Die EU-Datenschutz-Grundverordnung (DSGVO / GDPR) wird nationales Datenschutzrecht zum 25. Mai 2018 fast vollständig ersetzen.Es gibt einige zentrale Neuerungen, auf die Unternehmen besonderes Augenmerk legen sollten:
- Fließen geschützte Daten durch eine Datenpanne ab, müssen Betroffene und Aufsichtsbehörden innerhalb von 72 Stunden benachrichtigt werden, sofern die Daten nicht verschlüsselt oder pseudonymisiert waren.
- Es gelten strengere Anforderungen an die Zustimmung durch einen Mitarbeiter oder Bewerber zur Speicherung ihrer personenbezogener Daten.
- Bewerber und Mitarbeiter erhalten mehr Auskunftsrechte. Die Abteilung, die Daten verarbeitet muss zu jeder Datenverarbeitung alle beteiligten Stellen (Personen und Systeme) samt jeweiligem Datenschutzbeauftragten angeben können.
- Natürliche Personen haben ein Recht auf Datenportabilität, wenn Daten von einem Unternehmen auf ein anderes übertragen werden sollen.
- Natürliche Personen haben ein Recht auf Löschung („Recht auf Vergessenwerden“).
Personenbezogene Daten sind nicht nur Mitarbeiterdaten, sondern auch Kundendaten!
Um diesen neuen Complianceanforderungen gerecht zu werden, ist eine umfassende Bestandsaufnahme zu erstellen (Verfahrensverzeichnis). Diese dokumentiert in welchen Systemen welche Personendaten von der Bewerbung bis zum Ausscheiden eines Mitarbeiters erfasst und gespeichert werden. Des Weiteren muss dokumentiert werden, wie die Zugriffsberechtigungen aussehen, welche Löschfristen umgesetzt (unter Beachtung der kaufmännischen Aufbewahrungsfristen) wurden und welche Sicherungsmaßnahmen zum Datenverlust umgesetzt sind. Wichtig ist eine Risikofolgeabschätzung.Diese Maßnahmen sind schriftlich zu dokumentieren und regelmäßig zu auditieren.
Viele Softwarehersteller bieten hierfür Einzelkomponenten an, die aber kein komplettes Verfahrensverzeichnis auf Knopfdruck bieten. Hier ist noch manueller Aufwand einzuplanen – aber innerhalb der nächsten 12 Monate sollte das realistisch umsetzbar sein.
#HR40 #DSGVO #GDPR #Compliance
