13.02.2018

DSGVO: Wie bereite ich mich optimal vor?

7 Regeln zum Datenschutz

Dieses Jahr ist es so weit: Die Datenschutzgrundverordnung der EU kommt! Am 25. Mai 2018 tritt sie in Kraft und verbreitet schon jetzt im Vorfeld in vielen Unternehmen Unsicherheit. Wie werde ich Herr der (Daten-)Lage? Und woran muss eigentlich konkret im Personalwesen gedacht werden? Diese Fragen geistern aktuell in vielen Köpfen herum. Damit die DS-GVO nicht zum Schreckgespenst wird, haben wir 7 Regeln für Sie zusammengestellt, mit denen Sie sich gut auf die Datenschutzbestimmungen vorbereiten können.

DS-GVO

 

In der DS-GVO der Europäischen Union wird der Umgang mit personenbezogenen Daten für die EU-Mitgliedsstaaten verbindlich geregelt. Als ergänzendes nationales Reglement tritt am 5. Mai 2018 das Bundesdatenschutzgesetz (BDSG) in Kraft. Das übergeordnete Ziel der DS-GVO ist, dass der Umgang mit personenbezogenen Daten nach den Prinzipien der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Datenrichtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit erfolgt. 

1. Regeln Sie die Sicherheit von personenbezogenen Daten

Der Sicherheit Ihrer Systeme zur Verarbeitung personenbezogener Daten ist größte Wichtigkeit einzuräumen. Die Systeme müssen zuverlässig laufen und permanent betriebsbereit sein. Kommt es zu Manipulationsversuchen oder Belastungsspitzen, sollten die Systeme weiterhin sicher laufen. Kommt es im Einzelfall doch zu einem Ausfall, müssen die Daten sicher wiederherzustellen sein. Zudem sind Zugriffsrechte genau zu durchdenken und umzusetzen: Wer hat Zugriff auf welche Daten? Gibt es eine angemessene Verschlüsselung und Pseudonymisierung der Daten? Diese grundsätzlichen Fragen zur Datensicherheit sind unbedingt zu klären.

2. Beschränken Sie sich auf die zweckmäßige Verarbeitung von Daten

Die Erhebung und Verarbeitung von personenbezogenen Daten sollte möglichst zweckgebunden erfolgen. Im Sinne der Datenminimierung sind nur diejenigen Daten zu erheben, zu verarbeiten und zu speichern, die für den entsprechenden Zweck notwendig sind. Die Vorgabe der Zweckmäßigkeit betrifft zwar alle personenbezogenen Daten, ist aber ein besonders heikles Thema bei der Erhebung von Kundendaten gerade im digitalen Marketing (Newsletter-Anmeldung, Online-Registrierung, etc.). Begrenzen Sie die Datensammlung auf die erforderlichen Angaben. Bei allen Arten von personenbezogenen Daten gilt zudem die Regel, dass eine Einwilligung zur Verarbeitung erteilt werden muss. Widerruft eine Person ihre Einwilligung zur Datenverarbeitung, ist dem Widerruf Rechnung zu tragen.

3. Ermöglichen Sie das Abrufen, Löschen und Korrigieren von Daten

Stellen Sie sicher, dass Sie einen schnellen Zugriff auf die erhobenen Daten haben. Denn die betreffende Person darf veranlassen, dass Sie ihr zu ihren Daten Auskunft geben, sie korrigieren oder löschen. Für diese Vorgänge sollten Sie in Ihrem Unternehmen Standard-Prozesse einführen. 

4. Erstellen Sie einen Plan für Datenschutzverletzungen

Einen standardisierten Maßnahmen-Plan brauchen Sie zudem ebenfalls, wenn Datenschutzverletzungen vorgekommen sind. Die DS-GVO fordert von Unternehmen, dass sie binnen 72 Stunden auf Datenschutzverletzungen reagieren. Dabei ist eine Meldung an die Aufsichtsbehörde zu übermitteln. Eine Ausnahme liegt nur vor, wenn nachweislich keine Rechte von Betroffenen verletzt worden sind. Werden Sie in Fällen von Datenschutzverletzung von einem technischen System unterstützt, dass Ihren Prozess abbildet, können Sie Ihr Vorgehen direkt dokumentieren und die Nachweise bei Rückfragen vorlegen.

5. Ernennen Sie einen Datenschutzbeauftragten

Bestimmte Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen. Das ist der Fall, wenn sich in einem Unternehmen zehn oder mehr Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen. Wird in einem solchen Unternehmen kein Datenschutzbeauftragter benannt, können Bußgelder von bis zu 50.000 Euro fällig werden. Wenn es Ihnen nicht möglich ist, einen internen Mitarbeiter zum Datenschutzbeauftragten zu ernennen, können Sie auch einen externen Datenschutzbeauftragten bestellen. Der Datenschutzbeauftragte trägt gemäß BDSG die Haftung für die Pflichten, die ihm im Rahmen seiner Tätigkeit zukommen. Dazu gehören die Schulung der Mitarbeiter zum Thema Datenschutz ebenso wie die Kontrolle, ob die Datenschutz-Regeln eingehalten werden. 

Auch wenn der Datenschutzbeauftragte konkret haftet, liegt die Verantwortung für den Datenschutz im weiteren Sinne nicht gänzlich bei ihm allein. Schließlich trägt die Geschäftsführung die Gesamtverantwortung für das Unternehmen und damit auch für einen rechtskonformen Umgang mit Daten. So ist es Aufgabe der Geschäftsleitung, die technischen, organisatorischen und personellen Bedingungen zu schaffen, die einen rechtssicheren Datenschutz ermöglichen. Gleichzeitig sollte auch den Mitarbeitern bewusst sein, dass ihr Handeln sich im Rahmen der gesetzlichen Vorgaben bewegen muss. Entsprechend sollte unter den Mitarbeitern unbedingt das Bewusstsein dafür geschaffen werden, wie wichtig die Einhaltung der DS-GVO beim Umgang mit personenbezogenen Daten ist. Zudem müssen sich die Mitarbeiter auf das Datengeheimnis verpflichten. Das Datengeheimnis besteht auch noch nach Beendigung der Beschäftigung weiter.

6. Überdenken Sie den Einsatz eines Datenschutzmanagement-Systems

Wenn Sie beim Datenschutz auf „Nummer sicher“ gehen möchten, können Sie die Einführung eines Datenschutzmanagement-Systems in Erwägung ziehen. Denn ein technisches System kann Sie im Umgang mit Datenschutz im Allgemeinen, aber auch in konkreten Notfällen unterstützen. Ein passendes System kann Ihren Mitarbeitern zudem Sicherheit in Ihrem alltäglichen Handeln geben. Außerdem kann ein technisches System die Dokumentation Ihrer Abläufe erleichtern (bspw. bei Datenschutz-Verletzungen und Notfällen), sodass Sie bei nachträglichen Fragen idealerweise direkt die entsprechenden Nachweise zur Hand haben.

7. Pflegen Sie einen besonderen Umgang mit sensiblen Mitarbeiterdaten

Im Bereich des Personalwesens wird tagtäglich mit äußerst sensiblen Daten von Mitarbeitern hantiert. Denn angefangen vom Recruiting bis hin zur Entgeltabrechnung sind personenbezogene Daten im Spiel, die unbedingt vor Unbefugten zu schützen sind. Grundlegend gilt auch für Mitarbeiter-Daten die Regelung, dass das Einverständnis zur Speicherung und Verarbeitung der Daten einzuholen ist. Über die Möglichkeit, die (idealerweise schriftlich) erteilte Einwilligung zu widerrufen, muss der Mitarbeiter ebenfalls aufgeklärt werden.

  • Personalakte: Ein besonderer Daten-Baustein ist die Personalakte, die in physischer Form unbedingt an einem verschließbaren Ort aufbewahrt werden sollte und in digitaler Form durch passende Sicherheitsvorkehrungen zu schützen ist: z.B. durch Firewalls, Virenscanner, besonders geschützte Laufwerke und Verzeichnisse, etc.

  • Internet- und E-Mail-Nutzung: Zudem gilt es auch klare Regeln beim Umgang mit Daten aus der E-Mail- und Internet-Nutzung der Mitarbeiter zu beachten. Denn schließlich ist technisch möglich, die Benutzerkennung, IP-Adressen, Zugriffszeitpunkt, Datenmengen und Zieladressen nachzuvollziehen. Welche Datenauswertung Ihnen jedoch im Einzelfall gestattet ist, hängt von Ihrer firmeninternen Richtlinie zur privaten oder dienstlichen Internet- und E-Mail-Nutzung ab.

    Erlauben Sie Ihren Mitarbeitern eine private Nutzung von E-Mail und Internet, müssen Sie das Fernmeldegeheimnis der Mitarbeiter unbedingt berücksichtigen. Demzufolge dürfen Sie die Daten aus der E-Mail- und Internet-Nutzung nur in dem Maße auswerten, wie es für die Erbringung des Internetdienstes und für die Abrechnung unerlässlich ist. Haben Sie Ihren Mitarbeitern lediglich eine dienstliche Nutzung von Internet und E-Mail gestattet, sind die Vorgaben von BDGS und
    DS-GVO zu beachten. Das bedeutet, dass zwischen dem Recht des Mitarbeiters auf informationelle Selbstbestimmung gegen die Interessen des Unternehmens an der Datenverarbeitung abzuwägen ist. Ob Sie eine private Nutzung erlauben oder nicht, liegt dabei in Ihrem Ermessen, muss aber für die Mitarbeiter transparent sein.

    Bei der Einsicht in E-Mails spielt die Frage nach privater oder dienstlicher E-Mail ebenfalls eine Rolle. Dienstliche E-Mails dürfen eingesehen werden. Bei privaten E-Mails benötigen Sie die individuelle Zustimmung des Mitarbeiters. Es sei denn, es liegt ein Verdacht auf einen Strafbestand vor, der es dann rechtfertigt, die private E-Mail einzusehen.

  • Bewerberdaten: Abgesehen von den Mitarbeiterdaten gehen Personaler auch regelmäßig mit Bewerberdaten um. Sie unterliegen ebenso dem Datenschutz, ganz gleich ob ein Kandidaten sich um eine konkret ausgeschriebene Position bewirbt oder eine Initiativbewerbung eingereicht hat. Im Sinne der Datenminimierung sind die gespeicherten Daten auf diejenigen zu beschränken, die für den Prozess der Stellenbesetzung unbedingt erforderlich sind. Das Ermitteln und Speichern von Bewerber-Daten, die öffentlich einsehbar sind (z.B. auf Facebook, Xing oder LinkedIn) ist mit Vorsicht zu genießen. Denn bei diesen Daten ist strittig, ob sie in das Bewerbungsverfahren mit einbezogen werden dürfen. Ist das Bewerbungsverfahren beendet, sind die Daten der Bewerber zu löschen. Eine Ausnahme bilden Name, Adresse und Geburtsdatum, die für eine mögliches weiteres Bewerbungsverfahren erhalten bleiben dürfen.

    Zu beachten: Als Arbeitgeber müssen Sie die Begründung Ihrer Absage dokumentieren, weil bis zu 2 Monate nach Zustellung der Absage eine Schadensersatzklage eingehen kann. Daher sollten Sie die Bewerbungsunterlagen bis zu 6 Monate aufbewahren, sie dabei jedoch unbedingt sperren.

Neueste Beiträge

13.02.2018

Big Data - auch big im HR-Bereich?

Potenzial der Datenanalyse im...

lesen
13.02.2018

Ab Juli höhere Verdienst­möglichkeiten für Midijobber

Neuer Übergangsbereich statt...

lesen
13.02.2018

Offene(re) Türen für ausländische Fachkräfte

Erleichterungen im...

lesen
13.02.2018

Hitze im Büro - Welche Regeln gelten?

Arbeitgeber muss bei hohen...

lesen

REFERENZEN UND ANWENDERBERICHTE

  • MarcCain Referenz
  • ruf Referenz
  • Lindner Referenz
  • Borbet Referenz
  • 1.FC Köln Referenz
  • DRK Referenz
SP_Data GmbH & Co. KG
Engerstraße 147
Herford
Nordrhein-Westfalen
Telefon: 05221 9140 0

Amtsgericht Bad Oeynhausen HRA 3714, persönlich haftende Gesellschafterin:

SP_Data Verwaltungs GmbH, Amtsgericht Bad Oeynhausen, HRB 5300.

Geschäftsführer: Diplom-Wirtschaftsingenieur Stefan Post.

Impressum