Die EU-Verordnung 2016/679, auch Datenschutz-Grundverordnung genannt, trat am 25 Mai 2018 nach einer zweijährigen Übergangsfrist in Kraft. Die Verordnung verpflichtet alle in der Europäischen Union tätigen Unternehmen, neue Richtlinien, Prozesse und Verfahren für den Umgang mit den personenbezogenen Daten ihrer Kunden, Nutzer, Lieferanten und Mitarbeiter einzuführen.
Die Datenschutz-Grundverordnung hat massive Auswirkungen auf HUMAN RESOURCES, da sie ihre Prozesse anpassen müssen, um die Anforderungen dieser Verordnung zu erfüllen.
Ziel der Datenschutz-Grundverordnung ist die Vereinheitlichung und Stärkung der Rechte der europäischen Bürger in Bezug auf ihre personenbezogenen Daten. Das bedeutet, dass jede Organisation, die mit den personenbezogenen Daten von EU-Bürgern zu tun hat, die neuen Standards für Transparenz, Sicherheit und Verantwortlichkeit einhalten muss.
Wie wirkt sich die Datenschutz-Grundverordnung auf das Personalwesen aus?
Die Datenschutz-Grundverordnung verpflichtet Unternehmen, nur wesentliche, korrekte und aktuelle Mitarbeiterdaten zu speichern. Darüber hinaus müssen Unternehmen klar kommunizieren, wie, wo und wie lange die persönlichen Daten eines Mitarbeiters gespeichert werden. Ebenso können Mitarbeiter jederzeit auf ihre Informationen zugreifen, eine Kopie der gespeicherten Daten anfordern und deren Löschung veranlassen.
Die Personalabteilungen müssen die Risiken und Verantwortlichkeiten im Umgang mit Mitarbeiterinformationen verstehen, um Sanktionen zu vermeiden, da Verstöße zu Geldstrafen von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes führen können.
Schlüsselfaktoren der Datenschutz-Grundverordnung im Human Resources-Bereich
Um die Datenschutz-Grundverordnung zu befolgen, müssen die HUMAN RESOURCES-Teams ihre Mitarbeiterverwaltungsprozesse anpassen und verbessern, um die Rechte der Mitarbeiter zu gewährleisten und die Datenschutzrichtlinien zu befolgen.
Hier sind die wichtigsten Faktoren, die die Personalabteilung berücksichtigen sollte:
1.Erhebung personenbezogener Daten
Die Erhebung und Verarbeitung personenbezogener Daten ist rechtmäßig und beschränkt sich auf relevante Informationen für die Erfüllung des Arbeitsvertrags (z. B. Zeit- und Anwesenheitssysteme) oder auf Informationen, die für die Erfüllung einer gesetzlichen Verpflichtung erforderlich sind (z. B. Lohn- und Gehaltsabrechnung).
Die Einwilligung ist erforderlich, wenn es keine andere Rechtsgrundlage gibt, die die Verarbeitung von Daten rechtfertigt (z. B. ein persönliches E-Mail-Konto).
2. Das Recht der Mitarbeiter auf Information
Unternehmen sind verpflichtet, die Mitarbeitern über den Zweck und die Rechtsgrundlage der Datenverarbeitung sowie über den Zeitraum, in dem personenbezogene Daten gespeichert werden, zu informieren. Diese Information muss zum Zeitpunkt der Erhebung der personenbezogenen Daten des Mitarbeiters erteilt werden.
3. Neue Rechte für Mitarbeiter
Mit der Datenschutz-Grundverordnung wurden neue Mitarbeiterrechte eingeführt, beispielsweise das Recht auf Datenportabilität, das es Mitarbeitern ermöglicht, ihre personenbezogenen Daten für ihre eigenen Zwecke über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden. Es regelt auch spezifische Rechte, wie das Recht auf Vergessenwerden, das es Arbeitnehmern ermöglicht, die Löschung ihrer personenbezogenen Daten zu verlangen, und das Recht auf Berichtigung, das Arbeitnehmern das Recht einräumt, die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
Das Recht, sich gegen Profiling-Aktivitäten zu wehren, verhindert, dass Unternehmen Entscheidungen ausschließlich auf der Grundlage automatisierter Verarbeitung treffen, was einen wichtigen Einfluss auf den Einsatz von Software für künstliche Intelligenz im Bereich der Personalentwicklung haben wird.
4. Datenschutzbeauftragter
Unternehmen müssen einen Datenschutzbeauftragten (DSB) ernennen, der unabhängig handelt und über die notwendigen Ressourcen verfügt, um seine Aufgaben wahrzunehmen. Der Datenschutzbeauftragte ist für die Überwachung der Datenschutzpolitik des Unternehmens und deren Umsetzung verantwortlich, um die Einhaltung der Datenschutz-Grundverordnung sicherzustellen.
5. Folgenabschätzungen und Sicherheitsverletzungen
Unternehmen müssen Folgenabschätzungen durchführen, um Betriebsabläufe zu identifizieren, die ein erhebliches Risiko für die Rechte der Arbeitnehmer oder eine Sicherheitsverletzung darstellen. Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen Unternehmen die Behörden spätestens 72 Stunden nach Feststellung des Vorfalls benachrichtigen.
6. Telematik und Verhaltenskodex
Um den neuen Datenschutzbestimmungen gerecht zu werden, müssen Unternehmen ihre internen Richtlinien und Verhaltenskodizes hinsichtlich der Nutzung von Telematiksystemen überprüfen. Darüber hinaus müssen Unternehmen ihre Inhalte an die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) sowie an die Auswirkungen neuer Technologien am Arbeitsplatz anpassen.
7. Videoüberwachung
Die Unternehmen müssen auch ihre Verfahren für die Installation und den Einsatz von Videoüberwachung überprüfen. Der EGMR sieht vor, dass bei der Installation von fest installierten Kameras die Arbeitnehmer zuvor und eindeutig über deren Zweck informiert werden müssen, und zwar in Übereinstimmung mit den Datenschutzbestimmungen.
8. Internationale Übermittlung von Daten außerhalb der EU
Die Übermittlung personenbezogener Daten von Mitarbeitern in Länder außerhalb der EU birgt ein enormes Risiko, da es keine Garantie für deren Schutz gibt. Die Datenschutz-Grundverordnung hat bestimmte Einschränkungen eingeführt, um die Fähigkeit eines Unternehmens zur Übermittlung solcher Daten einzuschränken und die Rechte der Arbeitnehmer durchzusetzen.
9. Verträge mit Drittanbietern
Es ist notwendig, Verträge mit Lieferanten oder Auftragnehmern, die Zugang zu den personenbezogenen Daten des Unternehmens haben, zu aktualisieren, um sicherzustellen, dass die Anforderungen der Datenschutz-Grundverordnung eingehalten werden. Dazu gehören auch Verträge mit Anbietern von Gehaltsabrechnungen und Personalbeschaffung.
Aufgrund der Menge an personenbezogenen Daten, die ein Unternehmen bei all seinen Prozessen verwaltet, ist der Beitrag der HUMAN RESOURCES-Abteilung zur Einhaltung der Datenschutz-Grundverordnung von entscheidender Bedeutung. Es ist daher wichtig, alle Elemente der Datenschutz-Grundverordnung zu berücksichtigen, um einen wirksamen Aktionsplan umzusetzen.
Was können HUMAN RESOURCES-Teams tun, um die Datenschutz-Grundverordnung einzuhalten?
Die Datenschutz-Grundverordnung verlangt von Unternehmen, dass sie proaktiv und verantwortungsbewusst technische und organisatorische Maßnahmen ergreifen, um die Verarbeitung beanstandeter Daten sicherzustellen.
Unternehmen müssen analysieren, welche Art von Daten sie verarbeiten, welchen Zweck sie damit verfolgen und wie sie dies tun. Hier sind einige Tipps, die HUMAN RESOURCES-Teams bei der Einhaltung der Datenschutz-Grundverordnung helfen:
1. Einen Datenschutzbeauftragten (DSB) einstellen
Gemäß Artikel 37 der Datenschutz-Grundverordnung ist die Beauftragung eines Datenschutzbeauftragten von entscheidender Bedeutung. Ein Datenschutzbeauftragter (DSB) ist für die Überwachung der Datenschutzstrategien von Unternehmen und die Einhaltung der Anforderungen der Datenschutz-Grundverordnung verantwortlich.
2. Bestandsaufnahme der Verarbeitung personenbezogener Daten.
Die Bestandsaufnahme wichtiger Daten erleichtert die Nachverfolgung und Verarbeitung dieser Daten und hilft bei der Überprüfung der Einhaltung der Vorschriften. Nachfolgend finden Sie einige wichtige Überlegungen zur Verfolgung der Informationen Ihres Unternehmens:
- Identifizierung personenbezogener Daten und sensibler Daten sowie bestehender Verarbeitungsvorgänge und Überprüfung der Einhaltung der Vorschriften.
- Finden Sie heraus, wer (Mitarbeiter, Auftragnehmer oder Lieferanten) Zugang zu den Daten hat und warum.
- Überwachung von Mitarbeitern, Auftragnehmern und Lieferanten, die mit den Daten des Unternehmens arbeiten, und Überprüfung von Verträgen.
- Überprüfen Sie, ob die von Auftragnehmern und Lieferanten durchgeführte Datenverarbeitung mit der Datenschutz-Grundverordnung übereinstimmt.
- Recherchieren Sie die Archivierungspraktiken und die Aufbewahrungsdauer von Personaldaten.
- Stellen Sie sicher, dass die HUMAN RESOURCES-Lösungen und Ihr Personalinformationssystem (HRIS), falls zutreffend, mit der Datenschutz-Grundverordnung konform sind.
3. Ergreifen Sie Maßnahmen
Im Anschluss an eine Bestandsaufnahme und die Ermittlung des Korrekturbedarfs ist es wichtig, einen Maßnahmenplan zu erstellen und umzusetzen, in dem Sie die zu befolgenden Schritte festlegen.
Stellen Sie sicher, dass Sie:
- Die Daten prüfen
- Folgenabschätzungen durchführen
- Ihre Schutz- und Sicherheitsmaßnahmen überprüfen
- Ihre Prozesse und Verfahren überprüfen.
4.Einen Kommunikationsplan umsetzen
Es ist wichtig, einen internen Kommunikationsplan zu erstellen, damit alle Mitarbeiter wissen, wie sie auf ihre Informationen zugreifen können und was zu tun ist, wenn sich dieser Prozess ändert. Ein Teil der neuen Verordnung sieht vor, dass Unternehmen klar kommunizieren, wie, wo und wie lange die personenbezogenen Daten der Mitarbeiter gespeichert werden.
5. Stellen Sie sicher, dass die gespeicherten Daten korrekt sind
Unternehmen müssen sicherstellen, dass sie nur korrigierte und aktualisierte Daten aufbewahren. Sie müssen weiterhin bestimmen, welche Daten sie behalten und welche gelöscht werden müssen. Je weniger Daten Sie haben, desto einfacher ist es, die Datenschutz-Grundverordnung einzuhalten.
6. Überprüfung der Datenschutzrichtlinien
Unternehmen müssen mit den Daten, die sie verarbeiten, transparent umgehen. Die Überprüfung von Datenschutzvereinbarungen schafft Transparenz und baut Vertrauen auf. Aktualisieren Sie die Datensicherheitsrichtlinien und -verfahren unter Verwendung einer klaren und einfachen Sprache, und stellen Sie sicher, dass diese Richtlinien leicht zugänglich sind.
7. Durchsetzung der Mitarbeiterrechte
Wie bereits erwähnt, führt die Datenschutz-Grundverordnung neue Rechte für Mitarbeiter ein. Es ist von entscheidender Bedeutung, dass diese Rechte durchgesetzt werden, um Sanktionen zu vermeiden.
8. Übernahme der Datenschutz-Grundverordnung als Teil der Unternehmenskultur
Es ist wichtig, dass die Unternehmen die Vorschriften in der gesamten Organisation bekannt machen. Indem Sie sie in die Unternehmenskultur integrieren, stellen Sie sicher, dass alle Mitarbeiter sie kennen und verstehen.
9. Verbesserung der Sicherheit
Sorgen Sie für die Sicherheit der Daten und vermeiden Sie Datenlecks. Im Falle einer Datenschutzverletzung müssen die betroffenen Parteien innerhalb von 72 Stunden informiert werden. Um Datenlecks zu vermeiden, sollten Sie zuverlässige Datenspeicherdienste beauftragen und außerdem aktuelle Sicherheitsrichtlinien festlegen.
10. Einholung der Zustimmung der Mitarbeiter
Es ist wichtig, dass Sie Ihre Mitarbeiter über die Maßnahmen und Verfahren informieren und ihre Zustimmung zur Verarbeitung und Übermittlung ihrer Daten einholen. Die Zustimmung muss freiwillig erfolgen und in Kenntnis der Sachlage und eindeutig erteilt werden.
Abgesehen von der Verpflichtung, die sie darstellt, kann die Datenschutz-Grundverordnung dazu beitragen, die Leistung Ihres Unternehmens sowie das Vertrauen und das Wohlbefinden der Mitarbeiter zu verbessern. Dies gilt jedoch nur, wenn Ihre Daten und Ihre Sicherheit, Ihre Werkzeuge, Methoden und Prozesse rationalisiert sind.
Diese neuen Herausforderungen bieten HUMAN RESOURCES-Abteilungen die Möglichkeit, die Internationalisierung ihres Unternehmens voranzutreiben und die Qualität der Zusammenarbeit mit ihren Lieferanten und Auftragnehmern zu verbessern. Eine klare Grundhaltung zum Umgang mit personenbezogenen Daten verbessert auch den Ruf der Unternehmen und macht sie als Arbeitgeber attraktiv.
