Aktuelles
Neues von der lohn-ag.de AG
5 wichtige Schritte auf dem Weg zur Umsetzung der Datenschutzgrundverordnung in Ihrem Unternehmen
Bereits im letzten Beitrag habe ich auf die neue Datenschutzgrundverordnung (DS-GVO) und die sich daraus ergebenden Pflichten hinsichtlich der Bewerberverwaltung hingewiesen.
Wir wollen uns nun den Abläufen / Pflichten hinsichtlich der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten, insbesondere bezogen auf die Mitarbeiterverwaltung / Lohnabrechnung widmen. Ebenso wie mit dem vorherigen Beitrag können und wollen wir an dieser Stelle keine Rechtsberatung leisten. Ziel ist es, Ihnen einen Überblick zu geben, Handlungsempfehlungen darzustellen und praxisnahe Ratschläge zu vermitteln.
Was sind einige der wichtigsten Regelungen, die einen wesentlichen Einfluss auf die Abläufe im Unternehmen haben werden?
- Umfangreiches Auskunftsrecht über die im Unternehmen verarbeiteten persönlichen Daten
- Recht auf Vergessen werden – Recht auf Löschung, nach dem Unternehmen auf Anforderung betroffener Personen verpflichtet sind, personenbezogene Daten zu löschen (und sogar in einigen Fällen ohne Anforderung)
- Verpflichtung von Unternehmen, unter bestimmten Voraussetzungen Datenschutzfolgenabschätzungen durchzuführen, bevor personenbezogene Daten verarbeitet werden dürfen
- Recht auf Datenübertragbarkeit, nach dem Personen ihre persönlichen Daten anfordern können, um diese an einen anderen Dienst zu übertragen,
- Verpflichtung von Unternehmen, die bestimmte Arten von Datenverarbeitung vornehmen, einen Datenschutzbeauftragten zu ernennen
- Benachrichtigung von Behörden im Falle einer Datenschutzverletzung
Wie sollten Sie nun starten?
Schritt 1: Wo stehen Sie bzw. Ihr Unternehmen auf dem Weg zur DS-GVO?
Einen sehr guten Online-Test hat das Bayrische Landesamt für Datenschutzaufsicht (LDA Bayern) erstellt. Dieser führt Sie durch 28 Fragen und zeigt Ihnen auf, wie gut Sie bereits aufgestellt sind und was Sie noch tun müssen.
Ebenso dient zur Vorbereitung der Fragebogen zur Umsetzung der DS-GVO, ebenso vom LDA Bayern.
Erarbeiten Sie beide Unterlagen und Sie haben schon den ersten Schritt zur Einführung der DS-GVO in Ihrem Unternehmen getan. Sie kennen nun den aktuellen Stand in Ihrem Unternehmen und haben eventuelle Lücken erarbeitet. Ebenso könne Sie nun auch Geschäftsführung und andere Mitarbeiter für das Thema sensibilisieren.
Im Schritt 2 empfehle ich Ihnen eine Bestandsaufnahme der personenbezogenen Daten.
Die Fragen, die Sie sich stellen und beantworten sollten sind: Wo verwenden Sie welche personenbezogenen Daten (hier sollten sie Kategorien nutzen. z.B. Bankverbindung, Lohnsteuermerkmale, Sozialversicherungsinformationen) von welcher Personengruppe (Mitarbeiter, Bewerber, Besucher / Gast, Lieferant / Subunternehmer, Behörden...)? Wo speichern Sie diese Daten (z.B. Arbeitszeiten auf eigenem PC, Netzlaufwerk xy, Software xy, Mobiltelefon, Papierordner), Wie werden diese weiterverarbeitet (z.B. Arbeitszeitauswertung) und Warum (also zu welchem Zweck, z.B. zur Lohnabrechnung)? Leiten Sie diese Daten ggf. weiter, wenn ja wie (eMail, Post) und wohin (intern, extern an xy-Empfänger)?
Denken Sie bei der Beantwortung dieser Fragen nicht nur an die Lohnabrechnung, sondern auch an Schulungen, Dienstplanung, Anwesenheitslisten, Ausgabelisten (z.B. Firmenhandy, Firmenkleidung), oder an Ihre Gäste- / Kundendaten, Lieferantendaten, etc.. Gehen Sie mit einer vorbereiteten Liste, die die oben genannten Fragen beinhaltet zu den Fachverantwortlichen. Diese können Ihnen helfen, die jeweiligen Fragen bezogen auf den Fachbereich zu beantworten.
Nun wissen Sie, welche Daten wo in Ihrem Betrieb verwendet werden und wie Sie verarbeitet werden. Dies bildet die Grundlage für den nächsten Schritt.
Schritt 3: Erfassen Sie die Prozesse und Abläufe und Priorisieren Sie diese.
Erstellen Sie auf Basis der Bestandsaufnahme eine Übersicht über die Prozesse und Abläufe in denen personenbezogene Daten verarbeitet werden. Benennen Sie den Prozess, beschreiben kurz worum es geht, welche Daten erhoben werden und Wer für den Prozess verantwortlich ist. Nehmen Sie eine erste Risikoeinschätzung hinsichtlich einer Datenpanne vor. Welches Risiko besteht und wie hoch ist dieses Risiko? Muss eine Datenschutzfolgenabschätzung vorgenommen werden? Denken Sie dabei an die Eintrittswahrscheinlichkeit und die Schwere eines möglichen Schadens für den Inhaber der Daten, aber auch für Ihr Unternehmen. Unterscheiden Sie zwischen hohen, mittleren und geringem Risiko. Dies hilft Ihnen, die Prozesse zu priorisieren und nun von hoch nach gering abzuarbeiten. Schritt für Schritt kommen Sie ans Ziel. Prozesse in denen Sie persönliche Aspekte zu einer Entscheidungsfindung bewerten (z.B. Persönlichkeitstests), Prozesse mit Daten besonderer Kategorien (nach Art. 9 Abs. 1 DS-GVO, z.B. rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugung, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur eindeutigen Identifikation, Gesundheitsdaten und Daten zum Sexualleben oder sexueller Orientierung), Prozesse zur Erhebung von Straftaten (z.B. Anforderung Führungszeugnisse, Sicherheitsüberprüfungen) gehören in jedem Fall zu den hohen Risiken bei denen eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DS-GVO mit einer umfassenden Risikobewertung gemacht werden muss.
Schritt 4: Erstellen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten
Die einzelnen oben aufgenommenen Prozesse müssen nun als Verarbeitungstätigkeiten beschrieben werden. Hierbei hilft Ihnen die Priorisierung. Starten Sie mit den Prozessen, die Sie mit einem hohen Risiko versehen haben. Sofern Sie einen Datenschutzbeauftragten (intern oder extern) haben, lassen sie diesen Ihre Beschreibungen prüfen. Sicher kann er Sie auch bei dem oben beschriebenen Verfahren unterstützen. Über die Inhalte der Beschreibungen der Verarbeitungstätigkeiten gibt es genaue DS-GVO-Vorgaben (siehe Artikel 30 Abs. 1 DS-GVO). Es wird generell zwischen Auftragsverarbeitern (z.B. die lohn-ag.de AG) und Verantwortlichen (dies trifft in der Regel auf Sie zu) unterschieden. Ein entsprechendes Muster für Verantwortliche finden Sie u.a. beim Berufsverband der Datenschutzbeauftragten Deutschlands als bearbeitbare .doc-Datei. Auch finden Sie im Internet zahlreiche Anbieter von Musterbeschreibungen für Verarbeitungstätigkeiten, z.B. bei Weka-Media, oder dem Deichmann-Fuchs Verlag.
Schritt 5: Schulen Sie Ihre Mitarbeiter hinsichtlich des Datenschutzes.
Aus dem Verzeichnis der Verarbeitungstätigkeiten ergeben sich sicher neue Prozesse für Ihr Unternehmen, die zu beachten sind, z.B. die Löschung / Vernichtung von Daten, die Erfüllung von Betroffenenrechte (im Wesentlichen die Auskunftsrechte und das Recht auf Datenübertragbarkeit) und die Pflicht zur Benachrichtigung der Behörden im Falle einer Datenschutzverletzung. Alle Mitarbeiter müssen diese neuen Prozesse kennen und wissen, wie sie sich zu verhalten haben und was sie wann tun müssen.
In diesem Beitrag haben wir uns auf das Thema der Prozesse hinsichtlich der Erfassung und Dokumentation der Verarbeitungstätigkeiten konzentriert. Daneben gibt es Weiteres was Sie beachten bzw. erarbeiten müssen: Erarbeiten Sie Grundsätze zur Datenlöschung bzw. Datenspeicherung bezogen auf persönliche Daten für Ihr Unternehmen und halten dies schriftlich fest, Prüfen bzw. fordern Sie neue Auftragsverarbeitungsverträge entsprechend der DS-GVO bei Ihrem Dienstleister an, entwerfen Sie Musterschreiben für „Betroffenen Auskünfte", Aktualisieren Sie die Datenschutzhinweise auf Ihrer Homepage (DS-GVO Art.1,13).
Sie sehen es gibt noch einiges zu tun und die DS-GVO hat weitreichenden Einfluss auf unsere Prozesse und Abläufe. Die hier beschriebenen Aufgaben sind nicht vollständig und konzentrieren sich auf die wesentlichen Punkte. Auch wenn der Berg an Arbeit Ihnen viel vorkommt, rate ich Ihnen die jeweiligen Schritte nun konsequent anzugehen und einen Zeitplan für Ihr Projekt zu erstellen. Nur wer los läuft kann auch ankommen.
Wie unterstützen wir unsere Kunden?
Anfang April werden wir unseren Kunden neue Auftragsverarbeitungsverträge gem. DS-GVO zukommen lassen. Musterschreiben gem. DS-GVO Art. 13, 14 und 20 werden wir unseren Kunden als Reports über zeit-lohn.net rechtzeitig zur Verfügung stellen. So können unsere Kunden jederzeit ihren Mitarbeitern einfach und bequem eine Auskunft über die bei uns gespeicherten Daten zum Zwecke der Lohnabrechnung zur Verfügung stellen. Ebenso stellen wir unseren Kunden kostenfrei eine Erweiterung von zeit-lohn.net zur Verfügung, mit der sie uns Daten und Informationen zur Lohnabrechnung hochladen und die Abrechnungsinformationen jederzeit einsehen und herunterladen können (eArchiv). Dies hilft unseren Kunden u.a. dabei, personenbezogene Daten auf eigenen Rechnern zu minimieren und somit weniger Risiken und Aufwand zur Erfüllung der DS-GVO Auflagen zu haben.
Haben Sie Fragen? Gerne helfen wir Ihnen weiter.
Hinweis: Die vorgenannten Ausführungen stellen keine Rechtsberatung dar. Sie basieren auf meiner langjährigen Erfahrung und wurden sorgfältig recherchiert. Die von mir dargestellten Sachverhalte sind grundsätzlicher Natur.
Ich empfehle Ihnen im Einzelfall eine individuelle Rechtsberatung. Gerne ist Ihnen hierbei die lohn-ag.de Rechtsanwaltsgesellschaft mbH behilflich.