Guido Klempien
 - 8. August 2019

Datenschutz für Human Resources

Kurzarbeit in der Corona-Krise Ziel der DSGVO ist es, ein höheres Schutzniveau für personenbezogene Daten weiter zu harmonisieren. Dies betrifft die Verarbeitung personenbezogener Daten innerhalb von Unternehmen und Human Resources Abteilungen - insbesondere Personaldaten. Die DSGVO stellt eine wesentliche Auswirkung auf das Arbeitsrecht dar, da ein Arbeitgeber die Daten seiner Mitarbeiter (und potenziellen Mitarbeiter) in großem Umfang verarbeitet. Darüber hinaus kann ein Arbeitgeber Arbeitnehmerdaten im Hinblick auf das Arbeitsumfeld verarbeiten - zum Beispiel Daten von Kameras oder das Internetverhalten der Arbeitnehmer.

Marktstudie: Software-Trends im Personalwesen [Auszug]

Welche HR-Software wird tatsächlich in Unternehmen angewendet? Mehr zu dem Thema erfahren Sie in unserem kostenlosen Auszug der Marktstudie.

Software-Trends im Personalwesen

Die Entstehung der DSGVO

Datenschutz fuer Human ResourcesDer Gesetzgebungsprozess dauerte einige Jahre, und erst Ende 2015 haben die Mitgliedstaaten eine Einigung über die wichtigsten Grundsätze erzielt. Im April 2016 wurde die endgültige Version der DSGVO veröffentlicht, die seit dem 25. Mai 2018 (auch im Vereinigten Königreich) durchsetzbar ist.

Folgen der DSGVO am Arbeitsplatz

Die DSGVO enthält eine beträchtliche Anzahl von “neuen” Normen und Vorschriften, wobei die wichtigsten Änderungen darin bestehen:

  • Zusätzliche Rechte für Arbeitnehmer
  • Folgenabschätzung zum Datenschutz
  • Datenschutzbeauftragter

Zusätzliche Rechte für Arbeitnehmer

Die Mitarbeiter erhalten eine Reihe zusätzlicher Rechte, um die Kontrolle über ihre eigenen personenbezogenen Daten zu verstärken. So wurde beispielsweise das Zugangsrecht erweitert. Dies gibt dem Mitarbeiter das Recht, darüber informiert zu werden:

  1.  Wie lange der Arbeitgeber die Daten aufbewahren möchte
  2.  Ob die Daten für die automatisierte Entscheidungsfindung verwendet werden
  3.  Ob der Arbeitgeber beabsichtigt, die Daten ins Ausland zu übermitteln, und wenn ja,
  4.  welche Garantien in diesem Zusammenhang vorgesehen sind.

Dies bedeutet eine zusätzliche Verantwortung für jeden, der mit Personaldaten arbeitet. Darüber hinaus muss der Arbeitgeber den Arbeitnehmer über das Recht auf Nachbesserung und das Recht auf Beschwerde bei einer Aufsichtsbehörde informieren.
Ein einzelner Mitarbeiter hat auch ein Recht auf Löschung. Dies gibt unter bestimmten Umständen das Recht, vergessen zu werden. Die praktische Anwendung besteht darin, dass die Arbeitgeber Klarheit über den Zweck der Datenverarbeitung schaffen müssen.

Folgenabschätzung zum Datenschutz

Die Data Protection Impact Assessment (DPIA) ist eine Methode zur Analyse potenzieller Datenschutzrisiken. Eine DPIA sollte durchgeführt werden, wenn die Verarbeitung personenbezogener Daten höchstwahrscheinlich zu einem hohen Risiko für die Rechte und die Freiheit des Arbeitnehmers führt. Eine DPIA ist daher nicht immer zwingend erforderlich.
Nach der Bewertung der Risiken muss ein Unternehmen Maßnahmen ergreifen, um diese Risiken zu minimieren.

In den folgenden Situationen ist eine DPIA zwingend erforderlich:

  1. Profilerstellung: wenn eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen vorgenommen wird, auf deren Grundlage Entscheidungen getroffen werden müssen, die rechtliche Konsequenzen für diese natürlichen Personen haben könnten.
  2. Datenverarbeitung: wenn eine groß angelegte Verarbeitung von speziellen personenbezogenen Daten durchgeführt wird
  3. Monitoring-Bemühungen: wenn öffentlich zugängliche Räume systematisch und in großem Umfang überwacht werden.
    Abgesehen von den oben genannten Situationen gibt es im DSGVO keine Beispiele für Verarbeitungen, die mit hohen Datenschutzrisiken verbunden sein können und daher eine DPIA erfordern.

Datenschutzbeauftragter

Nach der DSGVO ist es für bestimmte Kontrolleure und Verarbeiter obligatorisch, einen Datenschutzbeauftragten (DSB) zu benennen. Der für die Verarbeitung Verantwortliche ist Eigentümer der Daten und bestimmt, wer sie verarbeiten darf. Der Prozessor ist die Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Dazu gehören auch Dritte, die Datenanalysen zu Ihren Personaldaten durchführen.

Die DSGVO verlangt in drei konkreten Fällen die Benennung eines DSB:

  1. Wird die Verarbeitung von einer Behörde oder Stelle durchgeführt.
  2. Wenn die Haupttätigkeiten des Kontrolleurs oder des Verarbeiters aus Verarbeitungsvorgängen bestehen, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern.
  3. Wenn die Haupttätigkeit des für die Datenverarbeitung Verantwortlichen oder des Verarbeiters darin besteht, in großem Umfang spezielle Kategorien von Daten oder personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten zu verarbeiten.

In der Praxis bedeutet dies, dass fast alle großen Unternehmen einen Datenschutzbeauftragten haben. Wenn Sie an einem HR-Analytics-Projekt arbeiten, sollten Sie Ihren DSB einbeziehen!
Das ist auch wichtig, denn die Beteiligung ist Teil der Aufgabe des DSB. Zu seinen Aufgaben gehören insbesondere

  • Sammeln von Informationen zur Identifizierung von Verarbeitungsaktivitäten
  • Analysieren und überprüfen Sie die Einhaltung der Verarbeitungsaktivitäten und
  • Informieren, beraten und Empfehlungen an den Verantwortlichen oder den Verarbeiter aussprechen

Auch wenn die DSGVO nicht ausdrücklich die Ernennung eines DSB vorschreibt, kann es für Unternehmen manchmal sinnvoll sein, einen DSB auf freiwilliger Basis zu benennen.

Guido Klempien

Guido Klempien

Als Fachbereichsleiter von ACTIVATEHR freue ich mich immer über spannende Herausforderungen. Es ist mein Ziel, jedes HR-Projekt zum Erfolg zu führen.

Sie haben Fragen? Kontaktieren Sie mich!


Das könnte Sie auch interessieren:


Das könnte Sie auch interessieren

Kennen Sie das? Sie entwickeln eine eigene SAPUI5/Fiori App und im Backend tritt ein Fehler auf. Falls Sie diesen nicht behandeln und propagieren, erhalten Sie in Ihrer Anwendung oft dieses Bild: Wenn Sie wissen möchten, wie Sie auf die unterschiedlichsten […]

weiterlesen

Anpassungen im SAP HCM durch Eigenentwicklung und Customizing sind das täglich Brot eines jeden Entwicklers und Berater. SAP bietet im Standard ein umfangreiches Tool welches nahezu beliebig erweitert werden kann. Mit SuccessFactors sieht die Welt etwas anders aus. Erfahren Sie […]

weiterlesen

Vielleicht sind Sie auf der Suche nach einer Partner Lösung schon mal über den Begriff SAP App Center gestoßen, doch was ist das eigentlich genau? Und welche Möglichkeiten bietet ihnen das App Center? Hier finden sie die Antwort!

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support