„Lösch Dich“ – Ihre Rechte und Pflichten in Bezug auf die EU-DSGVO
Haben Sie sich schon immer gefragt, inwieweit Sie als Arbeitnehmer über Ihre persönlichen Daten bei Ihrem Arbeitgeber bestimmen können? Möchten Sie erfahren, welche Pflichten Sie als Arbeitgeber zu erfüllen haben, um EU-DSGVO konform zu handeln? In diesem Beitrag erhalten Sie einen Überblick über die relevanten Eckpunkte, Rechte und Pflichten im Umgang mit personenbezogenen Daten im Rahmen der EU-DSGVO.
Mit welchen Themen befasst sich die EU-DSGVO?
Alle Unternehmen innerhalb der EU und Unternehmen außerhalb der EU – sofern sie Daten von EU-Bürgern verarbeiten – unterliegen seit dem 25.05.2018 der EU-DSGVO. Aus ihr gehen folgende grundsätzliche Änderungen hervor:
- Definition personenbezogener Daten
- Erlaubnisgrundlagen
- Einwilligung
- Informationspflichten
Neben diesen Änderungen wurden die Strafen bei Nichteinhaltung auf bis zu 20 Mio. € und bis zu 4 % des weltweiten Jahresumsatzes erhöht. Es lohnt sich also für jedes Unternehmen, sich vorzubereiten.
Als Mitarbeiter können Sie sich grundlegend auf folgende drei Rechte berufen:
- Recht auf Auskunft: Sie können Auskunft über Ihre personenbezogenen Daten erhalten
- Recht auf Löschung: Ihre Daten müssen auf Verlangen gelöscht werden
- Recht auf Zugriffsschutz: Der Zugriffsschutz Ihrer Daten muss gewährleistet sein
Doch ganz so einfach ist das Ganze nicht. Welche Rechte und Pflichten ergeben sich daraus im Detail und welche Einschränkungen gibt es?
Recht auf Auskunft
Werden Ihre personenbezogenen Daten vom Arbeitgeber verarbeitet, so haben Sie entsprechend der EU-DSGVO ihm gegenüber das Recht auf Auskunft. Folgende Auskünfte können Sie verlangen:
- Den Zweck der Verarbeitung
- Die verarbeiteten Kategorien
- Die Empfänger der Daten, denen gegenüber die Daten offengelegt werden
- Die geplante Dauer der Speicherung
- Die Quelle der Informationen (wenn sie nicht von ihnen selbst stammen)
- Sowie weitere Auskünfte und Rechte bei Übermittlung ins Ausland
Ihr Arbeitgeber ist verpflichtet, Ihnen eine Kopie der personenbezogenen Daten zur Verfügung zu stellen. Bei Mehrfachkopien kann er hierbei ein angemessenes Entgelt für seine entstandenen Kosten verlangen.
Recht auf Löschung
Sie als Arbeitnehmer haben das Recht, die Löschung sowie die Berichtigung Ihrer Daten zu verlangen. Außerdem können Sie der Weiterverarbeitung der Daten widersprechen. Eine Löschung der Daten muss dann ausgeführt werden, wenn die Daten dem ursprünglichen Zweck nicht mehr dienen oder sie nicht mehr notwendig sind. Eine Löschung ist auch dann erforderlich, wenn Sie Ihre Einwilligung widerrufen oder einen Widerspruch gegen die Verarbeitung eingelegen.
Können Sie also von Ihrem Arbeitgeber am Montagmorgen verlangen, dass er Ihre Daten löscht?
- Nein, eine Löschung ist nur dann verpflichtend, wenn die Daten nicht zur Erfüllung der rechtlichen Verpflichtungen dienen.
Ihr Arbeitgeber verarbeitet Ihre Daten in der Regel zum Zweck der Erfüllung seiner rechtlichen Verpflichtungen. Dennoch gelten die gesetzlich vorgeschriebenen Fristen für die Aufbewahrung, Sperrung und Vernichtung personenbezogener Daten.
Was das im Detail bedeutet, erfahren Sie in unserem E-Book zum Thema:
Recht auf Zugriffsschutz
Als Arbeitgeber müssen Sie die Sicherheit bei der Verarbeitung personenbezogener Daten gewährleisten können. Sie müssen sicherstellen, dass ein angemessenes Schutzniveau bei der Verarbeitung und Speicherung herrscht. Dazu müssen Sie geeignete technische und organisatorische Maßnahmen – gemessen am Risiko (Eintrittswahrscheinlichkeit und Auswirkung) – heranziehen.
Folgende Maßnahmen fallen darunter:
- Verschlüsselung der Daten
- Belastbarkeit der Systeme
- Wiederherstellung und Backups
- Regelmäßige Evaluierung der Systeme und organisatorischer Maßnahmen
Als Arbeitnehmer haben Sie das Recht, dass Ihre Daten vor dem Zugriff Unberechtigter geschützt werden. Ihr Arbeitgeber muss sicherstellen, dass nur unterstellte Personen Zugang zu den persönlichen Daten erhalten. Diese müssen auf seine Anweisung hin handeln.
Das bedeutet wiederum: Als Arbeitgeber haben Sie sicherzustellen, dass personenbezogene Daten im Anwendungssystem besonders geschützt werden. Der Zugriff darf nicht allgemein erfolgen, sondern nur privilegierten Mitarbeitern gestattet werden. Diese müssen in Ihrem Auftrag handeln.
In SAP kann dieser Zugriffschutz mittels HCM-Berechtigungen umgesetzt werden. Wenn Sie mehr darüber erfahren möchten, gelangen Sie hier zu unserer Wissenssammlung zu diesem Thema.
Full-Service: EU-DSGVO im HCM-Bereich umsetzen
Machen Sie mit unserem Angebot Ihr Personalsystem langfristig und ohne großen Eigenaufwand EU-DSGVO-konform – und vermeiden Sie so hohe Strafgebühren.
Was gibt es noch?
In diesem Beitrag wollte ich Ihnen einen grundsätzlichen Einblick Ihrer Rechte und Pflichten in Bezug auf die EU-DSGVO geben. Im Detail umfasst der Gesetzestext weitere zu beachtende Bestandteile, die in diesem Blogbeitrag nicht aufgeführt sind. Unter Anderem zählen dazu Gesetzespassagen, die sich auf das EU-Ausland und die nicht-Unionsländer beziehen.
Möchten Sie noch mehr über die EU-DSGVO erfahren? Sehen Sie in Ihrem Unternehmen Nachholbedarf oder möchten Sie Ihr Personal adäquat schulen? Dann kontaktieren Sie gerne mich oder meine Kollegen. Gerne helfen wir Ihnen weiter.
Weitere Links und Literatur: