Die EU-Datenschutz-Grundverordnung (DSGVO)
Was bedeutet die EU-Datenschutz-Grundverordnung im Personalbereich, bei Entsendungen und Relocations?
Umkehr der Beweislast und mehr Wirkung der Rechte der Mitarbeiter beim Datenschutz
Die EU-Datenschutz-Grundverordnung (DSGVO) ist da und es herrscht nach wie vor in vielen Unternehmen mit internationalem Bezug relative Verwirrung, was das für die Abwicklung und die beteiligten Parteien bei Relocations und Entsendungen bedeutet.
Wohl wichtigstes Merkmal ist die Beweislastumkehr, d.h. auch ohne Verstoß müssen Unternehmen jederzeit dokumentieren können, welche Daten sie über ihre Mitarbeiter speichern, z.B. wie und wo die Daten erhoben werden, wie der Arbeitgeber damit umgeht, wer Zugriff darauf hat, wie sie geschützt und nach welchem Zeitraum sie gelöscht werden. Damit ist Datenschutz nun mehr als Compliance. Sehen Sie dazu auch unser Selbstaudit zur DSGVO ein.
Es entsteht eine echte Rechenschaftspflicht, die am besten mittels eines Audits der aktuellen Situation erfüllt wird, das wirkt wie ein Beweisfoto des Ist-Zustandes. Da die Verordnung am 25. Mai 2018 wirksam wurde, sollte der Datenschutzbeauftragten eines Unternehmens fleißig daran gearbeitet haben, die notwendigen Schritte einzuleiten und Dokumentationen angelegt zu haben.
Gerade internationale Unternehmen, die in der EU Personal beschäftigen und entsenden, unabhängig vom Hauptsitz der Gesellschaft, müssen sich zudem darauf einstellen, dass die Regelungen nicht in jedem EU-Land 100%-ig gleich sind. Doch die Abweichungen sind durch den Gesetzgeber dadurch beschränkt, das sie länderspezifisch, aber nicht im Wesen unterschiedlich sein dürfen. So haben Mitarbeiter in der ganzen EU grundsätzlich das Recht, zu wissen, was und wofür ihre sensiblen oder weniger sensiblen Daten gespeichert und verarbeitet werden; auch ein Recht zur Löschung steht ihnen zu.
- Starke Bedenken bezgl. des Datenschutzes in Unternehmen und Behörden in %
Quelle: Statista 2018 (Daten aus dem Jahre 2015)
Mitgefangen, mitgehangen: Die DSGVO war eigentlich für den Schutz der Bürger vor Datenstaubsaugern gedacht
Bei Zuwiderhandlung drohen drakonische Strafen, was als Zeichen gewertet werden muss, wie wichtig der EU das Thema Datenschutz mittlerweile ist. Wer also z.B. in einem nicht mit der Richtlinie konformen Verfahren persönliche Daten außerhalb der EU erhebt oder wer ohne Grundlage Daten erhebt oder verarbeitet, der muss mit üblen Folgen rechnen.
Die EU will damit die vielen Datenstaubsauger an die Kandare nehmen, die unsauberen Umgang mit Kundendaten mittlerweile zum Geschäftsmodell erkoren haben. Trotzdem trifft es alle Unternehmen, die Mitarbeiter beschäftigen, unabhängig von deren Größe. Arbeitgeber verfügen aber i.d.R. über die notwendigen expliziten Einwilligungen, eine ausreichende Vertragsgrundlage sowie die notwendige Sensibilität, um Daten ihrer Mitarbeiter gesetzeskonform zu erheben, zu speichern und zu verarbeiten.
Aber wie sieht es z.B. bei der Weitergabe an Anders Consulting im Rahmen der Betreuung einer Entsendung aus?
In der Regel werden für die Übergabe eines Relocation-Auftrages an einen Dienstleister keine großen Mengen sensible Daten benötigt. Die Übergabe kann durch einfache Übergabe des Namens und der einer E-Mail-Adresse erfolgen. Die nötigen Daten zur individuellen Auftragsausführung ermitteln wir dann selbst mit dem Einverständnis des Mitarbeiters. Wenn Sie uns als Auftraggeber personenbezogene Daten liefern, müssen wir auf den Abschluss eines Vertrages als Auftragsverarbeiter bestehen, damit wir als Auftragnehmer den Pflichten gemäß der DSGVO nachkommen.
Als Relocation-Service unterliegen wir sehr Anforderungen an den Datenschutz, weil wir während der Ausführung von Aufträgen an sensible und hoch-sensible Daten der von aus betreuten Personen und deren Angehöriger kommen, diese verarbeiten, nutzen, speichern und zum Teil dritten Parteien offenbaren. Eine Übersicht der Gründe für die Datenerhebung, Datenkategorien, Empfänger von Daten, Dauer der Speicherung, Rechte auf Auskunft, Löschung, Widerruf und Übertragung, Beschwerderechte, Datenquellen und Informationen über automatisierte Datenanalyse und Statistik finden Sie hier.
Tipp: Beschränken Sie sich bei der Beauftragung nur auf die notwendigen Daten zur Beauftragung. Lassen Sie uns insgesamt so sparsam mit Daten sein wie es geht, damit die Ausführung der Relocation-Services gewährleistet ist!
- Fortschritte von Firmen bei der DSGVO in %
Quelle: Bitkom Reserach / Statista, 2017 zitiert nach heise online
Im Zweifel eine freiwillige und ausdrückliche Einwilligung einholen
Ist die Weitergabe an einen Dienstleister im Rahmen einer Entsendung z.B. im Arbeits- oder Entsendevertrag geregelt und ist die Datenweitergabe als rechtliche Verpflichtung zur Erfüllung notwendig, so ist ohnehin alles in Ordnung. Auch werden durch den Relocation-Support, der ja nicht zwangsweise erfolgt, lebenswichtige Interessen des Arbeitnehmers unter Einhaltung der Verhältnismäßigkeit der Wahrung von Grundrechten und Grundfreiheiten wahrgenommen.
Tipp: Prüfen Sie vor der Beauftragung der externen Dienstleister für Visabeschaffung, Relocation oder andere Unterstützungsmaßnahmen, ob im Zweifel eine ausdrückliche und freiwillige Einwilligungserklärung des Mitarbeiters für den Zweck der Entsendung vorliegt, die die Weitergabe von Daten an Dritte für diese Zwecke ausdrücklich abdeckt.
Dieser Beitrag wurde mit großer Sorgfalt recherchiert. Irrtum und Änderungen vorbehalten. Anders Consulting erbringt im rahmen seiner Tätigkeit keine Rechtsdienstleistungen. Stand Winter 2020
Auszüge aus der DSGVO
Art. 1 DSGVO Gegenstand und Ziele
- Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
- Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
- Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten
- Personenbezogene Daten müssen
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
- Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Art. 88 DSGVO Datenverarbeitung im Beschäftigungskontext
- Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
- Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.
- Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.
Datenschutz ist für uns ganz selbstverständlich
„Da Sie gerade auf unserer Website unterwegs sind, vertrauen Sie ja bereits jetzt auf unsere Kompetenz beim Datenschutz. Näheres erfahren Sie in unserer Datenschutzerklärung.
Doch wir tun viel mehr. Hätten Sie gedacht, dass wir allen Mitarbeitern und Relocation-Consultants den Gebrauch von WhatsApp verbieten müssen? Oder wussten Sie, dass wir ausschließlich Software und Apps verwenden, die noch Service-Updates erhalten, damit sich keine Sicherheitslücken auftun können? Oder hätten Sie gedacht, dass regelmäßige Datensicherung und ein Notfallplan, auch bei einem Brand in unseren Geschäftsräumen nach 24 Stunden alle Daten wiederhergestellt zu haben und voll am Netz zu sein, bei uns selbstverständlich sind? Unser Selbstaudit enthält mehr Informationen dazu.
Natürlich können Sie sich als von uns betreuter Mitarbeiter eines Unternehmens, als Privatkunde oder gewerblicher Auftraggeber darauf verlassen, dass wir überall die landesspezifischen Anforderungen an den Datenschutz respektieren und alle Mitarbeiter und Dienstleister, die für uns tätig sind, ebenso dazu verpflichten. Das so geschaffene Vertrauen ist uns sehr wichtig. You’ve got a Friend in Germany!“
Foto: Anders Consulting Global Relocation Service unter Verwendung von Fotolia Datei: #178762823 | Urheber: BillionPhotos.com