Machen Sie die ersten Schritte und werden Sie intern DSGVO-konform

 

Ab Mai 2018 geht es nicht mehr nur um Ihre Kundendaten

Sie alle wissen, dass die Datenschutz-Grundverordnung kommt. Sehr bald sogar. Aber ist Ihnen auch bewusst, dass die personenbezogenen Daten Ihrer Mitarbeiter genauso stark von der Verordnung betroffen sind die Daten Ihrer Kunden?

Viele Unternehmen legen den Fokus beim Thema DSGVO häufig auf den Datenschutz von Personen außerhalb der eigenen Organisation. Ihre Angestellten haben ab Mai nächsten Jahres jedoch exakt die gleichen Rechte. Alle Informationen, die sie über Ihre Mitarbeiter sammeln und auf verschiedenen Systemen sowie in zahllosen Dateien ablegen, können nach Inkrafttreten der Verordnung jederzeit angefordert und eingesehen werden. Sind Sie dafür gewappnet?

Die Dringlichkeit wird vielleicht deutlich, wenn Sie darüber nachdenken, viele personenbezogene Daten Sie selbst im Laufe Ihres Anstellungsverhältnisses produzieren und ansammeln. Wo sollen Unternehmen zuerst ansetzen?

Zuerst gilt es zu klären, was “personenbezogene Daten von Mitarbeitern" überhaupt sind. Schließlich müssen Sie wissen, wonach Sie suchen. Neben offensichtlichen Dingen zum Beispiel Name, Adresse, Geburtsdatum, Familienstand, Steuerklasse halten Sie wahrscheinlich die Gehaltshistorie Ihrer Mitarbeiter vor, haben Informationen zu Ernährungsgewohnheiten, kennen den Aufenthaltsstatus, Details zum Führerschein und vieles mehr.

Überlegen Sie, welche Informationen vom ersten Bewerbungsgespräch eines Kandidaten bis zum Ausscheiden aus dem Unternehmen anfallen. Lebensläufe, Anschreiben, Arbeitsproben, vielleicht auch Ergebnisse des Einstellungstests – überall stecken persönliche Informationen drin. Möglicherweise haben Sie beim ersten Besuch Ausweisdokumente registriert?

Im Laufe des Anstellungsverhältnisses häuft sich dann immer mehr Persönliches an: Trainings, Auslandsaufenthalte, Dienstreisen, Spesenabrechnungen, Elternzeiten, Leistungsüberprüfungen – alles wird irgendwo aufgezeichnet. Die neue Verordnung erlaubt die Frage, und wo Sie diese Daten vorhalten.

Genau hier liegt der Knackpunkt und die Sorge vieler Unternehmen. Denn höchstwahrscheinlich sind die personenbezogenen Daten verteilt über zig verschiedene Orte – einige davon digital, andere physisch. Und vermutlich sind die Systeme nicht miteinander verbunden, sprich es kann diverse Kopien von einem Datensatz geben. Ganz zu schweigen von den Dubletten, E-Mail-Anhängen und Ausdrucken, die auf den Rechnern, in den Postfächern oder auf den Schreibtischen einzelner Mitarbeiter schlummern. Unternehmensweit einen lückenlosen Überblick über personenbezogene zu schaffen, entpuppt sich folglich als wahre Herausforderung.

Vielleicht haben Sie schon viele richtige Weichen gestellt und Maßnahmen getroffen, um personenbezogene Daten bei Bedarf konform aufzuspüren. Oft ist das Ende der Fahnenstange damit aber noch nicht erreicht.

Die DSGVO wirft zahllose Fragen rund um die Sicherheit personenbezogener Informationen auf. Wie schützen Sie diese im Laufe der Zeit? Wie stellen Sie sicher, dass nur die richtigen Personen Zugang dazu haben? Wie beugen Sie einem Missbrauch der Daten vor?

Und auch das Thema Compliance ist oft noch nicht gelöst. Es gibt viel zu bedenken, beispielsweise die strengen Auflagen der EU-weiten Verordnung beim Austausch von Mitarbeiterdaten über Ländergrenzen hinweg.

Bei ADP haben wir uns früh damit beschäftigt, dass es beim Thema DSGVO um mehr als nur Kundendaten geht. 2016 konnten wir drei bindende Unternehmensrichtlinien (Binding Corporate Rules, kurz BCR) einführen, die regeln, wir die personenbezogenen Daten unserer Kunden, Partner und Mitarbeiter verarbeiten und verwalten. Sie sind der Dreh- und Angelpunkt, um DSGVO-konforme Prozesse zu gewährleisten.

Besonders hilfreich im Zuge der Vorbereitungen auf die DSGVO finden viele Kunden unsere Employee Lifecyle Map. Das Tool unterstützt dabei,, die ab Mai auf Unternehmen zukommen können.
Bis zum Inkrafttreten ist es nicht mehr lang hin – die Zeit reicht aber noch aus,, ADP Ihnen auf dem Weg zu DSGVO-Compliance unter die Arme greifen kann.  



 

 

About Cécile

Cécile Georges ist Global Chief Privacy Officer (CPO) bei ADP. Seit Dezember 2016 leitet sie das Datenschutz- und Data Governance-Team, das zur weltweit agierenden Compliance-Organisation von ADP gehört. Ihr Team berät alle ADP-Geschäftsbereiche weltweit, gibt operative Leitlinien vor und ist unternehmensweit für die Konzeption und Implementierung des Compliance-Programms von ADP sowie den Schutz personenbezogener Daten verantwortlich.
Zuvor war Georges leitende Rechtsanwältin für den Raum APAC und unterstützte von Singapur aus die Expansion von ADP in der Region Asien-Pazifik. Sie ist seit 1999 für ADP tätig und spielte eine zentrale Rolle beim Aufbau der Rechtsabteilung in Frankreich. 2006 übernahm sie die Leitung der Rechtsabteilung für Europa und wurde zum VP Assistant General Counsel ernannt. 2011 wurde ihr Tätigkeitsbereich erweitert und sie zeichnete für den gesamten Bereich Employer Services International Legal verantwortlich. Ihr Fokus liegt auf dem Aufbau leistungsstarker Teams, die erstklassigen Services anbieten.
Cécile hat einen Magister in IT-Recht und legte ihre Anwaltsprüfung in Paris ab.