DSGVO: Neuerungen im Personalmanagement

DSGVO: Neuerungen im Personalmanagement

Seit ihrer Einführung im Mai 2018 wurde viel über die DSGVO geschrieben. Dieser Artikel zeigt auf, wie deutsche Unternehmen die DSGVO bisher umgesetzt haben und welche Faktoren zur Implementierung zielführend sind. 

Mit der Umsetzung der Verordnung gab es für Unternehmen gerade im Personalbereich, wo mit zahlreichen sensiblen Daten gearbeitet wird, eklatante Neuerungen. In diesem Artikel lesen Sie Hintergründe zur DSGVO und was sich mit der Verordnung in der Personalabteilung alles geändert hat.

    DSGVO: Was Personaler zur Datenschutzgrundverordnung wissen müssen

    Im Mai 2018 ist in Deutschland und in allen anderen Mitgliedsstaaten der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Im Vorfeld wurde die DSGVO als Paradigmenwechsel im Datenschutz bezeichnet. Unternehmen fürchteten vor allem den hohen bürokratischen Aufwand und die Strafzahlungen. Diese können bei einem bewiesenen Vergehen gegen die DSGVO bis zu 4 % des weltweit erzielten Umsatzes oder bis zu 20 Millionen Euro betragen.

    Wenn sensible personenbezogene Daten gespeichert werden, ist ein Datenschutzbeauftragter erforderlich
    ©Rawpixel.com – Adobe-Stock

    Auf der anderen Seite sehen Datenschützer, Unternehmen und Privatpersonen ebenso die Vorteile der in der gesamten EU geltenden Verordnung. Als Beispiel kann das Recht auf „Vergessenwerden“ angeführt werden. Während sich im Jahr 2021 die Implementierung der DSGVO zum dritten Mal jährt, ist deren Umsetzung für einen Großteil der Betriebe weiterhin kein einfaches Unterfangen. Gleichzeitig wurde die DSGVO in den letzten Jahren vom Gesetzgeber novelliert. Seit 2019 gilt zum Beispiel, dass ein Datenschutzbeauftragter im Unternehmen erst ab einer Mitarbeiterstärke von 20 Angestellten verpflichtend ist. In Zukunft werden weitere Änderungen und Erweiterungen erwartet, die vor allem mit der ePrivacy-Verordnung zusammenhängen werden, die aktuell ein Streitthema in der EU ist. 

    Status Quo zur DSGVO – so wird die Verordnung in deutschen Unternehmen umgesetzt

    Eine Statistik (Quelle: Statista) aus dem September 2020 verrät, dass nur 20 % der in Deutschland befragten Unternehmen angeben, die Inhalte der DSGVO vollständig umgesetzt und den Prüfprozess für Weiterentwicklung etabliert zu haben. Mehr als 70 % der befragten Unternehmen haben bisher nur einen Teil der Vorgaben im Unternehmen umgesetzt oder haben noch Nachholbedarf. 6 % hatten im September 2020 gerade erst begonnen, die Maßgaben der DSGVO im eigenen Unternehmen zu leben.

    Vor allem im Personalumfeld, in dem mit zahlreichen sensiblen Daten gearbeitet wird, hat die DSGVO eine hohe Relevanz. Dieser Artikel zeigt auf, welche wesentlichen Vorgaben der DSGVO für den Personalbereich umgesetzt werden müssen. Ebenso geht er darauf ein, welche Hürden aus der Erfahrung der letzten Jahre überwunden werden sollten, um die Verordnung professionell in HR-Abteilungen und im Gesamtunternehmen umzusetzen.

    Warum die DSGVO europaweit eingeführt wurde

    Unternehmen stehen aktuell vor umfangreichen Herausforderungen. Neben den Erschwernissen, die durch die globale Pandemie mit Covid-19 auftreten, gelten die Digitalisierung sowie die Globalisierung als zwei der größten Herausforderungen in unserem Zeitalter. Der Fachkräftemangel in vielen Branchen ist ebenso ein Problem und wird durch den fortlaufenden demografischen Wandel weiter verschärft. Bei allen Problemstellungen und Schwierigkeiten und vor allem während der Covid-19-Pandemie wurde deutlich, wie wichtig die Digitalisierung von Unternehmen ist.

    Das Recht der Europäischen Union steht über nationalem Recht, sodass die DSGVO eine höhere rechtliche Relevanz hat. ©Vasily Merkushev – Adobe-Stock

    Ohne Digitalisierung wäre eine Arbeit im Homeoffice ebenso schwer vorstellbar wie Online-Bestellungen oder Videotelefonate. Neben den Vorteilen, die die Digitalisierung zweifelsohne für Privatpersonen und Unternehmen mit sich bringt, lauern ebenso Gefahren und Möglichkeiten, personenbezogene Daten zu missbrauchen. Die Einführung der Datenschutz-Grundverordnung war eine EU-weite Reaktion auf die fortschreitende Digitalisierung. Sie erneuerte die bis dato geltende EU-Datenschutzrichtlinie aus dem Jahr 1995 und verfolgt das Ziel, personenbezogene Daten besser vor Missbrauch zu schützen. Die Verordnung gilt für alle in der EU ansässigen Unternehmen.

    Vor 2018 glich der europäische Datenschutz einem Flickenteppich, der von unzähligen nationalen Gesetzen und Richtlinien geprägt war. Während manche Länder seit Langem strenge Regeln im Datenschutz umsetzten, wurde das Thema in anderen Ländern weniger fokussiert. Unternehmen, die ein System mit weniger Kontrolle personenbezogener Daten bevorzugten, operierten vor allem aus diesen Ländern. Mit der Umsetzung der Datenschutz-Grundverordnung gelten seit 2018 einheitliche Vorgaben und Regelungen für alle Mitgliedsstaaten der Europäischen Union.

    Wen die Vorgaben der DSGVO betreffen

    Grundsätzlich sind von der deutschen Implementierung der Richtlinie alle Unternehmen, Vereine und Instanzen betroffen, die mit persönlichen Daten in Berührung kommen, beispielsweise:

    • Webshops, Webseiten-Betreiber, Blogs.
    • Wissenschaft und Forschung.
    • Ärzte, Rechtsanwälte.
    • Fitnessstudios.
    • Vereine, Verbände und Behörden.
    • Kleine und mittlere Unternehmen sowie global agieren Unternehmen und deren Personalabteilungen.

    Vor allem Arbeitgeber, die mehr als zehn Mitarbeiter beschäftigten, mussten sich mit der Einführung der DSGVO umstellen. Sie standen und stehen vor der Herausforderung, vielfältige Dokumentationspflichten in Bezug auf die Erhebung und Speicherung von personenbezogenen Daten zu erfüllen.

    Wie personenbezogene Daten definiert werden

    Zu den personenbezogenen Daten zählen neben Namen und Adresse ebenso die E-Mail-Adresse und eindeutige Merkmale wie die Telefonnummer, die Sozialversicherungsnummer, die spezifischen Kontodaten und ebenfalls die IP-Adresse.

    Darüber hinaus unterliegen sensible personenbezogene Daten einem erhöhten Schutz.

    Hierzu gehören:

    1. Die religiöse oder weltanschauliche Überzeugung.
    2. Die rassische oder ethnische Herkunft.
    3. Politische Meinung oder Zugehörigkeit zu einer Partei.
    4. Die Gewerkschaftszugehörigkeit.
    5. Gesundheitsdaten oder sexuelle Orientierung.

    Diese sensiblen Daten dürfen ausschließlich erhoben und verarbeitet werden, wenn hierfür die ausdrückliche und schriftliche Einwilligung der betroffenen Person vorliegt.

    Info: In der Bundesrepublik Deutschland gilt neben der DSGVO nach wie vor das Bundesdatenschutzgesetz (BDSG). Da das Recht der Europäischen Union über nationalem Recht steht, hat die DSGVO eine höhere rechtliche Relevanz.

    Anpassung der Datenschutzgrundverordnung – das sollten Unternehmen wissen

    Seit ihrer Einführung im Mai 2018 wurden die Vorgaben der DSGVO und des in Deutschland geltenden BDSG zweimal angepasst. Die Novellierung gründete sich auf EU-Verordnungen. Sie enthielt neben marginalen Abwandlungen bei einigen Begriffen ebenso tiefgreifende und wichtige Änderungen, die Unternehmen und Privatpersonen in Deutschland betreffen.

    Datenschutzbeauftragter seit 2019 erst ab 20 Mitarbeiter notwendig

    Für Unternehmen wesentlich ist die Änderung, dass erst ab einer Mitarbeiterstärke von 20 Angestellten einen eigenen Datenschutzbeauftragten ernennen müssen. In der Grundfassung der DSGVO musste ein Datenschutzbeauftragter ab 10 Mitarbeitern bestellt werden. Dieser konnte als externer Fachmann oder als vollwertiger Angestellter beschäftigt werden. Darüber hinaus wurde im gesamten BDSG der Begriff „Verwendung“ durch den Terminus „Verarbeitung“ ersetzt.

    Wichtig: Werden sensible personenbezogene Daten, zum Beispiel die ethnische Herkunft, Informationen zu Straftaten oder die religiöse Überzeugung gespeichert, ist grundsätzlich die Bestellung eines Datenschutzbeauftragten erforderlich. Dies gilt unabhängig von der Mitarbeiterzahl im Unternehmen.

    DSGVO-Ausblick: Die ePrivacy-Verordnung – Streitthema in der EU

    Im Zuge der Einführung der DSGVO sollte ebenfalls die ePrivacy-Verordnung (EVP) eingeführt werden. Die Einführung verzögerte sich in den letzten Jahren mehrfach, was vor allem Lobbyisten und Unternehmen zugeschrieben wird, die mit den Bestimmungen nicht einverstanden waren. Spätestens die deutsche Ratspräsidentschaft in der EU im zweiten Halbjahr 2020 hatte es sich zum Ziel gesetzt, dieses zusätzliche Gesetz zum Datenschutz, das vor allem Privatpersonen im Internet schützen soll, zu verabschieden. Mit der EVP will die EU unter anderem die Privatsphäre von Internetnutzern in der elektronischen Kommunikation erhöhen und sichern. Dies beinhaltet ebenso die Möglichkeit, das digitale Tracking von Messangerdiensten und Apps abzustellen und Cookies transparenter zu machen.

    Insgesamt soll die EVP als Zusatz zur DSGVO moderne Kommunikationsregeln einführen. Sie soll eindeutig regeln, wann und in welchem Umfang Cookies im Internet gesetzt werden dürfen.

    Bis zum Ende der deutschen Ratspräsidentschaft konnten sich die Europäische Kommission und das Europäische Parlament nicht auf evidente und verbindliche Regelungen zur EVP verständigen. Aus diesem Grund steht die Einführung der ePrivacy-Verordnung noch aus. Man kann gespannt sein, ob sich die aktuelle portugiesische Ratspräsidentschaft diesem wichtigen Datenschutzthema annimmt. Sobald die EVP implementiert wird, kommen auf Unternehmen weitere Herausforderungen in Bezug auf den Datenschutz zu.

    Die fünf wichtigsten Regelungen der DSGVO – das müssen Unternehmen unbedingt beachten

    Die DSGVO besteht aus insgesamt 11 Kapitel und regelt unter anderem das Auskunftsrecht der betroffenen Personen, E-Mail-Werbung, die Tätigkeit des Datenschutzbeauftragten und viele weitere Themen. Vor allem die fünf folgenden Bereiche sind für HR-Abteilungen essenziell:

    Die DSGVO fokussiert sich auf den Schutz von Grundrechten und Grundfreiheiten und insbesondere auf das Grundrecht, über sich und die persönlichen Daten bestimmen zu können. ©  NicoElNino – Adobe-Stock

    Die DSGVO und ihre Folgen

    Die Datenschutz-Grundverordnung ist eine EU-weite Reaktion auf die fortschreitende Digitalisierung. Sie erneuert die bis dato geltende EU-Datenschutzrichtlinie aus dem Jahr 1995 und hat das Ziel, personenbezogene Daten besser vor Missbrauch zu schützen. Die Verordnung gilt für alle Unternehmen, welche in der EU ansässig sind.

    Betroffen waren von der deutschen Umsetzung der Richtlinie Unternehmen, Vereine und Instanzen, die mit persönlichen Daten in Berührung kommen, beispielsweise:

    • Webshops, Webseite-Betreiber, Blogs
    • Wissenschaft und Forschung
    • Ärzte, Rechtsanwälte
    • Fitnessstudios
    • Unternehmen und Personalabteilungen

    Insbesondere Arbeitgeber, die mehr als zehn Mitarbeiter beschäftigen, die mit personenbezogenen Daten arbeiten, müssen sich in puncto DSGVO umstellen und vielfältige Dokumentationspflichten erfüllen. Zu den personenbezogenen Daten zählen neben Namen und Adresse auch E-Mail-Adresse, Telefonnummer, Kontodaten und ebenfalls die IP-Adresse.

    Übersicht: Die 5 wichtigsten Änderungen für Unternehmen

    1. Unternehmen stehen in der Beweispflicht

    Bis zur Einführung der DSGVO war es die Aufgabe der Aufsichtsbehörden, ein Unternehmen zu kontrollieren und Unstimmigkeiten und datenschutzrechtliche Verstöße aufzudecken. Die zuständige bundesweite Aufsichtsbehörde hierfür ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sowie die Landesbehörden in den einzelnen Bundesländern. Die Beweispflicht lag grundsätzlich bei der Behörde. Kamen Ungereimtheiten ans Licht, bekamen Unternehmen Zeit, die Datenschutzverstöße zu beheben.

    Seit dem 25.05.2018 ist das Verfahren revidiert. Durch die Vorgaben der DSGVO steht das Unternehmen in der Beweispflicht. Dies bedeutet für die Praxis, dass Betriebe bei Vorwürfen eines Verstoßes die Beweislast haben. Sie müssen anhand von Fakten klarstellen, dass die Anschuldigungen haltlos sind.

    Für eine korrekte Beweisführung ist es aus diesem Grund essenziell, den Umgang mit personenbezogenen Daten akribisch zu protokollieren. Darüber hinaus ist es hilfreich, den Zugang zu sensiblen personenbezogenen Daten für Mitarbeiter in der HR-Abteilung einzuschränken. Dies ist vor allem in der Personalabteilung, in der mit Mitarbeiter- und Bewerberdaten gearbeitet wird, nicht trivial.

    Entscheidend ist, das Gesamtteam für die DSGVO-Thematik zu sensibilisieren und bei Bedarf juristisch zu schulen. Eindeutige Regelungen, Beispiele und fortwährendes Training und Coaching verhindern, dass unbemerkt Verstöße gegen die DSGVO auftreten, die schwerwiegende Folgen haben können.

    Folgende Auskünfte dürfen auf Grundlage der DSGVO vom Unternehmen verlangt werden:

    • Zweck der gespeicherten Daten.
    • Autorisierte Zugriffe Dritter, vor allem wenn sie aus dem EU-Ausland kommen.
    • Speicherdauer der einzelnen Informationen.
    • Aufklärung über das Beschwerderecht bei einer zuständigen Aufsichtsbehörde.
    • Aufklärung über das Recht zur Löschung der eigenen Daten aus dem jeweiligen System.

    Wie Personalabteilungen DSGVO-Regelungen professionell umsetzen

    Moderne und zukunftsorientierte Unternehmen fokussieren sich bei der Einhaltung der DSGVO nicht ausschließlich darauf, Verstöße gegen das Gesetz zu vermeiden. Durch einen proaktiven und bejahenden Umgang mit der europäischen Verordnung erhöhen sie das Employer Branding im Unternehmen. Dies funktioniert unter anderem durch eine transparente Darstellung der implementierten Regelungen im Bewerbermanagement. Folgende Punkte sollten in jedem Betrieb beachtet werden:


    Zugangsbeschränkung bei Bewerberdaten
    Werden Bewerberdaten in gesicherten Datenbanken mit Passwort gespeichert?Ist ein interner Versand per E-Mail untersagt?Hat ausschließlich ein beschränkter Personenkreis Zugriff auf personenbezogene Daten und Bewerbungsunterlagen?
    Zustimmung zur DatenverarbeitungWird von Bewerbern standardisiert eine Zustimmung zur Datenverarbeitung eingeholt?Ist die Datenschutzerklärung auf dem neuesten Stand?
    Beachtung des Rechts auf „Vergessenwerden“Können Bewerber Ihre gespeicherten Daten einsehen?Ist es möglich, Bewerberdaten auf Knopfdruck zu löschen?Welche Bewerberdaten werden als notwendig erachtet und gespeichert?
    Umgang mit externen PartnernWurde mit externen Partnern, zum Beispiel Unternehmen, die Arbeitnehmerüberlassung anbieten, DSGVO-konforme Partnerverträge abgeschlossen?Wird der Umgang mit personenbezogenen Daten eindeutig definiert?
    DatenschutzbeauftragterIst ein Datenschutzbeauftragter im Unternehmen rechtlich notwendig?Werden sensible personenbezogene Daten gespeichert?

    Die objektive Beantwortung dieser und weiterer Fragen ist essenziell, um die Bestimmungen der DSGVO im Unternehmen professionell umzusetzen. Sie gelten neben dem Bewerbermanagement ebenfalls für den Umgang mit personenbezogenen Daten der Belegschaft.

    2. Empfindliche Strafen bei Verstößen gegen die DSGVO

    Um Unternehmen zur Einhaltung der DSGVO-Richtlinie zu bewegen, wurden die Bußgelder bei Verstoß drastisch erhöht. Diese betragen 4 % des weltweiten Unternehmensumsatzes oder 20 Millionen Euro – abhängig davon, welcher Betrag höher ausfällt. Solche Strafen sind für Unternehmen im Ernstfall existenzbedrohlich.

    Nachdem bei der Einführung der DSGVO eine Karenzzeit galt, in der Unternehmen nach wie vor auf Fehler aufmerksam gemacht wurden, gibt es seit 2020 in Deutschland prominente Fälle von drastischen Strafgeldern für Vergehen gegen die DSGVO. Unter anderem wurden der Kommunikationsdienstleister 1&1 und die Deutsche Wohnen aufgrund von Verstößen bestraft.

    Vor allem wegen der Höhe der Strafen bei Vergehen gegen die Datenschutzgrundverordnung ist es zielführend, die einzelnen Vorgaben im Detail zu beachten.

    3. Die Benennung eines Datenschutzbeauftragten ist verpflichtend

    Alle Unternehmen, in denen dauerhaft mehr als 20 Personen (gilt seit November 2019) mit der Verarbeitung personenbezogener Daten betraut sind, sind zur Benennung eines Datenschutzbeauftragten verpflichtet. Dieser fungiert weisungsfrei und steht in der Verantwortung, die Einhaltung der DSGVO unternehmensintern zu überwachen und bei deren Umsetzung zu unterstützen. Ebenso hat er die Aufgabe, Mitarbeiter, die mit personenbezogenen Informationen arbeiten, fortlaufend zu schulen. Werden sensible personenbezogene Daten in der HR-Software gespeichert, ist grundsätzlich ein Datenschutzbeauftragter erforderlich. Er kann direkt beim Unternehmen angestellt sein oder extern bestellt werden.

    4. Löschpflicht für personenbezogene Daten

    Falsche oder nicht unbedingt notwendige Personendaten müssen gelöscht werden. Sobald ein Arbeitsverhältnis ausläuft oder ein externer Mitarbeiter die Zusammenarbeit beendet hat, besteht eine Löschpflicht. Möchten Unternehmen Daten zu einem späteren Zeitpunkt verwenden, zum Beispiel in der Arbeitnehmerüberlassung, benötigen sie eine schriftliche Einverständniserklärung der jeweiligen Person.

    5. Grundsätzliche Informationspflicht des Unternehmens

    Eine der wesentlichsten Grundlagen der DSGVO ist die Auskunftspflicht. Kunden, Bewerber oder Mitarbeiter haben das gesetzlich verbriefte Recht, sich über die über sie gespeicherten Daten zu erkundigen. Es muss offengelegt werden:

    • Welche persönlichen Daten ein Unternehmen gespeichert hat, 
    • Wofür es diese verwendet und 
    • Wer Zugriff auf diese Daten hat.

    Darüber hinaus muss das Unternehmen im Falle einer Datenpanne die betroffene Person innerhalb einer angemessenen Zeit von 72 Stunden informieren.

    Um der Auskunftspflicht nachkommen zu können, ist eine professionelle Speicherstruktur sowie eine erhöhte Sensibilität im Umgang mit personenbezogenen Daten im Unternehmen zwingend erforderlich. Konkrete Schulungen und die Digitalisierung von Daten sowie eindeutige Zugangsbeschränkungen zu sensiblen Informationen und unabdingbar. Gleiches gilt für eine automatisierte Protokollierung von Geschäftsvorfällen.

    Unternehmen sind verpflichtet, ein nachvollziehbares System für die Speicherung personenbezogener Daten im Betrieb zu etablieren. Das Ausdrucken von personenbezogenen Daten oder der Versand relevanter Informationen per E-Mail muss unterbunden werden, damit bei einem Auskunftsersuchen schnell, professionell und wahrheitsgemäß informiert werden kann.

    5 Tipps für Unternehmer: So können Sie DSGVO-konform arbeiten

    Seit Einführung der DSGVO hat sich in deutschen Unternehmen viel getan. Die Einhaltung der Regeln zum Datenschutz wurde in vielen Konzernzentralen und Personalabteilungen fokussiert. Hierfür wurden Prozesse im Betrieb etabliert, die den Schutz personenbezogener Daten sicherstellen. Trotz vielfältiger Bemühungen stehen viele Betriebe aller Größenordnungen in Deutschland vor weiteren Herausforderungen bei der Umsetzung der DSGVO-Konformität. Die folgenden praxisrelevanten Tipps und Fragestellungen können Unternehmen und Personaler darin unterstützen, die richtigen Prioritäten zu setzen.

    • Speichern Sie ausschließlich personenbezogene Daten, die für die weitere Arbeit relevant sind.
    • Halten Sie sich an die Löschfristen der internen Einträge.
    • Verschlüsseln Sie empfindliche Daten durch zusätzliche Authentifizierungen oder Codes.
    • Automatisieren Sie die Protokollierung der Speicherprozesse und beschränken Sie Speicherorte. Führen Sie klare Zugriffsbeschränkungen für sensible personenbezogene Daten ein.
    • Erhöhen Sie die eigene Reputation und das Employer Branding durch Transparenz in Bezug auf die Umsetzung der Vorgaben der DSGVO im Unternehmen.

    Durch die Einhaltung der genannten Grundsätze können Sie kurzfristig oder in naher Zukunft DSGVO-konform arbeiten. Nutzen Sie hierfür ebenfalls den Rat spezialisierter Fachleute, die Ihnen helfen, Software DSGVO-konform aufzusetzen oder die Datenspeicherung im Unternehmen zu optimieren. Sehen Sie die DSGVO nicht als Hindernis, sondern als Möglichkeit und Chance.

    Zusätzlich können Ihnen die folgenden 5 Fragen bei Ihrer Entscheidung für mehr Datenschutz im Unternehmen helfen:

    Frage 1: Was ist gespeichert und wie stellt sich das Unternehmen dar?

    Überprüfen Sie, welche Mitarbeiter- oder Bewerberdaten bei Ihnen gespeichert sind. Löschen Sie Überflüssiges und verabschieden Sie sich bewusst von der Datensammelwut. Lasen Sie Ihre Online- und Offline-Formulare von einem Experten oder einem Juristen auf DSGVO-Konformität untersuchen. Lassen Sie zusätzlich Ihren Internetauftritt überprüfen und achten Sie darauf, dass Ihre Datenschutzerklärung im Internet und Ihre Cookie-Hinweise aktuell und abmahnsicher sind.

    Frage 2: Hole ich von Interessenten und Bewerbern grundsätzlich eine Einverständniserklärung ein?

    Falls Sie Bewerberdaten speichern, beispielsweise im Rahmen des Recruitings, sollten Sie sich grundsätzlich eine schriftliche Einwilligung für die Datenspeicherung einholen. In der Einwilligung zur Datenspeicherung sollte der Zweck der Erhebung unmissverständlich aufgeführt werden. Darüber hinaus sollten die Rechte des Bewerbers und Interessenten auf Dateneinsicht und Löschung aufgezeigt werden.

    Frage 3: Lösche ich personenbezogene Daten proaktiv?

    Löschen Sie personenbezogene Daten proaktiv, wenn Sie diese nicht mehr benötigen. Hat ein Mitarbeiter das Unternehmen verlassen oder ist ein Kunde von einem Vertrag zurückgetreten, ist es ratsam, die Daten unverzüglich zu löschen. Selbst wenn Sie durch eine Einverständniserklärung die Erlaubnis zur Datenspeicherung besitzen, kann es zielführend sein, ehemalige Bewerber jährlich auf die gespeicherten Daten hinzuweisen und eine Löschung anzubieten.

    Frage 4: Nutze ich sichere Software und IT-Lösungen?

    Die meisten Vorgänge werden heutzutage elektronisch erledigt. Dies gilt ebenso für die Aktenablage. Achten Sie aus diesem Grund auf einen wirksamen Schutz Ihrer Rechner. Durch dieses Vorgehen können Sie Hacker-Angriffen und Datenklau vorbeugen.

    Sollte es trotz aller Vorsichtsmaßnahmen zu einer Datenpanne kommen, stehen Sie in der Pflicht, dies binnen 72 Stunden zu melden. Dies gilt ebenfalls für Mitarbeiterdaten. Bei gestohlenen Mitarbeiterdaten müssen Sie den Diebstahl ebenfalls innerhalb einer „angemessenen Zeit“ melden.

    Frage 5: Nehme ich meine Dokumentationspflichten ernst?

    Um die Beweisbarkeit des richtigen Umgangs mit sensiblen Daten beweisen zu können, sollten Sie Buch führen. Da eine manuelle Dokumentation aufwendig ist, ist es sinnvoll Software einzusetzen und die Dokumentation zu automatisieren. Personenbezogene Daten sollten geordnet und mühelos abrufbar sein. Dies macht es unkompliziert, Änderungen oder Löschungen vorzunehmen. Ebenfalls empfiehlt es sich, eine Übersicht anzufertigen, in der Sie dokumentieren, welche personenbezogenen Daten in Ihrem Unternehmen bzw. in der Personalabteilung verarbeitet werden.

    Fazit

    Durch die Einführung der DSGVO haben sich viele Arbeitsabläufe, die mit personenbezogenen Daten zusammenhängen, geändert. Im Besonderen HR-Abteilungen, die jeden Tag persönliche Werte und Informationen verarbeiten, sollten den Datenschutz im Unternehmen und die Vorgaben der DSGVO ernstnehmen und fokussieren. Aktuelle Umfragen und Studien belegen, dass viele Betriebe in Deutschland die Maßgaben der Datenschutzgrundverordnung in Teilen umgesetzt haben.

    Jetzt gilt es, weitere Schritte zu unternehmen, um die gesetzlichen Vorgaben des Bundesdatenschutzgesetzes und der DSGVO im Detail zu beachten. Viele Beispiele erfolgreicher Unternehmen zeigen, dass es trotz der umfangreichen Reglementierungen möglich ist, die Datenschutzregeln mit einem durchdachten Konzept einzuhalten.

    Gerade Firmen, die bereits vor der Einführung der DSGVO den Datenschutz fokussiert haben, müssen und mussten wenig Modifizierungen vornehmen. Sie profitieren von einer „schlankeren“ Administration und von den Vorteilen des Gesetzespakets.

    Es ist zusammenfassend essenziell, die rechtlichen Vorgaben der DSGVO zu kennen. Darüber hinaus macht es Sinn, Juristen und spezialisierte Fachleute zurate zu ziehen, um offene Detailfragen zu klären. Unternehmen sollten das Ziel verfolgen, professionelle interne Strukturen aufzubauen oder weiterzuentwickeln, die eine Beachtung der gesetzlichen Vorgaben der DSGVO zu jeder Zeit sicherstellen.

    Was bedeutet die Abkürzung DSGVO?


    Die Abkürzung DSGVO steht für Datenschutz-Grundverordung. Bei der Datenschutz-Grundverordnung handelt es sich um ein europäisches Gesetz zum Datenschutz, dass nationale Richtlinien der Mitgliedsstaaten ablöste. Die Verordnung ist unter der Nummer 2016/687 des Europäischen Rates und des Europäischen Parlamentes zu finden. Die DSGVO gilt seit 25.05.2018.

    Auf welche Daten findet die DSGVO Anwendung?


    Gemäß Artikel 2 Absatz 1 der DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Werden keine personenbezogenen Daten verarbeitet, findet die DSGVO keine Anwendung.

    Welche Daten fallen unter den Terminus „personenbezogene Daten?“

    Als personenbezogene Daten gelten alle Informationen über eine Person, zum Beispiel das Geburtsdatum, der Name oder die Anschrift. Ebenso kommen Daten in Betracht, die eine Person im Internet hinterlässt und anhand derer sie identifiziert werden kann, zum Beispiel die IP-Adresse. Sensible personenbezogene Daten, die eines besonderen Schutzes bedürfen, sind beispielweise die sexuelle Orientierung, Gesundheitsdaten oder die Zugehörigkeit zu einer politischen Partei.
     

     
    Was schützt die DSGVO?

    Die Datenschutzgrundverordnung protegiert natürliche Personen und ihre personenbezogenen Daten. Somit fokussiert sich die DSGVO auf den Schutz von Grundrechten und Grundfreiheiten und insbesondere auf das Grundrecht, über sich und die persönlichen Daten bestimmen zu können.

    Welche Relevanz hat das Bundesdatenschutzgesetz (BDSG)?

    Das BDSG gilt als wichtigstes nationales Gesetz zum Datenschutz und stelle vor der Einführung der DSGVO den Standard für den Datenschutz in Deutschland dar. Heute basiert das BDSG auf den Vorgaben der DSGVO.

    Autor: Redaktion Personalwissen