Guten Tag,
bei mir in der Firma (über 2000 MA, kein Betriebsrat, externe Firma als offizieller DSB) hat sich eine etwas verzwickte Szene abgespielt, bei der ich für die eigentliche Frage ein wenig Kontext im Vorfeld geben sollte.
Ich, Abteilungsleiter und Mitglied der Geschäftsleitung (nicht mit Geschäftsführung zu verwechseln), bin mit der Person, die bei uns für Datenschutz zuständig und zugleich Abteilungsleiter Finanzen ist sowie für das Thema Compliance verantwortlich zeichnet und dazu Prokura hat, als auch in der Geschäftsleitung sitzt, beim Thema Datenschutz und Datennutzung mehrfach anderer Meinung. Es fällt ihm schwer, Argumente von jemandem wie mir, der seiner Meinung nach völlig fachfremd ist und daher per se keine Ahnung bzw. Expertise in diesem Thema hat, zu diskutieren. Eines der Themen hat sich nun über Monate ganz besonders hochgeschaukelt, wurde mit Anwälten und der Geschäftsführung diskutiert. In dieser Zeit hat diese Person Mitbeteiligten nach einer Diskussion zu verstehen gegeben, dass sie die Verantwortung für das Thema Datenschutz an die GF abgeben wird. Kurze Zeit darauf hat diese Person dann sogar gekündigt, wird aber noch diverse Monate im Unternehmen verbleiben. Der Bereich Datenschutz soll in Kürze allerdings intern an eine andere Person übergeben werden. Die Person könnte für sich also schlicht einen Haken dahinter machen.
Was ich nicht erwartet hätte, ist, dass diese Person anscheinend einen so großen Groll gegen mich hegt, dass sie es nun für nötig gehalten hat, in einer Geschäftsleitersitzung, in der mehrere Personen inkl. GF anwesend waren, eine sehr persönliche Diffamierungsrede gegen meine Person zu schwingen, inkl. Aussagen darüber, dass ich mit ein Grund dafür bin, dass sie gekündigt hat. Das aus meiner Sicht allerdings Fragwürdige in Bezug auf den Datenschutz war die Aussage dieser Person darüber, dass man anhand dessen, wie ich die Datenschutzschulung durchgeführt habe, ja eindeutig sehen könne, dass ich vom Thema Datenschutz keinerlei Ahnung habe und dringend Nachschulung benötige. Diese Aussage ist wohlgemerkt ganz bewusst vor anderen Personen und um mich zu diffamieren gewählt worden und nicht, um einen Punkt in Bezug auf Datenschutz inhaltlich zu diskutieren o. Ä.
Diese Aussage wirft auf meiner Seite die Frage auf, inwiefern diese Person berechtigt ist, überhaupt so tiefe Einblicke in diese Schulungsdaten einzelner Personen zu nehmen oder ob das alles durch die Aufgabe und Artikel 39 DSGVO gedeckt ist? DSB ist wie gesagt eine externe Firma, aber die Person ist intern für diese Themen, auch die Schulungen, zuständig. Wobei die Kommunikation und das Projektmanagement rund um die Schulungen von einer Mitarbeiterin dieser Person durchgeführt wurden, auch die Information, wenn z. B. ein Mitarbeiter die Schulung noch nicht durchgeführt hat.
Welche personenbezogenen Daten dürfen zu solch einer Schulung überhaupt protokolliert werden, bzw. in welcher Tiefe und für welche Zwecke?
Worüber ich mir ziemlich sicher bin, ist, dass diese Person diese personenbezogenen Daten (Schulungsergebnisse) in Anwesenheit mehrerer Personen und schon gar nicht zu dem Zwecke der Diffamierung preisgeben darf. Ich gehe davon aus, dass auch für diesen Fall Art. 5 DSGVO bzgl. Rechtmäßigkeit, Datensparsamkeit & Zweckbindung greift, oder? Greift hier vielleicht sogar § 26 BDSG?
Bei dieser Datenschutzschulung handelt es sich um eine Online-Schulungsplattform mit Videoinhalten und anschließenden Verständnisfragen. Ich habe alle Schulungen auf dieser Plattform immer sehr zeitnah abgeschlossen und die Fragen richtig beantwortet. Bei der 5 Minuten Schulung zur EU-Datenschutzgrundverordnung, auf die er sich vermeintlich bezieht, habe ich 4 von 4 Fragen richtig beantwortet.
Da wir keinen Betriebsrat haben, wohin soll ich mit meinem Anliegen und “bringt” es überhaupt irgendwas, über dieses Geschehnis mit jemandem zu sprechen? Z. B. der zuständigen Aufsichtsbehörde o. Ä.? Dass jemand, der für Datenschutz zuständig ist, einen solchen Datenschutzverstoß begeht, vor allem mit diesem Motiv, finde ich irgendwie relevant genug, um das weiterzugeben, oder übertreibe ich da?
