Datenschutz für Human Resources

Marktstudie: Software-Trends im Personalwesen [Auszug]

Welche HR-Software wird tatsächlich in Unternehmen angewendet? Mehr zu dem Thema erfahren Sie in in unserem kostenlosen Auszug der Marktstudie.

Software-Trends im Personalwesen

Ziel der DSGVO ist es, ein höheres Schutzniveau für personenbezogene Daten weiter zu harmonisieren. Dies betrifft die Verarbeitung personenbezogener Daten innerhalb von Unternehmen und Human Resources Abteilungen – insbesondere Personaldaten.
Die DSGVO stellt eine wesentliche Auswirkung auf das Arbeitsrecht dar, da ein Arbeitgeber die Daten seiner Mitarbeiter (und potenziellen Mitarbeiter) in großem Umfang verarbeitet. Darüber hinaus kann ein Arbeitgeber Arbeitnehmerdaten im Hinblick auf das Arbeitsumfeld verarbeiten – zum Beispiel Daten von Kameras oder das Internetverhalten der Arbeitnehmer.

Die Entstehung der DSGVO

Datenschutz fuer Human ResourcesDer Gesetzgebungsprozess dauerte einige Jahre, und erst Ende 2015 haben die Mitgliedstaaten eine Einigung über die wichtigsten Grundsätze erzielt. Im April 2016 wurde die endgültige Version der DSGVO veröffentlicht, die seit dem 25. Mai 2018 (auch im Vereinigten Königreich) durchsetzbar ist.

Folgen der DSGVO am Arbeitsplatz

Die DSGVO enthält eine beträchtliche Anzahl von „neuen“ Normen und Vorschriften, wobei die wichtigsten Änderungen darin bestehen:

  • Zusätzliche Rechte für Arbeitnehmer
  • Folgenabschätzung zum Datenschutz
  • Datenschutzbeauftragter

Zusätzliche Rechte für Arbeitnehmer

Die Mitarbeiter erhalten eine Reihe zusätzlicher Rechte, um die Kontrolle über ihre eigenen personenbezogenen Daten zu verstärken. So wurde beispielsweise das Zugangsrecht erweitert. Dies gibt dem Mitarbeiter das Recht, darüber informiert zu werden:

  1.  Wie lange der Arbeitgeber die Daten aufbewahren möchte
  2.  Ob die Daten für die automatisierte Entscheidungsfindung verwendet werden
  3.  Ob der Arbeitgeber beabsichtigt, die Daten ins Ausland zu übermitteln, und wenn ja,
  4.  welche Garantien in diesem Zusammenhang vorgesehen sind.

Dies bedeutet eine zusätzliche Verantwortung für jeden, der mit Personaldaten arbeitet. Darüber hinaus muss der Arbeitgeber den Arbeitnehmer über das Recht auf Nachbesserung und das Recht auf Beschwerde bei einer Aufsichtsbehörde informieren.
Ein einzelner Mitarbeiter hat auch ein Recht auf Löschung. Dies gibt unter bestimmten Umständen das Recht, vergessen zu werden. Die praktische Anwendung besteht darin, dass die Arbeitgeber Klarheit über den Zweck der Datenverarbeitung schaffen müssen.

Folgenabschätzung zum Datenschutz

Die Data Protection Impact Assessment (DPIA) ist eine Methode zur Analyse potenzieller Datenschutzrisiken. Eine DPIA sollte durchgeführt werden, wenn die Verarbeitung personenbezogener Daten höchstwahrscheinlich zu einem hohen Risiko für die Rechte und die Freiheit des Arbeitnehmers führt. Eine DPIA ist daher nicht immer zwingend erforderlich.
Nach der Bewertung der Risiken muss ein Unternehmen Maßnahmen ergreifen, um diese Risiken zu minimieren.

In den folgenden Situationen ist eine DPIA zwingend erforderlich:

  1. Profilerstellung: wenn eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen vorgenommen wird, auf deren Grundlage Entscheidungen getroffen werden müssen, die rechtliche Konsequenzen für diese natürlichen Personen haben könnten.
  2. Datenverarbeitung: wenn eine groß angelegte Verarbeitung von speziellen personenbezogenen Daten durchgeführt wird
  3. Monitoring-Bemühungen: wenn öffentlich zugängliche Räume systematisch und in großem Umfang überwacht werden.
    Abgesehen von den oben genannten Situationen gibt es im DSGVO keine Beispiele für Verarbeitungen, die mit hohen Datenschutzrisiken verbunden sein können und daher eine DPIA erfordern.

Datenschutzbeauftragter

Nach der DSGVO ist es für bestimmte Kontrolleure und Verarbeiter obligatorisch, einen Datenschutzbeauftragten (DSB) zu benennen. Der für die Verarbeitung Verantwortliche ist Eigentümer der Daten und bestimmt, wer sie verarbeiten darf. Der Prozessor ist die Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Dazu gehören auch Dritte, die Datenanalysen zu Ihren Personaldaten durchführen.

Die DSGVO verlangt in drei konkreten Fällen die Benennung eines DSB:

  1. Wird die Verarbeitung von einer Behörde oder Stelle durchgeführt.
  2. Wenn die Haupttätigkeiten des Kontrolleurs oder des Verarbeiters aus Verarbeitungsvorgängen bestehen, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern.
  3. Wenn die Haupttätigkeit des für die Datenverarbeitung Verantwortlichen oder des Verarbeiters darin besteht, in großem Umfang spezielle Kategorien von Daten oder personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten zu verarbeiten.

In der Praxis bedeutet dies, dass fast alle großen Unternehmen einen Datenschutzbeauftragten haben. Wenn Sie an einem HR-Analytics-Projekt arbeiten, sollten Sie Ihren DSB einbeziehen!
Das ist auch wichtig, denn die Beteiligung ist Teil der Aufgabe des DSB. Zu seinen Aufgaben gehören insbesondere

  • Sammeln von Informationen zur Identifizierung von Verarbeitungsaktivitäten
  • Analysieren und überprüfen Sie die Einhaltung der Verarbeitungsaktivitäten und
  • Informieren, beraten und Empfehlungen an den Verantwortlichen oder den Verarbeiter aussprechen

Auch wenn die DSGVO nicht ausdrücklich die Ernennung eines DSB vorschreibt, kann es für Unternehmen manchmal sinnvoll sein, einen DSB auf freiwilliger Basis zu benennen.


Das könnte Sie auch interessieren:


Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support