HR-Tools und die DSGVO: Checkliste

Seit der Umsetzung der Datenschutz-Grundverordnung am 25.Mai 2018 ist viel Neues zu beachten. Gerade personenbezogene Daten von Mitarbeitern sind ein heikles Thema und diesen muss besondere Aufmerksamkeit geschenkt werden. Deswegen hier ein kurzer Leitfaden, was zu beachten ist und auf was es bei HR-Tools im Zusammenhang mit der DSGVO ankommt.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung ist eine europaweite Verordnung, die mit einem umfangreichen Regelwerk die Datenverarbeitung im Unternehmenskontext regelt. Grundsätzlich gilt die Regelung für alle Unternehmen mit Sitz in der Europäischen Union und Unternehmen aus Drittstaaten, die Daten von EU-Bürgern verarbeiten.

Ziele der DSGVO

  • Schutz der Daten von Unternehmen und natürlichen Personen
  • Rechtssicherheit in einer immer höher digitalisierten und vernetzten Welt
  • Europaweiter Standard

Was bedeutet dies in der Praxis für das Personalwesen?

Da seit Mai 2018 nun Verstöße, gegen das Datenschutzgesetz mit hohen Geldstrafen geahndet werden, ist jetzt noch genauer auf die penible Einhaltung zu achten. Deswegen hier eine schnelle Checklist.

Checkliste: Was sind die wichtigsten ToDo´s und welche Prozesse gehören definiert?

  • Welche Daten werden an welchen Stellen erfasst?
  • Wohin werden diese Daten weitergeleitet und wofür werden sie verwendet?
  • Welche Verschiedenen Technischen Systeme werden in der Praxis für die Datenübertragung verwendet? (E-Mail, Interner Kommunikationsdienst, Whatsapp, etc.?)
  • Liegt eine Einwilligung der Nutzung der Daten vor?
  • Überprüfung der Dienstverträge, Betriebsvereinbarungen etc.
  • Kommunikation mit dem Betriebsrat
  • Prozesse für die Löschung der Daten inklusive maximaler Aufbewahrungsdauer definieren
  • Welche Auftragsverarbeiter werden herangezogen und gibt es schriftliche Vereinbarungen?

Welche Merkmale muss ich bei HR-Software beachten?

  • On-premise oder Cloud Software
    On-premise Software sind Installationen, die auf den firmeninternen Servern laufen. Cloud-Software hingegen läuft auf den Servern der Software Anbieter. Was ist zu bevorzugen? Sowohl Cloud als auch On-premise Lösungen können sicher gestaltet sein.
    Hierbei sollte ich mich Fragen:
    1) Zuallererst: Erfüllt die Software überhaupt meine Anforderungen? Unabhängig von der Art, wird dies allzu gern übersehen.
    2) Habe ich das nötige Know-how, um firmenintern die Software über einen längeren Zeitraum zu warten und auf den neusten Sicherheitsstandards zu halten?
    3) Wenn es eine Cloud-Software ist, werden die Daten innerhalb der EU gespeichert?
    4) Steht eine Auftragsverarbeiter-Vereinbarung zur Verfügung?
  • Berechtigungen für verschiedene Benutzergruppen
    Gerade bei Software im Personalbereich sind oft eine Vielzahl von Kollegen beteiligt. Damit man hier einen sicheren Umgang gewährleisten kann, benötigt man ein Berechtigungssystem für verschiedene Benutzergruppen, um genau steuern zu können auf welche Daten jemand Zugriff hat.

Benötigt man denn wirklich eine Software um DSGVO-konform zu sein?

Ja und Nein: Bei dieser Frage scheiden sich die Geister. Grundsätzlich braucht man keine Software um DSGVO konform zu sein. Allerdings kennen wir die Umsetzungen in der Praxis, wenn es eben keine standardisierten Prozesse gibt. Allzu oft werden Dienstpläne, Arbeitsaufzeichnungen und andere sensible Daten per Mail oder WhatsApp versendet. Oft werden auch E-Mail Postfächer über Jahre nicht bereinigt, sodass man keine Kontrolle mehr über die Daten hat. Eine Software mit verschiedenen Zugriffsrechten um die Sichtbarkeit von sensiblen Daten einzuschränken, ist hier eine Unterstützung.

Fazit

Wir von Planery finden die DSGVO sehr gut, auch wenn diese natürlich gerade in der Umstellungsphase wieder einen zusätzlichen bürokratischen Aufwand verursacht. Diese ist aber trotzdem dringend nötig, denn in den letzten Jahren ist die Menge an Daten, die über das Internet transferiert worden sind, um ein Vielfaches gestiegen und bis 2025 soll sich diese Zahl nochmals verzehnfachen. Deswegen ist ein bewusster Umgang mit Daten im Allgemeinen sehr wichtig. Gerade aber für personenbezogene Daten von Mitarbeitern ist ein verantwortungsbewusster Umgang die Pflicht für jeden Personalmanager.

 

Zusätzliche Ressourcen:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Informationen-zur-EU-Datenschutz-Grundverordnung.html