Wie ziehen Bilanz und geben Ihnen Tipps

Vor etwas mehr als einem Jahr ist die DSGVO (Datenschutzgrundverordnung) in Kraft getreten – wie sieht die Umsetzung in der Praxis aus? Aus den Erfahrungen mit Kunden haben wir Ihnen Tipps zu Daten bereinigen und Daten löschen zusammengestellt. Sie erfahren auch, worauf Sie als Personalabteilung speziell achten müssen. Denn ständig entstehen neue Anwendungen und Daten – insofern hört Datenschutz nie auf.

Wie gut kennen Sie Ihre HR-Datenbank?

Auch wenn diese Frage aufs erste überraschend scheint, sie ist nicht unberechtigt: Denn wissen Sie noch, was Sie oder Ihre Vorgänger vor 10 Jahren alles abgespeichert haben? Firmenfusionen bringen beispielweise einen Schwung an Daten, die dann irgendwo liegenbleiben. Speichermedien sind immer billiger geworden, so gab es keinen Grund mehr, regelmäßig zu löschen. Bei Kunden haben wir u.a. alte Lebensläufe von Bewerbern gefunden und diese bieten ein aussagekräftiges Bild über eine Person mit Daten wie Name, frühere Arbeitsplätze oder Interessen.
Damit Ihre HR-Datenbank transparent und DSGVO-konform wird und damit sie auch so bleibt, sind drei Schritte erforderlich.

Schritt 1: Datenbank durchforsten
Diese Aufgabe über das Anwenderprogramm zu lösen kann mühsam werden, außerdem besteht die Gefahr, dass Sie nicht alle Daten auf diese Weise „sehen“ können,
Das Durchforsten muss bei solchen Mengen automatisiert erfolgen, d.h. Ihr HR-Software-Anbieter sollte dies ermöglichen. Sage bietet darüber hinaus den Kunden ein umfassendes Datenschutz-Consulting, sowohl bezogen auf HR-Daten, als auch, wenn gewünscht, auf die gesamten Unternehmensdaten. Die technische Beratung machen die Experten von Sage, die rechtliche Beratung kommt vom Partner Deloitte – so ist Ihr Unternehmen in allen Belangen abgesichert.

Schritt 2: Daten löschen
Wir haben eingangs von billigen Speichermedien gesprochen und es ist auch bekannt, dass die Österreicher gerne sammeln, von Kleidungsstücken eben bis zu Daten. Jetzt aber gibt es einen triftigen Grund, Daten zu löschen, denn die DSGVO denkt ganz anders: Daten sind grundsätzlich nicht zu speichern, außer es besteht eine rechtliche Basis oder ein großes wirtschaftliches Interesse.
Wenn die Datenbank durchforstet ist, müssen im nächsten Schritt alle Daten, die nicht mehr aufbewahrt werden dürfen, nachweislich gelöscht werden. Sage bietet eine maßgeschneiderte Datenbankbereinigung inklusive Dokumentation für die DSB (Datenschutzbehörde): Wer hat wann, was gelöscht und wer ist der Verantwortliche. Aber Achtung, es gibt auch Ausnahmen, wo Mitarbeiterdaten nicht gelöscht werden dürfen.

Schritt 3: Weitermachen
Mit der einmaligen Bereinigung ist es nicht getan. Sie benötigen nun ein Konzept um sicherzustellen, dass Daten weiterhin DSGVO-konform gehandhabt werden. Nehmen wir als Beispiel den Austritt eines Dienstnehmers. Dessen steuerlich relevante Daten – die noch 7 Jahre aufzubewahren sind – machen meist weniger als die Hälfte des Datenvolumens aus, der Rest betrifft das Personalmanagement wie Mitarbeitergespräche, Schulungen aber auch die Schuhgröße, wenn Arbeitskleidung angeschafft wurde. Diese Daten müssen sobald wie möglich nach dem Austritt eines Mitarbeiters gelöscht werden.
Sage DPW ist dabei Programme zu erstellen, welche diese Funktionalität abdecken, also eine kundenindividuelle Verwaltung auf Tabellenebene ermöglichen.

Kundensupport & Datentransfer: ein heikles Thema

Die Zeiten sind vorbei, in denen sensible Personaldaten per Email an die Support-Mitarbeiter geschickt werden. Das kann Übel enden, wenn etwa Empfänger verwechselt werden.
Bei Sage DPW sind die Support-Mitarbeiter angewiesen, solche Mails sofort löschen.
Stattdessen bieten wir DSGVO-konform einen sog. Daten-Safe an. Im Zuge des Support-Tickets erhält der Kunde den Zugang und kann seine Daten „gesichert“ hochladen. Nach erfolgreicher Bearbeitung werden diese automatisch und nachweislich gelöscht.
Natürlich muss für diesen Prozess im Kunden-Support eine Auftragsverarbeitungsvereinbarung (AVV) zwischen dem Kunden und Sage abgeschlossen sein. Sage stellt hierfür eine Vorlage zur Verfügung, welche alle Prozesse im Kunden-Support berücksichtigt.
Auch für das „Teleconsulting“ gelten ganz klare Regeln, was viele nicht wissen, schon die Einsichtnahme in Personen-Daten stellt für die DSGVO eine Datenverarbeitung dar.

Verfahrensverzeichnisse

Früher mussten neue Applikationen der Datenschutzbehörde gemeldet werden (Registrierung). In der DSGVO ist das nicht mehr notwendig, aber alle Applikationen, welche Personen-Daten verarbeiten, müssen in einem sogenannten „Verfahrensverzeichnis“ genau dokumentiert werden. Neben Zweck der Verarbeitung, Beschreibung der Daten und Speicherort, muss bekanntgeben werden wer auf diese Daten einen Zugriff hat und welche Empfänger diese Daten erhalten. In der heutigen Zeit, wo es eine Vielzahl von Schnittstellen gibt, ist dies ein heikles Thema. Oft existieren zentrale Konzern-Personaldaten, welche in der Löschregeln mitberücksichtigt werden müssen.
Meist ist auch eine Datenschutz-Folgenabschätzung notwendig (DSGVO/Art. 35), als Nachweis, dass sie die Auswirkungen der neuen Applikation analysiert haben.
Vergessen Sie nie den Betriebsrat in dieses Thema einzubeziehen, meist muss eine Betriebsvereinbarung dazu abgeschlossen werden.
Auch die Datensicherheit muss beschrieben und nachgewiesen werden. Eine unternehmensinterne IT-Policy ist sehr hilfreich, damit die Mitarbeiter grundsätzlich über die Spielregeln im Unternehmen den Datenschutz betreffend informiert werden. Ein – „das habe ich nicht gewusst“ schützt nicht vor Strafen. Eine Schulung der Mitarbeiter zu diesen Themen ist hier angebracht.

Jeder muss seine Hausaufgaben machen

Am Ende sollte jedes Unternehmen, seine Prozesse in Bezug auf den Datenschutz dokumentiert haben, Datenlöschungen sollten nicht zufällig passieren, sondern in einem Konzept klar definiert sein. So sollte ein Datenschutzvorfall keine Panik auslösen, sondern nach dem definierten Prozess step-by-step abgearbeitet werden.

Sage hat sich frühzeitig mit der DSGVO befasst und dieses Wissen geben wir – gemeinsam mit dem Partner Deloitte – an unsere Kunden weiter. Wenn Sie sich im Detail informieren wollen, laden wir Sie ein, an unserem Webinar 1 Jahr DSGVO – Quo Vadis Datenschutz am 22. August teilzunehmen.

Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

21. Jänner 2019 GPLA-Prophylaxe

In den letzten Jahren hat die GPLA – die Gemeinsame Prüfung aller Lohnabhängigen Abgaben – an Brisanz gewonnen. Das liegt zum einen an den sich stetig ändernden Gesetzen, d.h. für Unternehmen wird es schwieriger, immer am neuesten Wissensstand zu sein. Zum anderen ist merkbar, dass Abgabenbehörden im Zuge von Prüfungen, sowie Höchstgerichte in der Judikatur eine strengere Linie fahren. Klassisches Beispiel ist die Frage der Scheinselbständigkeit: Entspricht die Tätigkeit einem Werkvertrag oder einem klassischen Dienstvertrag? Fehlbeurteilungen in der Personalverrechnung oder unerkannte Fehler können zu empfindlich hohen Nachzahlungen führen. Die Strafen können sogar existenzbedrohend werden, denn speziell bei Lohndumping beginnen diese ab EUR 1.000 pro Mitarbeiter.

29. Mai 2019 Home Office im Arbeitsrecht

Home Office (manchmal auch „Telearbeit“ genannt) ist in Österreich gesetzlich nicht geregelt und wirft daher in der Praxis zahlreiche Fragen auf.

13. Dezember 2018 People Science unterstützt die Bindung der Mitarbeiter ans Unternehmen

Eigentlich weiß es jeder Personaler: Es ist weitaus erfolgreicher und effizienter, einen Mitarbeiter zu halten, als einen neuen zu finden. Doch trotz des steigenden Mangels an Fachkräften wird wenig getan, um die besten Köpfe ans Unternehmen zu binden. Als Grund nennen HR-Verantwortliche das fehlende Wissen, was jeder Mitarbeiter konkret braucht. Dies ermöglicht People Science – hier erfahren Sie, worum es dabei geht.