1/2

Datenschutz, Datensicherheit, DSGVO

Technische Maßnahmen zu Datenschutz und Datensicherheit

 

Die mit dem IMPULS-Test|2® erhobenen Daten sind im höchsten Maße vor Fremdzugriff gesichert. Alle Daten liegen geschützt auf den 15.000 Servern der Deutschen Firma Mittwald, die über ein hochprofessionelles Servermanagement samt Security-Garantien verfügen. Die Mittwald CM Service GmbH & Co. KG wurde 2016 vom TÜV Rheinland als "Reliable Data Center" zertifiziert.

 

 

 

Dort kommen die üblichen Sicherheitsstandards zur Anwendung: Doppelt gesicherte Stromversorgung und Ausfallsicherung, Modernster Brandschutz, Videoüberwachung, 24 Stunden Monitoring aller Services. Sämtliche Server und Storagesysteme sind mit automatischen Backup-Systemen ausgestattet und sind örtlich nur nach Zutrittskontrollen zugänglich.

Ende 2014 wurde von uns ein externes Datensicherheitsaudit (Pen-Test) bei einem spezialisierten IT-Fachunternehmen für den IMPULS-Test|2® beauftragt und durchgeführt.

 

Downloads zu diesem Thema: 

Personenbezogener Datenschutz


Das  Online-Verfahren IMPULS-Test|2® Professional stellt der Organisation bzw. dem Betrieb lediglich Gruppen- und keine Einzelpersonen-Auswertungen zur Verfügung. Die befragten Personen haben allerdings die Möglichkeit, sich ein Ergebnis auszudrucken, welches aber nur ihnen individuell zur Verfügung steht.

 

Es stehen befragten Personen und Organisationen/Betrieben daher auch keine Rohdaten, aus denen absichtlich oder unabsichtlich die Ergebnisse von Einzelpersonen sichtbar werden können, sondern nur die Auswertungen in pdf-Form zur Verfügung.

 

Die Mindestgruppengröße für alle Gruppenauswertungen liegt bei 7 Personen bzw. Datensätzen pro Auswertungsvariable. Gruppen mit weniger als 7 Personen pro Auswertungsvariable werden nicht ausgewertet. Die Gruppenergebnisse werden den jeweils verantwortlichen Personen für die durchgeführte Befragung in pdf-Form zur Verfügung gestellt.

 

Die Einhaltung der Anforderungen zum Datenschutz des IMPULS-Test|2® erklären und bestätigen die für die wissenschaftliche Konzeption verantwortliche Firma humanware GmbH, dessen EDV-Partner IXSOL GmbH und der für alle rechtlichen Fragen zuständige Fachanwalt Dr. Arpad Gered, der im „Who is Who Legal“ als einer der besten Anwälte in den Kategorien „Data Privacy and Protection“ sowie „Data Security“ gereiht ist.

Wir stellen unseren Kunden umfassende Detailunterlagen zum Thema DSGVO (Datenschutzgrundverordnung), Datensicherheit und Datenschutz zur Verfügung.

 

Datenschutz aus Sicht des juristischen Experten

Rechtsanwalt Dr. Winter ist Experte für Arbeits- und Sozialrecht. Zum Thema Datenschutz in Betrieben trägt er häufig vor und publiziert einschlägige Fachbeiträge.

http://www.cms-rrh.com/Jens-Winter

Frage 1: Es wird oft behauptet, das Fragen des Datenschutzes bzw. der Anonymität bei der gesetzlichen Ermittlung und Beurteilung psychischer Belastungen keine Relevanz haben? Stimmt diese Aussage bzw. unter welchen Bedingungen?

Antwort RA Dr. Winter: Diese Behauptung stimmt nur bedingt. Werden, was in der Praxis oftmals der Fall ist, personenbezogene Daten ermittelt oder sonst wie verarbeitet, ist das Datenschutzgesetz anwendbar und zu beachten. Es kann sein, dass für die konkrete Ermittlung und Verarbeitung von Daten, die für die gesetzliche Evaluierung verarbeitet werden, eine Rechtfertigung vorliegt. Dies ist jedoch nach dem Datenschutzgesetz vorab zu prüfen. Allenfalls bedarf es sogar einer Prüfung für sensible Daten, wie zB betreffend die Gesundheit eines Mitarbeiter, die nur eingeschränkt verarbeitet werden dürfen. Nur wenn keine personenbezogenen Daten vorliegen und ein Personenbezug mit rechtlich zulässigen Mitteln nicht herstellbar ist, sind Fragen des Datenschutzes von untergeordneter Bedeutung.

Frage 2: Insbesondere bei Befragungen von Mitarbeiter/innen fallen Daten an. Jeder Datensatz pro Person besteht in der Regel aus mindestens Aussagen zu den Arbeitsbedingungen, Zuordnungen zu Organisationsbereichen bzw. Tätigkeitsgruppen. Zusätzlich kann es teilweise auch personenbezogene Variablen geben (z.B. Geschlecht, Alter, Voll- oder Teilzeit, Schichtform, etc.). Es gibt aber auch Befragungen, die außerdem noch Daten zu den Themen Befinden, Gesundheit und Krankheiten erfassen. Was unterscheidet diese Befragungen datenschutzrechtlich bzw. müssen die damit befassten Akteure (externe Berater/innen der Betriebe, die diese Daten erfassen und handhaben sowie die verantwortlichen Personen in Betrieben) mit derartigen Daten umgehen?

 

Antwort RA Dr. Winter: Teils sind die genannten Daten, wie zB das Befinden oder auch die allgemeine Gesundheit der Mitarbeiter, für die gesetzlich vorgeschriebene Evaluierung unmaßgeblich. Das Gesetz (ASchG) ordnet die verpflichtende Evaluierung von Arbeitsplätzen und Arbeitsabläufen an. Werden im Zuge der Evaluierung Daten erhoben, die für diesen Zweck nicht notwendig sind bzw. darüber hinausgehen, ist das Datenschutzgesetz jedenfalls und unbedingt zu beachten, um „böse Überraschungen“ zu vermeiden. Auch wenn der Arbeitgeber sich eines externen Spezialisten (Dienstleister) bedient, bleibt er in datenschutzrechtlicher Hinsicht stets verantwortlich. Alle Akteure sollten sich daher vor Beginn über mögliche datenschutzrechtliche Aspekte im Klaren sein. Wird dieser Aspekt bereits zu Beginn beachtet, kann die Anwendbarkeit des Datenschutzgesetzes mangels Vorliegen personenbezogene Daten allenfalls noch ganz vermieden werden. Weiters sind auch betriebsverfassungsrechtliche Aspekte nach dem Arbeitsverfassungsgesetz unbedingt zu beachten. Neben Informations- und Beratungsrechten des Betriebsrats, kann im Einzelfall auch der Abschluss einer Betriebsvereinbarung, allenfalls sogar unbedingt, notwendig sein.

 

Mehr zu diesem Thema hat Herr Dr. Winter z.B. hier veröffentlicht:

Evaluierung OnlineBuch, 2015, Kapitel Datenschutzrechtliche Aspekte, WEKA-Verlag, Wien: http://www.weka.at/evaluierung/