Der Countdown läuft: In einem Jahr müssen alle Mitgliedsstaaten der Europäischen Union die seit Mai 2016 in Kraft getretene EU-Datenschutzgrundverordnung anwenden. Mit der neuen Regelung soll das Datenschutzrecht auf europäischer Ebene harmonisiert werden, um so dem Einzelnen mehr Kontrolle über seine eigenen Daten zu geben. Aber ab wann genau wird es ernst, was ändert sich, was bedeutet das für die HR-Arbeit und welche Strafen drohen bei verstößen? Thorsten Jordan, Geschäftsführer und Datenschutzberater bei ENSECUR und Steffen Michel, Geschäftsführer von MHM HR, fassen die wichtigsten Punkte der neuen Regelung für Personalabteilungen zusammen.
„Im Recruitingprozess jonglieren Personaler mit sensiblen personenbezogenen Daten. Der Datenschutz sollte für sie daher oberste Priorität haben – zumal bei Verfehlungen bald höhere Bußgelder drohen. Noch gilt in Deutschland das Bundesdatenschutzgesetz. Aber bereits in einem Jahr tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) an seine Stelle. Es wird also höchste Zeit für HR-Manager, sich mit den neuen Bestimmungen vertraut zu machen“, rät Jordan.
Ab wann gelten die neuen Bestimmungen?
Am 25. Mai 2018 löst die neue EU-DSGVO das bisher gültige Bundesdatenschutzgesetz ab. In Kraft getreten ist sie zwar schon im Mai 2016, den Mitgliedsstaaten bleibt jedoch eine Zwei-Jahres-Frist, die Anforderungen der EU-DSGVO und die nationalen Besonderheiten durch Öffnungsklauseln zu regeln. Damit haben auch Unternehmen ab jetzt noch zwölf Monate, um sich auf die neuen Bestimmungen vorzubereiten.
Was sind „Öffnungsklauseln“?
Die sogenannten „Öffnungsklauseln“ gibt es in zahlreichen Artikeln der Grundverordnung. Sie legen fest, dass EU-Mitgliedsstaaten bestimmte Vorgaben im Detail noch genauer regeln können. Ein Beispiel: Derzeit müssen Unternehmen in Deutschland, in denen mehr als neun Mitarbeiter personenbezogene Daten automatisiert verarbeiten, einen Datenschutzbeauftragten bestellen. In der neuen Grundverordnung hingegen taucht die Funktion des Datenschutzbeauftragten zwar auf, doch eine genaue Personengrenze gibt es nicht. Diese können Mitgliedsstaaten dann über eine zusätzliche nationale Norm präzisieren. Der Gesetzesentwurf für die Konkretisierungen dieser Öffnungsklauseln in Deutschland liegt zwischenzeitlich vor und soll noch in dieser Legislaturperiode verabschiedet werden.
Was ist neu?
Neu ist vor allem, die gemeinsame Haftungsregel. Im jetzt noch gültigen Bundesdatenschutzgesetz haftet bei einer Auftragsdatenverarbeitung immer der Auftraggeber. Ab Mai 2018 gilt jedoch verbindlich eine gemeinsame Haftungsregelung – also sowohl Auftraggeber als auch Dienstleister werden bei datenschutzrechtlichen Verfehlungen belangt. Das bedeutet für beide Parteien: Augen auf bei der Partnerwahl – denn gleichzeitig wird auch die Bußgeldobergrenze von bisher 300.000 Euro angehoben. Zukünftig drohen Unternehmen damit Strafzahlungen von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes, je nachdem welcher Betrag höher ist.
Was bedeutet das für HR?
Im Personalwesen geht es fast immer um besonders schützenswerte, personenbezogene Daten. Im Hinblick auf die zukünftige gemeinsame Haftung sollten Dienstleister und Unternehmen spätestens jetzt beginnen, entsprechende Vorkehrungen zu treffen. Lagert ein Unternehmen sensible Bewerberdaten zur Verarbeitung an einen Dienstleister aus, muss es sich im Vorfeld davon überzeugen, dass diese dort genauso sicher sind wie im eigenen Unternehmen.
„Am besten ist es, den Dienstleister direkt am Telefon nach einem Nachweis für die getroffenen technisch-organisatorischen Datenschutz-Maßnahmen und einer Vorlage für eine Vereinbarung zur Auftragsdatenverarbeitung zu fragen. Ist der Dienstleister auf diese Frage vorbereitet und stellt die entsprechenden Dokumente schnell und unkompliziert zur Verfügung, ist er mit hoher Wahrscheinlichkeit vertrauenswürdig“, erklärt Steffen Michel.
Halten die Dokumente dann auch der Prüfung des Datenschutzbeauftragten stand und werden eventuell noch durch Datenschutz-Zertifikate von externen Stellen ergänzt, ist das eine gute Basis für eine langfristige Zusammenarbeit. Zeigt sich der Dienstleister hingegen von der Frage überrumpelt, sollte man eher von der Auftragsvergabe absehen.
„Im Recruitingprozess jonglieren Personaler mit sensiblen personenbezogenen Daten. Der Datenschutz sollte für sie daher oberste Priorität haben – zumal bei Verfehlungen bald höhere Bußgelder drohen. Noch gilt in Deutschland das Bundesdatenschutzgesetz. Aber bereits in einem Jahr tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) an seine Stelle. Es wird also höchste Zeit für HR-Manager, sich mit den neuen Bestimmungen vertraut zu machen“, rät Jordan.
Ab wann gelten die neuen Bestimmungen?
Am 25. Mai 2018 löst die neue EU-DSGVO das bisher gültige Bundesdatenschutzgesetz ab. In Kraft getreten ist sie zwar schon im Mai 2016, den Mitgliedsstaaten bleibt jedoch eine Zwei-Jahres-Frist, die Anforderungen der EU-DSGVO und die nationalen Besonderheiten durch Öffnungsklauseln zu regeln. Damit haben auch Unternehmen ab jetzt noch zwölf Monate, um sich auf die neuen Bestimmungen vorzubereiten.
Was sind „Öffnungsklauseln“?
Die sogenannten „Öffnungsklauseln“ gibt es in zahlreichen Artikeln der Grundverordnung. Sie legen fest, dass EU-Mitgliedsstaaten bestimmte Vorgaben im Detail noch genauer regeln können. Ein Beispiel: Derzeit müssen Unternehmen in Deutschland, in denen mehr als neun Mitarbeiter personenbezogene Daten automatisiert verarbeiten, einen Datenschutzbeauftragten bestellen. In der neuen Grundverordnung hingegen taucht die Funktion des Datenschutzbeauftragten zwar auf, doch eine genaue Personengrenze gibt es nicht. Diese können Mitgliedsstaaten dann über eine zusätzliche nationale Norm präzisieren. Der Gesetzesentwurf für die Konkretisierungen dieser Öffnungsklauseln in Deutschland liegt zwischenzeitlich vor und soll noch in dieser Legislaturperiode verabschiedet werden.
Was ist neu?
Neu ist vor allem, die gemeinsame Haftungsregel. Im jetzt noch gültigen Bundesdatenschutzgesetz haftet bei einer Auftragsdatenverarbeitung immer der Auftraggeber. Ab Mai 2018 gilt jedoch verbindlich eine gemeinsame Haftungsregelung – also sowohl Auftraggeber als auch Dienstleister werden bei datenschutzrechtlichen Verfehlungen belangt. Das bedeutet für beide Parteien: Augen auf bei der Partnerwahl – denn gleichzeitig wird auch die Bußgeldobergrenze von bisher 300.000 Euro angehoben. Zukünftig drohen Unternehmen damit Strafzahlungen von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes, je nachdem welcher Betrag höher ist.
Was bedeutet das für HR?
Im Personalwesen geht es fast immer um besonders schützenswerte, personenbezogene Daten. Im Hinblick auf die zukünftige gemeinsame Haftung sollten Dienstleister und Unternehmen spätestens jetzt beginnen, entsprechende Vorkehrungen zu treffen. Lagert ein Unternehmen sensible Bewerberdaten zur Verarbeitung an einen Dienstleister aus, muss es sich im Vorfeld davon überzeugen, dass diese dort genauso sicher sind wie im eigenen Unternehmen.
„Am besten ist es, den Dienstleister direkt am Telefon nach einem Nachweis für die getroffenen technisch-organisatorischen Datenschutz-Maßnahmen und einer Vorlage für eine Vereinbarung zur Auftragsdatenverarbeitung zu fragen. Ist der Dienstleister auf diese Frage vorbereitet und stellt die entsprechenden Dokumente schnell und unkompliziert zur Verfügung, ist er mit hoher Wahrscheinlichkeit vertrauenswürdig“, erklärt Steffen Michel.
Halten die Dokumente dann auch der Prüfung des Datenschutzbeauftragten stand und werden eventuell noch durch Datenschutz-Zertifikate von externen Stellen ergänzt, ist das eine gute Basis für eine langfristige Zusammenarbeit. Zeigt sich der Dienstleister hingegen von der Frage überrumpelt, sollte man eher von der Auftragsvergabe absehen.
