15. November 2017 in HR Management

Datenschutz Grundverordnung 2018 – Worauf HR-Manager achten sollten

Datenschutz

HR Manager arbeiten täglich mit sensiblen Daten. Verantwortungsvoller Umgang ist gefragt, sonst drohen Bußgelder und Reputationsverlust für das gesamte Unternehmen. Worauf Personaler im Zuge der europäischen Datenschutzgrund Verordnung, die im Mai 2018 in Kraft tritt, achten müssen, erfahren Sie in diesem Beitrag.

Am 25. Mai 2018 tritt die EU-Verordnung als nationales Recht in Kraft und harmonisiert unter dem Kürzel EU DSGVO das Datenschutzrecht auf europäischer Ebene. Ausgewählte Neuerungen im Überblick – und was sie für Ihre tägliche Arbeit bedeuten.

Bei der Verarbeitung von Auftragsdaten haften ab sofort sowohl Auftraggeber als auch Dienstleister.

Für Sie als Auftraggeber sind das erst mal gute Nachrichten, denn bis dato haftete der Auftragnehmer primär im Innenverhältnis, beispielsweise über den Dienstleistungs- oder Auftragsdatenverarbeitungsvertrag.

Achten Sie bei der Wahl Ihres Dienstleisters insbesondere auch auf den Sitz des Auftragnehmers. Denn das neu geltende Marktortprinzip besagt, dass auch Unternehmen mit Sitz außerhalb der EU, sofern sie in Europa Dienstleistungen anbieten, dem europäischen Datenschutzniveau gerecht werden müssen.

[Datenschutz Fahrplan von Personio]

Welche Maßnahmen Sie im Zuge der Datenschutz-Novelle treffen sollten, erfahren Sie in dem kostenlosen Datenschutz-Leitfaden.

Leitfaden Datenschutz herunterladen

Bis zu vier Prozent des weltweiten Jahresumsatzes bzw. 20 Millionen Euro Geldbuße, je nachdem was höher ausfällt, drohen bei Verstößen.

Dies ist deutlich mehr als die bislang mögliche maximale Summe von 300 Tausend Euro und unterstreicht die Bedeutung einerseits, das Risiko einer Nichtbeachtung andererseits. Damit sollen sowohl verantwortliche Unternehmen als auch Dienstleister sensibilisiert werden, denn beide haften im Fall eines Verstoßes (s.o.).

Abgesehen vom monetären Schaden drohen im Fall von Verstößen Reputations- und Imageverlust, was mindestens so negativ für das Unternehmen sein kann. Auch Sie als HR-Manager sollten darauf achten, Ihre Prozesse und den Umgang mit personenbezogenen Daten sauber zu dokumentieren.

Weitere Informationen zur Haftung und zu den möglichen Konsequenzen für Personalverantwortliche finden Sie im Interview mit dem Datenschutzbeauftragten der Bitkom.

Öffnungsklauseln ermöglichen EU-Mitgliedstaaten auf nationaler Ebene weitergehende Regelungen zu treffen, so beispielsweise bei der Bestellung eines Datenschutzbeauftragten.

Grundsätzlich haben alle Behörden oder Unternehmen öffentlicher Hand sowie Unternehmen, deren Kerntätigkeit die Verarbeitung von personenbezogenen Daten ist, beispielsweise auch Meinungsforschungsinstitute oder Marketing-Agenturen, einen Datenschutzbeauftragten zu benennen.

Im Gegensatz zu Österreich hat der deutsche Gesetzgeber dies weiter konkretisiert und diese Pflicht zudem für Unternehmen, bei denen mindestens zehn Mitarbeiter personenbezogene Daten auf automatisierte Weise erfassen, verankert.

Die Pflichten des Arbeitgebers werden erhöht, die Rechte der Arbeitnehmer gestärkt. Informationspflicht, Auskunftsrecht, Recht auf Berichtigung und Löschung sehen vor, dass Mitarbeiter Hoheit über ihre Daten erhalten.

Die Arbeitnehmer müssen wissen, ob und zu welchem Zweck der Arbeitgeber personenbezogene Daten nutzt. Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen sowie Datensparsamkeit bedeutet zudem, dass unbegrenzte Datensammlung vermieden und Datenverarbeitung gesichert werden soll.

Personenbezogene Daten dürfen somit nur verarbeitet werden, wenn die betroffene Person hierfür seine Einwilligung erteilt hat oder eine andere gesetzliche Grundlage hierfür greift.

Da der Arbeitnehmer das Recht hat, auf Anfrage zu erfahren, ob, welche und in welchem Umfang personenbezogene Daten durch den Arbeitgeber verarbeitet werden, kommt auf die Personalabteilung Arbeit zu: Sie muss zeitnah auf Anfragen reagieren. Für Unternehmen ohne digitale Personalakte bleibt oft nur der Weg, den Mitarbeiter durch die oft zerstückelt geführte klassische Personalakte, Gehaltsabrechnungen, zusätzlich erfasste Berichte etc. zu führen. Das ist zeitaufwendig.

Wann speichern, wann löschen?

Sofern der Zweck der Verarbeitung wegfällt, etwa durch Ablehnung eines Bewerbers oder die Beendigung eines Arbeitsverhältnisses, müssen Daten grundsätzlich unverzüglich gelöscht werden.

Wichtig bei der Löschung von Bewerber- und Arbeitnehmerdaten: Eine weitergehende Speicherung der Daten ist erlaubt, sofern Sie einer rechtlichen Verpflichtung nachkommen müssen (z. B. Gewährung von Rentenansprüchen) oder um Rechtsansprüche (z. B. auf Basis des Allgemeine Gleichbehandlungsgesetzes) durchzusetzen oder abzuwehren.

Um die Daten eines Bewerbers nach erfolgloser Durchführung des Bewerbungsprozesses weiterhin zu speichern, beispielsweise zur Nutzung für einen Talent Pool, muss das Unternehmen eine entsprechende Einwilligung, wie über eine Datenschutzerklärung, einholen und den Bewerber angemessen informieren.

Prüfen und dokumentieren Sie, welche Daten unverzüglich gelöscht und welche darüber hinaus aufbewahrt werden sollen. Ein Recht auf unbegrenzte Speicherung der Daten gibt es nicht.

Neu ist die Rechenschaftspflicht. Nicht Ihnen muss bewiesen werden, dass Sie sich nicht datenschutzkonform verhalten haben, sondern Sie müssen beweisen, dass Sie die Datenschutzrichtlinien eingehalten haben.

Dies ist eine der ganz wesentlichen Änderungen aus dem neuen Gesetzestext. Konnten sich Unternehmen bis dahin weitgehend zurücklehnen und darauf warten, dass im Rahmen von Audits oder Prüfungen durch die Aufsichtsbehörde Mängel festgestellt wurden, die nachgebessert werden mussten, so müssen sie nun nachweisen, dass die Verarbeitung von personenbezogenen Daten rechtmäßig, zweckgebunden, nur im erforderlichen Maße, richtig sowie entsprechend gesichert durchgeführt wird.

Zertifizierungen und regelmäßige Audits, Schulungen der Mitarbeiter, die sorgfältige Auswahl von Auftragnehmern sowie die lückenlose Dokumentation sind Mittel, um einen solchen Nachweis erbringen.

Ein weiteres wichtiges Instrument der Rechenschaftspflicht, insbesondere auch für die Einführung neuer Prozesse, Technologien oder Tools, die personenbezogene Daten verarbeiten, ist die Datenschutz-Folgeabschätzung. Diese muss mindestens eine Beschreibung der gewünschten Verarbeitung, eine Bewertung der Notwendigkeit sowie einhergehender Risiken und eine Dokumentation geeigneter Sicherheitsmaßnahmen enthalten und erfordert bei erhöhtem Risiko die vorige Einbindung der entsprechenden Aufsichtsbehörde.

Fazit

Durch die EU Datenschutzgrundverordnung werden die Rechte der betroffenen Personen, im HR-Bereich primär die Bewerber und Arbeitnehmer, nachhaltig gestärkt.

Einem Großteil dieser Anforderungen können Unternehmen mit weitaus geringerem Aufwand nachkommen, indem sie den Einsatz einer Software für das Bewerbermanagement und Personalwesen prüfen. Wie Personio beim Datenschutz aufgestellt ist, können Sie hier nachlesen.

Zudem werden die Bußgelder bei Verstößen und die Anforderungen im Hinblick auf die datenschutzkonforme Umsetzung von Prozessen im HR-Bereich sowie auf deren Nachweis deutlich höher.

Sofern das Thema noch nicht auf der Agenda Ihrer Geschäftsführung ist, warten Sie nicht und sprechen das Thema proaktiv an. Es sind nur noch wenige Monate, bis die EU DSGVO wirksam wird. Damit wird es höchste Zeit, sich hierauf vorzubereiten.

Hinweis: Dieser Artikel wurde mit Sorgfalt erstellt, erhebt aber keinen Anspruch auf Vollständigkeit, Aktualität und Richtigkeit. Er ist als Anregung gemeint und dient lediglich informatorischen Zwecken. Dies entbindet den Leser gerade nicht von der sorgfältigen eigenverantwortlichen Prüfung. Insbesondere ist dieser Artikel nicht als Rechtsrat zu verstehen und kann die Beratung durch einen Anwalt nicht ersetzen.

Weiterführende Informationen zum Thema Datenschutz

Stellen Sie sich datenschutzkonform auf – mit dem kostenlosen Datenschutz Leitfaden.

Leitfaden Datenschutz herunterladen