Die EU-Datenschutzgrundverordnung trifft auch HR

3 November 2017 - - Das Lesen dieses Beitrages dauert 5 Minuten
Datenschutz

Der 25.Mai. 2018 wird mit Blick auf den Datenschutz in Europa ein ernster Tag, denn ab genau diesem Datum ist die zweijährige Schonzeit vorbei und die am 25.Mai 2016 in Kraft getretene EU-Datenschutzgrundverordnung (EU-DSGVO) wird angewandt. Diese ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie ist am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden und tritt damit am 25. Mai in Kraft. Anwendbar ist sie damit ab dem 25. Mai 2018. Quelle: https://www.datenschutz-grundverordnung.eu/eu-datenschutz-grundverordnung/

Das geht uns im Bereich HR alle nichts an? Weit gefehlt! Aber fangen wir ganz vorne an.

Sie sind im Personal-Management beschäftigt und gehen mit personenbezogenen Daten um? Dann geht die neue Grundverordnung Sie ziemlich viel an. Sie sind gar in HR-Leitungsfunktion? In diesem Falle ist die neue Grundverordnung noch wichtiger für Sie.

gdpr_euHand aufs Herz: Haben Sie überhaupt schon einmal von der EU-Datenschutzgrundverordnung gehört? Falls nicht, lesen Sie unbedingt weiter. Falls ja, folgt die nächste Frage für Sie: Gibt es in Ihrem Unternehmen bereits ein Projekt zur Umsetzung der neuen Verordnung? Hoffentlich, denn diese Verordnung geht jedes Unternehmen an, nicht nur in Deutschland. Glauben Sie keinen Mythen, die etwa behaupten, unser Gesetzgeber würde schon für Ausnahmen sorgen oder die Verordnung gelte nicht für kleinere Unternehmen. Betroffen sind ALLE Unternehmen und dort die Datenprozesse in HR, Vertrieb, Marketing und anderen Bereichen.

Die EU-Datenschutzgrundverordnung gilt unmittelbar in allen Mitgliedsstaaten der EU und lässt in der privaten Wirtschaft nur in eng definierten Ausnahmefällen Spielraum zu. Im öffentlichen Sektor hingegen wird es einige Elastizität geben. Von der Verordnung sind dieselben Player betroffen, welche heute bereits durch das Bundesdatenschutzgesetz erfasst werden; also neben allen Unternehmen auch Vereine und Verbände, Freiberufler und Selbständige sowie sogar Privatpersonen jenseits des rein persönlichen oder familiären Datengebrauches.

Zentrale Änderung: Die Beweislastumkehr

Eine zentrale Änderung im Vergleich zum Bundesdatenschutzgesetz ist die Beweislastumkehr. Sie als Unternehmen müssen fortan nachweisen, dass Sie keinen Verstoß im Umgang mit personenbezogenen Daten begangen haben. Das lässt gerade mit Blick auf das Innenverhältnis mit unzufriedenen Mitarbeitern wahre Horrorszenarien zu, auf die jedes Unternehmen durch entsprechende Maßnahmen vorbereitet sein sollte. Diese Rechenschaftspflicht sollte zur Folge haben, dass alle Unternehmen ihre Prozesse und Unterlagen künftig so definieren und ausrichten, dass jederzeit ein solcher „Unschuldsnachweis“ erstellbar ist. An dieser Stelle ist die Unternehmensführung gefragt.

Nachweispflichten für jedes Datenfeld

Sie brauchen für jede personenbezogene Datenerhebung grundsätzlich das Einverständnis des/der Betroffenen – und Sie müssen für jedes einzelne Datenfeld eine gesetzliche Grundlage nachweisen – gesetzlich nicht vorgeschriebene Daten dürfen nicht mehr erhoben bzw. müssen unwiderruflich gelöscht werden. Dasselbe gilt für die jeweils vorgeschriebene Speicherdauer. Wird diese überschritten, muss der betroffene Datensatz unverzüglich gelöscht werden. Ein besonderes Augenmerk ist in diesem Zusammenhang auf die Löschfähigkeit in Anwendungen zu legen – diese muss zweifelsfrei gewährleistet sein.
Auch die Zugriffsrechte auf die Daten müssen klar und nachvollziehbar definiert werden. Ferner dürfen in polizeilichen Führungszeugnissen oder vergleichbaren Dokumenten aufgeführte Straftaten nicht mehr verarbeitet werden. Es gilt also, diese Dokumente allesamt diesbezüglich zu überprüfen.

Umfassende Informationspflichten

GDPREin weiterer wichtiger Punkt ist das Informationsrecht für Betroffene. Diese sind bei Erhebung personenbezogener Daten über Details der Verarbeitung zu unterrichten, ob die Daten nun direkt oder indirekt erhoben werden. Zum besseren Verständnis: Bereits das Einpflegen einer neuen Telefonnummer eines/r Beschäftigten bedeutet eine neue Datenerhebung.
Bei einer direkten Erhebung erfolgt die Erhebung, sobald die Daten beim Unternehmen eingetroffen sind oder der Betroffene sie zur Kenntnis nehmen konnte. Hier ist eine unmittelbare Information der Betroffenen notwendig. Bei einer indirekten Erhebung wurden die Daten bereits in der Vergangenheit erhoben. In diesen Fällen gilt eine Informationsfrist von längstens einem Monat.
Es gibt auch Ausnahmen von dieser Informationspflicht, etwa in Fällen, in welchen alle Informationen bereits bekannt sind oder wenn die Erfüllung der Informationspflicht unmöglich oder unverhältnismäßig ist oder die Wahrung des Berufsgeheimnisses ins Spiel kommt. Näheres regeln die Artikel 13 und (14 = indirekte Erhebung) der Datenschutzgrundverordnung.

Betroffenenrecht auf Datenlöschung

Weiterhin gibt die Datenschutzgrundverordnung Betroffenen das Recht, nach Ablauf gesetzlicher Aufbewahrungsfristen die unverzügliche Löschung personenbezogener Daten zu verlangen. Dieses Recht auf „Vergessen werden“ dient dem Interesse des Bürgers, Herr über seine Daten zu bleiben und umfasst neben der Löschung auf dem jeweils technisch modernsten Stand auch Links im Internet sowie alle Arten von Kopien der Daten.
Das Auskunftsrecht Betroffener umfasst in erweiterter Form ebenfalls das Recht, eine maschinenlesbare Kopie seiner Daten in einem gängigen Format zu verlangen, es sei denn, die Portierung der Daten beeinträchtigt die Rechte anderer Personen.

Dokumentationspflichten des Arbeitgebers

Sehr wichtig ist gerade mit Blick auf die Beweislastumkehr auch die umfassende Dokumentation der Umsetzung der so genannten Rechenschaftspflicht. Hier gilt es, ein entsprechendes Sicherheitskonzept festzulegen und die entstehenden Prozesse klar zu beschreiben. Ferner sollten im Rahmen der Umsetzung Tätigkeitsnachweise geführt und automatische Protokolle erstellt werden. Die Prüfkonzepte für Kontrollroutinen müssen ebenfalls nachvollziehbar dokumentiert werden.
Für den Fall einer Datenpanne müssen Meldeprozesse festgelegt werden. Es muss zu jeder Zeit gewährleistet sein, dass bei Datenalarm die zuständigen Leute im Unternehmen, die Betroffenen und die Datenschutzbehörden unverzüglich informiert werden, entsprechende Abläufe sind festzulegen und zu dokumentieren.

Drakonische Bußgelder

Sieht man sich den am europäischen Kartell- und Umweltrecht orientierten Bußgeldkatalog der Datenschutzgrundverordnung an, wird die Brisanz dieses Themas umso deutlicher. Bislang galt laut Bundesdatenschutzgesetz ein Höchstmaß von 300.000 Euro. Nun liegen die Höchststrafen bei 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes des betroffenen Unternehmens (der höhere Betrag greift). Es sind also Achtsamkeit und Umsicht geboten, zumal man davon ausgehen darf, dass der EU-Gesetzgeber die praktische Durchsetzung der EU-Datenschutzgrundverordnung mit großem Ehrgeiz betreiben wird.

Hier finden Sie weiterführende Information zur Umsetzung der EU-Datenschutzgrundverordnung ((EU-DSGVO) / General Data Protection Regulation (GDPR)

Abonnieren Sie unsere Beiträge

Weitere Informationen

Kontaktieren Sie uns

Folge uns auf: