DSGVO für Personaler: Wie konform ist Ihre Lösung?
Seit Mitte März 2018 kümmert sich Melanie Ludolph als Datenschutzbeauftragte um den Datenschutz beim Personalsoftware-Anbieter rexx systems. Die Fachfrau für das Thema DSGVO weiß: Der Bereich Personalabteilung war schon immer besonders sensibel in Sachen Datenspeicherung und -verarbeitung und ist damit möglicherweise auch „kritisch“ im Hinblick auf die DSGVO.
Ja, die HR-Software gehört grundsätzlich auf den Prüfstand. Melanie Ludolph von der intersoft consulting services AG ist TÜV-zertifizierte Datenschützerin und Rechtsanwältin. Das Unternehmen berät namhafte Marken Unternehmen wie die Deutsche Lufthansa AG, die Douglas Holding und zahlreiche IT-Häuser bei der Einhaltung gesetzlicher Anforderungen von DSGVO und BDSG, der Optimierung von Abläufen, der Erhebung und Verarbeitung von Daten sowie bei geeigneten Schulungsmaßnahmen für Mitarbeiter.
Personalabteilungen sind DSGVO-kritische Bereiche
„Personalabteilungen sind von den Auswirkungen der DSGVO besonders betroffen. Denn sie verarbeiten in den meisten ihrer Prozesse persönliche Daten von aktuellen und ehemaligen Mitarbeitern sowie von Bewerbern. Seit 18 Jahren setzt rexx systems Maßstäbe im Bereich der HR Software – in Bezug auf Funktionalität, auf Prozesse und auch auf den Datenschutz. Das ist für uns nichts Neues, auch nicht wegen der DSGVO.“, sagt Stefan Daufenbach, Associate Director bei rexx systems. Es gehe dabei unter anderem um Bewerbermanagement, Gehaltsabrechnung, Personalplanung und Personalbedarfs-Analysen, Talent Management, Urlaubsplanung sowie Zeit- und Anwesenheits-Management.
Bei Personalsoftware handelt es sich oft um mächtige, modular aufgebaute Pakete, die miteinander kommunizieren und Daten austauschen. Datenschutzbeauftragte der Unternehmen sind hier die richtigen Ansprechpartner, wenn es um DSGVO-Konformität geht. Software-Anbieter rexx systems hat fünf Tipps parat, die einen Kurz-Check auf DSGVO-Konformität von Personalabteilung und Software möglich machen.
Tipps für einen Kurz-Check
HR-Verantwortliche sollten zunächst darauf achten, dass die IT-Infrastruktur den Anforderungen entspricht. Das heißt: Zutritts- und Zugriffskontrollen in der Personalabteilung mit Publikumsverkehr sind dafür die Basis.Digitale Personalakten müssen sicher sein und mindestens den gleichen Schutz wie klassische, papiergebundene Personalakten erhalten. Da digitalisierte Dokumente einfacher durchsucht und analysiert werden können, sollten Berechtigungen dafür in HR-Software restriktiv vergeben werden. Die Konzepte für Aufbewahrung und Entsorgung der Personalakten müssen auch auf die Personaldatenverarbeitung und die digitalen Personalakten übertragen werden.
Die Daten müssen revisionssicher sein, und die Lösung sollte automatisiert und übergreifend nach Datensätzen suchen und diese souverän löschen können. Für die Datensicherheit im Bereich der Personaldatenverarbeitung sind also Lösungen mit hohem Schutzniveau nötig, und sie müssen den Zugang zu der HR-Software sowie den Zugriff auf die elektronischen Personalakten wirksam regeln. „Es darf auch nicht passieren, dass beispielsweise HR-Mitarbeiter digitale Personalakten aus Versehen –einfach durch einen falschen Mausklick – im Klartext weitergeben können.“, so Daufenbach.
Entsprechende Sicherheitsfunktionen wie Verschlüsselung und zahlreiche Berechtigungseinstellungen, wie sie rexx systems in seine Angebotspalette integriert hat, verhindern dies und schützen sensible Dokumente vor fremden Blicken. Stefan Daufenbach rät: „Mit unserem Beraterteam bei Ihnen vor Ort können wir uns Ihre individuellen Anforderungen genau anschauen.“
Fazit: Verantwortliche im Personalwesen sollten sich die eingesetzten HR-Lösungen unter die Lupe nehmen. Die Lösungen der rexx systems entsprechen den DSGVO-Anforderungen, auch Verträge wie Auftragsdatenverarbeitung wurden bereits angepasst. „Gerne bestätigen wir Ihnen, dass die von rexx systems angebotene Software grundsätzlich die Möglichkeiten bietet, die Anforderungen der geltenden und auch kommenden Datenschutzbestimmungen umzusetzen.“, so Melanie Ludolph, Consultant Datenschutz und Rechtsanwältin bei der intersoft consulting services AG. In Absprache mit ihrem Datenschutzbeauftragten können Kunden von rexx systems bereits entsprechende Einstellungen vornehmen, um den Vorgaben der EU-DSGVO nachzukommen.
Key Facts
Betroffenenrechte: Die Zahl der Auskunftsanfragen nach Art. 15 DSGVO stieg seit 2018 um über 400 Prozent.
Meldepflicht: Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.
Häufige Fragen
Welche Strafen drohen bei DSGVO-Verstößen?
Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Schadensersatzforderungen von Betroffenen.
Was ist eine Datenschutz-Folgenabschätzung?
Eine DSFA ist eine systematische Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten der Betroffenen. Sie ist Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt — etwa bei Profiling, Videoüberwachung oder der Verarbeitung besonderer Datenkategorien.
Gilt die DSGVO auch für kleine Unternehmen?
Ja, die DSGVO gilt größenunabhängig für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet. Kleine Unternehmen profitieren von wenigen Erleichterungen (z.B. kein Verarbeitungsverzeichnis unter 250 Mitarbeitern bei nicht-risikobehafteter Verarbeitung), müssen aber alle Grundprinzipien einhalten.
Verwandte Artikel
- DSGVO 2026: Was sich ändert und worauf Unternehmen achten müssen
- So wird Machine Learning in der IT-Sicherheit eingesetzt
- Was ist eigentlich ein EU-Datenschutzkoordinator?
Mehr aus dem MBF Media Netzwerk
- Mehr IT-Sicherheits-Trends auf mybusinessfuture.com
- IT-Strategien für Entscheider auf digital-chiefs.de
Quelle Titelbild: unsplash / rawpixel
Das Wichtigste in Kürze
- Seit Mitte März 2018 kümmert sich Melanie Ludolph als Datenschutzbeauftragte um den Datenschutz beim Personalsoftware-Anbieter rexx systems.
- Seit 18 Jahren setzt rexx systems Maßstäbe im Bereich der HR Software – in Bezug auf Funktionalität, auf Prozesse und auch auf den Datenschutz.
- Das Unternehmen berät namhafte Marken Unternehmen wie die Deutsche Lufthansa AG, die Douglas Holding und zahlreiche IT-Häuser bei der Einhaltung gesetzlicher Anforderungen von DSGVO und BDSG, der O…
- Datenschutzbeauftragte der Unternehmen sind hier die richtigen Ansprechpartner, wenn es um DSGVO-Konformität geht.
Dieser Beitrag basiert auf einer Pressemeldung von rexx systems
Fakt: Nur 43 Prozent der deutschen KMUs haben laut Bitkom einen IT-Notfallplan.
Fakt: 95 Prozent aller Cybersecurity-Vorfälle sind laut IBM auf menschliche Fehler zurückzuführen.
