DSGVO: Das verlangt sie zum Schutz der Arbeitskräfte

Hinter der Bezeichnung DSGVO steckt die Datenschutzgrundverordnung der Europäischen Union (EU), die die Handhabung personenbezogener Daten regelt. Ergänzend zu dieser Grundverordnung besteht in Deutschland des Weiteren noch das Bundesdatenschutzgesetz mit der Bezeichnung BDSG.

Folgendes regelt die DSGVO:

• Unter welcher Voraussetzung Daten über Personen verarbeitet werden dürfen.
• Die Rechte der Personen, deren Daten verarbeiten werden.
• Informationspolitik, wie die Daten durch eine Organisation verwendet wird.
• Das Führen eines Verzeichnisses, aus dem raus hervorgeht, zu welchen Zweck die Daten durch die Organisation verwendet werden.
• Die Pflicht, Verträge mit Dienstleistern abzuschließen, die die Daten der Organisation verarbeiten.
• Die Benennung eines Datenschutzbeauftragten, der unter bestimmte Voraussetzungen in einer Organisation zum Datenschutz berät und die Einhaltung dieser sicherstellt.
• In der Lage ist, den Nachweis zu erbringen, dass die Datenschutzrichtlinien eingehalten werden.
• Dass bei besonders umfangreichen Daten die Verarbeitung einer Risikoanalyse unterzogen wird.
• Dass bei „Datenpannen“ eine detaillierte Dokumentation vorhanden ist und diese der Aufsichtsbehörde sowie unter bestimmten Umständen auch der betroffenen Person gemeldet wird.
• Dass die vertraulichen Daten durch angemessene technische Maßnahmen vor unbefugten Zugriff geschützt sind.

Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung ist von allen in der EU ansässigen Organisationen zu beachten und einzuhalten. Ebenso gilt dies für Unternehmungen, die außerhalb der EU ansässig sind, jedoch ihre Dienstleistungen oder Produkte an EU-Bürger richten.

Als „Datenverarbeitung“ wird somit alles, was mit personenbezogenen Daten, die durch Fragebögen, Formulare, Datenbanken wie beispielsweise Excel oder in Form von Personalakten erhoben, übermittelt und / oder aktualisiert verarbeitet werden, verstanden. All dies ist somit als Datenverarbeitung zu deuten und entsprechend der DSGVO zu handhaben und vor allem zu schützen.

Die DSGVO legt ebenso fest, dass lediglich personenbezogene Daten nur im Rahmen der Rechtsgrundlage erfolgen darf sowie ausschließlich nur die Daten gesammelt und verarbeitet werden, die für den Ursprung der Erhebung relevant sind. Dies bedeutet, dass lediglich nur die Daten erhoben und weiterverarbeitet werden, die für den bestimmten Zweck sodann auch relevant und nötig sind.

Lösung der Daten

So ist auch zu beachten, dass beispielsweise Bewerbungsunterlagen spätestens nach sechs Monaten gelöscht werden, wenn der Bewerber abgelehnt wurde und keine Einwilligung vorliegt, die Daten weiter nach den sechs Monaten für eventuell andere zu besetzenden Positionen zu verarbeiten, beziehungsweise „auf Vorrat“ zu speichern.

Ebenfalls sollte darauf geachtet werden, dass lediglich zulässige Daten durch Organisationen erhoben werden. So dürfen beispielsweise keine sensiblen Daten ohne Ausnahmeregelung erhoben und / oder genutzt werden. Dies wären unter anderem Daten, die auf krankheitsbedingte Fehltage zwecks Auswertung gerichtet sind, oder aber Daten, die sowohl religiöser als auch politischer Natur sind.

Um nun dieses komplexe Thema DSGVO korrekt und zielführend umzusetzen, sollte die Organisation ein Datenschutzbeauftragter – also einen Spezialisten – einsetzen, der sich mit der schwierigen Materie „Datenschutz“ genauestens auskennt. Jedoch ist der Einsatz eines Beauftragten nicht für jede Organisation vorgeschrieben. Eine Pflicht gilt allerdings für Organisationen wie Behörden und öffentliche Stellen sowie Organisationen, die eine permanente Überwachung der betroffenen Personen erfordert oder aber die Haupttätigkeit der Organisation darin liegt, „besondere Arten“ von personenbezogenen Daten zu verarbeiten.

Zusammenfassung

Die DSGVO ist von Organisationen immer dann zu beachten, wenn diese in der Europäischen Union ansässig ist oder aber in der EU-Produkte oder Dienstleistungen anbietet und in diesem Zusammenhang mit Daten natürlicher Personen umgeht. Es ist nicht zwingend erforderlich, dass jede Größe einer Organisation ein Beauftragter für Datenschutz einsetzt – jedoch wird dies ab einer bestimmten Größe erwartet und je nach Kernaufgabe der Organisation wird dies sogar zur Pflicht.