EINHALTUNG DER DATENSCHUTZ-GRUNDVERORDNUNG (EU-DSGVO)
Die Rechte von Kunden und Mitarbeitern werden gestärkt.
Die General Data Protection Regulation (GDPR) – genauer die EU-Datenschutz-Grundverordnung (EU-DSGVO) – regelt und vereinheitlicht die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Organisationen in der EU.
Unternehmen müssen nachweisen können, dass sie Prozesse zum Datenschutz etabliert haben, regelmäßig Kontrollen durchführen und die Ergebnisse dokumentieren. Diese Anforderungen sind nur mit einem robusten Datenschutz-Management-System zu erfüllen.
PRAKTISCHE UNTERSTÜTZUNG BEI DER UMSETZUNG DER EU-DSGVO
Zulässigkeits- und Risikobewertung der bestehenden Datenverarbeitungsprozesse
Bewertung von bestehenden Datenschutzregelungen
Überprüfung der datenschutzkonformen Einbindung von externen Dienstleistern und Cloud-Anbietern und Ermittlung des Handlungsbedarfs (bspw. Neuabschluss von Verträgen zur Auftragsverarbeitung).
Ermittlung von mitbestimmungspflichtiger HR-IT ohne bestehende Betriebsvereinbarungen sowie des Anpassungsbedarfs bei bestehen-den Betriebsvereinbarungen
ERGEBNIS:
Rechtliche Compliance-Bewertung und Identifikation des Handlungsbedarfs
Ausgabe, Unterzeichnung, Inkrafttreten der vorbereiteten Dokumente und Verträge
Optimierung und Neugestaltung der Datenverarbeitungsprozesse (Best Practise)
Zielgruppenorientierte Schulung von Beschäftigten
Verhandlung mit dem Betriebsrat und Abschluss von Betriebsvereinbarungen zu HR-IT
ERGEBNIS:
Umsetzung der erforderlichen Maßnahmen zur Einhaltung der Datenschutz-Grundverordnung (DS-GVO)
Das Datenschutzrecht der DS-GVO ist geprägt vom Grundsatz der Accountability. Unternehmen müssen gegenüber den Datenschutzaufsichtsbehörden sowie gegenüber Beschäftigten nachweisen können, dass ihre Datenverarbeitungsprozesse im Einklang mit den datenschutzrechtlichen Regelungen stehen. Gelingt das nicht, drohen Schadensersatzforderungen und hohe Bußgelder.
Weil die datenschutzrechtliche Verantwortung im Innenverhältnis unmittelbar bei Vorständen und Geschäftsführern verortet ist, können Regressansprüche entstehen, die in der Regel nicht von D&O Versicherungen abgedeckt sind.
Wegen des Mitbestimmungsrechts bei der Einführung und Anwendung von HR-IT wird auch der Betriebsrat zum datenschutzrechtlichen Akteur und Ansprechpartner innerhalb des Unternehmens.
Aktuelle Urteile der arbeitsgerichtlichen Instanzgerichte zeigen außerdem, dass datenschutzrechtliche Vorschriften in Rechtsstreitigkeiten zwischen Unternehmen und Arbeitnehmern von großer Relevanz sein können. Dennoch ist Datenschutz Risiko und Chance zugleich.
Nach zahlreichen Datenschutzskandalen und Datenleaks wächst in der Gesellschaft zunehmend das Bewusstsein für die Notwendigkeit des Datenschutzes und der Wunsch nach einem stärkeren Schutz des Allgemeinen Persönlichkeitsrechts auch im Berufsalltag.
Wirtschaftsunternehmen, die diesen Zeitgeist erkennen und entsprechend handeln, präsentieren deshalb auch gegenüber Stellenbewerbern und Mitarbeitern in besonderem Maße ein attraktives, modernes und zukunftsfähiges Profil.
VORGEHENSWEISE BEI DER UMSETZUNG DER DATENSCHUTZ-GRUNDVERORDNUNG (EU-DSGVO)
BEISPIELE FÜR KONKRETE UMSETZUNGSBEDARFE
DER EU-DSGVO IM HR-KONTEXT
VERARBEITUNGSVERZEICHNIS
In einem Verarbeitungsverzeichnis müssen alle Prozesse dargestellt werden, im Zuge derer personenbezogene Daten von Beschäftigten verarbeitet werden.
DATENSCHUTZRICHTLINIE
Eine unternehmens- oder konzerninterne Datenschutzrichtlinie regelt interne Zuständigkeiten und ein internes Datenschutzmanagement.
JOINT CONTROLLING
In Unternehmensgruppen oder Konzernen mit einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit sind Verträge zum Joint Controlling abzuschließen.
VERPFLICHTUNGSERKLÄRUNG
Beschäftigte, die im Rahmen ihrer Tätigkeit mit Datenverarbeitungsprozessen befasst sind, müssen sich zur Einhaltung der datenschutzrechtlichen Vorschriften verpflichten.
VERFAHRENSANWEISUNGEN
Ergänzend sollten für datenschutzrelevante HR-Prozesse themenbezogene Verfahrensanweisungen an die Beschäftigten ausgegeben werden.
INFORMATIONSPFLICHTEN
Die umfangreichen Informationspflichten müssen für alle Datenverarbeitungsprozesse umgesetzt werden (z.B. Verarbeitungszwecke, Empfänger, Dauer der Speicherung).
BETROFFENENRECHTE
Die Betroffenenrechte (Auskunft, Löschung, Widerspruch, Datenportabilität, etc.) müssen durch geeignete Vorbereitungsmaßnahmen gewährleistet werden.
EINWILLIGUNGEN
Datenschutzrechtliche Einwilligungen müssen an die formalen Anforderungen (z.B. freiwillig, für einen konkreten Fall, ausreichende Information, unmissverständlich) angepasst werden.
AUFTRAGSVERARBEITUNG
Mit externen Dienstleistern und Cloud-Diensten sind aktualisierte Verträge zur Auftragsverarbeitung abzuschließen, die den besonderen Anforderungen der EU-DSGVO genügen.
IT-BETRIEBSVEREINBARUNGEN
Durch den Abschluss von „datenschutzrechtlichen Betriebsvereinbarungen“ können Erlaubnistatbestände für die Einführung und Anwendung von HR-Software geschaffen werden.
IDENTIFIKATION DER BETROFFENEN PERSONALPROZESSE
INTEGRATION DER LEGAL COMPLIANCE PRÜFUNG
IN UNTERSCHIEDLICHE „HR-AUDIT“-TYPEN
Je nach Zielsetzung bietet CHANGELEADEADERS ein passgenaues Audit an. Dazu kombinieren wir die Kompetenzen aus den Practice Groups Strategy, Organisation, People, Communications, Digital und Revision.
PEOPLE STRATEGY AUDIT
Zukunftsfähigkeit der Personalstrategie
HR FUNCTION AUDIT
Effektivität und Effizienz der Personalfunktion
BEST PRACTICE AUDIT
Wettbewerbsfähigkeit der Personalarbeit
HR COMPLIANCE AUDIT
Ordnungsmäßigkeit, Sicherheit und Legal Compliance
Literaturempfehlung
Dr. Tassilo Rouven König
Beschäftigtendatenschutz
Was können wir für Sie tun? Nutzen Sie unser Kontaktformular für Kundenanfragen.