Was haben wir es uns nicht alle schwer gemacht, voller Panik haben wir unsere AGBs gerade gezogen, Newsletter-Richtlinien und AV-Verträge überarbeitet und uns vorsichtshalber noch einmal genauer unserer Datenschutzerklärung gewidmet. Mit Argusaugen haben wir die Aktivitäten der Konkurrenz beobachtet und versucht, uns hier und da ein paar Tipps abzuschauen. Und wie sieht es nun aus, eineinhalb Jahre nach dem Einzug der neuen europäischen Datenschutz-Grundverordnung?
Eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft RSM zeigt, dass fast ein Drittel aller europäischen Unternehmen immer noch nicht DSGVO-konform sind.1 Das macht einen erstmal stutzig. Wurde hier nicht mit Sanktionen und hohen Geldbußen gedroht?
Viele Unternehmen tun sich immer noch schwer, die Vorgaben der neuen europäischen Datenschutz-Grundverordnung umzusetzen. Das Gesetz, das seit 25. Mai 2018 geltendes Recht ist, schafft es immer noch, für Unverständnis und Verwirrung zu sorgen. Bei der Umsetzung der EU-DSGVO sind vor allem die Personalabteilungen in der Pflicht, da hier ein enormer Datenschatz an personenbezogenen Mitarbeiterdaten gepflegt und verwaltet wird.
Die ersten Schritte hin zu einem EU-DSGVO-konformen Datenmanagement im HR lassen sich mit folgenden Tipps leicht umsetzen.
1. Tipp: Schwachstellenmanagement
Ein ordnungsgemäßes Schwachstellenmanagement hilft beim kontinuierlichen Sicherstellen von möglichen Sicherheitslücken. Gleichzeitig hilft es, Maßnahmen zur Behebung dieser Schwachstellen frühestmöglich zu priorisieren, um damit für einen optimierten Ressourceneinsatz zu sorgen. Das schnellstmögliche Erkennen, Bewerten und Beheben von Sicherheitslecks verringert das Risiko von Datenschutzverletzungen enorm. Ein gut funktionierendes Sicherheitsmanagement sollte spätestens seit Inkrafttreten der EU-DSGVO Teil der IT-Sicherheitsstrategie sein.
2. Tipp: Automatisierung
Die Einführung einer intelligenten HR Software zur Unterstützung bei der Umsetzung der neuen Gesetzgebung ist unverzichtbar. Mit dem richtigen Tool lassen sich personenbezogene Daten viel einfacher verwalten und pflegen. Dabei werden Dokumentations- und Rechenschaftspflichten in jeden HR-Prozess miteinbezogen. Gleichzeitig muss sich der HRler keine Gedanken mehr machen, in wie weit die Verarbeitung der Daten rechtmäßig, transparent und nach Treu und Glauben ist. Werden Mitarbeiterdaten beispielsweise in einer DSGVO-konformen digitalen Personalakte gespeichert, so müssen Personaler nicht mehr darüber nachdenken, ob die Zweckbindung oder die Daten- und Aufbewahrungsdauerbegrenzungen eingehalten werden. All das übernimmt das System ohne ein weiteres To-do für den Personaler.
3. Tipp: Datenschutzbeauftragte
Um die Umsetzung der Datenschutz-Grundverordnung sicherzustellen und zu überwachen, sieht das Gesetz vor, einen Datenschutzbeauftragten für das Unternehmen zu ernennen. Dieser kann sowohl extern als auch intern besetzt werden. Der Einsatz eines internen Datenschutzbeauftragten ist empfehlenswert, da sich dieser aufgrund des internen Know-hows fall- und prozessbezogen um die gesetzesmäßige Umsetzung kümmern kann. Zudem ist er in der Lage, interne Zusammenhänge schneller zu erfassen und Anfragen damit schneller zu beantworten. Der Datenschutzbeauftragte arbeitet aktiv mit den Aufsichtsbehörden zusammen und steht Personalern, Mitarbeitern und Führungskräften beratend zur Seite. Er übernimmt die Pflicht, das Unternehmen und alle Mitarbeiter in regelmäßigen Abständen über die datenschutzrechtlichen Pflichten und Neuerungen aufzuklären. Er ist innerhalb des Unternehmens der erste Ansprechpartner für Datenschutzfragen und führt zudem das Verarbeitungsverzeichnis, in dem alle Verarbeitungsvorgänge in Bezug auf personenbezogene Daten festgehalten werden.
EU-DSGVO als echte Chance
Auch wenn es bei vielen Unternehmen noch erheblichen Nachholbedarf in der Umsetzung der EU-DSGVO gibt, sind die Vorteile der Verordnung langfristig eine echte Chance für viele Unternehmen. Durch das europaweite einheitliche Datenschutzniveau können neue Märkte erschlossen werden. Die oft sehr unterschiedlichen Standards, die bei europaweiten Geschäftsabschlüssen erfüllt werden müssen, waren vor der neuen EU-weiten Verordnung oft ein echtes Hindernis. Zudem sorgt die Verordnung für einheitliche Wettbewerbsbedingungen.
Der Einzug der neuen EU-DSGVO gibt Unternehmen die Chance, veraltete Prozesse neu zu überdenken und zu optimieren. Zudem helfen die neuen Richtlinien dem einen oder anderen, Ordnung in das jahrelang gehegte Datenchaos zu bringen. Und wer es bis dato geschafft hat sich davor zu drücken, wird spätestens mit dem neuen Gesetz dazu verpflichtet, sich dem Thema IT-Sicherheit zu widmen. Hackerangriffe und Datenklau sind im digitalen Zeitalter zu einem echten Geschäftsmodell geworden.
Die neue Verordnung soll natürlichen Personen eine bessere Kontrolle über ihre personenbezogenen Daten ermöglichen und das europaweit. Natürliche Personen haben somit jederzeit das Recht, der Nutzung ihrer personenbezogenen Daten zu widersprechen. Aber auch der Einspruch auf Löschung und die Einschränkung der Verarbeitung der Daten kann durch das neue Gesetz leichter erhoben werden. Das Recht, Auskunft darüber zu erlangen, welche Art der personenbezogenen Daten verarbeitet werden, gilt damit zu jederzeit.
In Vorleistung zu gehen und in die Umsetzung der neuen Verordnung in Form von Personalressourcen, Arbeitszeit und Kosten für passende Tool zu investieren, mag für das ein oder andere Unternehmen erstmal abschreckend wirken. Am Ende ist es jedoch eine Investition in den langfristigen Erfolg des Unternehmens.
