GlobalSign Blog

22 Feb 2018

Sechs Auswirkungen von DS-GVO auf die Personalabteilung

Im Mai 2018 wird die EU eine neue Reihe von Datenregeln einführen, die sogenannte Datenschutz-Grundverordnung (DS-GVO). Die neuen Regeln gelten für alle Unternehmen, die Daten von EU-Bürgern (einschließlich ihrer Mitarbeiter) verarbeiten, und Verstöße gegen die Bestimmungen können Sanktionen bis zu 20 Mio. EUR oder 4% des globalen Umsatzes (je nachdem, welcher Betrag größer ist) nach sich ziehen. Es ist also klar, dass Ihr Unternehmen die Bestimmungen eher früher als später erfüllen muss.

Die DS-GVO wird schwerwiegende Auswirkungen auf Personalabteilung und Personalmanagement haben, da Unternehmen flexiblere Systeme für ihre Daten benötigen. Lassen Sie uns einen Blick auf sechs Hauptwege werfen, auf denen sich die DS-GVO auf Ihre Personalabteilung auswirken wird, und lassen Sie uns versuchen, die Änderungen zu verstehen, die Sie vornehmen müssen, um Compliance zu erreichen.

1. Einwilligung ist erforderlich

Obwohl die Einwilligung zur Speicherung von Personaldaten seit vielen Jahren erforderlich ist, werden die DS-GVO-Vorschriften die Notwendigkeit einer "spezifischen, informierten und eindeutigen" Einwilligung einführen. Damit ist es wahrscheinlich, dass eine Einwilligung, die Sie derzeit von den Mitarbeitern zur Speicherung ihrer Daten erhalten, wahrscheinlich umformuliert werden muss, sodass keine Unsicherheit hinsichtlich der erfassten Daten besteht.

Zusätzlich muss Ihren Mitarbeitern die Möglichkeit gegeben werden, ihre Einwilligung jederzeit zu widerrufen. Daher muss Ihr System leicht editierbar sein. Es ist unwahrscheinlich, dass Standard-Einwilligungsklauseln, die häufig in Mitarbeiterverträgen zu finden sind, nach den neuen Regeln akzeptiert werden. Daher ist es wahrscheinlich, dass Ihr Unternehmen neue Verträge für alle erstellen muss.

2. Daten dürfen nicht unbegrenzt gespeichert werden

Die DS-GVO-Regeln sehen vor, dass Unternehmen Daten nur so lange aufbewahren dürfen, wie es für sie notwendig ist. Ein gutes Beispiel hierfür sind die Daten von Zeitarbeitnehmern - Sie brauchen diese Daten möglicherweise nur für sehr kurze Zeit. Danach ist es Ihnen nicht mehr erlaubt, die Daten aufzubewahren. Dies gilt, solange Sie nicht die Einwilligung erhalten haben, wie bereits erwähnt.

Möglicherweise muss Ihr Unternehmen auf ein neues Personalverwaltungssystem umstellen. Wenn in Ihrem aktuellen System beispielsweise nicht die Möglichkeit besteht, Daten, die nicht mehr relevant oder erforderlich sind, dauerhaft zu löschen, müssen Sie möglicherweise zu einem DS-GVO-konformen System wie der staff rota Software von Planday wechseln, die speziell dazu entwickelt wurde, um alle Ihre Mitarbeiterdaten an einem Ort zu speichern und zu kontrollieren.

3. Daten dürfen nur für den beabsichtigten Zweck verwendet werden

Es muss auch darauf hingewiesen werden, dass Personalabteilungen durch die DS-GVO dahingehend eingeschränkt werden, wofür sie personenbezogene Daten von Arbeitnehmern verwenden können. Insbesondere müssen die Mitarbeiter darüber informiert werden, wofür die Daten verwendet werden, und das Unternehmen darf diese nicht für andere Zwecke verwenden. Es wurde spekuliert, dass dies Unternehmen, die einen großen Pool an freiberuflichen Mitarbeitern nutzen, Unannehmlichkeiten bereiten könnte, da die Regeln die Speicherung personenbezogener Daten ohne Erlaubnis verhindern könnten.

Es könnte auch notwendig sein, dass Unternehmen eine große Anzahl von Personen kontaktieren müssen, mit denen sie in der Vergangenheit zusammengearbeitet haben, um die Einwilligung zur zukünftigen Nutzung ihrer Daten zu erhalten.

4. Datenschutzverletzungen müssen gemeldet werden

Zweifellos ist einer der Hauptgründe, warum die DS-GVO umgesetzt wurde, der massive Anstieg von Hacking und Cyberangriffen. Unter den Gesetzgebern wächst die Besorgnis, dass Unternehmen nicht genug tun, um sich selbst und die Daten, die sie speichern, vor kriminellen Hackern zu schützen. Vor allem die DS-GVO hat es zu einem Teil des Gesetzes gemacht, dass Unternehmen jeden, der von Datenschutzverletzungen betroffen ist, innerhalb von 72 Stunden nach Bekanntwerden der Verletzung melden müssen.

Dies gilt auch für Personaldaten. Arbeitgeber müssen ihren Mitarbeitern "ohne unangemessene Verzögerung" mitteilen, wenn ihre personenbezogenen Daten gestohlen wurden.

5. Überprüfung von Vorstrafen

Die DS-GVO hat kein Problem mit der Durchführung von Standard- oder erweitertem Disclosure and Barring Service (DBS) (was in etwa deinem Führungszeugnis entspricht). Die neuen Regeln erlauben möglicherweise keine routinemäßig durchgeführten DBS-Basisprüfungen mehr für alle Mitarbeiter. Selbst das Einholen der Einwilligung dazu ist nach den Vorschriften wahrscheinlich nicht zulässig.

6. Daten sollten verschlüsselt werden

Für alle Daten, die von der Personalabteilung erfasst werden, müssen Sicherheitsmaßnahmen getroffen werden, damit sie den DS-GVO-Vorschriften entsprechen. Es muss mit allen Arten sensibler personenbezogener Daten sorgfältig umgegangen werden, und eine der effektivsten Möglichkeiten, sie zu schützen, ist die Verschlüsselung der Daten. Aber beschränken Sie die Verschlüsselung nicht nur auf die Personaldaten, die Sie speichern. Um die Vorschriften vollständig einzuhalten, ist es wichtig, Datenübertragungen sowie E-Mails zu verschlüsseln, um sicherzustellen, dass diese vor möglichen Cyber-Angriffen geschützt sind.

Eine weitere Möglichkeit zum Hinzufügen einer Schutzebene besteht in der Verwendung von starker Authentifizierung und Zugangskontrolle. Wenn weniger Personen Zugang zu bestimmten Daten haben (Zugang nur für Personen, die ihn benötigen), können Sie das Risiko minimieren, das mit dem Verlust oder dem Hacken der Daten verbunden ist.

Es ist eine gute Idee, eine vollständige Überprüfung und Prüfung aller aktuellen Datenspeicherprozesse Ihrer Personalabteilung durchzuführen, um sicherzustellen, dass Ihr Unternehmen vollständig konform ist, bevor die DS-GVO am 25. Mai 2018 in Kraft tritt.

Über den Autor

Mike James ist ein unabhängiger Autor, Tech-Spezialist und Cybersecurity-Experte aus Brighton, UK. Seine Arbeiten werden in vielen der führenden Online- und Print-Magazine veröffentlicht und er ist ein hervorragender Autor über Ethical Hacking, Penetration Testing - und wie diese Technologien bei Unternehmen aller Formen und Größen implementiert werden können. Mike arbeitet oft mit Redscan, einem führenden Anbieter von Cybersicherheit in Großbritannien, sowie einer Reihe weiterer Unternehmen zusammen. Er schreibt auch über seltsame Diät- und Trainingsprogramme, wenn er nicht über die sehr technischen Themen schreibt!

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen

Jetzt Blog abonnieren