DATENSCHUTZ UND MITBESTIMMUNG
Datenschutz ist gerade im Personalbereich ein Thema von hochaktueller und nachhaltiger Relevanz. Wir kennen die Anforderungen des Top-Managements und der Fachabteilungen sowie die Bestimmungen und Datenschutzgesetze und unterstützen Sie entsprechend bei der Umsetzung. In unserer Funktion als neutraler Vermittler helfen wir auch bei der Lösung von Konflikten mit internen Institutionen wie dem Betriebsrat.
Wir können Ihnen mit unserer Erfahrung aus zahlreichen Betriebsratsverhandlungen, Konzepten und Vereinbarungen hierbei aktiv zur Seite stehen.
- Sie benötigen eine neue Betriebsvereinbarung für ein HR-Projekt?
- Sie stehen vor der Aufgabe, eine Datenfeldliste mit Zweckbindung und ein Datenschutzkonzept inkl. Rechte- und Rollenmodell vorzulegen?
- Ihr Datenschutzbeauftragter hat Rückfragen zur Software?
- Sie sind sich nicht sicher, ob der gewählte Prozess den gesetzlichen Anforderungen entspricht?
- Sie empfinden Datenschutz als Ausrede und wünschen sich einen pragmatischen (gesetzeskonformen) Vorschlag zur effizienteren Prozessgestaltung?
Wir unterstützen Sie individuell mit unserer Erfahrung aus 10 Jahren HR-IT-Projekten, in denen es nicht ein Projekt ohne die genannten Fragestellungen gab.
Datenschutz Leistungspakete
Typische Aufgaben
- Erarbeitung gemeinsamer Datenschutzziele sowie die Festlegung des Handlungsbedarfes und eines Zeitplanes, um Rechtskonformität im Hinblick auf den Datenschutz in der Personalabteilung herzustellen
- Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
- Überwachung der Einhaltung der DSGVO und nationaler Sonderregelungen
- Sensibilisierung und Schulung
- Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
- Zusammenarbeit mit der Aufsichtsbehörde
- Erstellung von Richtlinien und Betriebsvereinbarungen
- Prüfung externer Dienstleister
- Beantwortung von Anfragen der Aufsichtsbehörden und der Betroffenen
- Begleitung der Implementierung neuer datenschutzrelevanter Prozesse z.B. in den Bereichen Marketing, CRM, Finance und IT
- Betreuung von Projekten z.B. zum Data Warehousing /Kundendatenanalyse, Newslettermarketing, IT-Outsourcing oder Cloudprojekte (Unterstützung bei Konzeption und Planung, laufende Projektbetreuung, Vertragsgestaltung in Bezug auf die datenschutzrechtlichen Aspekte sowie Workshops)
- Erstellung von Gutachten und Memos/Stellungnahmen
- Erstellung und Prüfung aller weiteren Dokumente mit Bezug zum Datenschutz wie Datenschutzerklärungen oder Datennutzungsverträge sowie Durchführung datenschutzrechtlicher Due Dilligence
- Prüfung der Systemsicherheit
- Erstellung von Berechtigungskonzepten
IHRE VORTEILE
Projektleistungen
- Prozess- und Systemprüfung hinsichtlich der DSGVO-Konformität
- Erstellung der notwendigen Dokumentation (Datenschutzkonzept, Verfahrensverzeichnis, Betriebsvereinbarung)
- Workshops und Verhandlungen mit dem Datenschutz und Betriebsrat
- Begleitung fachlicher Gespräche mit involvierten Dienstleistern und Stakeholdern
- Erstellung und Prüfung bestehender Erklärungen
- Datenschutzerklärung für HR-IT-Systeme
- Einwilligungserklärungen für Mitarbeiter und Externe
- Richtlinien und Arbeitsanweisungen
- Bereichsspezifische Trainings und Schulungen zum Datenschutz
Wie Sie mit uns zusammenarbeiten
Wir stellen Ihnen auf Wunsch einen HR-IT-erfahrenen sowie DSGVO- und BDSG-zertifizierten Berater an die Seite. Zusammen mit unserem Team sind wir für Sie sowohl projektbezogenen als auch ganzheitlich als fachliche Unterstützung oder auch für spezifische Teilaufgaben da.
Häufig gestellte Fragen
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht wurde. Sie gilt seit 2018.
Die DSGVO verschärft die Anforderungen an Datenschutz und Datensicherheit. Verstöße gegen diese Anforderungen sind – je nach Datenschutzverstoß – mit Bußgeldern in Höhe von bis zu:
- 10 Millionen EUR bzw. 2% Prozent des weltweiten Jahresumsatzes
oder - 20 Millionen EUR bzw. 4% des weltweiten Jahresumsatzes belegt.
Das Erheben, Speichern und Nutzen (Verarbeiten) von Daten unterliegt gem. DSGVO dem sog. „Verbot mit Erlaubnisvorbehalt.“ Das bedeutet, Sie dürfen Daten nur verarbeiten, wenn folgende Erlaubnistatbestände vorliegen:
Erlaubnis nach Art. 6 DSGVO:
- die betroffene Person hat ihre Einwilligung gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.
- Recht auf Datenübertragung
Der Betroffene hat das Recht, seine personenbezogenen Daten in einem maschinenlesbaren Format zu erhalten, um sie auf einen anderen Dienst zu übertragen. - Recht auf Vergessenwerden
Der Betroffene hat das Recht, seine personenbezogenen Daten innerhalb bestimmter Fristen löschen zu lassen. - Recht auf Berichtigung
Nach Artikel 16 hat die betroffene Person ein Recht auf Berichtigung falscher Daten. - Recht auf Sperrung
Nach Artikel 18 hat die betroffene Person ein Recht auf Einschränkung („Sperrung“) der Datenverarbeitung, wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden. - Recht auf Auskunft / Nachweispflicht
Der Verarbeitende hat nicht nur die Pflicht, die Datenverarbeitung datenschutzrechtskonform durchzuführen, sondern muss die Einhaltung im Bedarfsfall auch nachweisen können. Der Nutzer hat Anspruch auf eine „präzise, transparente, verständliche und leicht zugängliche Informationsform in einer klaren und einfachen Sprache.“ - Recht auf Beschwerde:
Betroffene können sich bei der Aufsichtsbehörde beschweren. - Pflicht zur Einwilligung:
Die Einwilligung unterliegt bestimmten Voraussetzungen. Es gilt regelmäßig zu überprüfen, ob der Nutzer die Einwilligung weiterhin erteilt. - Pflicht zur Zweckbindung
Personenbezogene Daten dürfen, abgesehen von einigen Ausnahmen, nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden. Wenn sich der Zweck ändert, muss die betroffene Person aktiv informiert werden. - Pflicht zur Information
Betroffene Personen müssen genau über die Art der Verarbeitung ihrer Daten informiert werden („präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“). Teilweise müssen Informationen zu gespeicherten Daten ab sofort „öffentlich“ bekannt gemacht werden. - Privacy by Design & Privacy by Default
Je nach Unternehmen liegt die Datenhoheit für sensible Mitarbeiterinformationen im HR-Bereich. Das bedeutet, dass Sie als HR’ler dafür verantwortlich sind, dass die Daten, System und Prozesse DSGVO-konform verarbeitet werden.
Welche Einwilligungen der Mitarbeitenden im Detail benötigt werden um DSGVO-konform zu handeln muss das individuell abgeklärt werden. Eine Rolle spielen dabei die Ausgestaltung des Arbeitsvertrags, bestehende Regelungen (u.U. auch Betriebsvereinbarungen) sowie der Zweck des Prozesses und die Art der Verarbeitung.
Ein kurzer Workshop bringt Ihnen dazu die nötige Klarheit.