DSGVO : Weg mit dem Papier!
Im Arbeitsalltag können nämlich diskrete Dokumente sehr einfach in die Hände von unzuständigen Mitarbeitern gelangen. Das wiederum kann ab dem 25. Mai zu enormen Geldstrafen führen. Mit großer Skepsis erwarten Unternehmer die neue EU-Datenschutzgrundverordnung, die in weniger als zwei Monaten in Kraft treten wird.
Eines ist klar: Es gibt weitaus mehr Fragen als Antworten. Und zwar nicht nur bei Unternehmern, sondern auch unter Experten und Juristen. So ist auch Rechtsanwalt Knyrim derzeit von einer Firma zur anderen unterwegs, um Unklarheiten zu klären. „Die Unternehmen haben eine Rechenschaftspflicht. Sie müssen daher der Behörde belegen können, dass sie die Grundprinzipien Datenverarbeitung, Zweckbindung, Datenminimierung und Datenlöschung einhalten.“ Ansonsten drohen Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahres-Konzernumsatzes. Nicht zuletzt deshalb laufen die Vorbereitungen auf die EU-Datenschutzgrundverordnung (EU-DSGVO) und ihre verschärften Bestimmungen zum Schutz personen- bezogener Daten in vielen Unternehmen auf Hochtouren.
Mit den Dienstjahren wächst auch der Dokumentenstapel der Mitarbeiter. So liegen Personalakte wie Dienstzeugnisse, Ausbildungsbestätigungen, Ergebnisse von Mitarbeitergesprächen, Privatadresse, Mobiltelefonnummer, Sozialversicherungsnummer und auch Krankheitsmeldungen jahrelang im Unternehmen. Diese gespeicherten Daten sind aber hochsensibel und die Zugriffsrechte auf diese Daten müssen sehr restriktiv gestaltet werden.
Die EU-DSGVO verlangt, dass personenbezogene Daten nur zweckgebunden und in möglichst beschränktem Umfang verarbeitet werden dürfen. Somit darf die Buchhaltung etwa nur auf die notwendigen Daten zugreifen, wenn sie die Gehälter auszahlt. Ein für die Weiterbildung zuständiger Mitarbeiter der HR-Abteilung wird auf vorhandene Zertifikate, absolvierte Schulungen und Schulungswünsche Einsicht benötigen – aber nicht auf Lohnzettel. All diese Erfordernisse komplizieren die Handhabung per Papier.
„Besonders die Umsetzung der unterschiedlichen Aufbewahrungsdauern in der Personalakte ist eine diffizile Aufgabe. Wenn man kein entsprechendes Softwareprodukt hat, welches diese Funktionalität bieten kann, bleibt einem nur die regelmäßige händische Löschung der Daten, um datenschutzkonform zu sein“, ist sich Knyrim sicher. Eine digitale Lösung bietet unter anderem die Firma Fabasoft. „Viele HR- Softwarelösungen lassen außer Acht, dass in Lebensläufen auch die Adresse steht. Unsere Software löscht auch die versteckten Informationen automatisch“, sagt Fabasoft-Produktmanager Hasan Cakmak.
So machen Sie Ihre CMR-Systeme DSVGO-fit
1. Audit der personenbezogenen Daten: Identifikation aller Systeme und Prozesse in der gesamten Organisation, um festzustellen, welche personenbezogenen Daten erfasst, gespeichert und genutzt werden.
2. Audit der automatisierten Profilerstellung: Identifizieren Sie alle Systeme, die automatisiert personenbezogene Daten verwenden, um ein Modell zur Ergebnisprognose, Kategorisierung oder für automatische Maßnahmen zu erstellen.
3. Spezifische Identifikation je nach betroffener Personen: Eine Liste aller betroffenen Personen anfertigen, die von einem bestimmten System oder Prozess betroffen sind. Daraus muss kein riesiges, jahrelanges IT-Projekt erwachsen. Es reicht, wenn das einmal gemacht wird, entweder intern oder auch extern mit Hilfe bestehender Tools.
4. Einholen der Zustimmung: Einholung der Erlaubnis für die Erfassung und Verarbeitung der Daten.
5. Erfüllung von Anfragen durch betroffene Personen: Nun benötigen Sie einen Prozess, um die jeweiligen Anfragen zu erfassen, die erforderlichen Informationen zu konsolidieren und bei Bedarf entsprechende Maßnahmen zu ergreifen und eine Bestätigung für die betroffene Person zu erstellen.
6. Interne Prozesse: Ebenso müssen Sie bestimmte interne Prozesse etablieren und bei Bedarf ausführen, entweder manuell für einzelne betroffene Personen oder automatisch für Gruppen von betroffenen Personen.