Aktueller Channel Fokus:

IT-Security

DSGVO bei Gehaltsabrechnungen

DSGVO betrifft auch den Datenschutz in HR und Payroll

| Autor / Redakteur: Sandra Schwan und Marcel Bücker / Peter Schmitz

Programme in der Entgeltabrechnung laden oft dazu ein, mehr Daten zu speichern als tatsächlich benötigt werden und erzeugen damit einen Konflikt mit der DSGVO.
Programme in der Entgeltabrechnung laden oft dazu ein, mehr Daten zu speichern als tatsächlich benötigt werden und erzeugen damit einen Konflikt mit der DSGVO. (Bild: Pixabay / CC0)

Die Datenschutz-Grundverordnung (DSGVO) hat die Datenschutzgesetze der EU-Mitgliedsstaaten abgelöst. Regularien sind strenger geworden, ihre Umsetzung ist zeitintensiv und die Bußgelder sind hoch. Unternehmen müssen sich darüber im Klaren sein, dass Datenschutz alle angeht – von der Geschäftsführung bis zur Reinigungskraft.

Die DSGVO trat bereits im Mai 2016 in Kraft und hat den Zweck, das heterogene Datenschutzniveau der 28 EU-Mitgliedsstaaten zu vereinheitlichen. Bisher hat jeder Staat in der europäischen Union eigene Gesetze zum Datenschutz verabschiedet. Hierdurch fielen die Gesetze und Regularien unterschiedlich streng aus. Unternehmen nutzten das aus und agierten nach den Gesetzen jener Länder, die es ihnen am einfachsten machten. Mit der DSGVO ist der Flickenteppich der gesetzlichen Grundlagen beseitigt und vereinheitlicht worden. Am 25. Mai endete die Übergangsfrist von zwei Jahren. Unternehmen müssen ihre Prozesse nun an die neuen, strengeren Bestimmungen angepasst haben.

Bei der DSGVO handelt es sich um ein sogenanntes Verbotsgesetz mit Erlaubnisvorbehalt. Das bedeutet, dass es erst einmal verboten ist, personenbezogene Daten zu verarbeiten. Diese werden im Gesetz genau definiert: Nicht nur Name oder Geburtsdatum zählen zu jenen Daten, anhand derer ein Mensch identifiziert werden kann. Beispielsweise auch die IP-Adresse gehört zu diesen Informationen, weil hier Rückschlüsse auf die betroffene Person gezogen werden können. Mithin sind also auch solche Daten besonders schützenswert. Wer personenbezogene Daten verarbeiten will, braucht dafür die Einwilligung der betroffenen Person. Zudem müssen diese eine klare Widerspruchsmöglichkeit haben, damit sie die Einwilligung zur Verarbeitung der Daten für die Zukunft widerrufen können. Zusätzlich zur Einwilligung und damit der Ausweitung der Betroffenenrechte kommen erweiterte Dokumentationspflichten: Unternehmen müssen künftig nachweisen können, dass die betroffene Person das Einverständnis für die Verarbeitung personenbezogener Daten erteilt hat. Neue Bußgeldtatbestände und höhere Bußgelder verschärfen die Situation: Im Worst Case kann das vier Prozent des weltweiten Jahresumsatzes ausmachen oder bis zu 20 Millionen Euro. Experten raten davon ab, eine Strafe in Kauf zu nehmen und kalkuliert Rückstellungen zu bilden. Denn die Aufsichtsbehörde kann den Umgang mit personenbezogenen Daten verbieten und Unternehmen damit die Geschäftsgrundlage entziehen. Ein Freikaufen ist auf diese Weise nicht mehr möglich.

Wen betrifft die DSGVO?

Der Datenschutz betrifft verschiedenste Ressorts in einem Unternehmen: Vom Bewerbermanagement und Entgeltabrechnung im HR bis hin zu den Daten, die die Marketingabteilung gesammelt hat. Die Anforderungen sind hoch, die Umsetzung zeit- und kostenintensiv. Sie erfordert Personal und ein Budget in der Jahresplanung. Wer regelmäßig personenbezogene Daten verarbeitet, der braucht einen Datenschutzbeauftragten, der Ansprechpartner für alle Fragen rund um das Thema Datenschutz ist.

Der Umgang mit alten Datenbeständen wird geregelt

Im Laufe der Jahre sammeln sich in jedem Unternehmen diverse Daten an. Was tun mit alten Datenbeständen oder Karteileichen? Die DSGVO regelt den Umgang mit Daten, die man nicht mehr benötigt. Diese müssen wie Menschen aus einem Unternehmen ausscheiden können. Es ist nicht mehr möglich, Daten einfach beliebig zu horten. Erschwert wird die korrekte Umsetzung des Gesetzes allerdings durch die gesetzlichen Aufbewahrungsfristen auf der anderen Seite. Hinzu kommt, dass die Fristen je nach Art der Daten variieren. Auch diese erforderliche Kategorisierung der Daten ist nicht immer einfach. Ein großes Fragezeichen steht auch hinter Backups und Sicherungsdateien. Legt man das Gesetz streng aus, müssten alle Backups durchforstet und nach Datensätzen gefiltert werden, die nach der neuen Rechtslage gelöscht werden müssen.

Das große Problem mit der europäischen Datenschutzgrundverordnung liegt also darin, dass sie Vorgaben macht, ohne konkret zu bestimmen, wie diese umgesetzt werden müssen. Die Datenschutzbeauftragten in Unternehmen müssen sich anfangs einer großen Rechtsunsicherheit bei der Auslegung der EU-DSGVO stellen. Die unterschiedliche Auslegungspraxis in den Mitgliedstaaten muss durch den Europäischen Datenschutzausschuss und den EuGH nivelliert werden. Dabei soll das Thema Datenschutz aber nicht dazu führen, das Unternehmen still zu legen. Vielmehr kann der Datenschutz einen Mehrwert darstellen, um alte Prozesse im Unternehmen neu zu strukturieren.

Datenschutz als roter Faden

Beim Beschäftigten Datenschutz gilt: Der Datenschutz muss sich vom Eintritt des Mitarbeiters bis zu seinem Austritt aus dem Unternehmen wie ein roter Faden durch die Betriebszugehörigkeit ziehen. Für die zuständigen Sachbearbeiter können Checklisten hilfreich sein: Darin werden zum Beispiel Zugangs- und Zugriffsrechte der einzelnen Mitarbeiter definiert.

Auch bei Bewerbungen greift das Gesetz. Hier ist es wichtig mit dem Bewerber eine Vereinbarung zu treffen, ob seine Bewerbung an ihn zurück geht oder vom Unternehmen vernichtet wird. Zudem müssen Aufbewahrungsfristen des allgemeinen Gleichbehandlungsgesetzes berücksichtigt werden, um sich vor dessen Ansprüchen zu schützen. Eine Frist von sechs Monaten bietet sich an, da in dieser Zeit Ansprüche geprüft und abgegolten werden können.

Vorsicht ist geboten beim Umgang mit Bewerbungen. Solche aus Papier sollten nur von zuständigen Personen gehandhabt werden. Auch Online-Bewerbungen beinhalten sensible Daten.

Wer keine eigene Bewertungsplattform hat oder die Bewerbungen über eine E-Mail-Adresse in Empfang nimmt, der kann externe Bewerbungsplattformen als Service nutzen. Hier ist es allerdings nötig einen Vertrag zur Auftragsdatenverarbeitung abzuschließen.

Nicht nur Bewerbungen und deren Abwicklung werden vom neuen Gesetz tangiert. Unternehmen müssen auch das Exit-Management unter den Füßen haben: Dem ausscheidenden Mitarbeiter müssen Zugriffsrechte entzogen werden, seine E-Mail-Adressen gelöscht, sein PC, Smartphone und Tablett auf Werkseinstellung zurückgesetzt werden. Auch hochtechnologisierte Dienstwagen speichern heute sensible Daten. Diese müssen ebenfalls gelöscht werden.

Mitarbeiter erreichen und schulen

Datenschutz im Unternehmen geht alle an. Umso wichtiger ist es, die Mitarbeiter für die neuen gesetzlichen Regelungen zu sensibilisieren und sie zu schulen. Das Management muss sicherstellen, dass sie die Informationen tatsächlich erhalten und verstanden werden und sie umsetzen. Hier ist es hilfreich aktiv auf die Mitarbeiter zuzugehen und Aufklärungsarbeit zu leisten. Gerade kleine Unternehmen, in denen einzelne Mitarbeiter mehrere Zuständigkeiten haben, können wegen des neuen Datenschutzgesetzes ins Schleudern kommen. Dieses erfordert stringente Prozesse, die in Kleinunternehmen nicht immer gegeben sind. Werden Daten nicht sachgemäß gehandhabt, sieht die DSGVO Regelungen für das Unfallmanagement vor. Hier müssen zum Beispiel Meldewege definiert werden, sollte es trotz aller getroffenen Maßnahmen zum Verlust von Daten kommen. Hilfreich ist dabei ein standardisiertes Verfahren, das den Fall zum Beispiel anhand eines Fragenkataloges erfasst.

Eine Software kann beim Umgang mit Daten Sicherheit geben

Die DSGVO wirkt sich auch auf die Software aus, die in Unternehmen im Einsatz ist. Programme in der Entgeltabrechnung laden zum Beispiel dazu ein, mehr Daten zu speichern als tatsächlich benötigt werden, um vom Brutto zum Netto zu kommen. Für den HR-Software-Spezialisten VEDA ist die DSGVO vor allem ein Servicethema. Sie bietet die Chance, Software nach den gesetzlichen Anforderungen attraktiver und schlanker zu gestalten und sie trotz der Vorgaben praxisorientiert und für den Anwender aufzusetzen. Die Nutzer von Entgelt-Software sind daran gewöhnt, regelmäßige Updates zu installieren, um gesetzeskonform zu handeln. Kunden können so leicht auf dem aktuellen Programmstand gehalten werden. Das kommt ihnen jetzt auch im Falle der Aktualisierung aus Datenschutzgründen zu Gute.

Folgende Anforderungen stellt das Gesetz nun an eine Entgelt-Software: Die Datenspeicherung muss verordnungskonform sein und die Auskunftspflicht muss geregelt sein - der Nutzer hat ein Recht zu wissen, welcher seiner Daten gespeichert werden. Außerdem muss Datensparsamkeit gegeben sein. Das bedeutet, dass nur die notwendigen Daten vorgehalten werden. Werden darüber hinaus Informationen gespeichert, muss dokumentiert werden, warum. Die Zugriffsberechtigungen müssen geklärt sein. Das Programm muss zudem Möglichkeiten zum Pseudonymisieren, Anonymisieren, Sperren und Löschen bieten. Gerade bei der Abrechnung besteht allerdings der Konflikt zwischen Datenschutz und Meldeverpflichtung. SV- oder Steuerprüfungen sowie Korrekturen in möglichen Rückrechnungen machen eine Aufbewahrung gewisser Daten notwendig. Eine gute Software sensibilisiert den Nutzer einerseits für das Thema Datenschutz und dessen Fallstricke, lässt ihn damit aber nicht allein. Hier gilt es, einen guten Mittelweg zu finden. Eine Software kann eine Vorselektion treffen, dem Nutzer Sicherheit und Anleitung bieten. Die finale Entscheidung, das Löschen, Sperren oder Speichern führt am Ende der Anwender aber selbst aus.

Über die Autoren: Sandra Schwan ist Product Manager bei VEDA, Marcel Bücker ist Legal Counsel bei VEDA.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45365732 / Recht)