Free

Datenschutz : Mit Kompass und Karte

Sobald verschiedene Regeln zu beachten sind, steigt die Komplexität an. Das gilt umso mehr, wenn die Regeln sich auch noch gegenseitig beeinflussen. Im Datenschutz ist es nicht anders. Wer bspw. bei neuen Vorhaben einfach losläuft, verirrt sich schnell im Dickicht der Datenschutzgesetze, Rechtsprechung und Meinungen von Aufsichtsbehörden und anderen Personen. Ein methodisches Vorgehen tut not.

Lesezeit 3 Min.

Der Artikel stellt übersichtlich zusammen, welche Anforderungen sich aus der Datenschutz-Grundverordnung (DS-GVO) hinsichtlich der Gestaltung von Prozessen im Bereich HR ergeben.

Zwei Aufgaben sind zu meistern:

Compliance des Prozesses (1. Reihe der Grafik)

Umsetzen der Rechenschaftspflicht (2. Reihe der Grafik)

Kompass und Karte

Die 1. Reihe zeigt durch die Anordnung der Kugeln auf, in welcher Reihenfolge die einzelnen Schritte absolviert werden sollten. Die Schritte werden im Folgenden knapp zusammengefasst. Für eine ausführlichere Erläuterung wird auf die zahlreichen Datenschutzbeiträge in der LOHN+GEHALT verwiesen.

Zweck: Festlegung des oder der Zwecke, dem/denen der Prozess dient. Häufig dient ein Prozess einem Primärzweck, bspw. Erstellung einer Lohnabrechnung, und mehreren weiteren Zwecken, wie z. B. Steuerung des Unternehmens, Personalkostenplanung, Erfüllung gesetzlicher Meldepflichten.

Rechtsgrundlage: Ausgehend von dem Grundsatz, dass eine elektronische Verarbeitung personenbezogener Daten verboten ist, bedarf es einer gesetzlichen Ausnahme. Diese Rechtsgrundlagen sind in Art. 6 Abs. 1 und für Spezialfälle in Art. 9, 10 DS-GVO zu finden und können durch weitere europäische oder deutsche Gesetze konkretisiert werden.

Visuelle Darstellung eines Flussdiagramms zur Prozesskonformität und -dokumentation unter Verwendung symbolischer Symbole und deutscher Begriffe für Humanressourcen, gemischt mit einem Hintergrund einer antiken Taschenuhr, der auf die Bedeutung des Zeitmanagements in der Welt hindeutet
Mit Kompass und Karte

Die häufigsten Rechtsgrundlagen im Beschäftigungsverhältnis sind: „Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses“ (§ 26 Abs. 1 Bundesdatenschutzgesetz (BDSG)), Interessenabwägung (Art. 6 Abs. 1 lit. f) DS-GVO), gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c) DS-GVO) und – sehr selten – Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO).

Erforderlichkeit: Die verarbeiteten Daten müssen für die Erreichung des Zwecks erforderlich sein. Erforderlich bedeutet, dass der Zweck ohne das Datum nicht erreicht werden kann. „Kostensparsam“ oder „bequem“ erreichen die Schwelle der „Erforderlichkeit“ nicht. Bspw. ist für eine Gehaltsauszahlung die IBAN des Beschäftigten erforderlich, aber nicht seine Postanschrift. Weiterhin muss die von der Verarbeitung betroffene Personenzahl ebenfalls auf das erforderliche Mindestmaß reduziert sein.

Prozessvorgaben: Hinter diesem Punkt verbergen sich verschiedene Anforderungen. Die wichtigsten sind:

  • Sicherstellen, dass die Daten sachlich richtig und aktuell sind;
  • Beschränkung des Zugriffs auf Personen, die diesen unbedingt für die Erledigung ihrer Aufgaben benötigen;
  • Löschpflicht, sobald der Zweck entfallen ist und keine Aufbewahrungspflicht mehr besteht;
  • Schwellwertanalyse durchführen, ob – was die meisten Unternehmen nie erleben werden – ausnahmsweise der Prozess so hohe Risiken für die Rechte und Freiheiten der betroffenen Personen bedeutet, dass eine förmliche Datenschutz-Folgenabschätzung zur Risikoreduktion erforderlich wird.
Vintage-Kompass auf einer Weltkarte, der im Bereich Personalmanagement Abenteuer und Navigation rund um den Globus symbolisiert.
Mit Kompass und Karte 2

Sicherheitsvorgaben: Sicherheitsvorgaben dienen dazu, insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten zu erreichen. Einige Sicherheitsvorgaben wirken auf der Ebene des Unternehmens und gelten für zahlreiche Prozesse, wie z. B. verschlossene Gebäudetüren. Andere Sicherheitsvorgaben sind prozessspezifisch. Dazu zählt bspw. der Schutz vor Cross-Scripting-Angriffen bei Bewerberplattformen. Der BSI-Grundschutz stellt sowohl einen Benchmark wie auch eine Anleitung für die mindestens zu treffenden Maßnahmen dar.

Transparenz: Die von der Verarbeitung betroffenen Personen sind durch Datenschutzinformationen vor oder bei der Erhebung von Daten über den Prozess zu unterrichten. Der Pflichtinhalt ist vorgeschrieben.

Aufzeichnung des Weges

Menschen zeichnen ihre Läufe, Radtouren und Einkaufsgänge digital auf (Fitnessuhren usw.), um sich selbst und anderen gegenüber Rechenschaft ablegen zu können. Gleiches müssen Unternehmen hinsichtlich ihrer Datenschutz-Compliance machen. Unternehmen müssen der Datenschutzaufsichtsbehörde jederzeit nachweisen können, dass sie jede Vorschrift der DS-GVO einhalten. Gelingt der Nachweis nicht, liegt ein bußgeldbewehrter Gesetzesverstoß vor.

Deshalb nennt die 2. Reihe als Schritte:

Dokumentation: Die Dokumentation umfasst inhaltlich alle Überlegungen und Festlegungen, die Aussagen zur Compliance machen. Normalerweise werden verschiedene Unterlagen dazu erstellt. Die Datenschutzinformationen können genauso herangezogen werden wie weitere Prüfdokumente auf Datenschutz-Compliance.

Prozessbeschreibung: Die Prozessbeschreibungen ergänzen die Dokumentation und sind Ausdruck der Weisungen des Unternehmens an die am Prozess mitwirkenden Beschäftigten. Unternehmen müssen sicherstellen, dass alle Beschäftigten personenbezogene Daten ausschließlich innerhalb der erteilten Weisungen verarbeiten. Prozessbeschreibungen sind ein Mittel, diese Weisungen zu dokumentieren. Ohne eine Prozessbeschreibung fällt es schwer, den Ablauf des Prozesses nachzuweisen.

Fazit

Eine Hand, die einen Kompass hält, dessen Nadel nach Norden zeigt, dargestellt vor einem sanft verschwommenen natürlichen Hintergrund, symbolisiert Führung und Orientierung im Personalmanagement.
Mit Kompass und Karte 3

Ein systematisches Vorgehen bei der Einführung neuer Prozesse oder Software hilft, sich nicht im Dickicht der Datenschutzanforderungen zu verlaufen. Die vorgestellten Schritte bedürfen einer Konkretisierung im jeweiligen Einzelfall. Zu guter Letzt verlangt die Rechenschaftspflicht eine Dokumentation sowie eine Prozessbeschreibung.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

Diesen Beitrag teilen: