Die EU-Verordnung (Europäische Union), 2016/679auch bekannt als Datenschutz-Grundverordnung (DSGVO), trat Mai 25, 2018 nach einer zweijährigen Übergangsfrist in Kraft. Die Verordnung verpflichtet alle in der Europäischen Union tätigen Unternehmen, neue Strategien, Verfahren und Praktiken für den Umgang mit den personenbezogenen Daten ihrer Kunden, Nutzer, Lieferanten und Arbeitnehmer einzuführen.

Die Datenschutz-Grundverordnung hat massive Auswirkungen auf HUMAN RESOURCES, da sie ihre Prozesse anpassen müssen, um die Anforderungen dieser Verordnung zu erfüllen.

Ziel der Datenschutz-Grundverordnung ist die Vereinheitlichung und Stärkung der Rechte der europäischen Bürger in Bezug auf ihre personenbezogenen Daten. Das bedeutet, dass jede Organisation, die mit den personenbezogenen Daten von EU-Bürgern zu tun hat, die neuen Standards für Transparenz, Sicherheit und Verantwortlichkeit einhalten muss.

Wie wirkt sich die  DSGVO  auf die Personalabteilung aus?

Die Datenschutz-Grundverordnung nimmt Unternehmen in die Pflicht, nur wesentliche, genaue und aktuelle Mitarbeiterdaten zu speichern. Außerdem müssen die Unternehmen klar kommunizieren, wie, wo und wie lange die persönlichen Daten der Mitarbeiter gespeichert werden. Auch können Mitarbeiter jederzeit auf ihre Daten zugreifen, eine Kopie der gespeicherten Daten anfordern und deren Löschung veranlassen.

HR-Teams müssen das Risiko und die Verantwortung verstehen, die mit dem Umgang mit Mitarbeiterdaten verbunden sind, um Sanktionen zu vermeiden, da die Nichteinhaltung zu Geldstrafen von bis zu EUR Mio20. oder 4 Prozent des Jahresumsatzes führen kann.

 Schlüsselfaktoren  der  DSGVO  in der   Personalabteilung

Um die Datenschutz-Grundverordnung zu befolgen, müssen die HUMAN RESOURCES-Teams ihre Mitarbeiterverwaltungsprozesse anpassen und verbessern, um die Rechte der Mitarbeiter zu gewährleisten und die Datenschutzrichtlinien zu befolgen.

Hier sind die wichtigsten Faktoren, die die Personalabteilung berücksichtigen sollte:

1. Erhebung personenbezogener Daten

Die Erhebung und Verarbeitung personenbezogener Daten ist rechtmäßig und beschränkt sich auf relevante Informationen für die Erfüllung des Arbeitsvertrags (z. B. Zeit- und Anwesenheitssysteme) oder auf Informationen, die für die Erfüllung einer gesetzlichen Verpflichtung erforderlich sind (z. B. Lohn- und Gehaltsabrechnung).

Die Einwilligung ist erforderlich, wenn es keine andere Rechtsgrundlage gibt, die die Verarbeitung von Daten rechtfertigt (z. B. ein persönliches E-Mail-Konto).

2.Das Recht der  Mitarbeiter, informiert zu werden

Unternehmen sind verpflichtet, die Mitarbeitern über den Zweck und die Rechtsgrundlage der Datenverarbeitung sowie über den Zeitraum, in dem personenbezogene Daten gespeichert werden, zu informieren. Diese Information muss zum Zeitpunkt der Erhebung der personenbezogenen Daten des Mitarbeiters erteilt werden.

3. Neue Rechte für Mitarbeiter

Mit der Datenschutz-Grundverordnung wurden neue Mitarbeiterrechte eingeführt, wie z. B. das Recht auf Datenportabilität, das es Mitarbeitern ermöglicht, ihre personenbezogenen Daten für ihre eigenen Zwecke über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden. Sie regelt auch bestimmte Rechte, wie z. B. das Recht auf Vergessenwerden, das es den Mitarbeitern ermöglicht, die Löschung ihrer personenbezogenen Daten zu verlangen, und das Recht auf Berichtigung, das den Mitarbeitern das Recht einräumt, die Berichtigung unrichtiger personenbezogener Daten zu erhalten.

Das Recht auf Widerspruch gegen Profiling-Aktivitäten verhindert, dass Unternehmen Entscheidungen treffen, die ausschließlich auf einer automatisierten Verarbeitung beruhen, was erhebliche Auswirkungen auf die Einführung von Software für künstliche Intelligenz im Bereich der Humanressourcen haben wird.

4. Datenschutzbeauftragter

Die Unternehmen müssen einen Datenschutzbeauftragten (DSB) ernennen, der unabhängig handelt und über die notwendigen Ressourcen zur Erfüllung seiner Aufgaben verfügt. Der DSB ist für die Überwachung der Datenschutzrichtlinie des Unternehmens und deren Umsetzung verantwortlich, um die Einhaltung der Datenschutz-Grundverordnung zu gewährleisten.

5. Folgenabschätzungen und Sicherheitsverletzungen

Unternehmen müssen Folgenabschätzungen durchführen, um Vorgänge zu ermitteln, die ein erhebliches Risiko für die Rechte der Mitarbeiter oder eine Sicherheitsverletzung darstellen. Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen die Unternehmen die Behörden spätestens 72 Stunden nach der Feststellung benachrichtigen.

6. Telematik  und  Verhaltenskodizes

Um sich auf die neuen Datenschutzanforderungen einzustellen, müssen die Unternehmen ihre internen Richtlinien und Verhaltenskodizes für den Einsatz der Telematik überprüfen. Außerdem müssen die Unternehmen ihre Inhalte an das Urteil des Europäischen Gerichtshofs für Menschenrechte (EGMR)sowie an die Auswirkungen der neuen Technologien am Arbeitsplatz anpassen.

7. Videoüberwachung

Die Unternehmen müssen auch ihre Verfahren für die Installation und den Einsatz von Videoüberwachung überprüfen. Der EGMR sieht vor, dass bei der Installation von fest installierten Kameras die Arbeitnehmer zuvor und eindeutig über deren Zweck informiert werden müssen, und zwar in Übereinstimmung mit den Datenschutzbestimmungen.

8. Internationale Übermittlung von Daten außerhalb der EU

Die Übermittlung personenbezogener Daten von Mitarbeitern in Länder außerhalb der EU stellt ein großes Risiko dar, da es keine Garantie für den Schutz gibt. Die Datenschutz-Grundverordnung hat bestimmte Beschränkungen eingeführt, um die Möglichkeiten eines Unternehmens zur Übermittlung solcher Daten zu begrenzen und die Rechte der Mitarbeiter durchzusetzen.

9. Drittanbieterverträge

Es ist notwendig, Verträge mit Lieferanten oder Auftragnehmern, die Zugang zu den personenbezogenen Daten des Unternehmens haben, zu aktualisieren, um sicherzustellen, dass die Anforderungen der Datenschutz-Grundverordnung eingehalten werden. Dazu gehören auch Verträge mit Anbietern von Gehaltsabrechnungen und Personalbeschaffung.

Aufgrund der Menge an personenbezogenen Daten, die ein Unternehmen bei all seinen Prozessen verwaltet, ist der Beitrag der HUMAN RESOURCES-Abteilung zur Einhaltung der Datenschutz-Grundverordnung von entscheidender Bedeutung. Es ist daher wichtig, alle Elemente der Datenschutz-Grundverordnung zu berücksichtigen, um einen wirksamen Aktionsplan umzusetzen.

Infografik zu den Schlüsselfaktoren der Datenschutz-Grundverordnung bei HUMAN RESOURCES

Was  können HR-Teams  tun, um die  DSGVO  einzuhalten?

Die Datenschutz-Grundverordnung verlangt von Unternehmen, dass sie proaktiv und verantwortungsbewusst technische und organisatorische Maßnahmen ergreifen, um die Verarbeitung beanstandeter Daten sicherzustellen.

Unternehmen müssen analysieren, welche Art von Daten sie verarbeiten, welchen Zweck sie damit verfolgen und wie sie dies tun. Hier sind einige Tipps, die HUMAN RESOURCES-Teams bei der Einhaltung der Datenschutz-Grundverordnung helfen:

1. Ein en Datenschutzbeauftragten (DSB) einstellen

Wie in Artikel 37 der Datenschutz-Grundverordnung vorgeschrieben, ist die Bestellung eines DSB von entscheidender Bedeutung. Ein DSB ist für die Überwachung der Datenschutzstrategien von Unternehmen zuständig und gewährleistet die Einhaltung der Anforderungen der DSGVO.

2. Bestandsaufnahme der Verarbeitung personenbezogener Daten.

Die Bestandsaufnahme wichtiger Daten erleichtert die Nachverfolgung und Verarbeitung dieser Daten und hilft bei der Überprüfung der Einhaltung der Vorschriften. Nachfolgend finden Sie einige wichtige Überlegungen zur Verfolgung der Informationen Ihres Unternehmens:

  • Identifizierung personenbezogener Daten und sensibler Daten sowie bestehender Verarbeitungsvorgänge und Überprüfung der Einhaltung der Vorschriften.
  • Finden Sie heraus, wer (Mitarbeiter, Auftragnehmer oder Lieferanten) Zugang zu den Daten hat und warum.
  • Überwachung von Mitarbeitern, Auftragnehmern und Lieferanten, die mit den Daten des Unternehmens arbeiten, und Überprüfung von Verträgen.
  • Überprüfen Sie, ob die von Auftragnehmern und Lieferanten durchgeführte Datenverarbeitung mit der Datenschutz-Grundverordnung übereinstimmt.
  • Recherchieren Sie die Archivierungspraktiken und die Aufbewahrungsdauer von Personaldaten.
  • Stellen Sie sicher, dass die HUMAN RESOURCES-Lösungen und Ihr Personalinformationssystem (HRIS), falls zutreffend, mit der Datenschutz-Grundverordnung konform sind.

3. Ergreifen Sie Maßnahmen

Im Anschluss an eine Bestandsaufnahme und die Ermittlung des Korrekturbedarfs ist es wichtig, einen Maßnahmenplan zu erstellen und umzusetzen, in dem Sie die zu befolgenden Schritte festlegen.

Stellen Sie sicher, dass Sie:

  •  Daten prüfen
  • Folgenabschätzungen durchführen
  • Ihre Schutz- und Sicherheitsmaßnahmen überprüfen
  • Ihre Prozesse und Verfahren überprüfen.

4.Umsetzung eines Kommunikationsplans

Es ist wichtig, einen internen Kommunikationsplan zu erstellen, damit alle Mitarbeiter wissen, wie sie auf ihre Informationen zugreifen können und was zu tun ist, wenn sich dieser Prozess ändert. Ein Teil der neuen Verordnung sieht vor, dass Unternehmen klar kommunizieren, wie, wo und wie lange die personenbezogenen Daten der Mitarbeiter gespeichert werden.

5. Stellen Sie sicher, dass die gespeicherten Daten korrekt sind

Unternehmen müssen sicherstellen, dass sie nur korrigierte und aktualisierte Daten aufbewahren. Sie müssen weiterhin bestimmen, welche Daten sie behalten und welche gelöscht werden müssen. Je weniger Daten Sie haben, desto einfacher ist es, die Datenschutz-Grundverordnung einzuhalten.

6. Überprüfung der Datenschutzrichtlinien

Unternehmen müssen mit den Daten, die sie verarbeiten, transparent umgehen. Die Überprüfung von Datenschutzvereinbarungen schafft Transparenz und baut Vertrauen auf. Aktualisieren Sie die Datensicherheitsrichtlinien und -verfahren unter Verwendung einer klaren und einfachen Sprache, und stellen Sie sicher, dass diese Richtlinien leicht zugänglich sind.

7. Durchsetzung der  Rechte der Mitarbeiter

Wie bereits erwähnt, führt die Datenschutz-Grundverordnung neue Rechte für Mitarbeiter ein. Es ist von entscheidender Bedeutung, dass diese Rechte durchgesetzt werden, um Sanktionen zu vermeiden.

8. Übernahme der Datenschutz-Grundverordnung als Teil der Unternehmenskultur

Es ist wichtig, dass die Unternehmen die Vorschriften in der gesamten Organisation bekannt machen. Indem Sie sie in die Unternehmenskultur integrieren, stellen Sie sicher, dass alle Mitarbeiter sie kennen und verstehen.

9. Verbesserung der Sicherheit

Sorgen Sie für die Sicherheit der Daten und vermeiden Sie Datenlecks. Im Falle einer Datenschutzverletzung müssen die betroffenen Parteien innerhalb von 72 Stunden informiert werden. Um Datenlecks zu vermeiden, sollten Sie zuverlässige Datenspeicherdienste beauftragen und außerdem aktuelle Sicherheitsrichtlinien festlegen.

10. Einholung der Zustimmung der Mitarbeiter

Es ist wichtig, dass Sie Ihre Mitarbeiter über die Maßnahmen und Verfahren informieren und ihre Zustimmung zur Verarbeitung und Übermittlung ihrer Daten einholen. Die Zustimmung muss freiwillig erfolgen und in Kenntnis der Sachlage und eindeutig erteilt werden.

Infografik: Was können HUMAN RESOURCES-Teams tun, um die Datenschutz-Grundverordnung einzuhalten?

Abgesehen von der Verpflichtung, die sie darstellt, kann die Datenschutz-Grundverordnung dazu beitragen, die Leistung Ihres Unternehmens sowie das Vertrauen und das Wohlbefinden der Mitarbeiter zu verbessern. Dies gilt jedoch nur, wenn Ihre Daten und Ihre Sicherheit, Ihre Werkzeuge, Methoden und Prozesse rationalisiert sind.

Diese neuen Herausforderungen bieten HUMAN RESOURCES-Abteilungen die Möglichkeit, die Internationalisierung ihres Unternehmens voranzutreiben und die Qualität der Zusammenarbeit mit ihren Lieferanten und Auftragnehmern zu verbessern. Eine klare Grundhaltung zum Umgang mit personenbezogenen Daten verbessert auch den Ruf der Unternehmen und macht sie als Arbeitgeber attraktiv.

Lesen Sie das gerne?
Kontakt