DSGVO Checkliste – Leitfaden für DSGVO konforme HR Arbeit

Seit der am 25. Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung ist der Schutz von Bewerber- und Mitarbeiterdaten ein zentrales Thema in der HR. Insbesondere sind die Erhebung und Verarbeitung personenbezogener Daten (Bewerber-/Mitarbeiterdaten) aber auch externe Dienstleister und Datenschutzbeauftragte im Unternehmen davon betroffen.

Mit unserem Leitfaden können Sie die wichtigsten Bestandteile der DSGVO in Ihrer HR Abteilung realisieren und schnell und einfach einen DSGVO Kurzcheck durchführen.

Auswirkungen der DSGVO auf die HR

Nachfolgend zeigen wir Ihnen die vier größten Auswirkungen der DSGVO auf die HR:

1. Dokumentation in der Personalarbeit

Die Dokumentation nach EU-DSGVO stellt den wohl umfangreichsten Teil der Datenschutzanforderungen dar. Gem. Art. 5 Abs. 2 DSGVO müssen Unternehmen jederzeit dazu in der Lage sein Rechtmäßigkeit nachweisen zu können. Deshalb muss eine rechtmäßige Dokumentation Bestandteil Ihrer täglichen Personalarbeit und -prozesse werden. So müssen beispielsweise Verarbeitungstätigkeiten wie Bewerberverfahren zur externen Stellenbesetzung ausführlich dokumentiert werden. Da eine händische Dokumentation sich hierbei aber als äußerst zeitaufwendig erweist, empfiehlt sich die Verwendung einer professionellen HR Software.

Folgende Prozesse sollten Sie in Ihrem Unternehmen aufjedenfall mit der „DSGVO-Brille“ prüfen und anpassen (manuell oder mithilfe einer HR Software):

• Recruiting-Prozesse
• Onboarding-Prozesse
• Personalverwaltungsprozesse (Personalmanagement)
• Personalplanungsprozesse
• Personalcontrollingprozesse
• Personalentwicklung (Talent Management)
• Zusammenarbeit mit externen Personaldienstleistern
• Bewerberempfehlungen durch Dritte
• Bewerberverfahren zur externen Stellenbesetzung
• Prozesse in vorhandenen Bewerberdatenbanken (Talent Pools)
• Personenbezogene Daten in der (Digitalen) Personalakte

>> Dokumentieren Sie! Beziehen Sie Ihren Datenschutzbeauftragten mit ein und halten Sie Ihre Prozesse und Standards schriftlich und lückenlos fest. Achtung: Mitarbeiterdaten dürfen nur noch verarbeitet werden, wenn deren Datenspeicherung und -verarbeitung erforderlich ist.

2. Datenschutzkonformes löschen

Alle personenbezogenen Daten müssen datenschutzkonform vernichtet werden. Für die jeweiligen Daten und Dokumente muss die Aufbewahrungsfrist (Löschfrist) beachtet werden. So müssen beispielsweise Bewerberdaten “unverzüglich” gelöscht werden. Eine anschließende Datenspeicherung ist nur erlaubt, sofern Unternehmen einer rechtlichen Verpflichtung nachkommen müssen oder um Rechtsansprüche zu verteidigen. Achtung: es gelten hier unterschiedliche Richtlinien für die Vernichtung von Personaldaten in Papierform oder auf digitalen Speichermedien.

Folgende Punkte sollten Sie hinsichtlich der Löschfristen nach EU-DSGVO prüfen:

• Alle Anwendungen in denen Sie personenbezogene Daten verarbeiten
• Zweck ->  weshalb wurden die Daten gespeichert?
• Dokumentation ->  sind alle Grundlagen dokumentiert?
• Medium -> sind die Daten in Papierform oder auf digitalen Speichermedien?
• Frist -> Welche Löschfristen gelten für die jeweiligen Daten und wann greifen diese?

>> Tipp: Verwenden Sie eine DSGVO-konforme HR Software. Mit dieser können Sie Bewerberdaten automatisch löschen und Mitarbeiterdaten nach Einzelfallprüfung DSGVO konform vernichten.

3. Externe Dienstleister

Im Falle eines Datenschutzverstoßes haften sowohl Sie als auch Ihr externer Dienstleister. Deshalb sollen Sie unbedingt alle Ihre externen Dienstleister unter die Lupe nehmen. Überprüfen Sie vor allem Ihre Jobportale und HR Software Anbieter nach EU-DSGVO-konformen Datenverarbeitungsprozessen.

Ihre externen Dienstleister sollten Sie hinsichtlich folgender Kriterien überprüfen:

• Ist ein Auftragsdatenverarbeitungsvertrag vorhanden? & ist dieser aktuell?
• Berücksichtigt dieser technische und organisatorische Aspekte?
• Sind die erforderlichen Auftraggeber- und Auftragnehmerpflichten geregelt?
• Ist Ihr Datenschutzbeauftragter involviert?
• Liegt eine gültige Verpflichtungserklärung vor?

>> Überprüfen Sie genau! Oftmals stellt sich erst nach einigen Aufwendungen heraus, ob der externe Dienstleister als Auftragsverarbeiter gem. DSGVO geeignet ist oder nicht.

4. Datenschutzbeauftragter

Ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt oder nicht hängt von individuellen Kriterien ab. Beschäftigt Ihr Unternehmen jedoch  mindestens zehn Mitarbeiter, deren Kerntätigkeit die Verarbeitung von personenbezogenen Daten  ist oder ist Ihre Branche öffentlicher Hand? Dann können Sie sich sicher sein, dass Sie einen Datenschutzbeauftragten benennen müssen.

Folgende Bestimmungen sollten Sie hinsichtlich Ihres Datenschutzbeauftragten beachten:

• Wird der betriebliche Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt?
• Wurde der Datenschutzbeauftragte ordnungsgemäß und rechtzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen und Prozesse eingebunden?
• Wurden die Kontaktdaten des Datenschutzbeauftragten veröffentlicht?
• Wurden der Aufsichtsbehörde die Kontaktdaten mitgeteilt?

>> Sie haben die Wahl: Sie können als Unternehmen selbst entscheiden, ob Sie einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen oder ob Sie einen externen Datenschutzbeauftragten bestellen.

DSGVO und HR Software

Hinsichtlich der Einhaltung der DSGVO Vorschriften müssen Personaler zahlreiche Vorschriften einhalten und Anforderungen zum Schutz natürlicher Personen bei der Datenverarbeitung erfüllen. Professionelle DSGVO konforme HR Software Lösungen können hierbei hilfreiche Unterstützung leisten.

Folgende Bereiche kann eine professionelle HR Software Lösung unterstützen:

Dokumentation

In der HR werden personenbezogene Daten täglich benötigt. Der wohl größte Anwendungsbereich ist die Entgeltabrechnung. Für diese werden viele personenbezogene Daten benötigt. Jedes personenbezogene Feld muss gem. DSGVO mit Rechtsgrundlage und Zweck dokumentiert werden. Für jeden einzelnen Mitarbeiter. Um diesen enormen manuellen Aufwand zu vermeiden kann eine Abrechungssoftware unterstützen.

Löschpflicht

Mitarbeiter und Bewerber müssen nicht nur über das Löschdatum, sondern auch über Zwecke und Rechtsgrundlagen informiert werden. Alle Daten müssen an einem zentralen Standort verwahrt werden und unter Einhaltung der jeweiligen Frist gelöscht werden. Mit einer HR Software Lösung können diese Anforderungen durch automatisierte Löschroutinen, konsistente Berechtigungskonzepte und einer zentralen Datenhaltung erfüllt werden.

Informationspflicht und Auskunftsrecht

Die neue DSGVO verlangt, dass alle Mitarbeiter und Bewerber über Rechtsgrundlagen, Zwecke, Löschfristen, Datenfelder und andere Daten informiert werden. Dieses Prozedere umfasst nicht selten dutzende Din-A4 Seiten. Intelligente HR Software Lösungen verfügen über eine Exportfunktion, mit der alle gespeicherten Daten zum jeweiligen Bewerber/Mitarbeiter mit einem Klick herausgelassen werden können. Dadurch kann ein unerheblicher, manueller Aufwand eingespart werden.

Datenspeicherung und Löschung

Personaldokumente haben je nach Dokumentenart unterschiedliche Vorgaben für Löschfristen. Mit einer Digitalen Personalakte kann der Löschvorgang automatisiert und die Einhaltung der gesetzlichen Vorschriften sichergestellt werden. Zudem lässt sich der Zugriff von Benutzern zentral steuern, dokumentieren und kontrollieren.

DSGVO und hrtool24

Sie haben Fragen zur DSGVO-Konformität von hrtool24? Nachfolgend erhalten Sie wichtige Informationen zur Datensicherheit | -schutz | AGG-Konformität von hrtool24:

Datenschutz  
Hinweis: Dieser Leitfaden (nach der Datenschutzgrundverordnung (DSGVO)) ist nicht als Rechtsrat zu verstehen und ersetzt keine Beratung durch einen Anwalt. Er dient lediglich als Anregung und zu Informationszwecken.