• 0228 / 95 50 160

DSGVO: Neuerungen im Personalmanagement

© Sir_Oliver / Fotolia
DSGVO Personalmanagement

Am 25.05.2018 ist in Deutschland die neue Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Mit der Umsetzung der Verordnung gab es für Unternehmen gerade im Personalbereich, wo mit zahlreichen sensiblen Daten gearbeitet wird, eklatante Neuerungen. In diesem Artikel lesen Sie Hintergründe zur DSGVO und was sich mit der Verordnung in der Personalabteilung alles geändert hat.

Die DSGVO und ihre Folgen

Die Datenschutz-Grundverordnung ist eine EU-weite Reaktion auf die fortschreitende Digitalisierung. Sie erneuert die bis dato geltende EU-Datenschutzrichtlinie aus dem Jahr 1995 und hat das Ziel, personenbezogene Daten besser vor Missbrauch zu schützen. Die Verordnung gilt für alle Unternehmen, welche in der EU ansässig sind.

Betroffen waren von der deutschen Umsetzung der Richtlinie Unternehmen, Vereine und Instanzen, die mit persönlichen Daten in Berührung kommen, beispielsweise:

  • Webshops, Webseite-Betreiber, Blogs
  • Wissenschaft und Forschung
  • Ärzte, Rechtsanwälte
  • Fitnessstudios
  • Unternehmen und Personalabteilungen

Insbesondere Arbeitgeber, die mehr als zehn Mitarbeiter beschäftigen, die mit personenbezogenen Daten arbeiten, müssen sich in puncto DSGVO umstellen und vielfältige Dokumentationspflichten erfüllen. Zu den personenbezogenen Daten zählen neben Namen und Adresse auch E-Mail-Adresse, Telefonnummer, Kontodaten und ebenfalls die IP-Adresse.

Übersicht: Die 5 wichtigsten Änderungen für Unternehmen

1. In Zukunft stehen Sie in der Beweispflicht

Bis zum Stichtag war es die Aufgabe der Aufsichtsbehörde, ein Unternehmen zu kontrollieren und Unstimmigkeiten und datenschutzrechtliche Verstöße aufzudecken. Zunächst galt es, Verstöße zu finden – die Beweispflicht lag hier bei der Behörde. Anschließend bekam das Unternehmen Zeit, die Datenschutzverstöße zu beheben.

Seit dem 25.05.2018 steht das Unternehmen in der Beweispflicht. Das heißt: Werden Ihnen Verstöße vorgeworfen, müssen Sie beweisen, dass diese Anschuldigungen haltlos sind. Für eine korrekte Beweisführung ist es daher wichtig, den Umgang mit personenbezogenen Daten akribisch zu protokollieren. Außerdem ist es hilfreich, den Zugang zu solch sensiblen Daten für Ihre Mitarbeiter einzuschränken, was in der Personalabteilung nicht ganz einfach ist. Hier ergibt es Sinn, das Team für die DSGVO-Thematik zu sensibilisieren und bei Bedarf auch juristisch zu schulen.

Folgende Auskünfte dürfen nun vom Unternehmen verlangt werden:

  • Zweck der gespeicherten Daten
  • Autorisierte Zugriffe Dritter, insbesondere wenn sie aus dem EU-Ausland kommen
  • Speicherdauer der einzelnen Informationen
  • Aufklärung über das Beschwerderecht bei einer zuständigen Aufsichtsbehörde
  • Aufklärung über das Recht zur Löschung der eigenen Daten aus dem jeweiligen System

2. Das Strafmaß für Verstöße wird drastisch erhöht

Um Unternehmen zur Einhaltung der DSGVO-Richtlinie zu bewegen, wurden die Bußgelder bei Verstoß drastisch erhöht. Diese betragen nun 4 % des weltweiten Unternehmensumsatzes oder 20 Millionen Euro – je nachdem, welcher Betrag höher ausfällt. Solche Strafen sind für Unternehmen im Ernstfall existenzbedrohlich.

3. Die Benennung eines Datenschutzbeauftragten wird verpflichtend

Alle Unternehmen, in denen dauerhaft mehr als zehn Personen mit der Verarbeitung personenbezogener Daten betraut sind, sind zur Benennung eines Datenschutzbeauftragten verpflichtet. Dieser fungiert weisungsfrei, zumindest auf seinem Gebiet, und soll für die Einhaltung der DSGVO sorgen. Ebenso gilt es, Mitarbeiter, die mit entsprechenden Daten arbeiten, zu schulen. Ein Datenschutzbeauftragter kann bei einem Unternehmen angestellt sein oder extern bestellt werden.

4. Löschpflicht für personenbezogene Daten

Falsche oder nicht unbedingt notwendige Personendaten müssen zukünftig gelöscht werden. Sobald ein Arbeitsverhältnis beendet wird oder die Person anderweitig nichts mehr mit dem Unternehmen zu tun hat, besteht eine Löschpflicht. Falls Sie Daten zu einem späteren Zeitpunkt verwenden möchten, beispielsweise in der Arbeitnehmerüberlassung, benötigen Sie eine Einverständniserklärung der jeweiligen Person.

5. Informationspflicht für Unternehmen

Zukünftig dürfen sich alle Personen erkundigen, welche ihrer persönlichen Daten ein Unternehmen gespeichert hat, wofür es diese verwendet und wer Zugriff auf diese Daten hat. Außerdem muss das Unternehmen im Falle einer Datenpanne die betroffene Person innerhalb einer angemessenen Zeit von 72 Stunden informieren.

5 Tipps für Unternehmer: So können Sie DSGVO-konform arbeiten

Um bereits die ersten Weichen für eine DSGVO-konforme Arbeit zu stellen, empfiehlt es sich, folgende Punkte zu beachten:

  • Speichern Sie nur die Daten, die wirklich notwendig sind
  • Halten Sie sich an die Löschfristen der internen Einträge
  • Verschlüsseln Sie empfindliche Daten durch zusätzliche Authentifizierungen oder Codes
  • Führen Sie Buch über die gespeicherten Daten und deren Verwendung

Durch die Einhaltung der genannten Grundsätze können Sie bereits den ersten Schritt in die richtige Richtung gehen. Viele Unternehmen, gerade diejenigen, die den Datenschutz schon länger im Fokus haben, arbeiten bereits DSGVO-konform. Das heißt, viele müssen gar keine Neuerungen oder nur kaum Anpassungen vornehmen.

Tipp 1: Was ist überhaupt gespeichert?

Überprüfen Sie, welche Mitarbeiterdaten bei Ihnen gespeichert sind und löschen Sie Überflüssiges. Außerdem sollten Sie Ihre Formulare bezüglich der Datenspeicherung von einem Experten bzw. einem Juristen kontrollieren lassen.

Tipp 2: Einverständniserklärung einholen

Falls Sie Bewerberdaten speichern, beispielsweise im Rahmen des Recruitings, sollten Sie sich eine erneute Einwilligung für die Datenspeicherung einholen. Die meisten Personalfirmen arbeiten bereits mit solchen Formularen. Allerdings sind diese oftmals nicht DSGVO-konform.

Tipp 3: Im Zweifel lieber löschen

Löschen Sie personenbezogene Daten, wenn Sie diese nicht mehr brauchen. Hat ein Mitarbeiter das Unternehmen verlassen oder ist ein Kunde von einem Vertrag zurückgetreten, dann ist es ratsam, die Daten unverzüglich zu löschen.

Tipp 4: Sichere Software und IT-Lösungen nutzen

Die meisten Vorgänge werden heutzutage elektronisch erledigt – ebenso die Aktenablage. Achten Sie daher auf einen wirksamen Schutz Ihrer Rechner. Dadurch können Sie Hacker-Angriffen und Datenklau vorbeugen.

Sollte es dennoch zu einer Datenpanne kommen, stehen Sie in der Pflicht, dies binnen der bereits genannten 72 Stunden zu melden. Dies gilt ebenso für Mitarbeiterdaten. Auch hier müssen Sie den Diebstahl innerhalb einer „angemessenen Zeit“ melden.

Tipp 5: Dokumentierungspflichten ernstnehmen

Um die Beweisbarkeit des richtigen Umgangs mit sensiblen Daten beweisen zu können, sollten Sie Buch führen. Dazu gehört auch eine gut strukturierte Software, welche die Daten speichert. Personenbezogene Daten sollten geordnet und für Sie leicht abrufbar sein, um Änderungen oder Löschungen vorzunehmen. Ebenfalls empfiehlt es sich, eine Übersicht anzufertigen, in der Sie dokumentieren, welche personenbezogenen Daten in Ihrem Unternehmen bzw. in der Personalabteilung verarbeitet werden.

Fazit zur Datenschutz-Grundverordnung

Durch die Einführung der DGSVO im Mai 2018 hat sich für Unternehmen, welche mit personenbezogenen Daten arbeiten, einiges geändert. Insbesondere in der Personalabteilung, wo personenbezogene Daten die Grundlage für die Arbeit darstellen, sollten Sie besondere Vorsicht walten lassen. Trotz der umfangreichen Reglementierungen ist es durchaus möglich, die neuen Vorgaben mit relativ wenig Aufwand einzuhalten.

Gerade Firmen, die vor dem Stichtag schon auf Datenschutz geachtet haben, müssen oftmals gar keine großen Modifizierungen vornehmen. Ratsam ist es in jedem Fall, einen Basis-Check von einem Juristen durchführen zu lassen: Er kann offene Fragen beantworten, Ihnen und Ihrem Unternehmen beratend zur Seite stehen und Experten für die Durchführung von DSGVO-Maßnahmen nennen.

Autor: Redaktion Personalwissen

Sie haben Fragen? Rufen Sie uns an.
0228 / 95 50 160

* Selbstverständlich können Sie den Gratis-Ratgeber auch unabhängig von einer Newsletter-Anmeldung anfordern. Schreiben Sie uns dazu bitte eine kurze E-Mail mit Link zu dieser Seite.