Die EU-Datenschutzgrundverordnung 2018 (EU-DSGVO) – was ändert sich für Unternehmen und welche Auswirkungen hat dies für HR Manager?

15. Dezember 2017 Schlagwörter: , , , , ,

Im Mai 2018 wird die EU-Datenschutzgrundverordnung (kurz: EU-DSGVO) wirksam. Damit soll das europäische Datenschutzrecht vereinheitlicht werden. Weiterhin löst diese Neuregelung auch das bisherige Konzept einer “europäischen Datenschutzrichtlinie” (die bislang die datenschutzrechtlichen Grundprinzipien festlegte) und darauf aufsetzender einzelstaatlicher Datenschutzregelungen ab und ersetzt es durch eine in allen EU-Mitgliedsstaaten direkt geltende EU-Datenschutzgrundverordnung.
Dieser neue Entwurf bringt weitreichende Änderungen im Vergleich zum bisherigen Bundesdatenschutzgesetz (kurz: BDSG) mit sich. Die wesentliche Neuerung ist: Unternehmen müssen aktiv handeln. In diesem Beitrag erfahren Sie, welche Änderungen dies sind und wie Sie Ihr Unternehmen dagegen absichern, um zum Beispiel teure Bußgelder zu vermeiden.

Was ist die EU-DSGVO und warum betrifft das Ihr Unternehmen?

Datenschutz spielt für Unternehmen in der heutigen Zeit eine zentrale Rolle. Die anstehende EU-Datenschutz-Grundverordnung regelt nun erstmals den Umgang mit personenbezogenen Daten europaweit und vereinheitlicht somit das Datenschutzrecht. Bisher galten von Land zu Land teils unterschiedliche Bestimmungen. Am 25. Mai 2018 ist der Stichtag an dem sich alle Unternehmen in der EU an die Verordnung halten müssen.
Die Datenschutzgrundverordnung gilt jedoch nicht nur für in der EU ansässige Unternehmen, sondern auch für all diejenigen, die mit ihren Produkten und Diensten personenbezogene Daten von EU-Bürgern verarbeiten. So müssen sich Unternehmen aus den USA, wie beispielsweise Facebook oder Google, ebenso an die Datenschutzstandards der EU halten.
Wieso ist das nun für Ihr Unternehmen relevant? Jedes Unternehmen verarbeitet in irgendeiner Form Daten von Personen – sei es die Kundendaten, Nutzertracking auf der Webseite, Anmeldungen zum Newsletter oder einfach nur die Daten der eigenen Mitarbeiter und eingehende Bewerbungen.

Was sind überhaupt personenbezogene Daten?

Von personenbezogenen Daten spricht man, wenn darüber eine Person identifiziert werden kann. Im Umkehrschluss bedeutet dies, dass alle erfassten Daten, die zur einer bestimmten Person zurückzuverfolgen sind, eingeschlossen sind.
Personenbezogene Daten können u.a. Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, Standortdaten, IP-Adressen oder Cookies sein.

Was kommt mit der EU-DSGVO konkret auf Sie zu?

  • Beweislastumkehr
    Mit der EU-DSGVO wird die Beweislast umgekehrt. Nicht mehr Ihnen muss ein Vergehen nachgewiesen werden, sondern Sie stehen aktiv in der Rechenschaftspflicht. Dies bedeutet, dass alle Prozesse im Unternehmen so aufgebaut und dokumentiert sein müssen, dass Sie jederzeit Ihre Unschuld beweisen können.
    Im Umgang mit Personaldaten müssen Sie sich fragen, ob diese derzeit revisionssicher abgelegt sind. Können Änderung genau nachvollzogen werden? Was wurde wann und von wem geändert? Eine HR Software kann Ihnen hier helfen, diese Daten revisionssicher vorzuhalten.
  • Nachweis- und Informationspflicht
    Bei jeglichen personenbezogenen Daten, die Sie erheben, müssen Sie die Person über die Art der erfassten Daten informieren und sich das Einverständnis der Person einholen. Und zwar auch so, dass Sie die Erlaubnis zur Datenverarbeitung nachweisen können.
    Im HR Bereich bedeutet dies unter Umständen viel Arbeit, sofern Sie keine digitale Personalakte führen. Wenn ein Mitarbeiter genaue Informationen zu seinen gespeicherten Daten erfahren möchte, müssen Sie diese mühsam aus unterschiedlichen Einzelquellen wie Papierakten, Excellisten oder Ordnerstrukturen heraussuchen. In einer HR Software sind diese Daten konsolidiert gespeichert und auch für den Mitarbeiter transparent abrufbar.
  • Löschung von Daten
    Erfasste Daten dürfen außerdem nur gespeichert werden, solange ein Zweck vorhanden ist. Fällt dieser Zweck nun weg, zum Beispiel beim Ablehnen eines Bewerbers oder Beendigung eines Arbeitsverhältnisses, müssen die Daten spätestens nach der rechtlichen Aufbewahrungsfrist gelöscht werden. Hier hilft es, wenn Ihr Bewerbermanagementsystem dies bereits automatisch erledigt, etwa weil Sie die Aufbewahrungsfristen automatisch hinterlegen können.

Was passiert bei Nicht-Einhaltung?

Das maximale Bußgeld des bisher geltenden BDSG war bei 300.000 Euro festgesetzt. Mit der EU-DSGVO wird die Höchststrafe drastisch erhöht – es sind nun 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes des betroffenen Unternehmens (dabei ist der höhere Betrag ausschlaggebend).
Abgesehen von den Bußgeldern ist mit Imageverlust und Schaden bei der Reputation zu rechnen – nicht zuletzt bei den eigenen Mitarbeitern oder bei Bewerbern, was all Ihre Employer Branding Maßnahmen zunichte machen kann. Grund genug, um hier Sorgfalt und Achtsamkeit walten zu lassen.

Was können Sie nun aktiv tun?

Prüfen Sie ob, es dieses Thema bereits aktiv in Ihrem Unternehmen angegangen wird und verfolgen Sie es proaktiv.
Durch Zertifizierungen, Schulungen der Mitarbeiter und der Auswahl von datenschutzkonformen Softwarelösungen können Sie bereits jetzt effektive Maßnahmen für die EU-DSGVO vorantreiben. Weiterhin empfehlen wir die Kontaktaufnahme mit einem Datenschutzbeauftragten, der Ihnen weitere hilfreiche Tipps an die Hand geben und vor allem zu Einzelfällen und spezifischen Fragen fachkundig und verbindlich beraten kann.
Unser Tipp: Verlieren Sie keine Zeit und fangen Sie JETZT mit der Umsetzung an, damit Sie für die neuen Anforderungen der EU-DSGVO ab Mai 2018 gerüstet sind!

 

Rechtlicher Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar und kann auch keine Beratung durch einen fachkundigen Rechtsanwalt ersetzen, bei der die Besonderheiten des Einzelfalls berücksichtigt werden können. Weiterhin hat dieser Beitrag nicht den Anspruch, rechtssichere Handlungsanweisungen zur Verfügung zu stellen, sondern verfolgt ausschließlich das Ziel, Datenschutzinteressierten einen kurzen Überblick über möglicherweise relevante Fragestellungen zu liefern. Bitte informieren Sie sich auch über die laufenden Veränderungen in Rechtsprechung und Aufsichtspraxis oder holen im Zweifel fachkundigen Rat ein. Bitte folgen Sie den genannten Empfehlungen  nur, wenn Sie mit diesen Hinweisen und den damit einhergehenden Regelungen einverstanden sind. Die im Rahmen dieses Internetauftritts zur Verfügung gestellten Informationen werden nach Möglichkeit vollständig und aktuell gehalten. 

 

Anmerkung: staffboard wird in allen datenschutzrechtlichen Fragen von der IITR Datenschutz GmbH – Institut für IT-Recht beraten und hat IITR als externen Datenschutzbeauftragten mandatiert.