich zwar nicht eindeutig zuordnen, allerdings sollte von einem privaten Vorhaben des Absenders ausgegangen werden.

Bildschirmfoto 2016-08-15 um 12.29.02Briefe und weitere Schriftstücke mit Vertraulichkeitsvermerken, wie „Persönlich“, „Vertraulich“, „Privat“ etc.  sollten ebenfalls ungeöffnet ausgehändigt werden. Beim Öffnen der Briefe liegt in diesem Fall ein klarer Verstoß gegen das Briefgeheimnis vor (LAG Hamm, Urteil vom 19. Februar 2003, Az. 14 Sa 1972/02).

Des Weiteren sollten Briefe bzw. andere Schriftstücke, die zum Beispiel an den Betriebsrat, die Personalabteilung, den Betriebsarzt gerichtet sind, ebenfalls nicht durch andere Mitarbeiter, z. B. in der Poststelle, geöffnet werden, da diese sensible Daten enthalten könnten (Stichwörter: Beschäftigtendatenschutz, Mitarbeiterdatenschutz bzw. Personaldatenschutz). Darüber hinaus sollten auch Mitarbeiter der Poststelle auf das Datengeheimnis, gemäß § 5 Bundesdatenschutzgesetz (BDSG), verpflichtet werden.

Benötigen Sie Unterstützung bei der Verpflichtung auf das Datengeheimnis gemäß § 5 BDSG oder bei einer Verpflichtungserklärung auf das Fernmeldegeheimnis gemäß § 88 Telekommunikationsgesetz (TKG)? Gerne stehen Ihnen unsere Berater als externer Datenschutzbeauftragter oder Datenschutzberater unterstützend und bedarfsgerecht zur Seite. Nehmen Sie Kontakt zu uns auf oder fordern Sie bequem ein unverbindliches Datenschutz-Angebot an.

Nach Öffnen der Post sollte zudem sichergestellt werden, dass die Briefe dem Empfänger, ohne Einsicht durch Dritte (Unbefugte), übergeben werden. Es sind geschlossene Postfächer zu empfehlen, da mit dieser Maßnahme der Zugriff auf sensible Daten/Informationen erschwert und somit Risiken minimiert werden können. Hierdurch ist es nicht nur leichter das Briefgeheimnis zu wahren, sondern generell etwas für mehr Datenschutz zu erreichen.

Schutz der elektronischen Post (E-Mail)

Neben dem Briefgeheimnis sieht der Gesetzgeber einen Schutz für die elektronische Post vor. Erlaubt oder duldet der Arbeitsgeber eine Privatnutzung des dienstlichen E-Mail-Postfachs, so tritt er als Telekommunikationsanbieter auf und muss sich an das Fernmeldegeheimnis, gemäß § 88 TKG halten. Das Fernmeldegeheimnis ist, laut § 10 GG, wie das Post- und Briefgeheimnis unverletzlich. Aus diesem Grund darf der Arbeitgeber bei der erlaubten oder geduldeten Privatnutzung unter anderem nicht auf die E-Mail-Postfächer der Mitarbeiter zugreifen.

Wird bei Ihnen jegliche Post vom Personal der Poststelle geöffnet oder habe Sie Fragen zur Privatnutzung des dienstlichen E-Mail-Postfachs? Dann nehmen Sie Kontakt zu uns auf.

Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

 

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Arbeitgeber aufgepasst! – „ Datenschutz Bewerbungen “ welche Bedeutung hat diese Begriffskombination?

Datenschutz BewerbungenDie Verbundenheit der Begriffe „ Datenschutz Bewerbungen “ wird von Arbeitgebern – trotz der hohen Bedeutung – häufig  schlichtweg ignoriert, vergessen oder falsch behandelt.

Zum Erschrecken der verantwortlichen Stellen (potenziellen Arbeitgeber) entstehen hierdurch allerdings regelmäßig, insbesondere bei Datenschutz-Verletzungen, Debatten über den richtigen Umgang mit Bewerbungsunterlagen. Bereits mehrfach fanden sich Meldungen in Medien, gleich durch Veröffentlichung in Zeitungen, Zeitschriften oder im Internet.

Am 10.08.2016 titelte beispielsweise die Kölner Express (www.express.de) : „Hallo, Datenschutz? Pulheimer findet Bewerbungsmappen einer Versicherung im Müll.

Ein Einwohner der Stadt Pulheim bei Köln fand klar erkennbare Bewerbungsunterlagen eines Unternehmens im Müll. Folglich wurden die Unterlagen nicht zurückgesendet, zerstört bzw. sicher vernichtet. Ähnliche Meldungen betrafen in der Vergangenheit zahlreiche Bereiche/Branchen, angefangen von Unternehmen und Universitäten bis hin zum Bundestag, da sie alle bereits für derartige Datenpannen verantwortlich waren.

Gelangt eine solche Panne an die Öffentlichkeit, so müssen sich „verantwortliche Stellen“ auf Bußgelder und auf einen erheblichen Imageverlust einstellen. Aus diesem Grund ist es Arbeitgebern anzuraten, neben den zahlreichen Anforderungen, die sie an Bewerber stellen, eine wesentliche Anforderung an sich selbst, den DATENSCHUTZ, nicht außer Acht lassen. Denn immer dann, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, greift das Datenschutzrecht. Ein Bewerber soll darauf vertrauen können, dass seine Bewerbungsdaten zum Zwecke der Bewerbung verwendet werden. Aus diesem Grund versendet er die Bewerbung und hierauf sollte dieser vertrauen können. Gleiches gilt bei einer Einstellung. Der Beschäftigtendatenschutz und Bewerberdatenschutz sollte berücksichtigt werden. Doch was ist darunter zu verstehen?

Wieso Datenschutz Bewerbungen („Beschäftigtendatenschutz“) schützt?

Erhebt, verarbeitet und nutzt ein Unternehmen, eine Behörde etc. personenbezogene Daten, wie sie in einer großen Menge in Bewerbungen zu finden sind, so tragen sie die Verantwortung für die Daten und müssen diese vor dem Zugriff durch Unbefugte schützen. Der Begriff „Unbefugte“ sollte dabei breit gefasst werden, da nicht nur Dritte, Personen außerhalb der „verantwortliche Stelle“, keinen Zugriff auf Bewerbungsunterlagen erhalten sollten, sondern auch interne Mitarbeiter, die diese Daten nicht zur Aufgabenerfüllung benötigen. Grundsätzlich gilt, dass der berechtigte Kreis, der auf die Bewerbungsmappe zu greifen darf, möglichst klein gehalten werden sollte.

Neben dem berechtigten Kreis, der auf die Daten zugreifen darf, sollte eine „verantwortliche Stelle“ die Löschung der Bewerbungsunterlagen im Blick behalten, sofern eine Rücksendung der Bewerbungen ausgeschlossen wurde. Im Wesentlichen spielen zwei Kriterien eine große Rolle:

  • Wann sollen Bewerbungsunterlagen aus Datenschutz-Sicht gelöscht werden?
  • Wie sollen Bewerbungsunterlagen datenschutzkonform gelöscht werden?

WANN sollten die Unterlagen gelöscht werden?

Im Datenschutz gilt, dass personenbezogene Daten nach Zweckentfall unmittelbar gelöscht werden sollen. Der Zweck ist dabei häufig an gesetzliche Aufbewahrungsfristen gebunden. Bei Bewerbungen sollte im Hinblick auf die Aufbewahrungsfrist berücksichtigt werden, wie lange die „verantwortliche Stelle“ benötigt, um sich für oder gegen einen Bewerber zu entscheiden. Wurde der Bewerber abgelehnt, entfällt der Zweck. Möchte sich die „verantwortliche Stelle“ gegen mögliche Klagen der abgelehnten Bewerber schützen, wäre nach Ablehnung des Bewerbers eine angemessene Aufbewahrungsdauer denkbar. Auch bei der E-Mail-Archivierung sollte die kürzere Aufbewahrungsdauer der Bewerbungen berücksichtigt werden. Für Fragen sollten Sie sich unbedingt an Ihren Datenschutzbeauftragten wenden.

WIE sollten Unterlagen gelöscht werden?

shredderBewerbungsunterlagen sind nach Zweckentfall (wenn eine Rücksendung nicht vereinbart bzw. ausgeschlossen wurde) ordnungsgemäß zu vernichten, wobei das Entsorgen der vollständigen Unterlagen im Müll oder Container ohne weitere Maßnahmen zu ergreifen, NATÜRLICH NICHT als ordnungsgemäß gilt.

Handelt es sich um Unterlagen in Papierform, so sollten die personenbezogenen Daten, die sich darauf befinden, unkenntlich gemacht werden, wobei das Zerstören mittels Schredder (mit angemessener Sicherheitsstufe) zu empfehlen ist. Kann oder möchte eine „verantwortliche Stelle“ dies nicht selbst durchführen, so wäre ein sogenannter Entsorgungsdienstleister zu beauftragen. (Achtung: Das Abschließen eines Vertrages zur Auftragsdatenverarbeitung und die Kontrolle des Dienstleisters durch Ihren Datenschutzbeauftragten ist dringendst anzuraten.) Sofern Sie Fragen zur Auswahl eines geeigneten Dienstleister haben, nehmen Sie Kontakt zu uns auf.

Bewerbungsunterlagen, die per E-Mail oder über ein Bewerbungsportal eingereicht wurden, sind ebenfalls zu löschen. Es sollte, wie bereits erläutert, sichergestellt werden, dass Bewerbungen nicht archiviert werden.

Notwendige Maßnahmen zum Schutz der Bewerbungen („Beschäftigtendatenschutz“) im Überblick

  • Keine Entsorgung der Bewerbungsunterlagen im Müll/Container, ohne Mappen zu zerstören
  • Zerstören bzw. vollständige Vernichtung der Unterlagen in Papierform mittels Schredder oder Entsorgungsdienstleister
  • Vor Zugriff durch Dritte schützen (u. a. Büro verschließen, Unterlagen im Schrank verschließen)
  • Zugriff nur für kleinen Kreis im Unternehmen ermöglichen
  • Nach Zweckentfall löschen
  • Nicht archivieren

Sie haben weitere Fragen zur Handhabung mit Bewerbungen oder möchten mehr über Datenpannen, die E-Mail-Archivierung etc. erfahren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten?

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 1Die fortschreitende technische Entwicklung führt zu steigenden Gefahren des Datenmissbrauchs. Es fallen immer mehr Daten an, die nahezu unbegrenzt gespeichert, verknüpft und ausgewertet werden können. Um dem Missbrauch von personenbezogenen Daten vorzubeugen, sowie Betroffene über die Erhebung und Verwendung der Daten zu informieren, werden Betroffenen besondere Rechte, wie das Recht auf Information bei erstmaliger Erhebung bzw. Speicherung (§ 33 Bundesdatenschutzgesetz, kurz BDSG), das Recht auf Auskunft (§ 34 BDSG), sowie das Recht auf Berichtigung, Sperrung und Löschung der Daten (§35 BDSG), zugesprochen.

Das Recht auf Information hat den Zweck, dass personenbezogene Daten nicht ohne Kenntnis der Betroffenen erhoben bzw. verarbeitet werden dürfen, da insbesondere bei einer Erhebung und Nutzung ohne Kenntnisnahme der Betroffenen die anderen Rechte eingeschränkt werden. Weiß der Betroffene nicht, dass Daten über ihn erhoben, verarbeitet oder genutzt werden, so wird er sehr wahrscheinlich nicht auf die Auskunft bestehen, wobei das Auskunftsrecht wiederrum für die Berichtigung, Sperrung und Löschung bedeutend ist. Müssen Unternehmen / Firmen, Vereine, Behörden etc. über die erstmalige Erhebung bzw. Verwendung ohne Tätigwerden der Betroffenen informieren, so liegt das Auskunftsrecht in den Händen der Betroffenen, da die verantwortlichen Stellen erst nach einem Auskunftsverlangen aktiv werden müssen. Die Unterrichtung des Betroffenen stärkt somit die Position des jeweiligen Menschen und schafft Transparenz darüber wer personenbezogene Daten über die natürlichen Personen vorhält.

Auskunftsrecht der Betroffenen

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 2Laut § 34 BDSG haben Betroffene das Recht auf Auskunft, wobei dieses Recht nur natürlichen Personen gewährt wird, da auch nur diese vom deutschen Datenschutzrecht bzw. dem Bundesdatenschutzgesetz erfasst und damit geschützt werden.

Verlangt ein Betroffener eine Auskunft, so sind die verantwortlichen Stellen dazu verpflichtet, unverzüglich bzw. spätestens innerhalb von zwei Wochen, eine Auskunft zu erteilen. Bei einem Auskunftsersuchen ist weder eine Form zu beachten noch muss der Betroffene konkretisieren, über welche Daten er Auskunft erhalten möchte.  Dies bedeutet, dass der Betroffene seinen Auskunftswunsch sowohl in schriftlicher Form mittels Brief, E-Mail, Telefax als auch in mündlicher Form per Telefon oder persönlichem Gespräch äußern kann. Zudem werden im Internet teilweise Formulare angeboten, die Betroffene ebenfalls zum Auskunftsverlangen nutzen können.

Von dem Auskunftsrecht machen Betroffene in der Praxis häufig im Rahmen von Auskunfteien, wie zum Beispiel der Schufa, Gebrauch, da zahlreiche bzw. vermutlich nahezu alle natürlichen Personen von der Datenspeicherung (böse Stimmen könnten gar „Datenkrake Schufa“ sagen) der Schufa betroffen sind. Die Auskunft kann grds., wie bereits erläutert, sowohl schriftlich als auch mündlich erfolgen. Es bietet sich die Nutzung fertiger Formulare seriöser Quellen aus dem Internet an. Ein Formular findet sich sowohl auf der Webseite der Schufa (gut versteckt) ratsamer ist allerdings der auf der Homepage der Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDi) zu findende Vordruck. Beim Ausfüllen des Schufa-Formulars sollte beachtet werden, dass zum einen kein Häkchen bei der kostenpflichtigen Bonitätsauskunft gesetzt und zum anderen die Bankdaten nicht angegeben werden, da die Auskunft einmal im Kalenderjahr kostenlos ist. Diese jährliche kostenlose Selbstauskunft steht einem jedem Betroffenen zu.

Auskunftspflicht der verantwortlichen Stellen

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 3Bei Eingehen eines Auskunftsanspruchs sollte die verantwortliche Stelle schnell handeln und umgehend ihren Datenschutzbeauftragten einschalten, da eine Beantwortung, wie bereits erläutert, unverzüglich bzw. spätestens innerhalb von zwei Wochen (kein schuldhaftes Zögern!) erfolgen muss.

Die verantwortliche Stelle muss den Betroffenen, wenn beim Auskunftsersuchen nicht explizit gefordert, über alle gespeicherten personenbezogenen Daten, über die Herkunft der Daten, über den Empfänger im Fall einer Datenübermittlung, sowie über den Zweck der Datenspeicherung informieren, wobei die Angaben – abhängig vom vorliegenden Zweck zur Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten – erweitert werden müssen. Liegen der verantwortlichen Stelle keinen personenbezogenen Daten vor, so muss sie den Betroffenen bei einem Auskunftsanspruch darüber informieren (sog. Negativauskunft).

Eine besondere Problematik stellt allerdings die sichere Identifizierung der Betroffenen dar, insbesondere wenn der Auskunftswunsch mittels E-Mail, Telefon oder Fax geäußert wird. Wenn Zweifel an der Identität des Betroffenen bestehen, sollte die verantwortliche Stelle -bevor sie dem Auskunftsersuchen nachgeht-, prüfen, ob es sich tatsächlich um den Betroffenen handelt. Welche Methode für die Identitätsprüfung geeignet ist, hängt, wie im Datenschutz üblich, von der Situation/den Gegebenheiten ab. Ein in der Praxis häufig diskutiertes Thema ist die Prüfung mittels Personalausweiskopie, da dies, bis auf wenige Ausnahmen, wie zum Beispiel für Banken gemäß Geldwäschegesetz (GwG), verboten ist. Eine geeignete Möglichkeit könnte bei Auskunftsersuchen mittels E-Mail oder Telefon, das Abfragen von vorliegenden Informationen, wie dem Geburtsdatum in Kombination mit x weiteren Informationen über den Betroffenen, sein (gängig z. B. bei Callcentern). Alternativ könnte man den Betroffenen unter der gespeicherten Nummer zurückrufen, was auch bei einem Auskunftswunsch mittels Fax dringendst anzuraten ist. Bei einer Identifizierung des Betroffenen sollte die verantwortliche Stelle dem Auskunftsersuchen nachgehen.

Grundsätzlich ist die verantwortliche Stelle zur schriftlichen Auskunftserteilung verpflichtet, außer eine andere Form ist, aufgrund von besonderen Umständen, angemessen oder die verantwortliche Stelle kann sich aus der Pflicht entziehen. Dies ist bei einem Auskunftsersuchen allerdings nur bei wenigen Ausnahmen, wie zum Beispiel bei Interesse der öffentlichen Sicherheit, möglich. Zudem sollten verantwortliche Stellen darauf achten, dass sie personenbezogene Daten, die sie im Rahmen des Auskunftsverlangens erhalten, nicht zu anderen Zwecken als der Auskunftserteilung verwenden (sog. Zweckbindung). Die Erteilung der Auskunft sollte grundsätzlich bei Verlangen unentgeltlich und bei einer geschäftsmäßigen Speicherung zum Zweck der Datenübermittelung einmal im Kalenderjahr unentgeltlich erfolgen, wobei für eine Auskunftserteilung, die der Betroffene wirtschaftlich nutzen kann, Entgelt verlangt werden kann.

Bei verspäteter, fehlerhafter oder nicht erteilter Auskunft handelt es sich um eine Ordnungswidrigkeit, die bei Einschalten der Aufsichtsbehörde zu Bußgeldern führen kann. Des Weiteren kann die Aufsichtsbehörde, Maßnahmen zur Beseitigung anordnen oder die Verarbeitung der Daten untersagen.

Müssen Sie eine Datenauskunft gemäß § 34 BDSG gegenüber einem Betroffenen erteilen? Dann nehmen Sie Kontakt zu uns auf und nutzen Sie unsere maßgeschneiderten Dienstleistungen:

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.