“ Sehr geehrte Frau Hencke,
die Datenschutzgrundverordnung (DSGVO), die den Datenschutz in der gesamten Europäischen Union ab 25. Mai 2018 verbindlich regeln wird, wirft ihre Schatten voraus.
Oftmals sind es Sie als Personaler bzw. HR-Manager, der sich um dieses Themengebiet kümmert bzw. kümmern muss. Die Anforderungen sind vielfältig. Allerdings auch die Abhängigkeiten.
Treffen Sie jetzt die richtigen Maßnahmen bevor es zu spät ist und setzen Sie sich rechtzeitig mit den geänderten Vorgaben auseinander.“
Mit solchen „wohlgemeinten“ E-Mails und Briefen werde ich seit Wochen bombardiert, mit zunehmender Schlagzahl. Und obwohl ich mich nun seit etlichen Wochen mit DSGVO und ihren Folgen beschäftige, beunruhigen die Aufforderungen, nun endlich aus dem Quark zu kommen, sprich, endlich ein fertiges „Datenschutzkonzept“ in der Schublade zu haben, mich zunehmend. Und ich glaube, umso tiefer ich einsteige, desto weniger kapiere ich! Wie in einem Strudel, der einen immer tiefer zieht, umso mehr man gegen den Sog ankämpft. Der 25.Mai rückt immer näher!! Ein Alptraum, wenn bis dahin nicht alle Verzeichnisse ausgefüllt, Cookiehinweise gesetzt und Risikoanalysen durchgeführt wurden!!
So wird es uns zumindest aus allen Ecken und Enden suggeriert. Verstärkt durch dem über uns schwebenden „möglichen Strafrahmen mit einer maximalen Geldbuße bis zu 20 Millionen Euro“.
Es gab wirklich einige Nächte, in denen ich keine Ruhe mehr fand, weil ich Angst hatte, für diesen Schaden verantwortlich zu sein, nur weil ich zu blöd bin, den ganzen Wust zu verstehen.
Inzwischen weiß ich, selbst große Datenverarbeiter sind nicht ausreichend vorbereitet und können bisher (noch) keinen Datenverarbeitungsvertrag zur Verfügung stellen. Auch steigt die allgemeine Aufregung, weil nur wenige (Anwälte, die sich das teuer bezahlen lassen), was eigentlich wirklich durchschauen, welche Änderungen die neue Verordnung wirklich mit sich bringt. Es scheint hier noch viel am „Anrollen“ zu sein, nicht nur bei den „Kleinen“. Es wird also wieder einmal nicht alles so heiß gegessen, wie es gekocht wird.
Also 3 x tief durchatmen und genau hinschauen.
Fakt ist: jedes Unternehmen, auch KMU, bis hin zum Freiberufler müssen ab dem 25. Mai nachweisen können, dass es/ er ein Datenschutzkonzept hat. Daran lässt sich wohl auch nicht mehr rütteln.
Vor allem digitale Daten müssen Personaler in Zukunft noch strenger schützen
Warum ist die DGSVO für Personalverantwortliche wichtig?
Frage ist, was die Personalverantwortlichen damit zu tun haben.
Datenschutz wurde schon immer und wird im Rahmen der DSGVO verstärkt auf HR übertragen. Denn die Personalabteilung ist der erste Kontaktpunkt für Mitarbeiter und deren sensible Daten. Datenschutz war hier schon immer ein wichtiger Begleiter.
Meiner Ansicht nach gewinnt das Thema allerdings durch die neue Verordnung an Relevanz und auch an Risiko. Denn nun geht es um konkrete, detaillierte Vorgaben, deren Nichteinhalten eben zu empfindlichen Strafen führen kann. Deshalb solltest Du Dich als Personalerin genau fragen, inwieweit Du für die Umsetzung aller Maßnahmen verantwortlich sein kannst/ willst.
6 Aufgaben rund um die DSGVO für Personalmanager in KMU
1. Wenn Du keine / wenig Ahnung von Datenschutz hast und Dir diese Kenntnisse auch nicht aneignen möchtest, bestehe auf die Bestellung eines (externen) Datenschutzbeauftragen, der im Zweifelsfall auch haftet, wenn es zu Abmahnungen kommt. Lass Dir diese Verantwortung nicht gegen Deinen Willen aufdrücken!
2. Ein externer Dienstleister wird die Verordnung sehr genau kennen und dem Unternehmen die entsprechenden Maßnahmen darlegen, geeignete Formulare zur Verfügung stellen und ein Schritt-für-Schritt-Programm durchführen können. Lass Dich hier durch die Prozesse, die auf Dich zukommen, hindurchführen.
3. Dokumentation ist alles. Lege alles, was ihr an Daten sammelt, verarbeitet und löscht, schriftlich nieder, damit Du nachweisen kannst, welche Daten Du wie verarbeitet hast und ggf. auch die Betroffenen (Mitarbeiter, Bewerber, Ex-Mitarbeiter) informieren kannst.
4. Bei jedem Vorgang, bei dem Du in den nächsten Wochen mit personalisierten Daten in Kontakt kommst, solltest Du Dir klar sein, ob die Betreffenden darüber informiert werden müssen bzw. wurden, dass ihre Daten verarbeitet werden bzw. ob im Unternehmen der Prozess der Verarbeitung auch klar dargelegt wurde.
5. Wenn Du Dir unsicher bist, versichere Dich lieber einmal zu viel, als einmal zu wenig, ob alle Prozesse in Deinem Arbeitsbereich ausreichend umgesetzt sind.
6. Lösche alle Daten aus Deinen Accounts und persönlichen Ordnern, die keinem aktuellen Zweck mehr dienen bzw. keiner Aufbewahrungspflicht unterliegen.
Hinweis : Diese Checkliste erhebt natürlich keinen Anspruch auf Vollständigkeit, Aktualität und juristischer Überprüfbarkeit. Sie ist als Anregung gemeint, gespeist aus meinen eigenen Erfahrungen und dient einer sehr allgemeinen Information.
Ich weiß, ich bin nicht alleine – nicht nur ich drohe in der allgemeinen DSGVO-Hysterie zu ertrinken.
Wie geht es Dir mit dem Thema und was meinst Du zu den vielen Vorschriften, die jetzt umgesetzt werden müssen??
Kommentiere gerne hier oder schreibe mir unter susanne.hencke@hrkreativ.com