sideara-image

Lorem ipsum dolor sit . Proin gravida nibh vel vealiquete sollicitudin, lorem quis bibendum auctonisilin sequat. Nam nec tellus a odio tincidunt auctor ornare.

Stay Connected & Follow us

What are you looking for?

Simply enter your keyword and we will help you find what you need.

Der richtige Umgang mit personenbezogenen Daten: die neue DSGVO

Datenschutz vs. Digitalisierung: Lässt sich beides vereinen?

Datenschutz ist in Deutschland ein großes Thema: Verstöße gegen das Bundesdatenschutzgesetz (BDSG) werden in der Bundesrepublik scharf sanktioniert. Mitunter kommt es zu kuriosen Vorfällen, wie dem Keylogger-Urteil, das jüngst für Aufsehen gesorgt hat: Ein Arbeitgeber hatte sämtliche Tastatureingaben eines Arbeitnehmers (Web-Entwickler) per Keylogger protokolliert und regelmäßig Screenshots angefertigt. Dadurch kam er dem Mitarbeiter auf die Schliche: Dieser programmierte laut Verdacht des Arbeitgebers während der Arbeitszeit ein eigenes Computerspiel und wickelte den E-Mail-Verkehr für seinen Vater ab. Die Folge: eine fristlose Kündigung. Der Falle schaffte es bis vor das Bundesarbeitsgericht, wo der Arbeitnehmer Recht bekam: Die Überwachung geschah in Ermangelung eines begründeten Verdachts, ergo war die Kündigung unverhältnismäßig. Höchstens im Zuge einer Straftat oder bei Vorliegen schwerwiegender Pflichtverletzungen hätte man von einem begründeten Verdacht sprechen können. Die Überwachung jeder Tastatureingabe, jeder Fingerbewegung mittels Keylogger beschwört bei dem einen dystopische Phantasien eines gläsernen Mitarbeiters herauf, bei dem anderen wecken die digitalen Überwachungsmöglichkeiten vielleicht ein befriedigendes Gefühl der Kontrolle. Sicher ist: bisher sind die Datenschutzregelungen strikt genug, um von einem gläsernen Mitarbeiter zu sprechen. Insbesondere Personalcontroller oder Recruiter, deren täglich Brot der Umgang mit sensiblen personenbezogenen Daten ist, wissen um die umfangreichen Datenschutzgesetze. Bei vielen Entscheidungen, wie dem Anschaffen einer digitalen Personalakte, einer HR-Analytics- oder E-Recruiting-Software treten Datenschutzbedenken auf. Nichtsdestotrotz wäre es ein Verlust, auf die Vorteile der neuen digitalen Möglichkeiten zu verzichten. Recruiting-Kennzahlen helfen zum Beispiel dabei, den Bewerbungsprozess zu optimieren und mit erfolgreichen Recruiting-Ergebnissen für leistungsstarke Mitarbeiter zu sorgen. Personalcontroller haben die Möglichkeit, relevante KPIs für Personalentscheider aufzuarbeiten, um strategische Entscheidungen zu unterstützen. Seriöse Anbieter einer Bewerbermanagement-Software etwa, nutzen sicherheitsoptimierte Cloud-Plattformen, achten auf eine verschlüsselte Datenübertragung und Datenschutzrichtlinien nach aktuellem Recht. Werden solche Sicherheitsanforderungen bereits im Entwicklungsprozess umgesetzt, spricht man von „Secure by design“. Das Konzept des Security Development Lifecycle (SDL) zur sicheren Softwareentwicklung, das diesen Grundsatz neben 7 weiteren integriert, wurde bereits 2004 von Microsoft vorgestellt.

Wie steht es um das Datenschutzrecht in Deutschland?

Arbeitnehmer haben das Recht auf informationelle Selbstbestimmung: Sie entscheiden über die Preisgabe und Verwendung ihrer personenbezogenen Daten. Den Umgang mit personenbezogenen Daten regelt derzeit das Bundesdatenschutzgesetz. Künftig wird die Datenschutz-Grundverordnung (DSGVO) Anwendungsvorrang haben, weshalb das BDSG derzeit angepasst wird. Die Europäische Datenschutzgrundverordnung wird voraussichtlich ab Mai 2018 Anwendung finden und gilt unmittelbar in allen EU-Mitgliedstaaten. Auch Drittstaaten, die EU-Bürgern Waren oder Dienstleistungen anbieten, sind betroffen. Nutzer sollen durch die europaweite Vereinheitlichung im Datenschutzrecht mehr Kontrolle über ihre persönlichen Daten erhalten. Ergänzt wird die DSGVO durch eine neue E-Privacy-Verordnung, die u. a. den Einsatz von Cookies oder den Datenschutz bei Chatanwendungen wie beispielsweise WhatsApp regelt. Wichtige Regelungen der DSGVO sind:
• mehr Transparenz (Informationspflicht der Datenverarbeiter): Der Nutzer hat Anspruch auf Informationen über die Datenverarbeitung
Wer verarbeitet die Daten wie und zu welchem Zweck?
Wie lange sollen die Daten genutzt werden?

• das Recht auf Vergessenwerden (Datenlöschung) wird gestärkt
• das Mindestalter zur Abgabe einer Einwilligung zur Datenverarbeitung wird auf 16 Jahre erhöht. Datenschutzverantwortliche müssen beweisen können, dass ihnen eine Einwilligung erteilt wurde
Meldepflicht bei Datenpannen: Eine Verletzung des Datenschutzes muss innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Es soll eine einheitliche Anlaufstelle geben (One-Stop-Shop)
Rechenschaftspflicht: Die Einhaltung von Datenschutzprinzipien muss auf Aufforderung nachgewiesen werden
Datenportabilität: Nutzer können ihre Daten zu anderen Anbietern mitnehmen, z. B. beim Bankwechsel oder Arbeitsplatzwechsel
Wichtige Grundsätze in der Datenverarbeitung sind die Zweckbindung der erhobenen Daten, die Datensparsamkeit (nur benötigte Daten dürfen erhoben werden), die Datenrichtigkeit (richtige und aktuelle Daten) und Datensicherheit. Verstöße werden mit der neuen DSGV schärfer sanktioniert als zuvor: Geldbußen können bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen.

Was ist im Personalbereich zu beachten?

Auch für personenbezogene Daten von Mitarbeitern und Bewerbern gelten die Datenschutzgrundsätze (z. B. Zweckgebundenheit, Transparenz, Datensparsamkeit). Grundsätzlich dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn sie erforderlich sind zur:
Entscheidung über die Begründung des Beschäftigungsverhältnisses
Durchführung und Beendigung eines Beschäftigungsverhältnisses
Erfüllung der Rechte und Pflichten der Interessensvertretung der Beschäftigten (Gesetz oder Kollektivvertrag)
Die Datenverarbeitung muss verhältnismäßig und zweckgebunden sein. Unternehmen sollten im Sinne des Transparenzprinzips dazu in der Lage sein, offenzulegen, wie und an welcher Stelle persönliche Daten gespeichert und weitergegeben werden, wer Zugriff auf sie hat, zu welchem Zweck sie verarbeitet werden und wie lang der Aufbewahrungszeitraum beträgt. Eine Einwilligung zur Datenverarbeitung hat freiwillig zu erfolgen und Betroffene sind über ihr Widerrufrecht zu informieren. Auf Wunsch müssen datenverarbeitende Unternehmen gewährleisten, dass persönliche Daten herausgegeben und innerhalb bestimmter Fristen gelöscht werden. Der Datentransfer sensibler Daten (z. B. Versandt von Bewerberdaten) sollte über eine verschlüsselte Verbindung erfolgen. Datenschutzrechtliche Einwilligungserklärungen, Datenschutzinformationen und Betriebsvereinbarungen sollten in Hinblick auf die DSGVO überprüft und angepasst werden.

Fazit

Ab Mai 2018 gilt die neue europaweite Datenschutz-Grundverordnung (EU-DSGVO). Datenschutzverarbeitende Stellen im Unternehmen sollten sich frühzeitig auf die neuen Regelungen einstellen – allein wegen der hohen Sanktionen bei Verstößen, die Bußgelder bis zu 20 Millionen Euro umfassen können. Die DSGVO führt zu einer europaweiten Vereinheitlichung des Datenschutzrechts und stärkt die Kontrolle des Einzelnen über seine persönlichen Daten.

Quelle Foto: Fotolia © sdecoret

Keine Kommentare
Kommentieren
Name*
Email*
Webseite