Allgemeine Datenschutzverordnung (GDPR) - Umsetzung für HR-Teams

Allgemeine Datenschutzverordnung (GDPR) - Umsetzung für HR-Teams

Die Datenschutz-Grundverordnung (DSGVO) ist für die einen ein ständiges Kopfzerbrechen und treibt die Personalverantwortlichen gleichzeitig in die Überstunden und in den Wahnsinn, und für die anderen, nun ja, gibt es eigentlich Menschen, die nicht zur ersten Kategorie gehören? Diejenigen, die erst kürzlich mit den Vorbereitungen für die DSGVO begonnen haben, könnten einen pessimistischen Ausblick auf die kommenden Wochen haben, die mit Datenschutzerklärungen, Datenleckverfahren, Formularen und DSGVO-Sitzungen gefüllt sind. Was müssen Sie also an dem gefürchteten Datum des 25. Mai wissen? Um Ihnen bei der Vorbereitung auf die GDPR zu helfen, finden Sie hier 6 Beispiele für Fragen und Antworten zur GDPR. Die folgenden Informationen stellen keine Rechtsberatung dar und sollten nur zu Informations- und Bildungszwecken verwendet werden.

1. Über welche Art von Daten verfügt Ihre Organisation?

Eine einfache Frage, aber die Antwort ist vielleicht komplexer als Sie denken! Personenbezogene Daten sind alle Daten, die sich auf eine Person innerhalb oder außerhalb Ihrer Organisation beziehen. Dies beschränkt sich nicht nur auf das, was in Ihrer Personalakte steht. Werfen Sie einen kritischen Blick auf Ihre Prozesse: Was tun Sie, wenn ein Mitarbeiter in Ihrem Unternehmen anfängt zu arbeiten? Wie läuft Ihr "Off-Boarding"-Prozess ab? Geben Ihre Mitarbeiter bei diesen Prozessen oder irgendwo dazwischen personenbezogene Daten an?

Die Erfassung der in Ihrem Unternehmen vorhandenen Daten ist der erste Schritt zu einer organisierten und GDPR-konformen Organisation. Außerdem hilft Ihnen dieser Schritt beim Aufbau eines gut vorbereiteten und zuverlässigen Prozesses für den Fall eines Datenlecks.

Einige Punkte sind zu beachten:

  • "Persönliche Daten Ihrer Mitarbeiter zu haben" ist nicht dasselbe wie "was habe ich in der Personalakte gespeichert". Achten Sie auf Lebensläufe, die in Schubladen liegen, auf Dokumente mit Namen und persönlichen E-Mail-Adressen oder auf die erste Fassung von Verträgen mit Daten darin.
  • Vergessen Sie nicht, dass die Daten von Bewerbern wie Namen, private Telefonnummern und E-Mail-Adressen ebenfalls unter die DSGVO fallen und im Rahmen des Bewerbungsverfahrens leicht und unbedacht an das Unternehmen weitergegeben werden. Behalten Sie den Überblick über diese Daten und löschen Sie sie, wenn sie fällig sind.
  • Im Allgemeinen geben die Besucher ihre persönlichen Daten auch an das Unternehmen weiter, das sie besuchen. Müssen sie auf einer bestimmten Liste stehen, um zu parken? Müssen sie einen Zugangsausweis erhalten? All diese Aktionen erfordern die Weitergabe von personenbezogenen Daten. Vergessen Sie Ihre Kunden und andere Gäste nicht!
  • Welche Art von Personaldaten speichern Sie von Ihren Kunden und Lieferanten? Höchstwahrscheinlich speichern Sie irgendwo deren Namen, E-Mail-Adressen und Telefonnummern, aber was noch? Dokumente enthalten häufig personenbezogene Daten. Seien Sie also kritisch, was Sie erhalten und speichern, und seien Sie sich Ihrer Verantwortung bewusst!

2. Welche Daten teilen Sie mit anderen Organisationen?

Es ist wichtig zu erfassen, welche Daten Sie mit anderen Organisationen teilen. Es ist ein weit verbreiteter Irrglaube zu glauben, dass keine personenbezogenen Daten an andere Organisationen weitergegeben werden. Im Allgemeinen geben Unternehmen einige Informationen an die Bank weiter, um ihre Mitarbeiter zu bezahlen. Vielleicht müssen Ihre Mitarbeiter gegen Diebstahl versichert sein, elektronische Geräte (Tablets, Mobiltelefone, Laptops usw.) benutzen, Autos leasen, Abonnements für öffentliche Verkehrsmittel nutzen oder Bildungseinrichtungen besuchen. All diese Situationen und Organisationen erfordern die gemeinsame Nutzung von Personaldaten.

Die Weitergabe von Daten an sich ist nicht verboten, aber die Personen, mit denen Sie sie teilen, müssen sie kennen. Geben Sie nur die notwendigen Daten weiter? Fragen Sie sich bei jeder Information, die Sie weitergeben, ob es absolut notwendig ist, dass diese Person diese Information erhält.

Einige Punkte sind zu beachten:

  • Viele Informationen werden mit staatlichen Organisationen wie der Steuerbehörde und den Arbeitsämtern ausgetauscht. Auch sie sind an die Datenschutzgrundverordnung gebunden, und der Informationsaustausch mit ihnen muss ebenfalls aufgezeichnet werden. Vergessen Sie also nicht, einen Blick darauf zu werfen, was Sie mit ihnen teilen.
  • Normalerweise erhält ein Lieferant einige personenbezogene Daten von einem bestimmten Mitarbeiter innerhalb einer Organisation. Der Name Ihres Vorgesetzten bei der Bestellung von Büromaterial zählt zu den personenbezogenen Daten.
  • Während Sie sich mit der DSGVO befassen, denken Sie sich vielleicht: "Wow, wir teilen eine Menge Daten. Dürfen wir das überhaupt tun?" Nur weil Sie Daten weitergeben, heißt das nicht, dass Sie standardmäßig etwas Falsches tun. Die beiden Gründe, die die Weitergabe von Daten für Unternehmen am häufigsten zulassen, sind "gesetzliche Anforderungen" oder "Erlaubnis". Wenn Sie nicht gesetzlich verpflichtet sind, eine bestimmte Art von Daten zu erheben, sammeln Sie sie wahrscheinlich auf der Grundlage einer Erlaubnis. Wenn das der Fall ist, vergessen Sie nicht, um Erlaubnis zu fragen.

3. Wer weiß über die Datenschutz-Grundverordnung Bescheid?

Es ist eine tickende Zeitbombe, wenn man die gesamte Verantwortung für den Datenschutz auf eine Person abwälzt. Ganz einfach, weil eine einzelne Person nicht in der Lage ist, alles zu überblicken, alle Gefahren für die Privatsphäre zu erkennen und alle Herausforderungen der DSGVO zu meistern. Ihre größte Ressource sind die Menschen in Ihrem Umfeld, die dafür sorgen können, dass Ihre Organisation die Vorschriften einhält, aber kennen sie die DSGVO? Was bedeutet diese Datenschutzverordnung für Ihr Unternehmen in der Praxis?

Teilen Sie Ihr Wissen über die GDPR-Bestimmungen mit allen Mitarbeitern der Organisation, denn jeder kommt mit personenbezogenen Daten in Kontakt: nicht nur die Verwaltung, der Direktor oder Ihr Personalverantwortlicher, sondern auch die Praktikanten, der IT-Support und viele andere. Wenn Sie alle Mitarbeiter über die DSGVO aufklären, verringert sich die Gefahr, dass personenbezogene Daten im öffentlichen Raum hinterlassen werden, und es wird eine Plattform geschaffen, die Input liefert und Situationen mit hohem Risiko signalisiert.

Einige Punkte sind zu beachten:

  • Wenn Sie mit Ihren Kollegen über die DSGVO sprechen, können Sie sie nicht nur informieren, sondern sie auch an Ihre Passwortrichtlinie erinnern, sie über aktualisierte Datenschutzrichtlinien benachrichtigen und sie um ihre Meinung zu möglichen Datenschutzrisiken bitten.

4. Was tun Sie, wenn ein Datenleck auftritt?

Hoffen Sie das Beste, bereiten Sie sich auf das Schlimmste vor. Natürlich sollte das Ziel sein, dass niemals ein Datenleck auftritt, aber es besteht immer die Möglichkeit, dass es passiert. Am besten ist es, davon auszugehen, dass ein Datenleck gemeldet werden muss. Sie sollten Ihr Verfahren für den Fall eines Datenlecks im Voraus vorbereitet haben, indem Sie wissen, wie Sie Ihre Kunden, Mitarbeiter und/oder Zulieferer im Falle eines Datenlecks informieren müssen, wer die Kontaktperson innerhalb Ihrer Organisation ist und wer die Meldung an die zuständigen Behörden vornimmt und wer die zuständigen Behörden sind.

Einige Punkte sind zu beachten:

  • Verlorene USB-Sticks, gestohlene Laptops, das Vergessen eines Zettels mit persönlichen Daten in öffentlichen Verkehrsmitteln oder das versehentliche Wegwerfen von Dokumenten, die noch Informationen enthielten, gelten als Datenleck. Die einzige Ausnahme von der Meldepflicht für ein Datenleck besteht, wenn es sich um verschlüsselte Daten handelt. Verschlüsselte Daten sind keine personenbezogenen Daten, und im Sinne der Datenschutz-Grundverordnung gilt der Verlust verschlüsselter Daten nicht als Datenleck, solange man den Schlüssel nicht verloren hat, denn dann handelt es sich um ein Datenleck.

5. Was haben Sie zu Papier gebracht?

Es gibt Verfahren, Vereinbarungen, Erklärungen und mehr, aber haben Sie diese auch dokumentiert? Es wird Situationen geben, in denen sich internes Personal nicht vollständig an die Protokolle erinnert oder nicht ausreichend geschult wurde, z. B. wenn ein neuer Mitarbeiter ein Leck entdeckt und nicht weiß, wie er es melden soll. Deshalb ist es wichtig, in eine umfassende Dokumentation zu investieren und dafür zu sorgen, dass sie allen, die sie benötigen, zur Verfügung steht. Machen Sie Ihre Datenschutzerklärung sichtbar und sorgen Sie für die Einhaltung der GDPR.

Einige Punkte sind zu beachten:

  • Es ist wichtig, dass Sie immer prüfen, welche Dokumentationspflichten für Ihre Organisation bestehen. Organisationen, die aus 250 oder mehr Personen bestehen, benötigen etwas mehr Dokumentation, z. B. eine Betriebsdatenbank.

6. Welchen Unterschied kann ein richtiges Content Management System in der GDPR machen?

Gut, dass Sie die Antworten auf alle vorherigen Fragen haben. Aber mit der Einhaltung der DSGVO ist es noch nicht getan. Sie brauchen leistungsfähige Werkzeuge, um sicherzustellen, dass Ihre Daten und Prozesse auf dem neuesten Stand sind. Hier kann Ihr Content-Management-System den Unterschied ausmachen.

ProcessMaker IDP kombiniert Datenschutz mit einer hohen Benutzerfreundlichkeit und allem, was Sie brauchen, um Ihre Inhalte zu finden, aufzubewahren und zu verwalten. Sie können alle Ihre Dokumente an einem einzigen sicheren Ort speichern und sie bei Bedarf mit nur einem Klick abrufen. Mit der rollenbasierten Zugriffskontrolle und dem Anonymisierungstool können Sie sicherstellen, dass nur autorisierte Benutzer Ihre sensiblen Informationen einsehen können. Darüber hinaus werden alle auf Ihre Daten angewendeten Aktionen im System aufgezeichnet, so dass Sie im Falle eines Audits leicht nachweisen können, dass Sie die Vorschriften einhalten.

Der 25. Mai ist nicht das Ende, sondern nur der Beginn einer völlig neuen Gesetzeslage.

Letzte Worte

Wie bei vielen Gesetzen wird es in den kommenden Jahren neue Entwicklungen, Änderungen, Gerichtsurteile und vielleicht sogar vollständige Anpassungen der DSGVO geben. Es ist unbedingt erforderlich, regelmäßig zu überprüfen, ob Sie die Vorschriften noch einhalten, ob Ihre Dokumentation auf dem neuesten Stand ist und ob Ihre Kollegen noch aufmerksam sind, wenn es um den Datenschutz geht.

Fröhliches GDPR-ing!

Gartner-Kampagne: Die Zukunft ist BOAT
Demo anfordern

Demo anfordern

Erfahren Sie, wie führende Unternehmen ProcessMaker einsetzen, um ihre Abläufe durch Prozessautomatisierung zu rationalisieren.

Demo anfordern

Demo anfordern

Datenschutz-Update
Wir verwenden Cookies, um die Interaktion mit unserer Website und unseren Dienstleistungen einfach und sinnvoll zu gestalten. Cookies helfen uns, besser zu verstehen, wie unsere Website genutzt wird, und die Werbung entsprechend anzupassen.

Akzeptieren