HR-Management
personalmagazin 09.18
82
Illustration: Lea Dohle
Am 25. Mai 2018 haben die Datenschutzgrundverordnung
(DSGVO) sowie das – die europäische Regelung flankierende –
neue Bundesdatenschutzgesetz (BDSG) ihre volle Wirkung ent-
faltet. Die zweijährige straffreie Umsetzungsphase ist seitdem
abgelaufen und zahlreiche Anforderungen, die diese neuen da-
tenschutzrechtlichen Regelungen stellen, betreffen insbesondere
auch den Personalbereich. Ob Unternehmen gut oder weniger
gut vorbereitet sind: Es lohnt sich, als Update zum neuen Daten-
schutzrecht die folgenden Punkte zu prüfen, um den vielfältigen
Anforderungen der neuen EU-DSGVO gerecht zu werden.
Kurz und bündig: Die wichtigsten Regelungen
der neuen EU-DSGVO auf einen Blick
Herzstück der DSGVO sind erhöhte Transparenz-, Rechen-
schafts- und Dokumentationspflichten, die Ausweitung der Be-
troffenenrechte, erhöhte Informationspflichten für den Unter-
nehmer oder Arbeitgeber sowie – im Vergleich zum früheren
BDSG – erhöhte Bußgelder. Die DSGVO knüpft nahezu an den
Verstoß gegen jede ihrer Regelungen ein Bußgeld (bis zu vier
Prozent des Jahresumsatzes des Konzerns).
Eine der wichtigsten Neuerungen ist die Rechenschaftspflicht
in der DSGVO. Als deren direkte Auswirkung ergibt sich die Ver-
pflichtung, jederzeit die Befolgung aller Vorschriften der DSGVO
nachweisen zu können. Daher muss insbesondere auch HR deut-
lich mehr Vorgänge dokumentieren als noch in Zeiten vor dem
25. Mai 2018. Die strengeren Rechenschaftspflichten bewirken
de facto eine Beweislastumkehr. Das bedeutet: In einem Ver-
fahren oder auch vor der Aufsichtsbehörde muss der Arbeitgeber
nachweisen, dass er die Anforderungen der DSGVO eingehalten
hat. Zum Beispiel muss er also belegen, dass eine wirksame Er-
laubnisgrundlage für die Datenverarbeitung besteht oder dass
geeignete Datenschutzvorkehrungen umgesetzt werden.
Daneben gelten zudem die altbekannten Prinzipien, die auch
schon früher dem BDSG zugrunde lagen, wie beispielsweise Treu
und Glauben, Rechtmäßigkeit, Zweckbindung, Datenminimie-
rung, Richtigkeit, Speicherbegrenzung und Datensicherheit.
Teilweise werden diese Grundsätze jedoch verschärft und im
Gegensatz zu früher mit Sanktionen belegt. So ist zum Beispiel
Datensicherheit jetzt bußgeldbewehrt.
Die DSGVO ist – wie bereits die alte Fassung des BDSG – ein
Verbotsgesetz mit Erlaubnisvorbehalt. Das bedeutet: Das Ver-
arbeiten personenbezogener Daten ist grundsätzlich verboten,
sofern nicht eine Rechtsvorschrift, eine Betriebsvereinbarung
oder eine Einwilligung des Betroffenen dies erlaubt. An die
Einwilligung – gerade im Beschäftigtenkontext – werden er-
höhte Anforderungen gestellt. Die Betroffenen haben erweiterte
Auskunftsrechte in Bezug auf die Herkunft und Verarbeitungs-
zwecke ihrer Daten und ihnen werden Schadensersatzansprüche
zugebilligt, wenn gegen eine Vorschrift der DSGVO verstoßen
wurde. Nicht zuletzt sind mit der neuen DSGVO und dem neuen
BDSG mehr Prüfungen der Datenschutzbehörden zu erwarten.
Dies alles zeigt, dass insbesondere die Transparenz- und Doku-
mentationspflichten auch für HR relevant sind, um die Einhaltung
der DSGVO nachweisen zu können. Daher bestehen auch bei den
Vorgaben der DSGVO, die eventuell nicht direkt durch die Perso-
nalabteilung, sondern zum Teil von den Fachbereichen unter Ein-
bindung des Datenschutzbeauftragten umzusetzen sind, erheb-
liche Wechselwirkungen mit HR. Zudem sind – unter Einbindung
des Datenschutzbeauftragten – wiederkehrende Trainings für die
Mitarbeiter zur Einhaltung der DSGVO abgestuft nach Risikobe-
reich zu implementieren. Angesichts der zahlreichen Neuerungen
ist es deshalb empfehlenswert, mithilfe der folgenden Checklisten
die bereits erfüllten Anforderungen der DSGVO sowie die Maß-
nahmen, die noch zur Schließung etwaiger Datenschutzlücken
notwendig sind, zu identifizieren.
Up-daten
Von Dr. Anja Branz
Seit einigen Monaten ist das neue Datenschutzrecht
anzuwenden. Einige Unternehmen sind gut vorbereitet,
andere wiederum erahnen, dass sie noch nicht alle
gesetzlichen Vorgaben erfüllen. Zwei Checklisten
helfen bei der Feststellung, was schon passt und wo
der Schuh noch drückt.
