Zwei Jahre DSGVO: Was hat sich im HR-Bereich getan?

Die Datenschutz-Grundverordnung (DSGVO) ist nun seit zwei Jahre EU-weit wirksam. Zeit ein Resümee zu ziehen und zu erkunden, welche Auswirkungen die DSGVO auf HR-Abteilungen hat, welche Neuerungen die Verordnung gebracht haben und was daraus geworden ist.

Unzählige Unternehmen haben ihre Mitarbeiter angesichts von COVID-19 und der seit Mitte März 2020 greifenden Maßnahmen von Bund und Ländern ins Homeoffice geschickt. Wie der Rechtsanwalt und Datenschutzbeauftragte Sebastian Günnewig darlegt, haftet auch in dieser besonderen Krisensituation im Regelfall der Arbeitgeber, wenn zum Beispiel ein Mitarbeiter im Homeoffice gegen die Datenschutz-Grundverordnung (DSGVO oder englisch GDPR) verstößt. Es geht um den Schutz von personenbezogenen Daten, der auch für die Leute im Homeoffice gilt.

187 verhängte Bußgelder für Verstöße gegen DSGVO im Jahr 2019

Als Bürokratiemonster verschrien, haben sich große wie kleine Unternehmen mit der Einführung der DSGVO schwergetan. Und viele von ihnen sind auch weiterhin verunsichert. „Deutschlands Firmen kämpfen mit der DSGVO“, titelt das Magazin Freitag und stellt fest, dass auch bald zwei Jahre nach der Rechtsverbindlichkeit durchweg Unzufriedenheit herrscht. Nach einer anfänglichen Schonfrist sei die Zahl der Verstöße drastisch gestiegen.

Insgesamt wurden 2019 bis Dezember, laut Handelsblatt, Bußgelder gegen 187 Unternehmen in Deutschland verhängt, die höchste Summe von 14,5 Millionen Euro gegen den Berliner Immobilienriesen „Deutsche Wohnen“, der allerdings wenig Einsehen und Zahlungsbereitschaft zeigte. Tatsächlich hat die Datenschutzbeauftragte der Bundeshauptstadt auch nur etwas mehr als 200.000 EUR eingenommen, wie die Berliner Morgenpost Ende März 2020 berichtete.

Im Mai ist Kassensturz

Bis Ende Mai 2020, zwei Jahre nach Greifen der DSGVO, muss so etwas wie ein Kassensturz erfolgen. Bis dahin wird gemäß Artikel 97 eine Evaluierung der Datenschutzgrundverordnung vorgenommen. Davon ist Brüssel aber noch weit entfernt, wie es in einem Deutschlandfunk-Beitrag zu zwei Jahren DSGVO heißt. Gerade auch bezüglich der Öffnungsklauseln gebe es auch noch einiges an Wildwuchs in der EU und den einzelnen Mitgliedsstaaten.

Worauf Personaler sich hinsichtlich DSGVO einstellen müssen, hatte der HR-Software- und Lösungsanbieter rexx systems vor zwei Jahren schon mal definiert. Die wesentlichen Punkte bleiben aktuell:

Klare Sprache und Freiwilligkeitsprinzip bei der Aufforderung zur Freigabe persönlicher Daten.

Mehr Pflichten bezüglich der Auftragsdatenverarbeitung (ADV): Ein Outsourcing schützt nicht vor Hauptverantwortung des Auftraggebers. Der externe Dienstleister ist lediglich der „verlängerte Arm“, wie der Rechtsanwalt Sören Siebert von eRecht24 erklärt. Die Weisungs- und Kontrollrechte sowie die technisch-organisatorischen Maßnahmen (TOM) sind in einer ADV- oder AV-Vereinbarung schriftlich festzuhalten.Die berufliche Schweigepflicht nach § 203 StGB, wonach sich der strafbar macht, wer ein fremdes Geheimnis offenbart, ist mittlerweile durch den Absatz 3 erweitert worden, der die Einbeziehung von Dritten, beziehungsweise berufsmäßig tätigen Gehilfen erlaubt. Um das in Einklang mit der DSGVO zu bringen, wurde § 203 Abs. 4 StGB geschaffen, wonach sich auch Dritte strafbar machen können. Der Berufsgeheimnisträger ist damit aber nicht aus dem Schneider und kann auch belangt werden, wenn er versäumt hat, den Dritten zur Geheimhaltung zu verpflichten oder der Dritte weitere mitwirkende Personen.

Die Rechte der Betroffenen wurden gestärkt: Diese müssen von den Verantwortlichen über ihre Rechte auf Auskunft, Berichtigung, Sperrung, Löschung und die Möglichkeit der Beschwerde bei der zuständigen Aufsichtsbehörde informiert werden.Nach wie vor gilt privacy by design und privacy by default, was heißt, dass der Datenschutz schon in der Technik, beziehungsweise in der Software verankert sein muss. Wie weit die Softwarehersteller dafür belangt werden können, blieb noch strittig. Wie das Handelsblatt im Dezember 2019 berichtete, ist zumindest bei den deutschen Datenschützern Bewegung in die Debatte gekommen. So haben sie in ihrem Bericht für die im Mai anstehende Evaluierung festgelegt, „für datenschutzrechtlich relevante Produkte stärker auch die Hersteller in die Pflicht zu nehmen“.

Die Meldepflicht bei Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden gilt laut Art. 33 Abs. 1 DSGVO immer noch. Die betroffenen Personen müssen nach A 34 Abs. 1 DSGVO auch benachrichtigt werden. Wie die BayDSG für Bayern festhält, gibt es aber verschiedene Ausschlusstatbestände mit Blick auf die Benachrichtigungspflicht, bei „vorsorglicher Risikoabschirmung“ etwa, bei nachträglicher Risikominimierung, oder wenn der Aufwand unverhältnismäßig groß ist.

Sanktionen, beziehungsweise Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes sind geblieben. Tatsächlich sind die verhängten Bußgelder in Deutschland aber eher auf dem Teppich geblieben. Und wie das Beispiel Berlin zeigt, sind sie offenbar auch schwer einzutreiben.

Fazit: Seit Greifen der DSGVO am 25. Mai 2018 hat sich für HR-Abteilungen nicht wirklich viel geändert. Problematisch könnte es allerdings für Softwarehersteller werden, die die DSGVO-Richtlinien noch nicht in ganzer Konsequenz verinnerlicht haben. Außerdem gibt es immer noch viele Unternehmen, die eben nicht mit einer professionellen HR-Software arbeiten und weiter auf „Excel und Outlook“ bauen. Um auf Homeoffice zurückzukommen: Corona hat viele Unternehmen in kurzer Zeit gelehrt, dass es geht. Telearbeit über die Cloud wird also auch nach der Krise ein Thema bleiben. Damit dabei aber nicht die DSGVO auf der Strecke bleibt, müssen die Unternehmen mehr in die IT-Security investieren. Dann ist es so wie mit der rexx Suite auch kein Thema, dass HR-Mitarbeiter vom Homeoffice aus Bewerbungen, interne Unternehmensabläufe und andere Personalangelegenheiten bearbeiten.