Datenschutzgrundverordnung – was kommt da auf uns zu?

Mit der Datenschutzgrundverordnung (DSGVO) und den nationalen Gesetzen zum Datenschutz treten zum 28.5.2018 neue Regelungen in Kraft, die personaldatenverarbeitende Unternehmen wie die Entgelt und Rente AG treffen. Bei vielen Unternehmen steht das Thema auf der Agenda. Aber was genau ändert sich eigentlich?

Ab dem Stichtag im Mai kommenden Jahres dürfen nur noch Auftragsdatenverarbeiter mit der HR-Administration betraut werden, die Garantien dafür bieten, dass die personenbezogenen Daten durch geeignete technisch-organisatorische Maßnahmen geschützt sind, was auch vertraglich festzuhalten ist.

Prinzipien bei der Verarbeitung personenbezogener Daten

Die Begrifflichkeiten kennt man bereits aus dem „alten“ Bundesdatenschutzgesetz (BDSG). Einige Begriffe werden nun aber etwas anders definiert bzw. geschärft. Bezogen auf die softwaregestützte Personalverwaltung sind folgende Prinzipien zu beachten:

• Zweckbindung: Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke, die Weiterverarbeitung läuft diesen Zwecken stets nicht zuwider.

• Datenminimierung: Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß.

• Richtigkeit: Überprüfung auf sachliche Richtigkeit der Daten. Maßnahmen zur unverzüglichen Löschung oder Berichtigung unzutreffender Daten.

• Speicherbegrenzung: Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist.

• Integrität, Vertraulichkeit, Verfügbarkeit: Geeignete technisch-organisatorische Maßnahmen zum angemessenen Schutz der Daten, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung. Unter anderem durch:
  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Maßnahmen, um die personenbezogenen Daten und den Zugang zu diesen bei einem physischen oder technischen Zwischenfall zügig wiederherstellen zu können

Neue Auskunftspflichten

Datenverarbeitende Unternehmen müssen gemäß den neuen Regelungen auf Anfrage Auskunft darüber geben, welche Daten sie in welchen Prozessen zu welchen Zwecken verarbeiten. Dazu müssen sogenannte Verfahrensverzeichnisse angelegt werden. Der Bereich der personenbezogenen Datenverarbeitung ist besonders sensibel. Hier darf auch jeder Mitarbeiter von seinem Arbeitgeber verlangen, zu erfahren, welche seiner personenbezogenen Daten von wem zu welchen Zwecken verarbeitet werden.

Management von Datenschutz-Risiken und Bestellung eines Datenschutzbeauftragten

Nach den neuen Regelungen ist für sämtliche Datenverarbeitungsprozesse eine Datenschutzfolgeabschätzung durchzuführen. Dabei werden die Risiken der Datenverarbeitungsprozesse für die Rechte und Freiheiten der Mitarbeiter analysiert. Bei hoher Risikoausprägung werden geeignete Maßnahmen ergriffen. Bei Zwischenfällen ist der Datenverarbeiter verpflichtet, alle Betroffenen und auch die zuständige Aufsichtsbehörde zu informieren und den Schaden so weit wie möglich einzudämmen.

Mit der DSGVO wird zum ersten Mal eine europaweite Pflicht zur Bestellung eines Datenschutzbeauftragten eingeführt, wenn bestimmte Voraussetzungen erfüllt sind.

In dennächsten Monaten geben wir weitere Informationen zu diesem Thema!