DSGVO für Unternehmen: Darauf müssen Sie im Umgang mit personenbezogenen Daten achten

Achten Sie in Ihrem Unternehmen auf die DSGVO-Konformität!

Seit Inkrafttreten der EU-Grundverordnung zum Datenschutz am 25. Mai 2018 müssen sich Unternehmen neuen Herausforderungen stellen. Auch Sie fragen sich sicherlich, was die neuen Vorschriften für Ihren Betrieb bedeuten und wie Sie weiterhin gefahrlos Ihren Geschäften nachgehen können.

Die Unsicherheit, die bei vielen durch das neue Gesetz hervorgerufen wird, ist jedoch gar nicht nötig. Was Sie bei der Handhabung mit personenbezogenen Daten wirklich berücksichtigen sollten und auf welchem Wege Sie die Umstellung effizient meistern können, erfahren Sie in diesem Artikel.

Das ist die Bedeutung personenbezogener Daten

Was versteht der Gesetzgeber eigentlich unter personenbezogenen Daten? Und warum sind die neuen Maßnahmen zum Datenschutz überhaupt notwendig?

Als personenbezogen gelten all jene Daten, die in Bezug zu einer natürlichen Person stehen oder auf eine Weise mit ihr in Verbindung gebracht werden können, um Rückschlüsse auf ihre Persönlichkeit zu ermöglichen. Es geht also nicht nur darum, die Daten an sich zu schützen. Es geht vor allem auch um die Person, die sich dahinter verbirgt.

Die DSGVO bezieht sich auf persönliche Daten wie von Bewerbern. Vitapio

Gerade von Bewerbern erhalten Sie viele Daten, die von Ihnen verarbeitet und gespeichert werden. Darauf sollten insbesondere Personaldienstleister aufpassen. Bild von ©contrastwerkstatt – de.fotolia.com

Welche konkreten Beispiele gibt es?

Allgemeine Daten (Name, Geburtsdatum, Geburtsort, Ausbildung, Familienstand etc.)
Körperliche Merkmale (Geschlecht, Größe, Hautfarbe, Haarfarbe etc.)
Kontaktdaten (Anschrift, Telefonnummer, E-Mail-Adresse)
Bankdaten (Kreditkarteninformation, Kontonummer, Kontostand)
Vorstrafen
Gesundheitsdaten (Blutgruppe, Vorerkrankungen, Röntgenbilder, MRT-Scans)
Werturteile (Zertifikate, Zeugnisse)
Kennnummern (Personalausweisnummer, Reisepassnummer, Sozialversicherungsnummer, Steueridentifikationsnummer)
Fahrzeugdaten (Kfz-Kennzeichen, Kraftfahrzeugnummer)

Gerade Personaldienstleister müssen viele personenbezogene Daten verarbeiten. Die Nutzung beginnt bereits mit Eingang einer Bewerbung und dem Erstellen des Kandidatenprofils. Welche Informationen Sie dabei erfassen sollten, erfahren Sie hier in Kandidatenprofile: Diese Informationen dürfen nicht fehlen.

Bei Erhebung und Verarbeitung von folgenden Daten ist besondere Vorsicht geboten:

Nationalität sowie ethnische Herkunft
Politische Ansichten
Religiöse sowie philosophische Überzeugung
Gewerkschaftszugehörigkeit
Gesundheit einer Person
Sexualität eines Menschen

Sicher merken Sie bereits, dass sich kaum ein Kundenverhältnis aufbauen lässt, ohne in Kontakt mit personenbezogenen Daten zu geraten. Auch über die eigenen Mitarbeiter und vor allem potenzielle Bewerber müssen Sie Bescheid wissen, um Ihren unternehmerischen Aktivitäten nachgehen zu können.

Alte und neue Pflichten – Was hat sich geändert?

Die EU-Datenschutzrichtlinie vom 24. Mai 2016 ist nun als EU-Datengrundschutzverordnung für die Mitgliedstaaten geltendes Recht. Letzte Änderungen und Ergänzungen – unter anderem nach dem Vorbild des Bundesdatenschutzgesetzes – wurden durch die EU-Kommission getroffen. Welche Grundsätze ergeben sich daraus für Sie?

Diese Grunds

ätze waren schon bekannt:

1. Verbot mit Erlaubnisvorbehalt

Personenbezogene Daten zu erheben, zu verarbeiten oder allgemein zu nutzen, ist grundsätzlich untersagt. Dies gilt solange, wie das Gesetz oder die betroffene Person Ihnen nicht die erforderlichen Befugnisse erteilt.

2. Datensparsamkeit

Es darf lediglich die Art und Menge an Daten erhoben werden, die für die Verarbeitung tatsächlich notwendig ist.

3. Zweckgebundenheit

Sie dürfen die erhaltenen Daten ausschließlich für den eigentlichen Zweck der Erhebung verwenden. Zusätzlich muss für die Verarbeitungsvorgänge Transparenz gewährleistet sein. Das heißt, es muss klar sein:

welche Akteure Zugriff erhalten
warum welche Information benötigt werden
was mit den Daten geschieht
wie lange sie gespeichert werden

4. Datenrichtigkeit

Die aufbewahrten Datensätze müssen sowohl auf inhaltlicher als auch sachlicher Ebene aktualisiert und auf Richtigkeit geprüft sein.

Das hat sich geändert:

1. Nicht-Mitgliedstaaten

Die Vorgaben gelten ab jetzt auch für Anfragende und Unternehmen aus Drittländern, sobald EU-Bürger bzw. deren Daten betroffen sind.

2. Einwilligungshandlung

Ein stillschweigendes Einverständnis ist nicht mehr ausreichend. Die betroffene Person muss die Datenverarbeitung aktiv genehmigen. Dies kann schriftlich erfolgen oder beispielsweise durch Kontrollkästchen passieren. Dabei gilt jedoch: Bereits vorher gesetzte Häkchen bei Opt-out-Boxen gelten als unzulässig.

Achtung: Für verschiedene Vorgänge müssen gesondert Einwilligungen vorliegen. Die Zusendung von Bewerbungsunterlagen wird als eine Form der Einwilligung betrachtet.

3. Datensicherheit

Alle, die Daten verarbeiten, müssen eine regelmäßige Risikobewertung durchführen.

Datenschutz ist essentieller Bestandteil der DSGVO. Vitapio

Das Schutzniveau für die Daten muss entsprechend dem Stand der Technik, der Implementierungskosten und Beachtung weiterer Umstände, angepasst werden. Diese Maßnahmen können sowohl organisatorischer als auch technischer Art sein.

Je schutzbedürftiger die personenbezogenen Daten, desto höher sollte das Schutzniveau sein.

4. Kopplungsverbot

Der Abschluss eines Vertrages darf nicht länger von einer Einwilligung zur Datenverarbeitung abhängig gemacht werden.

5. Löschpflicht

Unternehmen, die Daten an Dritte weitergegeben haben (z.B. Personaldienstleister), müssen ihre Ansprechpartner im Falle von fehlerhaften oder veralteten Daten umgehend informieren. Dies soll gewährleisten, dass die Löschung in allen Instanzen vorgenommen wird.

6. Rechenschaftspflicht

Die DSGVO verpflichtet Sie, jederzeit Auskunft über Ihre Datennutzung zu geben. Mit Vitapio geht das besonders einfach.

Sollten Zweifel an der Datensicherheit eines Unternehmens bestehen, kann die zuständige Aufsichtsbehörde entsprechende Belege anfordern. Bild von ©graphixchon – de.fotolia.com

Sie müssen dann die Einhaltung aller Datenschutzprinzipien nachweisen können.

7. Meldepflicht

Im Falle einer Datenpanne müssen Betroffene unverzüglich in Kenntnis gesetzt werden. Die Frist beträgt hierbei 72 Stunden nach Entstehung des erhöhten Risikos.

Zusätzlich zu Ihren Verpflichtungen gibt es neue Rechte. Diese gelten jedoch nicht für Sie, sondern für Personen, deren Daten Sie erheben, verarbeiten oder nutzen. Solche Personen haben jetzt eine Vielzahl an neuen Rechten, welchen Sie auf Anfrage Folge leisten müssen.

Was ein Verstoß kosten kann

Sollten Sie gegen die neue Datenschutzverordnung verstoßen, laufen Sie Gefahr, Bußgelder zahlen zu müssen oder gar strafrechtlich verfolgt zu werden.

Die Aufsichtsbehörden orientieren sich an einem Kriterienkatalog, der Ihnen verbindliche Vorgaben macht. Bei einer Datenschutzverletzung handelt es sich nicht gleich um eine Datenpanne.

Wer eine Datenschutzverletzung verursacht, verletzt in nahezu allen Fällen direkt eine Vorgabe der Datenschutz-Grundverordnung. Entscheidend für das Strafmaß sind eine Reihe von Faktoren, die es zu berücksichtigen gilt.

Unter diesen Kriterien soll in jedem Einzelfall – wirksam und verhältnismäßig – ein abschreckendes Bußgeld verhängt werden:

Grad der Vorsätzlichkeit oder Fahrlässigkeit
Ausmaß der vorgenommenen Schadensminderung
Kooperationsbereitschaft mit der Aufsichtsbehörde
Ob die Kontaktaufnahme mit der Aufsichtsbehörde durch den Verantwortlichen selbst in die Wege geleitet wird
Dauer, Ausmaß und Art des Verstoßes
Verantwortungsgrad der Verursacher und Ausmaß der vorsorglich getroffenen Maßnahmen
Bereits zuvor verursachte Datenschutzverletzungen durch den Verantwortlichen

Ergreifen Sie Maßnahmen – Sonst drohen Bußgelder

Gerade Konzerne müssen sich für den Bußgeldrahmen wappnen, der laut der DSGVO vorgeschrieben wurde. Als Unternehmen gelten der Rechtsprechung des EuGH zufolge alle Einheiten, die wirtschaftliche Tätigkeiten ausüben. Sowohl Rechtsform als auch Art der Finanzierung sind hierbei unerheblich. Solch eine wirtschaftliche Einheit kann also auch aus Zusammenschlüssen von mehreren natürlichen oder juristischen Personen bestehen. Der Umsatz eines Unternehmens gleicht folglich dem Umsatz des gesamten Konzerns.

Es ist jeweils der höhere Wert entscheidend:

Bei gravierenden Verstößen: Bis zu 20 Millionen Euro Bußgeld oder 4% des weltweit erzielten Gesamtumsatzes weltweit aus dem vorherigen Geschäftsjahr.

Bei gewichtigen Verstößen: Bis zu 10 Millionen Euro Bußgeld oder 2% des weltweit erzielten Gesamtumsatzes aus dem vorherigen Geschäftsjahr.

Bei Verstößen gegen die DSGVO müssen Sie mit hohen Bußgeldern rechnen. Vitapio

Die DSGVO macht die Vernachlässigung von Datenschutz für Unternehmen in hohem Maße unwirtschaftlich. So ist es für den Fall einer Datenschutzverletzung dringend ratsam, Vorkehrungen zu treffen. Bild von ©Natee Meepian – de.fotolia.com

Auf der sicheren Seite – Mit der richtigen Software

Insbesondere im Personalwesen müssen Sie sehr personenbezogene Daten verwalten und schützen.

Mit Vertriebslösungen wie Vitapio können Sie sich darauf verlassen, dass Sie jederzeit konform mit der EU-Datenschutz-Grundverordnung arbeiten. Gleichzeitig sparen Sie mit Vitapio als Lösung durch die Optimierung Ihres gesamten Vermittlungsprozesses außerordentlich viel Zeit. Somit können Sie sich besser auf Ihre eigentlichen Aufgaben konzentrieren.

Was sind die Sicherheitsmaßnahmen von Vitapio?

Für sämtliche hochgeladenen Expertenprofile werden über Vitapio die benötigten Einwilligungen der betroffenen Experten für Sie eingeholt. Die Involvierung von Drittparteien ist ebenfalls kein Problem. Denn auch hier setzt die Nutzung der personenbezogenen Daten die Einwilligung der betreffenden Personen voraus.

Zweckgemäß werden Profile ausschließlich passenden Firmen präsentiert.

Es wird auf Datensparsamkeit geachtet, indem lediglich hochgeladene oder eingetragene Profilinformationen genutzt werden.

Sind Daten veraltet, können diese zu jedem Zeitpunkt in kürzester Zeit auf den neusten Stand gebracht werden, um Richtigkeit zu garantieren.

Um die Sicherheit der Daten zu gewährleisten, werden diese in geschützten Datenbanken auf AWS-Cloud Servern gespeichert.

Vitapio lässt Sie einfacher arbeiten als jemals zuvor - und dabei DSGVO-konform sein.

Vitapio hat den Datenschutz weiter gedacht. Sie können dank dieser Lösung ohne Probleme DSGVO-konform arbeiten. Um die persönlichen Daten Ihrer Kandidaten müssen Sie sich keine Sorgen machen. Bild von ©nd3000 – de.fotolia.com

Ebenfalls vorhanden ist eine hervorragende Datenportabilität. Vitapio ermöglicht Ihnen eine reibungslose Datenweitergabe an weitere Verantwortliche, sollte dies den Wünschen Ihrer Kunden entsprechen.

Mit einer sorgfältig geführten, automatischen Dokumentation über Änderungen und Versendungen sämtlicher Lebensläufe sind Sie gut auf Anfragen der Aufsichtsbehörde vorbereitet. Die erstellte Historie macht es möglich, die Einhaltung der Datenschutzprinzipien problemlos nachzuweisen.

Auf jede Eventualität vorbereitet – Datenschutz mit Vitapio einfach gemacht

Sollte der Zweck verfallen, die Einwilligung widerrufen worden oder die Datenverarbeitung unrechtmäßig sein, ermöglicht Vitapio Ihren Kandidaten, selber Löschungen vorzunehmen. Die Betroffenen können sich dabei aussuchen, ob sie lediglich für bestimmte Unternehmen Informationen entfernen oder eine Löschung auf der gesamten Plattform veranlassen möchten.

Was Ihnen bei Vitapio einen besonderen Vorteil verschafft: Potenzielle Interessenten, die Profile von Kandidaten erhalten haben, werden auf den jeweiligen Profilen gespeichert. Somit können bei Bedarf auch die weitergegebenen Daten gelöscht werden. Dies erspart Ihnen sehr viel Zeit, da sich die schützenswerten Daten nicht in alle Richtungen zerstreuen und die Erfüllung der Löschpflicht für Sie einfacher gestaltet wird als je zuvor.

Damit Sie nach Einführung der DSGVO weiterhin ohne Einschränkungen arbeiten können, testen Sie noch heute Vitapio!