HR-Management
personalmagazin 09.18
84
Checkliste II:
Damit das
Zusammenspiel
mit anderen
Abteilungen klappt
Datenschutz soll nach demWillen der DSGVO Teil der Unterneh-
menskultur werden. Hierfür ist ein Management-Commitment
erforderlich. In der Praxis führt die DSGVO also zu einer stär-
keren Verantwortung aller Führungskräfte, für die Einhaltung
der DSGVO in ihrem jeweiligen Zuständigkeitsbereich zu sorgen
und gegebenenfalls auch bereichsübergreifend zusammenzu-
arbeiten. Auch wenn die nachfolgenden Punkte eventuell nicht
alle direkt von HR anzugehen sind, so muss letztlich das Zu-
sammenspiel zwischen Fachbereichen, Datenschutzbeauftragten
und Personalbereich dennoch funktionieren. Dafür ist folgende
Checkliste zu beachten:
1. Wurden die Datenverarbeitungsprozesse
sauber beschrieben?
Prüfen Sie, ob eine Dokumentation im Unternehmen existiert. Zu
empfehlen ist eine formularmäßige Beschreibung der Datenver-
arbeitungsprozesse im Unternehmen (als Teil des Verfahrensver-
zeichnisses). Beispielsweise sind folgende Datenverarbeitungs-
prozesse zu beschreiben: Entgeltabrechnung von Mitarbeitern,
Arbeitszeiterfassung, Bewerbermanagement, aber etwa auch
Verarbeitung von Kundendaten (Vertrags-, Kontakt-, Zahlungs-
daten, Kaufhistorie, Bonitätsprüfungen et cetera).
2. Wird ein sauberes Verarbeitungsverzeichnis
mit allen Datenverarbeitungsvorgängen
geführt?
Im Verfahrensverzeichnis werden sämtliche Datenverarbeitungs-
prozesse Ihrer Organisation katalogisiert. Bedenken Sie bitte,
dass die nationalen Aufsichtsbehörden das Recht haben, dieses
Verfahrensverzeichnis einzusehen. So wird die Einhaltung des
Datenschutzes überprüft. Versäumnisse können mit Bußgeldern
belegt werden. Im Verfahrensverzeichnis sollten Namen sowie
Kontaktdaten des für die Verarbeitung Verantwortlichen sowie
die des Datenschutzbeauftragten erkennbar sein. Weiter werden
die Zwecke der jeweiligen Datenverarbeitung offengelegt, zudem
wer von der Datenverarbeitung betroffen ist und wer Empfänger
der Daten ist.
3. Kann nachgewiesen werden, dass die
verwendeten Softwareprodukte ausschließlich
notwendige Daten verarbeiten?
Es gilt auch nach der DSGVO das Prinzip der Erforderlichkeit
und Datensparsamkeit. Daher gilt es, zunächst einmal sämtliche
Daten, die im Unternehmen verarbeitet werden, zu sichten. Ins-
besondere ist sicherzustellen, dass die verwendeten Software-
produkte ausschließlich notwendige Daten verarbeiten.
4. Kann ein dokumentiertes Konzept für
Zugriffsberechtigungen vorgelegt werden?
In einem Berechtigungskonzept werden Zugriffsregeln für ein-
zelne Benutzer oder Benutzergruppen auf Datensätze eines
IT-Systems festgelegt. In der Regel müssen in Berechtigungs-
konzepten Rollen definiert werden, denen Berechtigungen erteilt
oder entzogen werden können. Über Zugriffsrechte wird geregelt,
welche Person im Rahmen ihrer Funktion bevollmächtigt wird,
IT-Anwendungen oder Daten zu nutzen. Sind Rollen nicht oder
nur unzureichend definiert, kann es dazu führen, dass Mit-
arbeiter Zugriff auf Systeme und Daten erhalten, zu denen sie
keine Berechtigung benötigen. Dies kann zu einer Verletzung
der Vertraulichkeit und Integrität der Daten führen. Nicht selten
nimmt zum Beispiel auch ein ausscheidender Mitarbeiter sen-
sible Daten des Arbeitgebers mit zu seinem neuen Arbeitgeber.
Diese Pannen beim Rechtekonzept können wiederum Bußgelder
nach sich ziehen.
5. Wurden technisch-organisatorische
Sicherheitsmaßnahmen etabliert und
dokumentiert?
Aus den Sicherheitsmaßnahmen nach Art. 9 BDSG a. F. sind
mit der DSGVO die technisch-organisatorischen Maßnahmen
(„TOM“) geworden, die in Art. 32 DSGVO geregelt sind. Dabei
unterscheiden sich die beiden Maßnahmen:
• Technische Maßnahmen beziehen sich auf den Datenverarbei-
tungsvorgang als solches. Sie bezeichnen alle Maßnahmen, die
sich physisch umsetzen lassen, etwa durch Benutzerkonten,
die passwortgeschützt sind.
• Organisatorische Maßnahmen beziehen sich auf die Rahmen-
bedingungen des Datenverarbeitungsvorgangs. Sie umfassen
Regeln und Handlungsanweisungen, die dazu dienen, dass
Mitarbeiter den Datenschutz gesetzestreu einhalten.
Um jedoch festzustellen, welche TOM notwendig sind, müssen
Sie zunächst das Risiko jedes einzelnen Datenverarbeitungsvor-
gangs aus Sicht der Betroffenen analysieren und bewerten. Mit
der DSGVO drohen Unternehmen künftig hohe Bußgelder schon
alleine, wenn sich ihre TOM zum Datenschutz als unzureichend
oder ungeeignet herausstellt.
6. Ist sichergestellt, dass alle personen-
bezogenen Daten fristgerecht gelöscht
werden können, wurde also ein Löschkonzept
implementiert?
Die DSGVO verpflichtet nicht unmittelbar dazu, ein Löschkon-
zept zu haben. Ein Löschkonzept ist aber sehr sinnvoll, um den
