Was die Datenschutz-Grundverordnung für HR-Abteilungen bedeutet

Ende Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) rechtsbindend in der ganzen EU. Welche Richtlinien der Verordnung für das Personaler relevant sind und worauf sie sich vorbereiten müssen, hat der Fachanwalt Frank Stiegler in zwei Webinaren von rexx systems dargelegt.

Die EU-Datenschutz-Grundverordnung, kurz DSGVO oder englisch GDPR, beschäftigt derzeit alle Unternehmen und Abteilungen. Denn am 25. Mai 2018 wird die im April 2016 verabschiedete Verordnung rechtsbindend. Zusammenfassend sieht sie einen besseren Schutz persönlicher Daten vor und kann bei Verstößen mit empfindlichen Strafen einhergehen.

Die 5 Knackpunkte der DSGVO für Personaler

Rechtsanwalt Frank Stiegler hat auf Einladung von rexx systems im Oktober und November 2017 in Hamburg und Düsseldorf zwei Seminare abgehalten. Dabei wurde auf fünf Knackpunkte hingewiesen, worauf sich Personalabteilungen im Hinblick auf die DSGVO vorbereiten müssen.

Worauf Personaler bei der DSGVO achten müssen:

  1. Einwilligungen in die Freigabe persönlicher Daten müssen freiwillig erfolgen und laut Art. 7 Abs. 2 DSGVO in klarer, einfacher Sprache erbeten oder eingefordert werden. Das gilt auch für Beschäftigungsverhältnisse. Aus Beleggründen sollten die Einwilligungen schriftlich eingefordert werden.

Eine Einwilligung in die Freigabe persönlicher Daten – des Bewerbers gegenüber der Personalabteilung eines Unternehmens etwa – ist widerrufbar. Der Widerruf muss aber einen „vernünftigen Grund“ erkennen lassen. Nur dass man mit dem ehemaligen Arbeitgeber nicht mehr in Verbindung gebracht werden will, reicht als Grund nicht aus.

DSGVO

Die EU-Datenschutz-Grundverordnung, kurz DSGVO, beschäftigt derzeit alle Unternehmen und HR Abteilungen. Worauf Personaler achten müssen.

  1. Die DSGVO weist der Auftragsdatenverarbeitung (ADV) bei der Personalverwaltung gemäß Art. 28 mehr Pflichten zu. Die Hauptverantwortung bleibt aber primär bei der verantwortlichen Stelle. Beim Outsourcing ist die Weisungsgebundenheit zu prüfen. Liegt die vor, greifen die ADV und die Datenschutzhürden, ansonsten besteht ein Datenschutzproblem.

Eine ADV-Vereinbarung muss schriftlich erfolgen und unter anderem Weisungs- und Kontrollrechte sowie technisch-organisatorische Maßnahmen (TOM) für Subunternehmen abdecken.

Hier droht (sogar) Gefängnis: Wichtig ist in dem Zusammenhang auch § 203 StGB bezüglich der Geheimnisoffenlegung. Für die Offenlegung von fremden Geheimnissen droht eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe. Durch eine Änderung des Strafgesetzbuch-Paragraphen sollen rechtliche Hürden beseitigt werden, die eine Auslagerung von Leistungen durch Berufsgeheimnisträger im Wege stehen. Die Novelle lässt aber auf sich warten. Derweil gilt, dass sich bei einem Vorsatz zunächst der einzelne Mitarbeiter strafbar macht.

  1. Die Betroffenenrechte werden gestärkt. Einem Widerspruch oder Widerruf kann sich ein Unternehmen gegenüber einen Bewerber oder ein Online-Händler gegenüber dem Kunden nicht durch eine Einwilligung entziehen. Es kann aber darauf hingewiesen werden, dass ein Vertrag in dem Fall nicht aufrecht erhalten bleiben kann.

Die Betroffenen müssen von den Verantwortlichen an geeigneter Stelle auch über ihre Rechte auf Auskunft, Berichtigung, Sperrung, Löschung und Beschwerde gemäß Art. 77 DSGVO bei der zuständigen Aufsichtsbehörde informiert werden.

Für die PbD (Privacy by Design, siehe unten) verarbeitende Software bedeutet das, dass die Daten revisionssicher sein sollten und die Möglichkeit bestehen muss, automatisiert und übergreifend nach Datensätzen zu suchen und diese souverän zu löschen. Wenn das System das nicht erfüllen kann, bedeutet das laut Rechtsanwalt Stiegler einen erheblichen Personalaufwand.

Privacy by Design und Privacy by Default (PbD), Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, sind keine neuen Begriffe, erlangen aber wie in Art. 25 DSGVO verankert eine neue Bedeutung. Der Grundgedanke ist, dass der Schutz personenbezogener Daten durch frühzeitiges Ergreifen technischer und organisatorischer Maßnahmen (TOMs) bereits im Entwicklungsstadium erfolgen muss.

  1. Die Meldepflicht für die Verletzung des PbD-Schutzes besteht laut Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden. Eine Ausnahme gilt, wenn „die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.

Die Meldung muss unter anderem folgendes enthalten: Eine Beschreibung derselben, soweit wie möglich mit Kategorien und Zahl der betroffenen Personen, den Namen und die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der möglichen Folgen und der ergriffenen oder vorgeschlagenen Maßnahmen.

  1. Dieser Punkt betrifft die Sanktionen und sollte jedem Unternehmen zu denken geben, warum es wichtig ist, sich mit der DSGVO frühzeitig zu beschäftigen. Nach Art. 83 Abs 5/6 drohen Bußgelder in Höhe von maximal 20 Millionen Dollar oder maximal 4 Prozent des weltweiten Jahresumsatzes. Neben diesen sind noch weitere Sanktionen denkbar.

Fazit: Entscheider im Personalwesen sollten sich intensiv mit den neuen Richtlinien der DSGVO befassen und diese bis zum Stichtag am 25. Mai 2018 umsetzen. Entsprechende Fortbildungsmaßnahmen, ein Datenschutzbeauftragter in Ihrem Unternehmen und eine PbD-konforme HR Softwarelösung gehören auf jeden Fall zu den Basics, die HR-Leiter befolgen sollten.

 
3. Januar 2018

Lernen Sie uns kennen

Wollen Sie mehr erfahren über die Themen Recruiting, Bewerbermanagement, Talent Management, Personalentwicklung, Human Resources und Zeitwirtschaft mit der rexx Software? Besuchen Sie uns auf einer der Personalmessen, gerne senden wir Ihnen Freikarten. Oder vereinbaren Sie einen persönlichen Kennenlern-Termin!

Die nächsten Termine

22. März 2018, München
17. April 2018, Zürich
24. April 2018, Stuttgart
15. Mai 2018, Hamburg
11. September 2018, Köln
17. Oktober 2018, München
13. November 2018, Wien

HIER MESSE-TERMIN VEREINBAREN UND MESSE-KARTEN BESTELLEN

MESSE-KONTAKT

Passende Themen

Bewerbermanagement

Mit der Software rexx Talent Management fördern Sie gezielt Weiterentwicklung und leistungsgerechte Beurteilung – von Anfang an.

Talent Management

Talente identifizieren, fördern und langfristig binden – so wird Ihr Wettbewerbsvorsprung ausgebaut.

Digitale Personalakte

Alle Daten eines Mitarbeiters auf einen Blick – eine spürbare Zeitersparnis bei HR-Prozessen dank einer hocheffizienten Personalverwaltung.