DATENSCHUTZ (GDPR/EU-DSGVO)

EINHALTUNG DER DATENSCHUTZ-GRUNDVERORDNUNG (EU-DSGVO)
Die Rechte von Kunden und Mitarbeitern werden gestärkt.
Die General Data Protection Regulation (GDPR) – genauer die EU-Datenschutz-Grundverordnung (EU-DSGVO) – regelt und vereinheitlicht die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Organisationen in der EU.
Dr. Tassilo-Rouven König
Legal - Arbeitsrecht & Datenschutz
ANFORDERUNGEN AN UNTERNEHMEN

Unternehmen müssen nachweisen können, dass sie Prozesse zum Datenschutz etabliert haben, regelmäßig Kontrollen durchführen und die Ergebnisse dokumentieren. Diese Anforderungen sind nur mit einem robusten Datenschutz-Management-System zu erfüllen.

PRAKTISCHE UNTERSTÜTZUNG BEI DER UMSETZUNG DER EU-DSGVO
  • Abstimmung der Vorgehensweise
  • Festlegung der Projektorganisation (HR, Legal, IT und sonstige relevante Funktionsbereiche)
  • Bestandsaufnahme
    • Datenverarbeitungsprozesse im HR Bereich mithilfe von Fragebögen
    • Datenschutzregelungen im Unternehmen oder Konzern
    • Verträge zur Auftragsverarbeitung
    • Datenschutzrelevante Betriebsvereinbarungen zu HR-IT

ERGEBNIS:
Dokumentation der datenschutzrelevanten Prozesse, Regelungen und Governance


  • Zulässigkeits- und Risikobewertung der bestehenden Datenverarbeitungsprozesse
  • Bewertung von bestehenden Datenschutzregelungen
  • Überprüfung der datenschutzkonformen Einbindung von externen Dienstleistern und Cloud-Anbietern und Ermittlung des Handlungsbedarfs (bspw. Neuabschluss von Verträgen zur Auftragsverarbeitung).
  • Ermittlung von mitbestimmungspflichtiger HR-IT ohne bestehende Betriebsvereinbarungen sowie des Anpassungsbedarfs bei bestehen-den Betriebsvereinbarungen

ERGEBNIS:
Rechtliche Compliance-Bewertung und Identifikation des Handlungsbedarfs


  • Interne Organisation sowie bedarfsorientierte Vorbereitung/ Anpassung von Dokumenten und Verträgen
  • Festlegung interner Zuständigkeiten und Prozesse
  • Erstellung eines Verarbeitungsverzeichnisses
  • Entwurf der relevanten Datenschutzdokumente und -verträge
  • Entwicklung eines Löschkonzepts
    für Beschäftigtendaten oder Einarbeitung in ein bestehendes Löschkonzept
  • Entwicklung von Berechtigungskonzepten (insbesondere für HR-Software)

ERGEBNIS:
Konzeption, Organisation und Vorbereitung der erforderlichen Anpassungsmaßnahmen


  • Ausgabe, Unterzeichnung, Inkrafttreten der vorbereiteten Dokumente und Verträge
  • Optimierung und Neugestaltung der Datenverarbeitungsprozesse (Best Practise)
  • Zielgruppenorientierte Schulung von Beschäftigten
  • Verhandlung mit dem Betriebsrat und Abschluss von Betriebsvereinbarungen zu HR-IT

ERGEBNIS:
Umsetzung der erforderlichen Maßnahmen zur Einhaltung der Datenschutz-Grundverordnung (DS-GVO)

Das Datenschutzrecht der DS-GVO ist geprägt vom Grundsatz der Accountability. Unternehmen müssen gegenüber den Datenschutzaufsichtsbehörden sowie gegenüber Beschäftigten nachweisen können, dass ihre Datenverarbeitungsprozesse im Einklang mit den datenschutzrechtlichen Regelungen stehen. Gelingt das nicht, drohen Schadensersatzforderungen und hohe Bußgelder.

Weil die datenschutzrechtliche Verantwortung im Innenverhältnis unmittelbar bei Vorständen und Geschäftsführern verortet ist, können Regressansprüche entstehen, die in der Regel nicht von D&O Versicherungen abgedeckt sind.

Wegen des Mitbestimmungsrechts bei der Einführung und Anwendung von HR-IT wird auch der Betriebsrat zum datenschutzrechtlichen Akteur und Ansprechpartner innerhalb des Unternehmens.

Aktuelle Urteile der arbeitsgerichtlichen Instanzgerichte zeigen außerdem, dass datenschutzrechtliche Vorschriften in Rechtsstreitigkeiten zwischen Unternehmen und Arbeitnehmern von großer Relevanz sein können. Dennoch ist Datenschutz Risiko und Chance zugleich.

Nach zahlreichen Datenschutzskandalen und Datenleaks wächst in der Gesellschaft zunehmend das Bewusstsein für die Notwendigkeit des Datenschutzes und der Wunsch nach einem stärkeren Schutz des Allgemeinen Persönlichkeitsrechts auch im Berufsalltag.

Wirtschaftsunternehmen, die diesen Zeitgeist erkennen und entsprechend handeln, präsentieren deshalb auch gegenüber Stellenbewerbern und Mitarbeitern in besonderem Maße ein attraktives, modernes und zukunftsfähiges Profil.

VORGEHENSWEISE BEI DER UMSETZUNG DER DATENSCHUTZ-GRUNDVERORDNUNG (EU-DSGVO)

BEISPIELE FÜR KONKRETE UMSETZUNGSBEDARFE
DER EU-DSGVO IM HR-KONTEXT

VERARBEITUNGSVERZEICHNIS

In einem Verarbeitungsverzeichnis müssen alle Prozesse dargestellt werden, im Zuge derer personenbezogene Daten von Beschäftigten verarbeitet werden.

DATENSCHUTZRICHTLINIE

Eine unternehmens- oder konzerninterne Datenschutzrichtlinie regelt interne Zuständigkeiten und ein internes Datenschutzmanagement.

JOINT CONTROLLING

In Unternehmensgruppen oder Konzernen mit einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit sind Verträge zum Joint Controlling abzuschließen.

VERPFLICHTUNGSERKLÄRUNG

Beschäftigte, die im Rahmen ihrer Tätigkeit mit Datenverarbeitungsprozessen befasst sind, müssen sich zur Einhaltung der datenschutzrechtlichen Vorschriften verpflichten.

VERFAHRENSANWEISUNGEN

Ergänzend sollten für datenschutzrelevante HR-Prozesse themenbezogene Verfahrensanweisungen an die Beschäftigten ausgegeben werden.

INFORMATIONSPFLICHTEN

Die umfangreichen Informationspflichten müssen für alle Datenverarbeitungsprozesse umgesetzt werden (z.B. Verarbeitungszwecke, Empfänger, Dauer der Speicherung).

BETROFFENENRECHTE

Die Betroffenenrechte (Auskunft, Löschung, Widerspruch, Datenportabilität, etc.) müssen durch geeignete Vorbereitungsmaßnahmen gewährleistet werden.

EINWILLIGUNGEN

Datenschutzrechtliche Einwilligungen müssen an die formalen Anforderungen (z.B. freiwillig, für einen konkreten Fall, ausreichende Information, unmissverständlich) angepasst werden.

AUFTRAGSVERARBEITUNG

Mit externen Dienstleistern und Cloud-Diensten sind aktualisierte Verträge zur Auftragsverarbeitung abzuschließen, die den besonderen Anforderungen der EU-DSGVO genügen.

IT-BETRIEBSVEREINBARUNGEN

Durch den Abschluss von „datenschutzrechtlichen Betriebsvereinbarungen“ können Erlaubnistatbestände für die Einführung und Anwendung von HR-Software geschaffen werden.

IDENTIFIKATION DER BETROFFENEN PERSONALPROZESSE

INTEGRATION DER LEGAL COMPLIANCE PRÜFUNG
IN UNTERSCHIEDLICHE „HR-AUDIT“-TYPEN

Je nach Zielsetzung bietet CHANGELEADEADERS ein passgenaues Audit an. Dazu kombinieren wir die Kompetenzen aus den Practice Groups Strategy, Organisation, People, Communications, Digital und Revision.
PEOPLE STRATEGY AUDIT

Zukunftsfähigkeit der Personalstrategie

HR FUNCTION AUDIT

Effektivität und Effizienz der Personalfunktion

BEST PRACTICE AUDIT

Wettbewerbsfähigkeit der Personalarbeit

HR COMPLIANCE AUDIT

Ordnungsmäßigkeit, Sicherheit und Legal Compliance

 

Literaturempfehlung
Dr. Tassilo Rouven König
Beschäftigtendatenschutz

Was können wir für Sie tun? Nutzen Sie unser Kontaktformular für Kundenanfragen.