kontakt@aconso.com www.aconso.com

EU-DSGVO Das müssen Personalabteilungen jetzt beachten

Whitepaper

kontakt@aconso.com www.aconso.com

Inhalt

1. Management Summary

2. Aktuelle Situation und Herausforderungen

3. Was ändert sich für HR-Abteilungen mit der DSGVO?

4. aconso-Lösungsansatz: Wie kann man die Neuerungen umsetzen?

5. In 5 Schritten DSGVO-konform

6. Fazit und Ausblick

7. Über aconso

1. Management SummaryDer Stichtag naht: Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundver-ordnung (EU-DSGVO) verbindlich für alle Mitgliedsstaaten. Wer die neuen Regelungen nicht umsetzt, muss mit hohen Strafen rechnen. Bei vielen Unternehmen herrscht daher große Verunsicherung. Doch so gravierend sind die Änderungen gar nicht. Wer schon das alte Bundesdatenschutzge-setz (BDSG) gewissenhaft angewandt hat, wird in wenigen Schritten auch DSGVO-konform.

Die wichtigsten Neuerungen für Personalabteilungen sind die Informati-onspflicht, das Recht auf Vergessenwerden, die strengere Meldepflicht und die gemeinsame Haftung von Auftraggeber und Dienstleister bei Auf-tragsdatenverarbeitungen. Geeignete HR-Software hilft dabei, die neuen Anforderungen umzusetzen. Außerdem sollten Unternehmen bei der Wahl eines Dienstleisters prüfen, ob dieser datenschutzkonform agiert. Wer die Grundlagen des Datenschutzes nach BDSG erfüllt und bei den Neuerungen entsprechend nachlegt, kann dem 25. Mai gelassen entgegensehen.

2. Aktuelle Situation und HerausforderungMit der DSGVO möchte die EU die Datenschutzrichtlinien der 28 Mitglieds-staaten vereinheitlichen, den Datenverkehr innerhalb des europäischen Binnenmarktes erleichtern und die Rechte des Einzelnen an seinen Daten stärken. Sie ist seit 25. Mai 2016 in Kraft.

Keine Panik: Wer Datenschutz bisher ernst genommen hat, für den sind zur Umsetzung der DSGVO nur noch kleine Schritte nötig.

kontakt@aconso.com www.aconso.com

3. Was ändert sich für HR-Abteilungen mit der DSGVO?Doch die Aufregung um die DSGVO ist größer, als sie eigentlich sein müsste. Schon das bisherige Bundesdatenschutz-gesetz hat den Umgang mit personenbezogenen Daten streng geregelt. Wer dies gewissenhaft umgesetzt hat, für den ändert sich mit der DSGVO gar nicht so viel. Die neue, europäische Verordnung stärkt die Rechte der Betroffe-nen und verschärft einige Bestimmungen für Unternehmen, die personenbezogene Daten verarbeiten oder verarbei-ten lassen. Die wichtigsten Neuerungen für Personaler sind:

Während einer Übergangsfrist von zwei Jahren haben Unternehmen aber Zeit, die neuen Regelungen umzusetzen. Diese Frist läuft am 25. Mai 2018 ab. Parallel dazu tritt am selben Tag eine neue Fassung des Bundesdatenschutzge-setzes in Kraft. Sie löst das alte Bundesdatenschutzgesetz ab und regelt nationale Detailfragen. So spezifiziert das BDSG (neu) die Aspekte, die in den sogenannten Öffnungsklausen der DSGVO angesprochen werden. Diese Öffnungs-klauseln ermöglichen den Ländern in ausgewählten Bereichen individuelle Regelungen zu treffen.

Die Zeit bis zum Stichtag vergeht wie im Flug. Gartner prognostiziert, dass 50 Prozent der Unternehmen die DSGVO nicht rechtzeitig umsetzen können. Mit gravierenden Folgen, denn bei Datenschutzverletzungen drohen künftig deutlich höhere Strafen. Unternehmen müssen mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes rechnen – je nachdem, welcher Betrag höher ist.

Informationspflicht und AuskunftsrechtMitarbeiter haben das Recht zu erfahren, welche Daten der Arbeitgeber über sie gespeichert hat. Sie kön-nen dies einfordern – die Personalabteilung muss dann innerhalb eines angemessenen zeitlichen Rahmens in der Lage sein, dieser Informationspflicht nachzukommen.

Recht auf VergessenwerdenUnternehmen sind dazu verpflichtet, die Daten einer Person zu löschen, wenn diese das fordert. Für ein Beschäftigungsverhältnis gelten laut Artikel 88 der DSGVO allerdings besondere Regelungen. Diese sind in Paragraph 26 des BDSG (neu) auf nationale Ebene definiert. Demnach dürfen Unternehmen Mitarbeiter-daten speichern, solange sie diese für die Begründung oder Aufrechterhaltung eines Mitarbeiterverhält-nisses oder zur Erfüllung von gesetzlichen Pflichten benötigen. Genaue Fristen werden nicht genannt und sind Auslegungssache. Eine Krankmeldung von vor 20 Jahren ist jedoch sicher nicht erforderlich, um ein Beschäftigungsverhältnis zu betreuen. HR-Abteilungen müssen daher in der Lage sein, Personalakten von solchen Daten zu bereinigen.

Gemeinsame HaftungWenn ein Unternehmen einen Dienstleister mit der Datenverarbeitung beauftragt, haften künftig beide bei einem Verstoß gegen das Datenschutzgesetz. Bisher lag die Verantwortung alleine beim Auftraggeber. Den Dienstleister sollten Unternehmen also sehr sorgfältig auswählen.

Strengere MeldepflichtKünftig müssen Unternehmen datenschutzbezogene Sicherheitsvorfälle innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Das gilt nun auch für kleine Vorfälle. Bisher waren nur gravierende Datenschutzverletzungen meldepflichtig.

kontakt@aconso.com www.aconso.com

4. aconso-Lösungsansatz: Wie kann man die Neuerungen umsetzen?Mit der richtigen HR-Software lassen sich viele der neuen Anforderungen unkompliziert umsetzen. So ermöglicht es die Digitale Personalakte zum Beispiel, die Informationspflicht schnell und einfach zu erfüllen. Mitarbeiter erhalten auf Wunsch einen Zugang zu ihrer Personalakte und können die Dokumente darin selbst einsehen. Empfehlenswert ist zudem, in einem Stammdatenblatt alle grundlegenden Daten aufzunehmen, die an die HR-Systeme übermittelt wurden. So können Personaler auf Knopfdruck anzeigen lassen, welche Daten zu einem Mitarbeiter gespeichert sind und sind damit sofort auskunftsfähig.

Eine Digitale Personalakte hilft auch dabei, dem Recht auf Vergessenwerden nachzukommen. Sie ist in der Lage, Dokumente basierend auf einer zuvor definierten Logik zu klassifizieren und Löschdaten zu setzen. Nach Ablauf der festgelegten Aufbewahrungsfrist werden die entsprechenden Dokumente dann automatisiert gelöscht.

Die strengere Meldepflicht können Unternehmen einhalten, wenn sie alle Aktivitäten im System genau protokol-lieren und eine vollständige Verfahrensdokumentation durchführen. Diese umfasst neben IT-Prozessen auch den organisatorischen Prozess.

Tipp 1 Die Grundlagen beachtenHaben Sie die Grundlagen des Datenschutzes nach altem BDSG bereits umgesetzt? Falls nicht, sollten Sie dies jetzt tun. Achten Sie auf ein differenziertes Berechtigungskonzept im System. So garantieren Sie, dass jeder nur auf die Daten zugreifen darf, die er auch wirklich für die Ausübung seiner Tätig-keit benötigt. Das System muss sekundengenau protokollieren, welche Aktionen stattfinden. Verwen-den Sie mehrere ineinandergreifende Sicherheitsmechanismen, darunter Benutzerauthentifizierung und verschlüsselte Kommunikation zwischen Server und Client. Zudem benötigen Sie eine rechts- und revisionssichere Archivierung, eine Trennung von Datenbank und Archiv sowie eine vollständige Verfahrensdokumentation, die nicht nur IT-Prozesse, sondern auch den organisatorischen Prozess beschreibt.

5. In 5 Schritten DSGVO-konformAb dem 25. Mai 2018 gelten die DSGVO und das BDSG (neu) verbindlich in Deutschland. Mit diesen fünf Tipps sind Sie auf der sicheren Seite:

Tipp 2 Die Neuerungen umsetzenPrüfen Sie, ob Sie in der Lage sind, das Recht auf Vergessenwerden, die Informationspflicht und die Meldepflicht einzuhalten. Eine gute HR-Software hilft dabei, die Anforderungen umzusetzen.

Tipp 3 Den richtigen Dienstleister auswählenMit der Unterstützung eines guten HR-Dienstleisters können Unternehmen die Herausforderungen der DSGVO in der Regel kostengünstiger und effizienter meistern als alleine. Laut Artikel 28 der DSGVO dürfen Sie nur mit einem Auftragnehmer zusammenarbeiten, der hinreichend belegen kann, dass er die Datenschutzvorschriften erfüllt und geeignete technische wie organisatorische Maßnahmen ergrif-fen hat. Aufschluss darüber geben zum Beispiel ISO-Zertifizierungen oder Security-Audits. Entschei-dend ist, dass der Auftragsverarbeiter sein Rechenzentrum in Europa hat und keine Daten in kritische Länder wie China, Russland oder in die USA übertragen werden können. Außerdem empfiehlt es sich zu prüfen, ob der Dienstleister bereits das alte Bundesdatenschutzgesetz gewissenhaft umgesetzt hat. Wichtige Kriterien dafür listet die Anlage zu Paragraph 9 des BDSG, darunter Zutrittskontrolle, Zugriffskontrolle, Weitergabekontrolle oder Verfügbarkeitskontrolle.

kontakt@aconso.com www.aconso.com

Tipp 4 Bestehende Verträge mit Dienstleistern anpassenHaben Sie bereits einen zuverlässigen, datenschutzkonformen Dienstleister, müssen Sie die bestehen-den Verträge an die DSGVO anpassen. Auch für einen Softwareanbieter, dessen System Sie On Premise einsetzen, kann künftig ein Auftragsverarbeitungsvertrag erforderlich sein, wenn dieser technischen Support leistet.

Tipp 5 Datenschutz auf Management-Ebene ansiedeln

6. Fazit und AusblickDie Aufregung um die DSGVO ist größer, als sie sein müsste. Denn wer bereits mit dem alten Bundesdatenschutz-gesetz konform war, hat den Großteil schon erfüllt und muss nur noch in wenigen Bereichen nachlegen. Dabei hilft geeignete HR-Software. Unternehmen sollten die DSGVO nicht nur als lästige Pflicht, sondern auch als Chance auffassen. Durch die einheitliche Regelung in der EU wird es künftig viel einfacher, länderübergreifend in Europa zusammenzuarbeiten. Europäische Dienstleister, die die DSGVO bereits umsetzen, haben hier natürlich einen Vor-sprung vor anderen Anbietern. So stärkt die DSGVO den europäischen Wirtschaftsraum.

2019 soll zudem die EU ePrivacy-Verordnung in Kraft treten. Sie regelt den Schutz von personenbezogenen Daten bei der elektronischen Kommunikation, vor allem im Internet. Derzeit diskutieren die Mitgliedsstaaten noch über Details. Datenschutz wird für europäische Unternehmen also auch nach der Umsetzung der DSGVO ein heißes Thema bleiben.

Das Thema Datenschutz muss auf C-Level-Ebene im Unternehmen angesiedelt sein. Haben Sie dort noch keinen Datenschutzverantwortlichen eingesetzt, sollten Sie es jetzt tun. In größeren Unterneh-men lohnt es sich dazu die Rolle eines Chief Information Security Officer zu schaffen.

Dr. Martin Grentzer | Finanzvorstand (CFO) der aconso AG und einer der Unternehmensgründer

Er hat langjährige Erfahrung im Personalwesen, unter anderem durch seine Tätigkeit bei der Siemens AG und der damaligen Osram GmbH. Der Experte für Prozess-optimierung und Datenschutz im HR-Bereich befasste sich bereits 1999 im Rahmen seiner Promotion mit dem Thema „Elektronische Personalakte“. Aufgrund dieser Expertise ist er renommierter Referent zu den Trendthemen HR-Dokumentenmanagement, Daten-schutz und Projektmanagement.

Autor

kontakt@aconso.com www.aconso.com

aconso AGTheresienhöhe 2880339 MünchenDeutschlandTel.: +49 89 516186-0

aconso AGDetmolder Straße 23533605 BielefeldDeutschlandTel.: +49 521 520568-0

Kontakt

Claudia Klimas

Sales- und Partnermanagement

Tel.: +49 89 516186-0

kontakt@aconso.com

www.aconso.com

7. Über aconsoHR-Prozesse im Unternehmen managen und vereinfachen: Das ist das Credo der aconso AG. Über 400 Kunden haben bereits durch die Digitalisierung mit aconso ihre Effizienz, Schnelligkeit und Transparenz ihrer HR-Prozesse erhöht.

Die Lösungen:

aconso nubea: Pure Cloud Services

Digitales Prozessmanagement: Onboarding, Vertragserstellung, Mutterschutz u.a.

Automatisierte Zeugniserstellung

Dokumentenmanagement und Archivierung in der Digitalen Personalakte

Dokumentenaustausch mit Mitarbeitern über die Jedermann-Akte

Scan-Services zur Posteingangsbearbeitung oder on Demand

Ob in der Cloud oder on Premise, ob in SAP, SuccessFactors oder in anderen HCM-Systemen: Dem Kunden steht ein Rundum-Service aus einer Hand vom Papierhandling über das Scanning und den digitalen Prozess bis hin zur Archi-vierung in der Digitalen Personalakte zur Verfügung. Die Tochtergesellschaft aconso Services bietet Unternehmen eine einfache Erfassung von Dokumenten rund um Logistik, Scanning, Einlagerung, Vernichtung oder Rückversen-dung an.

Dabei geht aconso eine langfristige Partnerschaft mit seinen Premium-Kunden ein: Viele DAX- und MDAX-Unterneh-men wie die Lufthansa, Siemens, Deutsche Bahn, MAN, Rossmann, Nestlé und zahlreiche andere vertrauen aconso ebenso wie Kunden aus dem Mittelstand wie z. B. Kärcher, Sick, Welser Profile oder Winkler.