
Am 27.04.2021 hat das Bundesarbeitsgericht (BAG) ein Urteil darüber gefällt, wie weit die Auskunftspflicht des Arbeitgebers gemäß Artikel 15 reicht. Ein gekündigter Mitarbeiter hatte gefordert, dass ihm alle über ihn gespeicherten Daten sowie Kopien des gesamten E-Mailverkehrs zwischen ihm und dem Unternehmen, ja sogar die bloße Erwähnung seines Namens in der Geschäftskorrespondenz, ausgehändigt werden sollten.
Das BAG wies die Klage des Angestellten mit der Begründung ab, dass der Antrag auf Überlassung von E-Mail-Kopien nicht gemäß der Zivilprozessordnung (ZPO) eingereicht worden war. Demnach hatte der Kläger die E-Mails, von denen er Kopien haben wollte, nicht ausreichend bezeichnet. Dadurch wurde nicht klar, auf welche E-Mails sich die Richter bei einer Verurteilung in einem Vollstreckungsverfahren beziehen sollten. Das Recht auf die Herausgabe von Kopien ist damit nach wie vor nicht genau geklärt. Es begrenzt aber den datenschutzrechtlichen Auskunftsanspruch darauf, dass der Arbeitnehmer angehalten ist, die gewünschten Unterlagen genau zu bezeichnen.
„Dadurch, dass das BAG die Klage abgewiesen hat, wird die Auskunftspflicht für Unternehmen praktikabler. Angesichts der wachsenden Datenmengen kann es eine Sisyphus-Arbeit sein, dem Herausgabeanspruch nachzukommen“, erklärt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies. „Die DSGVO bleibt aber dennoch ein Druckmittel in Konflikten vor dem Arbeitsgericht. Daher ist es wichtig, die personenbezogenen Daten schnell und effizient zu finden.“ In diesem Fall kann die Klassifizierung und in einem zweiten Schritt die Indizierung der Daten helfen.
Für Auskunftsansprüche gewappnet sein: Sensible Daten klassifizieren und indizieren
Zunächst braucht es einen Überblick, wo welche Informationen gespeichert sind. Keine leichte Aufgabe, vor allem wenn die Daten auf unterschiedlichen Speicherorten lagern, sowohl lokal als auch in der Cloud. Denn dadurch ist es für Firmen schwer, Auskunft darüber zu geben, welche Informationen sie besitzen, und wo sich diese befinden. Deswegen ist es wichtig, Daten zu klassifizieren, um sogenannte Subject Access Requests (SAR) einhalten zu können. „Ein manuelles Suchen ist in der Regel bei großen Datenmengen schwer durchsetzbar sowie arbeitsintensiv und inkonsistent. Mit einer Klassifizierungstechnik werden sensible Daten so verwaltet, dass sie einfacher auffindbar sind, während sich redundante Daten leichter löschen lassen“, so Ahlgrim.
Werden Daten im Unternehmen abgespeichert, kommt es darauf an, sie durch entsprechende Software-Lösungen automatisiert mit Metadaten zu versehen und diese damit zu indizieren. Über die Indizierung lässt sich die Suche entsprechend anpassen – etwa durch die Verwendung von Schlüsselwörtern oder Keyphrases. Auf diese Weise sind die betreffenden Daten schnell auffindbar.
Mit den Funktionen zur schnellen Identifikation des Aufbewahrungsorts und Inhalts der Daten haben Unternehmen die maßgeblichen Tools an der Hand, um Compliance-Verstöße zu verhindern. „Das Verfahren hat eine gewisse Klarheit gebracht, inwieweit die DSGVO als Angriffspunkt gegen Arbeitgeber dienen kann, etwa um die Interessen ehemaliger Mitarbeiter durchzusetzen. Dennoch sollten Unternehmen den Auskunftsanspruch der DSGVO nicht unterschätzen und sensible Daten stets so handhaben, dass eine Herausgabe schnell und umfassend möglich ist“, erläutert Ahlgrim abschließend.
Mehr Informationen finden Sie unter www.veritas.com/de
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
