Datenschutz Grundverordnung 2018 – Worauf HR-Manager achten sollten

Für Sie als Auftraggeber sind das erst mal gute Nachrichten, denn bis dato haftete der Auftragnehmer primär im Innenverhältnis, beispielsweise über den Dienstleistungs- oder Auftragsdatenverarbeitungsvertrag.

Achten Sie bei der Wahl Ihres Dienstleisters insbesondere auch auf den Sitz des Auftragnehmers. Denn das neu geltende Marktortprinzip besagt, dass auch Unternehmen mit Sitz außerhalb der EU, sofern sie in Europa Dienstleistungen anbieten, dem europäischen Datenschutzniveau gerecht werden müssen.

Welche Maßnahmen Sie im Zuge der Datenschutz-Novelle treffen sollten, erfahren Sie in dem kostenlosen Datenschutz-Leitfaden.

Dies ist deutlich mehr als die bislang mögliche maximale Summe von 300 Tausend Euro und unterstreicht die Bedeutung einerseits, das Risiko einer Nichtbeachtung andererseits. Damit sollen sowohl verantwortliche Unternehmen als auch Dienstleister sensibilisiert werden, denn beide haften im Fall eines Verstoßes (s.o.).

Abgesehen vom monetären Schaden drohen im Fall von Verstößen Reputations- und Imageverlust, was mindestens so negativ für das Unternehmen sein kann. Auch Sie als HR-Manager sollten darauf achten, Ihre Prozesse und den Umgang mit personenbezogenen Daten sauber zu dokumentieren.

Weitere Informationen zur Haftung und zu den möglichen Konsequenzen für Personalverantwortliche finden Sie im Interview mit dem Datenschutzbeauftragten der Bitkom.

Grundsätzlich haben alle Behörden oder Unternehmen öffentlicher Hand sowie Unternehmen, deren Kerntätigkeit die Verarbeitung von personenbezogenen Daten ist, beispielsweise auch Meinungsforschungsinstitute oder Marketing-Agenturen, einen Datenschutzbeauftragten zu benennen.

Im Gegensatz zu Österreich hat der deutsche Gesetzgeber dies weiter konkretisiert und diese Pflicht zudem für Unternehmen, bei denen mindestens zehn Mitarbeiter personenbezogene Daten auf automatisierte Weise erfassen, verankert.

Die Arbeitnehmer müssen wissen, ob und zu welchem Zweck der Arbeitgeber personenbezogene Daten nutzt. Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen sowie Datensparsamkeit bedeutet zudem, dass unbegrenzte Datensammlung vermieden und Datenverarbeitung gesichert werden soll.

Sie dürfen in der Personalabteilung  personenbezogene Daten somit nur verarbeiten, wenn die betroffene Person hierfür seine Einwilligung erteilt hat oder eine andere gesetzliche Grundlage hierfür greift.

Da der Arbeitnehmer das Recht hat, auf Anfrage zu erfahren, ob, welche und in welchem Umfang personenbezogene Daten durch den Arbeitgeber verarbeitet werden, kommt auf die Personalabteilung Arbeit zu: Sie muss zeitnah auf Anfragen reagieren. Für Unternehmen ohne digitale Personalakte bleibt oft nur der Weg, den Mitarbeiter durch die oft zerstückelt geführte klassische Personalakte, Gehaltsabrechnungen, zusätzlich erfasste Berichte etc. zu führen. Das ist zeitaufwendig.

Sofern der Zweck der Verarbeitung wegfällt, etwa durch Ablehnung eines Bewerbers oder die Beendigung eines Arbeitsverhältnisses, müssen Daten grundsätzlich unverzüglich gelöscht werden.

Wichtig bei der Löschung von Bewerber- und Arbeitnehmerdaten: Eine weitergehende Speicherung der Daten ist erlaubt, sofern Sie einer rechtlichen Verpflichtung nachkommen müssen (z. B. Gewährung von Rentenansprüchen) oder um Rechtsansprüche (z. B. auf Basis des Allgemeine Gleichbehandlungsgesetzes) durchzusetzen oder abzuwehren.

Um die Daten eines Bewerbers nach erfolgloser Durchführung des Bewerbungsprozesses weiterhin zu speichern, beispielsweise zur Nutzung für einen Talent Pool, muss das Unternehmen eine entsprechende Einwilligung, wie über eine Datenschutzerklärung, einholen und den Bewerber angemessen informieren.

Prüfen und dokumentieren Sie, welche Daten unverzüglich gelöscht und welche darüber hinaus aufbewahrt werden sollen. Ein Recht auf unbegrenzte Speicherung der Daten gibt es nicht.

Dies ist eine der ganz wesentlichen Änderungen aus dem neuen Gesetzestext. Bis dahin konnten sich Unternehmen  weitgehend zurücklehnen und darauf warten, dass im Rahmen von Audits oder Prüfungen durch die Aufsichtsbehörde Mängel festgestellt wurden, die nachgebessert werden mussten. Nun müssen sie  nachweisen, dass die Verarbeitung von personenbezogenen Daten rechtmäßig, zweckgebunden, nur im erforderlichen Maße, richtig sowie entsprechend gesichert durchgeführt wird.

Zertifizierungen und regelmäßige Audits, Schulungen der Mitarbeiter, die sorgfältige Auswahl von Auftragnehmern sowie die lückenlose Dokumentation sind Mittel, um einen solchen Nachweis erbringen.

Ein weiteres wichtiges Instrument der Rechenschaftspflicht, insbesondere auch für die Einführung neuer Prozesse, Technologien oder Tools, die personenbezogene Daten verarbeiten, ist die Datenschutz-Folgeabschätzung. Diese muss mindestens eine Beschreibung der gewünschten Verarbeitung, eine Bewertung der Notwendigkeit sowie einhergehender Risiken und eine Dokumentation geeigneter Sicherheitsmaßnahmen enthalten und erfordert bei erhöhtem Risiko die vorige Einbindung der entsprechenden Aufsichtsbehörde.

Durch die EU Datenschutzgrundverordnung werden die Rechte der betroffenen Personen, im Personalwesen primär die Bewerber und Arbeitnehmer, nachhaltig gestärkt.

Einem Großteil dieser Anforderungen können Unternehmen mit weitaus geringerem Aufwand nachkommen, indem sie den Einsatz einer Software für das Bewerbermanagement und Personalwesen prüfen. Wie Personio beim Datenschutz aufgestellt ist, können Sie hier nachlesen.

Zudem werden die Bußgelder bei Verstößen und die Anforderungen im Hinblick auf die datenschutzkonforme Umsetzung von Prozessen im HR-Bereich sowie auf deren Nachweis deutlich höher.

Sofern das Thema noch nicht auf der Agenda Ihrer Geschäftsführung ist, warten Sie nicht und sprechen das Thema proaktiv an. Es sind nur noch wenige Monate, bis die EU DSGVO wirksam wird. Damit wird es höchste Zeit, sich hierauf vorzubereiten.

Hinweis: Dieser Artikel wurde mit Sorgfalt erstellt, erhebt aber keinen Anspruch auf Vollständigkeit, Aktualität und Richtigkeit. Er ist als Anregung gemeint und dient lediglich informatorischen Zwecken. Dies entbindet den Leser gerade nicht von der sorgfältigen eigenverantwortlichen Prüfung. Insbesondere ist dieser Artikel nicht als Rechtsrat zu verstehen und kann die Beratung durch einen Anwalt nicht ersetzen.

Kostenlose Checkliste für HR-Verantwortliche herunterladen Kostenlose Checkliste für die Auswahl von Dienstleistern herunterladen Kostenlose Vorlage von Datenschutzbestimmungen für das Bewerbersystem herunterladen Interview mit Tobias Göldner, Datenschutzbeauftragter bei der Bitkom, über die Herausforderungen für HR-Manager.