Wie gut kennen Sie Ihre HR-Datenbank?
Auch wenn diese Frage aufs erste überraschend scheint, sie ist nicht unberechtigt: Denn wissen Sie noch, was Sie oder Ihre Vorgänger vor 10 Jahren alles abgespeichert haben? Firmenfusionen bringen beispielweise einen Schwung an Daten, die dann irgendwo liegenbleiben. Speichermedien sind immer billiger geworden, so gab es keinen Grund mehr, regelmäßig zu löschen. Bei Kunden haben wir u.a. alte Lebensläufe von Bewerbern gefunden und diese bieten ein aussagekräftiges Bild über eine Person mit Daten wie Name, frühere Arbeitsplätze oder Interessen.
Damit Ihre HR-Datenbank transparent und DSGVO-konform wird und damit sie auch so bleibt, sind drei Schritte erforderlich.
Schritt 1: Datenbank durchforsten
Diese Aufgabe über das Anwenderprogramm zu lösen kann mühsam werden, außerdem besteht die Gefahr, dass Sie nicht alle Daten auf diese Weise „sehen“ können,
Das Durchforsten muss bei solchen Mengen automatisiert erfolgen, d.h. Ihr HR-Software-Anbieter sollte dies ermöglichen. Sage bietet darüber hinaus den Kunden ein umfassendes Datenschutz-Consulting, sowohl bezogen auf HR-Daten, als auch, wenn gewünscht, auf die gesamten Unternehmensdaten. Die technische Beratung machen die Experten von Sage, die rechtliche Beratung kommt vom Partner Deloitte – so ist Ihr Unternehmen in allen Belangen abgesichert.
Schritt 2: Daten löschen
Wir haben eingangs von billigen Speichermedien gesprochen und es ist auch bekannt, dass die Österreicher gerne sammeln, von Kleidungsstücken eben bis zu Daten. Jetzt aber gibt es einen triftigen Grund, Daten zu löschen, denn die DSGVO denkt ganz anders: Daten sind grundsätzlich nicht zu speichern, außer es besteht eine rechtliche Basis oder ein großes wirtschaftliches Interesse.
Wenn die Datenbank durchforstet ist, müssen im nächsten Schritt alle Daten, die nicht mehr aufbewahrt werden dürfen, nachweislich gelöscht werden. Sage bietet eine maßgeschneiderte Datenbankbereinigung inklusive Dokumentation für die DSB (Datenschutzbehörde): Wer hat wann, was gelöscht und wer ist der Verantwortliche. Aber Achtung, es gibt auch Ausnahmen, wo Mitarbeiterdaten nicht gelöscht werden dürfen.
Schritt 3: Weitermachen
Mit der einmaligen Bereinigung ist es nicht getan. Sie benötigen nun ein Konzept um sicherzustellen, dass Daten weiterhin DSGVO-konform gehandhabt werden. Nehmen wir als Beispiel den Austritt eines Dienstnehmers. Dessen steuerlich relevante Daten – die noch 7 Jahre aufzubewahren sind – machen meist weniger als die Hälfte des Datenvolumens aus, der Rest betrifft das Personalmanagement wie Mitarbeitergespräche, Schulungen aber auch die Schuhgröße, wenn Arbeitskleidung angeschafft wurde. Diese Daten müssen sobald wie möglich nach dem Austritt eines Mitarbeiters gelöscht werden.
Sage DPW ist dabei Programme zu erstellen, welche diese Funktionalität abdecken, also eine kundenindividuelle Verwaltung auf Tabellenebene ermöglichen.
Kundensupport & Datentransfer: ein heikles Thema
Die Zeiten sind vorbei, in denen sensible Personaldaten per Email an die Support-Mitarbeiter geschickt werden. Das kann Übel enden, wenn etwa Empfänger verwechselt werden.
Bei Sage DPW sind die Support-Mitarbeiter angewiesen, solche Mails sofort löschen.
Stattdessen bieten wir DSGVO-konform einen sog. Daten-Safe an. Im Zuge des Support-Tickets erhält der Kunde den Zugang und kann seine Daten „gesichert“ hochladen. Nach erfolgreicher Bearbeitung werden diese automatisch und nachweislich gelöscht.
Natürlich muss für diesen Prozess im Kunden-Support eine Auftragsverarbeitungsvereinbarung (AVV) zwischen dem Kunden und Sage abgeschlossen sein. Sage stellt hierfür eine Vorlage zur Verfügung, welche alle Prozesse im Kunden-Support berücksichtigt.
Auch für das „Teleconsulting“ gelten ganz klare Regeln, was viele nicht wissen, schon die Einsichtnahme in Personen-Daten stellt für die DSGVO eine Datenverarbeitung dar.
Verfahrensverzeichnisse
Früher mussten neue Applikationen der Datenschutzbehörde gemeldet werden (Registrierung). In der DSGVO ist das nicht mehr notwendig, aber alle Applikationen, welche Personen-Daten verarbeiten, müssen in einem sogenannten „Verfahrensverzeichnis“ genau dokumentiert werden. Neben Zweck der Verarbeitung, Beschreibung der Daten und Speicherort, muss bekanntgeben werden wer auf diese Daten einen Zugriff hat und welche Empfänger diese Daten erhalten. In der heutigen Zeit, wo es eine Vielzahl von Schnittstellen gibt, ist dies ein heikles Thema. Oft existieren zentrale Konzern-Personaldaten, welche in der Löschregeln mitberücksichtigt werden müssen.
Meist ist auch eine Datenschutz-Folgenabschätzung notwendig (DSGVO/Art. 35), als Nachweis, dass sie die Auswirkungen der neuen Applikation analysiert haben.
Vergessen Sie nie den Betriebsrat in dieses Thema einzubeziehen, meist muss eine Betriebsvereinbarung dazu abgeschlossen werden.
Auch die Datensicherheit muss beschrieben und nachgewiesen werden. Eine unternehmensinterne IT-Policy ist sehr hilfreich, damit die Mitarbeiter grundsätzlich über die Spielregeln im Unternehmen den Datenschutz betreffend informiert werden. Ein – „das habe ich nicht gewusst“ schützt nicht vor Strafen. Eine Schulung der Mitarbeiter zu diesen Themen ist hier angebracht.
Jeder muss seine Hausaufgaben machen
Am Ende sollte jedes Unternehmen, seine Prozesse in Bezug auf den Datenschutz dokumentiert haben, Datenlöschungen sollten nicht zufällig passieren, sondern in einem Konzept klar definiert sein. So sollte ein Datenschutzvorfall keine Panik auslösen, sondern nach dem definierten Prozess step-by-step abgearbeitet werden.
Sage hat sich frühzeitig mit der DSGVO befasst und dieses Wissen geben wir – gemeinsam mit dem Partner Deloitte – an unsere Kunden weiter. Wenn Sie sich im Detail informieren wollen, laden wir Sie ein, an unserem Webinar 1 Jahr DSGVO – Quo Vadis Datenschutz am 22. August teilzunehmen.
