Ende Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) rechtsbindend in der ganzen EU. Welche Richtlinien der Verordnung für das Personaler relevant sind und worauf sie sich vorbereiten müssen, hat der Fachanwalt Frank Stiegler in zwei Webinaren von rexx systems dargelegt.
Die EU-Datenschutz-Grundverordnung, kurz DSGVO oder englisch GDPR, beschäftigt derzeit alle Unternehmen und Abteilungen. Denn am 25. Mai 2018 wird die im April 2016 verabschiedete Verordnung rechtsbindend. Zusammenfassend sieht sie einen besseren Schutz persönlicher Daten vor und kann bei Verstößen mit empfindlichen Strafen einhergehen.
Die 5 Knackpunkte der DSGVO für Personaler
Rechtsanwalt Frank Stiegler hat auf Einladung von rexx systems im Oktober und November 2017 in Hamburg und Düsseldorf zwei Seminare abgehalten. Dabei wurde auf fünf Knackpunkte hingewiesen, worauf sich Personalabteilungen im Hinblick auf die DSGVO vorbereiten müssen.
Worauf Personaler bei der DSGVO achten müssen:
- Einwilligungen in die Freigabe persönlicher Daten müssen freiwillig erfolgen und laut Art. 7 Abs. 2 DSGVO in klarer, einfacher Sprache erbeten oder eingefordert werden. Das gilt auch für Beschäftigungsverhältnisse. Aus Beleggründen sollten die Einwilligungen schriftlich eingefordert werden.
Eine Einwilligung in die Freigabe persönlicher Daten – des Bewerbers gegenüber der Personalabteilung eines Unternehmens etwa – ist widerrufbar. Der Widerruf muss aber einen „vernünftigen Grund“ erkennen lassen. Nur dass man mit dem ehemaligen Arbeitgeber nicht mehr in Verbindung gebracht werden will, reicht als Grund nicht aus.
Die EU-Datenschutz-Grundverordnung, kurz DSGVO, beschäftigt derzeit alle Unternehmen und HR Abteilungen. Worauf Personaler achten müssen.
- Die DSGVO weist der Auftragsdatenverarbeitung (ADV) bei der Personalverwaltung gemäß Art. 28 mehr Pflichten zu. Die Hauptverantwortung bleibt aber primär bei der verantwortlichen Stelle. Beim Outsourcing ist die Weisungsgebundenheit zu prüfen. Liegt die vor, greifen die ADV und die Datenschutzhürden, ansonsten besteht ein Datenschutzproblem.
Eine ADV-Vereinbarung muss schriftlich erfolgen und unter anderem Weisungs- und Kontrollrechte sowie technisch-organisatorische Maßnahmen (TOM) für Subunternehmen abdecken.
Hier droht (sogar) Gefängnis: Wichtig ist in dem Zusammenhang auch § 203 StGB bezüglich der Geheimnisoffenlegung. Für die Offenlegung von fremden Geheimnissen droht eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe. Durch eine Änderung des Strafgesetzbuch-Paragraphen sollen rechtliche Hürden beseitigt werden, die eine Auslagerung von Leistungen durch Berufsgeheimnisträger im Wege stehen. Die Novelle lässt aber auf sich warten. Derweil gilt, dass sich bei einem Vorsatz zunächst der einzelne Mitarbeiter strafbar macht.
- Die Betroffenenrechte werden gestärkt. Einem Widerspruch oder Widerruf kann sich ein Unternehmen gegenüber einen Bewerber oder ein Online-Händler gegenüber dem Kunden nicht durch eine Einwilligung entziehen. Es kann aber darauf hingewiesen werden, dass ein Vertrag in dem Fall nicht aufrecht erhalten bleiben kann.
Die Betroffenen müssen von den Verantwortlichen an geeigneter Stelle auch über ihre Rechte auf Auskunft, Berichtigung, Sperrung, Löschung und Beschwerde gemäß Art. 77 DSGVO bei der zuständigen Aufsichtsbehörde informiert werden.
Für die PbD (Privacy by Design, siehe unten) verarbeitende Software bedeutet das, dass die Daten revisionssicher sein sollten und die Möglichkeit bestehen muss, automatisiert und übergreifend nach Datensätzen zu suchen und diese souverän zu löschen. Wenn das System das nicht erfüllen kann, bedeutet das laut Rechtsanwalt Stiegler einen erheblichen Personalaufwand.
Privacy by Design und Privacy by Default (PbD), Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, sind keine neuen Begriffe, erlangen aber wie in Art. 25 DSGVO verankert eine neue Bedeutung. Der Grundgedanke ist, dass der Schutz personenbezogener Daten durch frühzeitiges Ergreifen technischer und organisatorischer Maßnahmen (TOMs) bereits im Entwicklungsstadium erfolgen muss.
- Die Meldepflicht für die Verletzung des PbD-Schutzes besteht laut Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden. Eine Ausnahme gilt, wenn „die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
Die Meldung muss unter anderem folgendes enthalten: Eine Beschreibung derselben, soweit wie möglich mit Kategorien und Zahl der betroffenen Personen, den Namen und die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der möglichen Folgen und der ergriffenen oder vorgeschlagenen Maßnahmen.
- Dieser Punkt betrifft die Sanktionen und sollte jedem Unternehmen zu denken geben, warum es wichtig ist, sich mit der DSGVO frühzeitig zu beschäftigen. Nach Art. 83 Abs 5/6 drohen Bußgelder in Höhe von maximal 20 Millionen Dollar oder maximal 4 Prozent des weltweiten Jahresumsatzes. Neben diesen sind noch weitere Sanktionen denkbar.
Fazit: Entscheider im Personalwesen sollten sich intensiv mit den neuen Richtlinien der DSGVO befassen und diese bis zum Stichtag am 25. Mai 2018 umsetzen. Entsprechende Fortbildungsmaßnahmen, ein Datenschutzbeauftragter in Ihrem Unternehmen und eine PbD-konforme HR Softwarelösung gehören auf jeden Fall zu den Basics, die HR-Leiter befolgen sollten.