HR Fachartikel

Sie wollen fachlich in die Tiefe gehen und das möglichst mit geringem Aufwand? Dann nutzen Sie unser für Sie zusammengestelltes HR Magazin. Hier finden Sie mit nur einem Klick Fachartikel zu allen HR relevanten Themen wie Lohn & Gehalt, Talent Management, Employer Branding und vielen mehr. 

 

« Zurück

DSGVO: Am Ball bleiben!

Bislang haben sich die meisten Befürchtungen bezüglich der Europäischen Datenschutz-Grundverordnung (DSGVO) zum Glück nicht bewahrheitet. Doch das dicke Ende kann für die Unternehmen noch kommen.

Kein anderes Thema als das Einläuten einer neuen Ära im europäischen Datenschutz überflutete Unternehmen, Arbeitgeber wie Privatpersonen in 2018 mit immer neuen Warnhinweisen und Handlungsempfehlungen - pünktlich zum Stichtag 25. Mai 2018 brach dann der Tsunami der meist einfallslosen Aufforderungen nach dem Motto "Sagen Sie Ja", "Let's stay in touch" über einen herein, mit denen die Einwilligung von Kunden und sonstigen Interessenten in die Verarbeitung personenbezogener Daten eingeholt werden sollte. Wir wollen mit ein wenig Abstand noch einmal die Kernpunkte der Reform zusammenfassen und Lösungsansätze anbieten.

Was muss geschehen?

Unternehmen müssen sich schon aus Compliance-Erwägungen sorgfältig mit der DSGVO auseinandersetzen, auch wenn nicht unbedingt zu erwarten ist, dass die verschiedenen Landesdatenschutzaufsichtsbehörden bei jedem Verstoß gegen die Verordnung sofort und ohne Vorwarnung zu Bußgeldern greifen, geschweige denn diese in Millionenhöhe verhängen. In den Unternehmen wird man daher weiter akribisch daran arbeiten, in den Betrieben bestehende Prozesse in Einklang mit den neuen DSGVO-Anforderungen zu bringen:

  • Noch mehr als bisher werden Unternehmen auf eine striktere Trennung privater von betrieblicher Kommunikation achten;

  • Whatsapp wird auf betrieblichen Smartphones verboten;

  • E-Mails werden immer häufiger verschlüsselt;

  • Hinweise auf überarbeitete IT-Policies einschließlich umfangreicher Datenschutzerklärungen werden auf die Webseiten gestellt;

  • viele Unternehmen haben externe Datenschutzbeauftragte bestellt und

  • weisen ihre Mitarbeiter und Kunden auf eine zentrale Datenschutz-E-Mail-Kontaktadresse hin.

Personenbezogene Daten sind begrifflich so weit gefasst worden wie nie zuvor - es fallen hierunter die klassischen HR-Daten jeder Personalakte, aber insbesondere auch medizinisch relevante Daten, Key Codes, ID-Nummern und sozialversicherungsrechtlich relevante Daten. Im Zweifel werden alle Daten, die sich auf eine natürliche Person beziehen lassen und die in irgendeiner Art und Weise mit anderen Datenbanken der Unternehmen verlinkt werden können, als personenbezogene Daten im Sinne der DSGVO identifiziert werden. Es empfiehlt sich daher:

  • sämtliche personenbezogenen Daten, die in den Betrieben gesammelt werden, zu identifizieren,

  • die Quelle der Daten zu identifizieren,

  • zu unterscheiden, ob es sich um sensible personenbezogene Daten handelt oder nicht,

  • den Grund für die Datenverarbeitung in den Betrieben zu hinterfragen,

  • zu klären, ob eindeutige und transparente Datenschutzhinweise erfolgt sind und ob eine gegebenenfalls erforderliche Einwilligung erbeten wurde,

  • zu klären, wie und wo die Daten gespeichert werden,

  • zu klären, wer und wie Zugriff auf gespeicherte Daten hat,

  • Sicherheitsmaßnahmen bestehender Systeme zu überprüfen und zu testen,

  • zu prüfen, ob ein Datenschutzbeauftragter - intern oder extern - bestellt werden sollte oder muss, sowie

  • sicherzustellen, dass Anfragen von Mitarbeitern und Auskunftsersuchen Dritter im Hinblick auf personenbezogene Daten zeitnah begegnet werden kann.

Offensichtliche Schritte unterbleiben

Es sind oft die ganz offensichtlichen Schritte, die in vielen Betrieben aus vielfältigen Gründen unterbleiben. Spricht IT mit HR? Sind die bestehenden Compliance-, Datenschutz-Manuals sowie anderen Handbücher untereinander abgestimmt? Wer kommuniziert wie mit den Mitarbeitern? Sind Schulungen topdown und Mitarbeitertrainings vorgesehen? Kann der bisherige interne Datenschutzbeauftragte weiter tätig bleiben oder braucht es einen externen, Interessenkonfliktfreien Datenschutzbeauftragten? Die DSGVO stärkt die individuellen Rechte der Mitarbeiter in einem ganz erheblichen Umfang. Das betrifft:

  • Informationsrechte,

  • Auskunfts-, Berichtigungs- und Löschrechte,

  • das seit der Grundsatzentscheidung des EuGH aus dem Jahr 2014 schon legendäre "right to be forgotten", also das Recht auf Vergessenwerden, sowie

  • das Recht auf Datenübertragbarkeit. Dazu müssen Arbeitgeber in der Lage sein, ihren Mitarbeitern auf Verlangen jederzeit ausreichendund in verständlicher Form Informationen darüber zu geben,

  • welche Daten gespeichert werden,

  • wie lange die betreffenden Daten überhaupt gespeichert werden,

  • ob und wenn ja, welche Daten in welche Länder übertragen werden sowie

  • wann und wie personenrelevante Daten gelöscht oder an Dritte übertragen werden dürfen.

Auswirkungen auf Betriebsräte

Betriebsräte werden in zunehmendem Maße versuchen, mit ihren Arbeitgebern Rahmenbetriebsvereinbarungen zu verhandeln, um so die DSGVO Anforderungen in einer für die Arbeitnehmer günstigen Weise umzusetzen. Das kann unter Umständen auch für die Arbeitgeber von Vorteil sein, um so rascher kollektive Regelungen für die gesamte Belegschaft zu erreichen.

Zum Thema Betriebsräte und DSGVO sei an dieser Stelle nur kurz darauf hingewiesen, dass derzeit die Datenschutzbehörden erwägen, die Betriebsräte selbst für den Datenschutz verantwortlich zu machen. Dies hätte ganz erhebliche Auswirkungen auf die Praxis. Bisher hält die Rechtsprechung fest am Grundsatz, wonach Betriebsräte Teil des Arbeitgebers als datenschutzrechtlich Verantwortlichem sind. Wenn dies geändert wird, drohen den Arbeitgebern hohe Kosten durch einen enormen parallelen Arbeitsaufwand der Betriebsräte. Bei der DSGVO-Umsetzung sind Arbeitgeber daher gut beraten, eng mit ihren Betriebsräten zusammenzuarbeiten und sie frühzeitig in notwendige Änderungen einzubeziehen.

Fallstricke schon vor der Einstellung?

Am Ende sei noch ein letzter Hinweis für die tägliche Personalpraxis erlaubt: Bei Stellenausschreibungen und Bewerbungsverfahren sind schon vor dem Abschluss von Anstellungsverträgen und der Einstellung neuer Mitarbeiter verschiedene Regelungen und Empfehlungen der DSGVO zu beachten. So wird etwa die Verschlüsselung von Daten als geeignete technische Maßnahme empfohlen, was natürlich auch Bewerbungsunterlagen und Stellenausschreibungen umfasst. Bewerber haben darüber hinaus Anspruch auf Informationen, unter anderem was die Zwecke der Datenverarbeitung betrifft sowie die Dauer der Aufbewahrung personenbezogener Daten. Sprechen Sie mit Ihren IT-Abteilungen, wenn in Ihrem Unternehmen Online-Portale für Bewerber bestehen und welcher Stand der Technik insoweit gilt; so wie immer schon Bewerbungsunterlagen verschlossen werden und nicht im Posteingang für jeden einsehbar sein sollten, so müssen Sie auch Ihre Online-Portale entsprechend vor unberechtigten Zugriffen durch Dritte schützen. Auch müssen Sie natürlich den Kreis der Zugriffsberechtigten eng auf diejenigen in Ihrem Unternehmen beschränken, die im Bewerberverfahren involviert sind - also in der Regel die Geschäftsführer, Personalleiter und (sofern vorhanden) den Betriebsratsvorsitzenden.

Wenn Sie Teilbereiche des Bewerbungsverfahrens an Dritte outgesourct haben, müssen auch in diesem Vertragsverhältnis DSGVO-konforme Vereinbarungen zur Auftragsverarbeitung geschlossen werden. Zusätzliche Maßnahmen müssen Sie ergreifen, wenn Ihre Dienstleister nicht innerhalb der EU ansässig sein sollten, zum Beispiel durch den Abschluss von EU-Standardvertragsklauseln.

Last but not least: Wie gehen Sie mit der Dokumentation, der Aufbewahrung und am Ende dem Löschen der Unterlagen um? Beachten Sie die einschlägigen Aufbewahrungsfristen, bei abgelehnten Kandidaten zwischen drei und sechs Monaten nach Abschluss des Bewerbungsverfahrens und bei Personalakten im Regelfall mindestens zehn Jahre.

Dieser Beitrag wurde erstellt von Michael Magotsch und Dominik Weiß, Rechtsanwälte, Bryan Cave Leighton Paisner LLP, Hamburg.

Durchschnitt (0 Stimmen)
Die durchschnittliche Bewertung ist 0.0 von max. 5 Sternen.