EU-Datenschutzgrundverordnung

EU-Datenschutzgrundverordnung

Am 25. Mai 2018 tritt die neue EU-DSGVO in Kraft. Sowohl für Unternehmen als auch für Privatpersonen bringt sie viele Änderungen im Vergleich zur bisherigen Rechtslage mit sich. Unternehmen haben nicht mehr viel Zeit, um die vielen Neuerungen im Vergleich zum bisherigen BDSG umzusetzen. Es ist jedoch wichtig, sich bereits jetzt damit auseinanderzusetzen und sich rechtlich beraten zu lassen. Denn für die verspätete Umsetzung der neuen Vorgaben drohen hohe Bußgelder.

In diesem Zusammenhang ist auch das bisherige Bundesdatenschutzgestz überarbeitet worden und hat zur EU Datenschutzgrundverordnung synchrone Regelungen bekommen. Auch diese neue Fassung tritt mit dem 25. Mai 2018 in Kraft und ersetzt das bisherige Bundesdatenschutzgestz.

Die EU-Datenschutzgrundverordnung ist bindend in allen Mitgliedsstaaten. Allerdings lässt eine Öffnungsklausel in Artikel 88 der Verordnung (EU) 2016/679 nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext zu.

Zu allererst sollte man sich mit zwei Begriffen auseinandersetzen: Personenbezogene Daten und Beschäftigtendaten.

Personenbezogen Daten beziehen sich immer auf die Person, das ist noch relativ klar und bekannt. Wer aber gehört alles zu den Beschäftigten?

Beschäftigte im Sinne dieses Gesetzes sind:

–       Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,

–       zu ihrer Berufsbildung Beschäftigte,

–       Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben

–       sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),

–       in anerkannten Werkstätten für behinderte Menschen Beschäftigte,

–       Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,

–       Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,

–       Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

–       Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte

Worum muss man sich nach der neuen Verordnung alles kümmern:

–       Verarbeitung von Beschäftigungsdaten

–       Rechtmäßigkeit der Verarbeitung

–       Besondere personenbezogene Daten

–       Verarbeitung bei Kollektivvereinbarungen

–       Wahrung der Beschäftigteninteressen

–       Bedingungen für die Einwilligung zur Verarbeitung

–       Informationspflicht

–       Auskunftsrecht. Löschung

–       Dienstleister, Auftragsverarbeiter

–       Haftung, Bußgelder

Es gibt also vieles zu klären, um der neuen EU-Datenschutzgrundverordnung gerecht werden zu können. Ein Maßnahmenkatalog könnte wie folgt aussehen:

–     Neue Berechtigungskonzepte erstellen / Berechtigungsvergabe bis auf Feldebene Ermöglichen

–       Löschfähigkeit in den Anwendungen sicherstellen / Löschfristen definieren / Regelmäßige / automatische Löschläufe implementieren

–       Angaben für Informationspflichten im Unternehmen zusammenstellen / Prozess zur Information einführen / Prozess zur Aktualisierung der Information einführen

–       Erhebung aller Rechtsgrundlagen für Verarbeitung vom Mitarbeiterdaten inkl. Statistischen Reports

–       Informationskonzept erstellen

–       Erhebung der Weiterverarbeitungssachverhalte prüfen bzw. Rechtsgrundlagen benennen

–       Erhebung polizeilicher Führungszeugnisse und vergleichbare Fragen prüfen

–       Derzeitige Nutzung biometrischer Daten zur Einlass- oder Zugangskontrolle auf Zulässigkeit prüfen

–       Prozess zur Abwicklung der Betroffenenrechte einführen und entsprechende Angaben festlegen / Dokumentation zu Beweiszwecken

–       Anwendungen um Exportfunktionen erweitern für Datenportabilität und ggf. Auskunft

–       Bestehende Verträge mit Dienstleistern an neue Anforderungen anpassen / ggf. Zertifizierung des Auftragsverarbeiters vorlegen lassen / Dienstleister muss Leistung den neuen Anforderungen anpassen

Im Einzelnen heißt dass sehr viel Arbeit. Man muss sich einen kompletten Überblick über alle Daten im Unternehmen verschaffen und dass in den Systemen und auch außerhalb der Systeme.

Was führe ich alles an Daten? Wie lange darf ich diese führen? Auf welcher Rechtsgrundlage mache ich das?

Und man muss handlungsbereit sein, wenn z.B. Nachfragen der Mitarbeiter kommen oder der Wirtschaftsprüfer. Und in dem Zusammenhang sollten auch feste Richtlinien zur Datenvorhaltung, -pflege und löschung geschaffen werden.

Es bleibt also viel zu tun. Die neue EU-Datenschutzgrundverordnung betrifft in besondnerem Maße die Personalabteilungen und die Personalabrechnung und alles, was damit zusammenhängt. Transparenz und Wissen, was alles da ist, ist das oberste Gebot. Und gerade dort haben die meisten Untrenehmen einen erheblichen Nachholbedarf.

ALLPECON  befasst sich schon länger mit diesen Themen und ist somit in der Lage schnell und allumfassend die Daten im SAP-HCM zu ermitteln und einen möglichen Klärungsbedarf herauszuarbeiten.

Share this post