Guido Klempien
8. August 2019

Datenschutz für Human Resources

Datenschutz HR Ziel der DSGVO ist es, ein höheres Schutzniveau für personenbezogene Daten weiter zu harmonisieren. Dies betrifft die Verarbeitung personenbezogener Daten innerhalb von Unternehmen und Human Resources Abteilungen - insbesondere Personaldaten. Die DSGVO stellt eine wesentliche Auswirkung auf das Arbeitsrecht dar, da ein Arbeitgeber die Daten seiner Mitarbeiter (und potenziellen Mitarbeiter) in großem Umfang verarbeitet. Darüber hinaus kann ein Arbeitgeber Arbeitnehmerdaten im Hinblick auf das Arbeitsumfeld verarbeiten - zum Beispiel Daten von Kameras oder das Internetverhalten der Arbeitnehmer.

E-Book: SAP ILM & DSGVO

SAP ILM & DSGVO [E-Book]

In diesem E-Book erfahren Sie, weshalb das Information Lifecycle Management (SAP ILM) bei der Umsetzung der EU-DSGVO eine wichtige Hilfe sein kann.

Die Entstehung der DSGVO

Datenschutz HRDer Gesetzgebungsprozess dauerte einige Jahre, und erst Ende 2015 haben die Mitgliedstaaten eine Einigung über die wichtigsten Grundsätze erzielt. Im April 2016 wurde die endgültige Version der DSGVO veröffentlicht, die seit dem 25. Mai 2018 (auch im Vereinigten Königreich) durchsetzbar ist.

Folgen der DSGVO am Arbeitsplatz

Die DSGVO enthält eine beträchtliche Anzahl von “neuen” Normen und Vorschriften, wobei die wichtigsten Änderungen darin bestehen:

  • Zusätzliche Rechte für Arbeitnehmer
  • Folgenabschätzung zum Datenschutz
  • Datenschutzbeauftragter

Zusätzliche Rechte für Arbeitnehmer

Die Mitarbeiter erhalten eine Reihe zusätzlicher Rechte, um die Kontrolle über ihre eigenen personenbezogenen Daten zu verstärken. So wurde beispielsweise das Zugangsrecht erweitert. Dies gibt dem Mitarbeiter das Recht, darüber informiert zu werden:

  1.  Wie lange der Arbeitgeber die Daten aufbewahren möchte
  2.  Ob die Daten für die automatisierte Entscheidungsfindung verwendet werden
  3.  Ob der Arbeitgeber beabsichtigt, die Daten ins Ausland zu übermitteln, und wenn ja,
  4.  welche Garantien in diesem Zusammenhang vorgesehen sind.

Dies bedeutet eine zusätzliche Verantwortung für jeden, der mit Personaldaten arbeitet. Darüber hinaus muss der Arbeitgeber den Arbeitnehmer über das Recht auf Nachbesserung und das Recht auf Beschwerde bei einer Aufsichtsbehörde informieren.
Ein einzelner Mitarbeiter hat auch ein Recht auf Löschung. Dies gibt unter bestimmten Umständen das Recht, vergessen zu werden. Die praktische Anwendung besteht darin, dass die Arbeitgeber Klarheit über den Zweck der Datenverarbeitung schaffen müssen.

Folgenabschätzung zum Datenschutz

Die Data Protection Impact Assessment (DPIA) ist eine Methode zur Analyse potenzieller Datenschutz-Risiken. Eine DPIA sollte durchgeführt werden, wenn die Verarbeitung personenbezogener Daten höchstwahrscheinlich zu einem hohen Risiko für die Rechte und die Freiheit des Arbeitnehmers führt. Eine DPIA ist daher nicht immer zwingend erforderlich.
Nach der Bewertung der Risiken muss ein Unternehmen Maßnahmen ergreifen, um diese Risiken zu minimieren.

In den folgenden Situationen ist eine DPIA zwingend erforderlich:

  1. Profilerstellung: wenn eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen vorgenommen wird, auf deren Grundlage Entscheidungen getroffen werden müssen, die rechtliche Konsequenzen für diese natürlichen Personen haben könnten.
  2. Datenverarbeitung: wenn eine groß angelegte Verarbeitung von speziellen personenbezogenen Daten durchgeführt wird
  3. Monitoring-Bemühungen: wenn öffentlich zugängliche Räume systematisch und in großem Umfang überwacht werden.
    Abgesehen von den oben genannten Situationen gibt es im DSGVO keine Beispiele für Verarbeitungen, die mit hohen Datenschutzrisiken verbunden sein können und daher eine DPIA erfordern.
Beitragsbild-DSGVO-konform mit SAP – Wie Sie mit SAP ILM hohe Strafen vermeiden
Was genau ist SAP ILM? Wie könnte die Einführung der Anwendung in Ihrem Unternehmen ablaufen und wie trägt SAP ILM zur DSGVO-Konformität bei? Diese Fragen beantworten wir in diesem Live-Webinar.

Datenschutzbeauftragter

Nach der DSGVO ist es für bestimmte Kontrolleure und Verarbeiter obligatorisch, einen Datenschutzbeauftragten (DSB) zu benennen. Der für die Verarbeitung Verantwortliche ist Eigentümer der Daten und bestimmt, wer sie verarbeiten darf. Der Prozessor ist die Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Dazu gehören auch Dritte, die Datenanalysen zu Ihren Personaldaten durchführen.

Die DSGVO verlangt in drei konkreten Fällen die Benennung eines DSB:

  1. Wird die Verarbeitung von einer Behörde oder Stelle durchgeführt.
  2. Wenn die Haupttätigkeiten des Kontrolleurs oder des Verarbeiters aus Verarbeitungsvorgängen bestehen, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern.
  3. Wenn die Haupttätigkeit des für die Datenverarbeitung Verantwortlichen oder des Verarbeiters darin besteht, in großem Umfang spezielle Kategorien von Daten oder personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten zu verarbeiten.

In der Praxis bedeutet dies, dass fast alle großen Unternehmen einen Datenschutzbeauftragten haben. Wenn Sie an einem HR-Analytics-Projekt arbeiten, sollten Sie Ihren DSB einbeziehen!
Das ist auch wichtig, denn die Beteiligung ist Teil der Aufgabe des DSB. Zu seinen Aufgaben gehören insbesondere

  • Sammeln von Informationen zur Identifizierung von Verarbeitungsaktivitäten
  • Analysieren und überprüfen Sie die Einhaltung der Verarbeitungsaktivitäten und
  • Informieren, beraten und Empfehlungen an den Verantwortlichen oder den Verarbeiter aussprechen

Auch wenn die DSGVO nicht ausdrücklich die Ernennung eines DSB vorschreibt, kann es für Unternehmen manchmal sinnvoll sein, einen DSB auf freiwilliger Basis zu benennen.

Nadja Messer Kundenservice

Websession: Datenschutz für HR

Sollten Sie Fragen zu uns und unserer Arbeit oder konkret zu Umstellungsprojekten haben, dann vereinbaren Sie eine kostenlose Websession mit uns.

FAQ

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung, die von der Europäischen Union verordnet wurde. Mit dieser sollen die Datenschutzstandards von personenbezogenen Daten innerhalb der gesamten EU einheitlich gestellt werden. Mit der DSGVO wurden Verhaltensregeln für die richtige Datenverwaltung von personenbezogenen Daten aufgestellt.

Was ist eine DPIA?

Eine DPIA (Data Protection Impact Assessment) stellt eine Analysemethode für potenzielle Datenschutz-Risiken dar. Sie sollten daher eine DPIA durchführen, sobald angenommen werden kann, dass die Verarbeitung von personenbezogenen Daten zu einem hohen Datenschutz-Risiko führen könnte.

Guido Klempien

Guido Klempien

Als Fachbereichsleiter von ACTIVATEHR freue ich mich immer über spannende Herausforderungen. Es ist mein Ziel, jedes HR-Projekt zum Erfolg zu führen.

Sie haben Fragen? Kontaktieren Sie mich!


Das könnte Sie auch interessieren:


Das könnte Sie auch interessieren

Kennen Sie das? Sie entwickeln eine eigene SAPUI5/Fiori App und im Backend tritt ein Fehler auf. Falls Sie diesen nicht behandeln und propagieren, erhalten Sie in Ihrer Anwendung oft dieses […]

weiterlesen

Anpassungen im SAP HCM durch Eigenentwicklung und Customizing sind das täglich Brot eines jeden Entwicklers und Berater. SAP bietet im Standard ein umfangreiches Tool welches nahezu beliebig erweitert werden kann. […]

weiterlesen

Vielleicht sind Sie auf der Suche nach einer Partner Lösung schon mal über den Begriff SAP App Center gestoßen, doch was ist das eigentlich genau? Und welche Möglichkeiten bietet ihnen […]

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Kontaktieren Sie uns!
Nadja Messer
Nadja Messer Kundenservice