DSGVO – in unter 100 Tagen wird’s ernst (Teil 1)

DSGVO – in unter 100 Tagen wird’s ernst

Interner oder externer Datenschutzbeauftragter?

Mittlerweile kann das Thema Datenschutzgrundverordnung (DSGVO) an niemandem mehr vorüber gegangen sein. Möglicherweise befindet sich jedoch der ein oder andere von Ihnen noch in einer Schockstarre. In diesem Fall gilt: Werden Sie so schnell wie möglich aktiv! Am Anfang steht der Datenschutzbeauftragte. Gibt es bereits einen internen Datenschutzbeauftragten in Ihrem Unternehmen oder arbeiten Sie mit einem externen zusammen?

In Deutschland gab es das Konzept des Datenschutzbeauftragten schon immer, von daher haben andere EU-Länder mit der Umsetzung der neuen Verordnung mehr Probleme. Da aber auch hierzulande der Datenschutz immer noch von einigen Unternehmen vernachlässigt wird, beginnen wir nun eine Infoserie zur DSGVO, speziell für den Bereich der Personalbeschaffung.

In diesem ersten einführenden Artikel geht es um den Datenschutzbeauftragten und was er nun und künftig zu tun hat, um die DSGVO korrekt umzusetzen. Die kommenden Artikel werden jeweils einzelne, konkrete Fragen und Probleme aus der Praxis aufgreifen und beantworten.

Paragraph

Wer braucht überhaupt einen Datenschutzbeauftragten?

Der Hauptgrund für die Ernennung eines Datenschutzbeauftragten für Personaldienstleister (und alle, die Nutzer- oder Bewerberdaten verarbeiten) ist:

„… wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.“ (Artikel 37 der DSGVO; in Deutschland wird dieser Artikel ergänzt und damit verschärft durch Paragraph 38 BDSG neu)

Falls Sie jetzt mit dem Gedanken spielen, dass der Geschäftsführer selber der Datenschutzbeauftragte sein könnte … – nein, kann er nicht. Der Geschäftsführer darf nicht der Datenschutzbeauftragte sein. Warum? Weil er frei von Interessenkonflikten sein muss. Die im Folgenden in den einzelnen Phasen aufgeführten Aufgaben könnten zu einem Interessenkonflikt führen.

Paragraph

Um die DSGVO korrekt umzusetzen, durchläuft ein Unternehmen 3 Phasen

  1. Phase: Vorbereitung
  2. Phase: Umsetzung
  3. Phase: laufende Tätigkeiten

Paragraph

Die Vorbereitungs-Phase

  1. Der Datenschutzbeauftragte informiert die Geschäftsführung und bildet dort das notwendige Bewusstsein für die Thematik aus.
  2. Der Datenschutzbeauftragte muss eine verbindliche Vereinbarung zwischen allen Beteiligten einholen und das Datenschutzprojekt planen sowie Ziele festlegen.
  3. Die Unternehmensführung muss die benötigten Ressourcen bereitstellen. Dazu gehören unter anderem die Personalkosten des Datenschutzbeauftragten, seine Fortbildungen für Fachkenntnisse im Datenschutz und der Zugang zu notwendigen Informationen.

Paragraph

Die Umsetzungs-Phase

Folgendes kommt auf Ihr Unternehmen zu:

  1. Identifizieren Sie Ihre Verarbeitungstätigkeiten. Prüfen Sie ihre Zulässigkeit und nehmen Sie sie in ein Verzeichnis auf.
  2. Prüfen und aktualisieren Sie Ihre Datenübertragungen und Ihre Verträge für die Auftragsverarbeitung.
  3. Prüfen Sie sowohl Ihre technischen, als auch Ihre organisatorischen Maßnahmen und setzen Sie sie um.
  4. Setzen Sie Privacy by Design und Privacy by Default um.
  5. Erstellen Sie für risikoreiche Datenverarbeitungen eine Datenschutzfolgenabschätzung.
  6. Ermöglichen Sie die Umsetzung der Rechte Betroffener (Daten-Auskünfte, -Korrekturen, -Löschung, -Widerruf, etc.)
  7. Setzen Sie die Informationspflichten um, z. B. in Form von aktualisierten Datenschutzerklärungen.
  8. Schulen Sie Ihre eigenen Beschäftigten und verpflichten Sie sie auf Vertraulichkeit und Verschwiegenheit.
  9. Legen Sie ein einheitliches Vorgehen für regelmäßige Kontrollen, Updates und sofortige Reaktionen bei Datenschutznotfällen fest.

Paragraph

Die dritte Phase: fortlaufende Tätigkeiten

Hierein fallen die Kontrolle und Überwachung der getroffenen Maßnahmen, die Aktualisierung der Unterlagen (z. B. Dokumentationen), die Kontaktpflege mit Behörden und Betroffenen sowie die kontinuierliche Verbesserung des Datenschutz-Managementsystems.

Paragraph

Die Kosten für den Datenschutz steigen massiv

Da die Einhaltung der Vorschriften jederzeit nachgewiesen werden muss, ist der Umsetzungsaufwand der DSGVO extrem hoch im Vergleich zum Bundesdatenschutzgesetz. Früher waren die Sicherheitsmaßnahmen der größte Kostenpunkt.

Dieser Kostenpunkt ist nicht nur im gleichen Umfang geblieben, sondern die Dokumentationspflichten verursachen zusätzlich einen noch viel größeren Kostenblock. Dazu kommen die Erstellung eines Sicherheitskonzeptes, Meldepflichten sowie die technische und organisatorische Umsetzung der Rechte der Betroffenen (z. B. Recht auf Datenlöschen).

Paragraph

Die Zeit rennt davon

Ressourcen bedeuten einen hohen finanziellen Aufwand. Jetzt aktuell kommt aber noch das Zeitproblem dazu. Wer keinen internen Datenschutzbeauftragten hat, der über die notwendigen Kenntnisse verfügt, der steht vor dem Problem das Wissen jetzt ad hoc intern aufbauen zu müssen.

Wer jetzt erst beginnt einen externen Datenschutzbeauftragten zu bestimmen, der wird das Problem haben, dass diese bereits alle Hände voll zu tun haben. Trotzdem: Starten Sie jetzt. Machen Sie sich mit dem Thema vertraut und entscheiden Sie sich dann für einen internen oder externen Datenschutzbeauftragten.

Wir hoffen, dass wir Ihnen deutlich machen konnten, dass Sie, wenn Sie Nutzer- und Bewerberdaten verarbeiten, von der DSGVO betroffen sind. Die dort festgelegten Vorschriften müssen bis zum 25. Mai 2018 umgesetzt sein. Die Umsetzung der DSGVO ist ein fortlaufender, kontinuierlicher Prozess, mit dem Sie schnellstmöglich beginnen sollten.

Die Frage ist: Was müssen Sie als persy-Nutzer selber beachten und tun und was fällt in den Verantwortungsbereich von GermanPersonnel. Darüber in Kürze mehr auf diesem Blog. Wer sofort weitere Infos möchte, dem empfehle ich unseren nach wie vor aktuellen Artikel über die Änderungen durch die DSGVO im Recruiting.

GermanPersonnel ist Experte für E-Recruiting. Wir bieten intelligente, datenbasierte Recruiting-Lösungen. Wenn Ihre Stellenanzeigen nicht den gewünschten Bewerberrücklauf haben, nehmen Sie mit uns Kontakt auf. Wir beraten Sie gerne, auch zum Thema Social Recruiting und wenn Sie sich für unsere E-Recruiting-Software persy oder die Dienstleistungen unserer Recruiting-Agentur pergenta interessieren!

 

Friederike von Hülsen

Friederike von Hülsen betreut Marcos Recruiting Blog von GermanPersonnel und unterstützt als Community Managerin das Social Media Team. Neben dem Schreiben eigener und dem Redigieren fremder Texte plant die Geisteswissenschaftlerin auch die Blog-Themen und organisiert Beiträge von Gastautoren.

Abonnieren Sie Ihren RSS-Feed:

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This site uses Akismet to reduce spam. Learn how your comment data is processed.