Die neuen Vorschriften im Bereich des Datenschutzes.
Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. In der DSGVO sind Vorschriften zum Schutz personenbezogener Daten in der ganzen Europäischen Union festgelegt. Das hat Folgen für jedes Dienstleistungsunternehmen, das Projekte und Ressourcen plant und das auf diese Weise in irgendeiner Art personenbezogene Daten nutzt. In diesem Blog werden wir uns ansehen, welche Auswirkung diese Gesetzgebung auf die Planung Ihrer Mitarbeiter hat und was Sie als Dienstleistungsunternehmen regeln müssen.
Was bewirkt die DSGVO?
Durch die zunehmend digital werdende Welt ist inzwischen jeder mit seinen personenbezogenen Daten in einem Online-System registriert, wie z. B. bei Google, Facebook oder in einem Entgeltsystem eines Arbeitgebers. Dies kann mit einer E-Mail-Adresse, einer Mobiltelefonnummer, einer Wohnadresse oder einer anderen Angabe sein, von der die Identität einer Person abgeleitet werden kann.
Jeder bekommt Vollmacht über seine eigenen personenbezogenen Daten
Diese Daten werden auf verschiedene Arten genutzt. Dies kann für kommerzielle Zwecke sein, aber auch für die täglichen Aktivitäten eines Betriebs, sowie die Planung von Mitarbeitern für Projekte. Die DSGVO gibt jeder Person Vollmacht über ihre eigenen gespeicherten personenbezogenen Daten. Das verleiht ihm oder ihr ein Recht auf Einsicht, auf Änderung und Löschung der personenbezogenen Daten. Jedes Stück Information, das genutzt werden kann, um jemanden zu identifizieren, wird als Eigentum dieser Person betrachtet.
Die DSGVO beschreibt drei Parteien: die betroffene Person, den Verantwortlichen und den Auftragsverarbeiter. Die betroffene Person ist beispielsweise ein Mitarbeiter (Arbeitnehmer oder Selbstständiger ohne Personal) und der Arbeitgeber ist der Verantwortliche. Wenn man mit Personalplanungssoftware wie Timewax arbeitet, ist der Lieferant dieses Systems der Auftragsverarbeiter.
Was bedeutet das für die Planung?
Für die Planung von Projekten nutzen die Dienstleistungsbetriebe die personenbezogenen Daten der Mitarbeiter. Sie geben ihre Namen bei den Projekten an, nutzen Ihre Adressdaten, um die Fahrten zwischen Wohnung und Arbeitsstätte zu optimieren und senden Nachrichten an ihre E-Mail-Adressen, um über die Planung zu kommunizieren. Weil es sich zwischen dem Arbeitgeber und dem Mitarbeiter um eine hierarchische Beziehung handelt, dürfen diese Daten einfach ohne ausdrückliche Zustimmung genutzt werden.
In der Situation von ehemaligen Mitarbeitern ändert sich mehr. Der Dienstleistungsbetrieb darf ihre personenbezogenen Daten nicht mehr in der Planung nutzen und nur für den Zweck speichern, für den das Unternehmen diese Daten erhalten hat. Außerdem haben ehemalige Mitarbeiter das Recht, ihre Daten einzusehen, korrigieren oder löschen zu lassen. Insbesondere bei der Löschung aus dem Planungssystem kann dies unangenehme Folgen haben, beispielsweise für eine historische Analyse der Auslastung und des Projektergebnisses.
Sie dürfen Daten auch anonymisieren
Glücklicherweise nehmen die Regeln in der DSGVO darauf Rücksicht. Das Vergessen lassen von ehemaligen Mitarbeitern muss nicht zwangsweise durch die Löschung der Daten geregelt werden. Der ehemalige Mitarbeiter kann im System auch anonymisiert werden. Das bedeutet, dass Sie beispielsweise den Namen des ehemaligen Mitarbeiters so verändern, dass man danach nicht mehr davon ableiten kann, um welchen Mitarbeiter es sich handelt. Das führen Sie bei allen personenbezogenen Daten dieser betreffenden Person durch. Auf diese Weise können Sie trotzdem weiterhin über historische Daten verfügen.
Was Sie als Dienstleistungsunternehmen regeln müssen
Für das Unternehmen ist es wichtig, dass ein Verfahren zur Bearbeitung von Anträgen von betroffenen Personen eingerichtet wurde. Als Betrieb sind Sie nämlich verpflichtet, dem Antrag innerhalb von dreißig Tagen Folge zu leisten. Außerdem müssen Sie auch eine Politik darüber entwickeln, wie Sie die Speicherung von personenbezogenen Daten handhaben und wie lange Sie diese Daten aufbewahren. Die DSGVO legt fest, dass Betriebe proaktiv personenbezogene Daten löschen müssen, die sie nicht mehr benötigen.
Es empfiehlt sich, ein Verzeichnis mit Anträgen zu führen
Die Datenschutzbehörde wird kontrollieren, ob jeder sich an die neuen Vorschriften hält. Wenn eine betroffene Person sich mit einer Beschwerde bei der Datenschutzbehörde meldet, weil sich beispielsweise ein Verantwortlicher weigert, Daten zu ändern, kann diese Behörde beschließen, diesen Betrieb zu überprüfen. Sie werden feststellen, ob der Betrieb die gesetzlich festgelegten organisatorischen und technischen Maßnahmen ergriffen hat. Dann ist es günstig wann Sie praktische Dinge zeigen können, wie das Verzeichnis mit den Anträgen, das geführt wurde.
Bei einem Verstoß gegen die Vorschriften kann die Datenschutzbehörde ein Bußgeld auferlegen. Die Höhe des Bußgelds hängt von mehreren Faktoren ab. So wird die Art, der Umfang, die Dauer und die Auswirkung des Verstoßes auf die betroffene Person betrachtet. Es wird auch ins Gewicht fallen, ob der Übertreter vorsätzlich gehandelt hat oder ihm Fahrlässigkeit vorzuwerfen ist.
Schlussfolgerung
Jedes Dienstleistungsunternehmen, das Projekte und Ressourcen plant, ist durch diese neuen Vorschriften des DSGVO betroffen, weil hierbei personenbezogene Daten genutzt werden. Sie sind hierdurch verpflichtet, anders mit diesen personenbezogenen Daten umzugehen. Sie haben eine Politik hierüber zu formulieren. Wenn sich ein ehemaliger Mitarbeiter bei Ihnen mit einem Antrag meldet, haben Sie diesen zuverlässig zu bearbeiten und müssen innerhalb von dreißig Tagen reagieren. Es ist ratsam ein Verzeichnis über diese Anträge zu führen.