Login
Jetzt Demo anfragen
Login
Jetzt Demo anfragen
Menu

Erhalten Sie Berichte zu aktuellen HR- & Gesundheitsthemen

Zum Newsletter anmelden
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Achtung, Datenschutz! Die neue DSGVO – was Personaler jetzt beachten müssen

Achtung, Datenschutz! Die neue DSGVO – was Personaler jetzt beachten müssen

Modernes Arbeiten

 

Stichtag 25. Mai 2018: Zu diesem Datum tritt die neue Datenschutz-Grundverordnung in Kraft. Nach einigem Hin und Her hat die Europäische Union nun ein EU-weit gültiges Datenschutzrecht durchgesetzt. Die sogenannte DSGVO und die Änderungen in puncto Datenschutz sind gerade für HR-Verantwortliche und auch für Geschäftsführer ohne interne Personalabteilung interessant. Was geschieht künftig mit Mitarbeiter- und Bewerberdaten bzw. darf damit geschehen? Welche Änderungen sind wichtig und wie können sie umgesetzt werden? Dürfen Daten überhaupt noch gespeichert und intern verarbeitet werden? Der Artikel klärt auf.

 

Sensible Daten besonders bei HR-Arbeit von Bedeutung

Die Human-Ressource-Verantwortlichen in Unternehmen arbeiten, ebenso wie die Buchhalter, oft mit persönlichen, teils sensiblen Daten von Jobbewerbern und Mitarbeitern. Dies betrifft auch die Daten im BGM-Bereich. Daher sind sie von den Änderungen, die die neue Datenschutzverordnung mit sich bringt, in besonderem Maße betroffen. Die Zeit drängt: In nur wenigen Tagen tritt sie bereits in Kraft. Auch Geschäftsführer, die keine eigene Personalabteilung im Unternehmen haben, sollten noch einmal aufhorchen. Denn in Sachen Datenschutz werden die Rechte derjenigen, deren Daten erhoben werden, ausgeweitet. Gleichzeitig steigen die Anforderungen an HR-Verantwortliche und Geschäftsführer in Firmen.

 

EU-DSGVO: bauliche & technische Maßnahmen – auch für HR-Abteilungen

Der »neue« Datenschutz sollte schon bei der Infrastruktur beginnen. Empfohlen werden einerseits bauliche, andererseits technische Maßnahmen, die sensible Daten besonders schützen¹.

1. Bauliche Maßnahmen:

Wenn die Personalabteilung zentral in der Firma positioniert – vielleicht sogar in einem Durchgangsbereich platziert ist – steigt das Risiko, dass Unbefugte unerwartet Einsicht in die Personalakten erhalten. Wenn Jobbewerber im Flur darauf warten, dass ihr Bewerbungsgespräch startet, werden Gesprächsfetzen aufgenommen oder Telefonate ungewollt belauscht. Zudem könnten persönliche Daten, die an Computern im Großraumbüro aufgerufen und bearbeitet werden, aufgeschnappt werden; zufällig oder sogar absichtlich im Rahmen eines geplanten Datendiebstahls.

Bauliche Maßnahmen sollen diese und ähnliche Vorkommnisse künftig verhindern. Die Büros der Personalabteilung, aber auch beispielsweise der Buchhaltung werden im Idealfall so eingerichtet, dass Unbefugte weder eine Einsicht noch einen Zutritt haben. Wer ganz sicher gehen möchte, dass nur Befugte Zutritt zu den Räumlichkeiten haben, setzt auf moderne Technik in Form von elektronischen Zugriffskontrollsystemen. Diese können mittels Fingerabdruck oder elektronischer Chipkarte bedient werden. Wichtig: Selbst die Drucksysteme sollten von dieser Maßnahme bedacht werden; zu schnell könnte eine Liste mit persönlichen Daten von Mitarbeitern verschwinden, wenn sie im Flurbereich aus dem Drucker fließt.

Tipp für kleinere Unternehmen, bei denen bauliche Veränderungen nicht möglich sind: Hier hilft zumindest die sichtbare Abschirmung der betroffenen Mitarbeiter durch Raumtrenner oder anderweitig positionierte Schreibtische.

 

2. Technische Maßnahmen:

Zu den baulichen Maßnahmen gesellen sich technische Methoden, welche die Datensicherheit erhöhen. Direkt am Computer können Sie passwortgeschützte Bereiche einrichten oder auf ein Bearbeitungssystem zurückgreifen, das den Anwendern bestimmte Rollen zuteilt.

Praxisbeispiel aus dem Qualitätsmanagement: Hier könnte ein Administrator uneingeschränkten Zugriff auf alle Bereiche genießen und sämtliche Bearbeitungen vornehmen dürfen. Ein Dokumentenersteller könnte zwar Dokumente bearbeiten, aber beispielsweise nicht löschen. Lesende hingegen erhielten mit ihrer Rolle lediglich auf bestimmte Daten Zugriff und könnten diese einsehen, aber nicht bearbeiten. Dies lässt sich auf moderne Bearbeitungssysteme von Personaldaten übertragen.

Eine weitere, wichtige Maßnahme, welche die Zugriffssicherheit erhöht, ist die regelmäßige Änderung von Passwörtern. So sinkt das Risiko, dass sie nicht Zugriffsberechtigten in die Hände fallen und anschließend uneingeschränkt verwendet werden können. Zudem sollten Daten, die unterschiedlichen Zwecken dienen, stets getrennt verarbeitet werden. Die Personalstammdaten sollten also nicht mit der Akte im betrieblichen Gesundheitsmanagement oder der Lohnabrechnung aufeinandertreffen.

 

Änderungen in puncto Datenverarbeitung: Rechte der Betroffenen durch EU-DSGVO

Die Änderungen der EU-DSGVO regeln insbesondere die Rechte derjenigen, deren Daten erhoben werden. Einerseits wird ihnen der Zugriff auf die Daten und gespeicherten Informationen sowie deren Nutzungszweck erleichtert, andererseits steigt der Anspruch, diese Daten wieder löschen zu lassen. Zudem erfahren die Betroffenen auf Wunsch, wann die Daten geplanter Weise gelöscht werden sollen (beispielsweise nach einem abgeschlossenen Bewerbungsprozess).

Im Rahmen des Auskunftsrechtes können Betroffene diese Informationen jederzeit einfordern – unentgeltlich und an keinerlei Fristen gebunden³. Die Anforderung an HR-Betroffene: Ein ausführlicherer Datenschutzhinweis als bisher, der klar formuliert, wofür Daten erhoben und wie lange diese in welcher Form gespeichert werden². Dieser kann auch als automatische E-Mail-Bestätigung, beispielsweise nach Eingang einer Bewerbung, eingeblendet werden.

 

Datenschutz-Folgenabschätzung: Was ist das eigentlich?

Hinzu kommt für HR-Verantwortliche die Pflicht der so genannten Datenschutz-Folgenabschätzung, die immer dann erforderlich wird, wenn besondere Risiken für sensible, erhobene Daten bestehen. Das kann etwa der Fall sein, wenn neue Technologien die Zugriffssicherheit erschweren. Hinter der Datenschutz-Folgenabschätzung verbirgt sich im Prinzip etwas Ähnliches wie die bisher bekannte »Vorabkontrolle«, die bei der Erfassung und Verarbeitung besonders sensibler Daten erforderlich wird. Solche Daten betreffen etwa die ethnische Herkunft, religiöse Zugehörigkeit oder politische Meinung.

Im Zuge der Datenschutz-Folgenabschätzung wird eine Stellungnahme seitens des Datenschutzbeauftragten abgegeben, welche die Rechtmäßigkeit der Verarbeitung dieser Daten erläutert. Durch die Datenschutz-Folgenabschätzung können Risiken erkannt und mögliche Probleme hinsichtlich des Datenschutzes und der persönlichen Rechte der Betroffenen aufgedeckt werden⁶. Das unterstützt das Informationsrecht der Betroffenen, welches ebenfalls durch die EU-DSGVO in Kraft tritt.

Praxisbeispiel aus der Gesundheitsbranche: Im Gesundheitswesen ist die Erfassung sensibler Krankheits- und Patientendaten an der Tagesordnung. Da die Verarbeitung von Gesundheitsdaten grundsätzlich nur unter speziellen, eng definierten Voraussetzungen möglich ist, muss ein Rechtfertigungsgrund vorliegen und erfasst werden. Im Rahmen der Datenschutz-Folgenabschätzung bewertet ein Verantwortlicher verschiedene Eckdaten:

  • Notwendigkeit: Zunächst steht die Überprüfung der Notwendigkeit und Verhältnismäßigkeit der Erfassung und Speicherung von Daten im Vordergrund. Das heißt: Sind alle erfassten Daten im vorliegenden Umfang wirklich für die tägliche Arbeit notwendig?
  • Risikobewertung: Zudem erfolgt eine Risikobewertung, die klärt, inwieweit die persönliche Freiheit der Betroffenen durch die Datenspeicherung eingeschränkt wird.

Treten Schwierigkeiten bei der Beurteilung der Risiken auf oder ist die Notwendigkeit der Datennutzung nicht in vollem Umfang gegeben, sollten Maßnahmen geplant werden, wie diese in Zukunft vermieden werden können⁸.

 

Änderungen rund um Mitarbeiterdaten

Die Neuerungen durch die EU-DSGVO betreffen Mitarbeiterdaten insofern, als dass sie künftig nur dann verarbeitet werden sollen, wenn diese Datenspeicherung und Verarbeitung erforderlich ist. Gründe dafür sind im Beschäftigungsverhältnis zu finden und betreffen sowohl die Einstellung als auch die aktuelle Arbeit bis hin zur Beendigung des Arbeitsverhältnisses. Schwierig ist für HR-Verantwortliche, diese Erforderlichkeit klar einzuschätzen.

In der EU-DSGVO findet sich der folgende Hinweis: »Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt« (7, § 26 Absatz 1).

Die Datenverarbeitung ist folglich erlaubt, sofern sie das Beschäftigungsverhältnis betrifft, effektiv ist und zu den mildesten der dem Arbeitgeber zur Verfügung stehenden Mittel gehört⁵. Sollte ein solcher Anspruch nicht erfüllt sein, bleibt immer noch die Möglichkeit, das Einverständnis des Betroffenen einzuholen.

Nach wie vor heißt es, dass sensible Daten dann verarbeitet werden dürfen, wenn sie aus Gründen des Sozialschutzes, der sozialen Sicherheit oder der Erfüllung von Pflichten, die sich aus dem Arbeitsrecht ergeben, unbedingt erforderlich sind. Dazu gehören neben den bereits erwähnten Daten, die Religionszugehörigkeit und politische Meinung betreffen, auch Daten zum Sexualleben oder gesundheitsbezogene Informationen. Hier sollen künftig aber besondere Sicherheitsmaßnahmen getroffen werden, beispielsweise durch die Verwendung von Pseudonymen oder spezielle Verschlüsselungsmethoden.

 

Änderungen rund um Bewerberdaten

Besonders interessant sind für HR-Verantwortliche natürlich die Änderungen, welche die EU-DSGVO in Bezug auf Bewerberdaten mit sich bringt. Das beginnt bereits beim ersten Zugriff, beispielsweise durch ein Job-Portal. Hier spielen verschlüsselte Kanäle und spezielle Zugriffsbereiche eine Rolle und genießen in Zukunft die höchste Priorität. Die Jobbewerber sollten in jedem Fall ihre Daten verschlüsselt übertragen können; sei es durch ein spezielles E-Mail-Programm, eine Eingangsbestätigung der Bewerbung oder den Zugriff auf eine passwortgeschützte Cloud. Im Bewerberbereich sollte hier seitens des Unternehmens aufgerüstet werden.

Das Recht der Bewerber, ihre Daten einzusehen und zu erfahren, wofür diese genutzt und wann sie gegebenenfalls gelöscht werden, ergibt sich aus dem bereits beschriebenen Umstand, dass Betroffene ein erweitertes Auskunftsrecht genießen. Eine automatische Eingangsbestätigung seitens der Firma könnte die Anforderung bereits erfüllen, wenn hier die Informationen zur Verarbeitung und Löschung enthalten sind. Anderenfalls genießt der Bewerber das Recht, diese auf Nachfrage einsehen zu dürfen.

Altbekannt ist der Fakt, dass die Daten lediglich für den ursprünglich vorgesehenen Zweck genutzt werden dürfen; so ist es verboten, die E-Mail-Adresse eines Jobbewerbers ohne dessen Zustimmung für einen Newsletter einzutragen. Zudem besteht für ein Unternehmen nach Abschluss eines Bewerbungsverfahrens und der Entscheidung für einen der Bewerber kein Grund mehr, die Daten der übrigen Bewerber aufzubewahren. Manchmal geschieht dies dennoch; etwa, um Klagen seitens der Bewerber vorzubeugen und im Fall der Fälle die Daten noch parat zu haben – meist im Rahmen von etwa zwei bis sechs Monaten. Künftig muss, um diesen Zeitraum zu verlängern, eine schriftliche Einverständniserklärung der Kandidaten vorliegen⁴.

 

Fit für die Reform

Die rechtzeitige Vorbereitung auf die Reform ist gerade den HR-Verantwortlichen oder Geschäftsführern ohne Personalabteilung dringend angeraten. So sollte beispielsweise in der Budgetplanung ein Fokus auf die eventuell erforderliche, technische Aufrüstung gelegt werden. Doch eigentlich ist es jetzt schon zu spät für größere Maßnahmen; in wenigen Tagen tritt die Reform schließlich bereits in Kraft.

Wir empfehlen allen Verantwortlichen, noch einmal einen Blick auf die aktuellen Gegebenheiten zu werfen und im Zweifelsfall rechtliche Unterstützung einzufordern. Gerade HR-Software aus einer Cloud oder elektronisch basierte Job-Portale sollten hinsichtlich der Forderungen überprüft werden. Denn: Werden die neuen Richtlinien der EU-DSGVO nicht rechtzeitig erfüllt, drohen den HR-Verantwortlichen bzw. Geschäftsführern mitunter hohe Bußgelder². Diese werden im Zuge der Neuerungen von bislang üblichen 300.000 Euro drastisch erhöht. So können Unternehmen mit bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes der Firma rechnen, wenn sie sich nicht an die Richtlinien halten; je nachdem, welcher Betrag der höhere und welcher Schaden eingetreten ist³.

Ein weiterer Nebeneffekt, der auftritt, wenn sich Firmen nicht an die Vorgaben halten, ist natürlich auch das negative Image bei den Kunden. Gut auf das neue Recht vorbereitete Unternehmen, die dies auch beispielsweise durch moderne, technische Aufrüstungen zeigen, kommen bei den Kunden besser an als Firmen, welche die Änderungen nicht frühzeitig ernst nehmen oder sich nur nebenbei um die Einhaltung der Rechte kümmern.

 

Checkliste für HR-Verantwortliche: Maßnahmen auf einen Blick

Zusammengefasst sind für HR-Verantwortliche im Rahmen des neuen EU-DSGVO-Gesetzes folgende Maßnahmen zu treffen:

  • Eine bauliche Sicherheit der Räume, in denen sensible, personenbezogene Daten verarbeitet werden, muss gewährleistet werden (zum Beispiel dürfen hier Kunden, Partner und abteilungsfremde Mitarbeiter keinen Zugriff haben; dies wird durch Chipkarten oder Ähnliches geregelt).
  • Eine technische Sicherheit der erhobenen Daten muss ebenso garantiert werden; beispielsweise durch passwortgeschützte Bereiche mit alleinigem Zugriff für Verantwortliche oder eine spezielle Rechtevergabe im System.
  • Die Erforderlichkeit der Datenverarbeitung sollte jederzeit ausreichend hinterfragt und in kritischen Fällen dokumentiert werden.
  • Bei der Verarbeitung besonders sensibler Daten müssen Verschlüsselungsmethoden eingeführt und /oder die Verwendung von Pseudonymen angestrebt werden.
  • Cloud-Lösungen und Job-Portale müssen gemäß der Neuerungen optimiert werden Das gelingt beispielsweise durch Zugriffsrechte auf E-Mails von Bewerbern oder durch eine automatische E-Mail-Eingangsbestätigung, die sämtliche, erforderliche Informationen zur Datenverarbeitung und Löschung enthält. Achtung: Auch Cloud-Anbieter können gemäß der neuen EU-DSGVO für Fehler in Bezug auf die Datenverarbeitung haftbar gemacht werden. Firmen, die das betrifft, sollten auch die Richtlinien in der Cloud überprüfen.
Tipp: Alle getroffenen Maßnahmen sollten gemäß der Betriebsgröße und den vorhandenen (finanziellen) Kapazitäten umgesetzt werden. Nicht alle Methoden, beispielsweise eine bauliche Veränderung, sind gerade für Start-Ups oder kleinere Niederlassungen ratsam. Mit wenigen Anpassungen, beispielsweise durch eine effektive Raumtrennung, können auch hier die Richtlinien erfüllt werden.

 

Fazit: Datenschutz im Fokus

Die EU-DSGVO bringt zwar einige Neuerungen und Anforderungen mit sich, diese können von HR-Verantwortlichen aber meist zeitnah und mit wenig Arbeitsaufwand umgesetzt werden. In Abhängigkeit von der Unternehmensgröße empfehlen sich mal bauliche, mal technische und mal prozessorientierte Maßnahmen mehr. In jedem Fall gilt: Spätestens ab dem 25. Mai 2018 sollte der Datenschutz bezüglich der Informationen von Bewerbern und Mitarbeitern ganz oben auf der Prioritätenliste stehen, um die drastisch erhöhten Bußgelder zu vermeiden – und bei den Kunden hoch im Kurs zu bleiben.

Quellen

  1. https://www.sage.com/de-de/blog/eu-datenschutz-grundverordnung-das-muss-die-personalabteilung-beachten/#
  2. https://www.wbs-law.de/it-recht/datenschutzrecht/die-eu-datenschutzgrundverordnung/
  3. https://www.event-partner.de/business/-welche-aenderungen-kommen-auf-unternehmen-zu/
  4. https://arbeitgeber.monster.de/hr/personal-tipps/personalmanagement/arbeitsrecht/datenschutz-umgang-mit-bewerberdaten.aspx
  5. https://www.isico-datenschutz.de/blog/2017/05/22/mitarbeiterdatenschutz/
  6. https://www.datenschutzbeauftragter-info.de/datenschutz-folgenabschaetzung/
  7. http://www.bdsg2018.de/de/begruendung/begruendung.htm
  8. http://blog.dgq.de/datenschutz-im-gesundheitswesen/
  9. https://www.datenschutzticker.de/2018/02/datenschutz im-gesundheitswesen/

leichter gesund mit machtfit!

Bereits seit 2011 bringt machtfit Mitarbeitende in Bewegung: Deutschlands führende Gesundheitsplattform bietet Unternehmen eine sichere und einfache digitale Lösung für die Stärkung der Mitarbeitergesundheit.

Unser umfassendes Angebot begeistert Menschen jeden Alters. Ob Fitness, Wellness, Entspannung oder Ernährung: Ihre Belegschaft hat die Wahl! Bundesweit motivieren wir mit über 6.500 Partnerschaften durch Kurse, Trainingspläne, Mitgliedschaften und Livestreams dazu, aktiver und gesünder zu leben. Online oder offline. So machen wir Mitarbeitende zufriedener und Unternehmen erfolgreicher!

2011 gegründet, vertrauen heute über 300 Unternehmen in Deutschland auf machtfit. Zu unseren Kundinnen und Kunden gehören u. a. Bayer, Vattenfall, Deutsche Bahn oder Lufthansa.

Mehr Informationen

Ähnliche Artikel

CSR-Richtlinie: Alles was Sie jetzt wissen müssen

CSR-Richtlinie: Alles was Sie jetzt wissen müssen

Weiterlesen