Die Datenschutz-Grundverordnung der Europäischen Union (General Data Protection Regulation – GDPR) ist ab dem 25. Mai 2018 – wie wir bereits öfters berichteten – verbindlich anzuwenden und gilt unmittelbar in allen Mitgliedstaaten, so auch in Ungarn. Die DSGVO stellt die Gesellschaften (Arbeitgeber), die während der Vorbereitung die rechtlichen Rahmen ihrer Datenverarbeitungspraxis in Verbindung mit ihren Geschäftstätigkeiten überprüfen und dies an die neuen Datenschutzanforderungen anpassen müssen, vor neue Herausforderungen. Einen der vorrangigen Bereiche der Überprüfung bilden die HR-Tätigkeiten und -Prozesse, bei denen die Erfüllung der rechtlichen Anforderungen der DSGVO-Compliance (dadurch in erster Linie, doch nicht ausschließlich das Vermeiden von Bußgeldzahlungen) besonders wichtig ist.
Die aus Sicht des Datenschutzes durchgeführte Überprüfung von HR-Tätigkeiten und -Prozessen betrifft alle Phasen des Arbeitsverhältnisses. Im Folgenden fassen wir diese Themen zusammen, die aus datenschutzrechtlicher Sicht rechtliche Risiken aufweisen und üblicherweise in der Arbeitgeberpraxis vorkommen:
HR-Tätigkeiten vor Begründung des Arbeitsverhältnisses
Es muss bereits vor der Stellenausschreibung überlegt werden, wie die Datenverarbeitung der Bewerber erfolgt. Wie wir bereits schon früher darüber berichteten, ist es wichtig, dass auch bei der Formulierung der Stellenausschreibung die Datenschutzanforderungen eingehalten werden. In Bezug auf die Stellenausschreibung und Bewerberauswahl werden bei HR-Tätigkeiten üblicherweise folgende Probleme aufgedeckt:
- der Arbeitgeber erstellt keine Datenschutzmitteilung für die Verarbeitung der personenbezogenen Daten der Bewerber,
- die HR recherchiert während des Auswahlverfahrens als Vorfilterung das Profil der Bewerber in den sozialen Netzwerken, versäumt es jedoch, die Bewerber darüber zu informieren,
- der Arbeitgeber teilt den Bewerbern nicht mit, dass die Bewerbung erfolglos war,
- der Arbeitgeber verarbeitet nach Abschluss der Bewerberauswahl die Daten von nicht ausgewählten Bewerbern ohne Zustimmung weiter.
HR-Tätigkeiten bei Begründung und Fortsetzung des Arbeitsverhältnisses
Bei der Begründung bzw. Fortführung des Arbeitsverhältnisses müssen ebenfalls eine Reihe von Datenschutzbestimmungen eingehalten werden. Es ist wichtig, dass der Arbeitnehmer über die Verarbeitung seiner personenbezogenen Daten entsprechend informiert wird. Bei der Vorbereitung auf die DSGVO muss überprüft werden, ob der Wortlaut der von der HR verwendeten Muster von Arbeitsverträgen und Informationsschreiben den DSGVO-Anforderungen und anderen gültigen Datenschutzbestimmungen entspricht.
Wenn der Arbeitgeber technische Geräte – wie z.B. eine Kamera oder ein GPS-Navigationssystem – zur Kontrolle des Arbeitnehmers anwendet, muss der Arbeitnehmer über die Anwendung dieser Geräte in Übereinstimmung mit den geltenden Rechtsvorschriften und auch mit den DSGVO-Anforderungen ebenfalls angemessen informiert werden. Auch die Kontrolle der Nutzung der den Arbeitnehmern zur Verfügung gestellten Firmenhandys, E-Mail-Accounts und Laptops muss geregelt werden. Aufgrund der DSGVO spielen – nach dem Grundsatz der Transparenz – die internen Ordnungen eine deutlich größere Rolle, daher ist es besonders wichtig, dass diese Dokumente in Übereinstimmung mit den geltenden Rechtsvorschriften und den Anforderungen der DSGVO formuliert werden, bzw. dass deren Wortlaut DSGVO-konform ist.
HR-Tätigkeiten nach Beendigung / Auflösung des Arbeitsverhältnisses
Die Datenverarbeitung endet auch nicht nach der Auflösung des Arbeitsverhältnisses. Daher ist es wichtig zu wissen, welche personenbezogenen Daten aus welchem Rechtsgrund (Rechtmäßigkeit) für welchen Zeitraum verarbeitet werden können oder müssen, was zusätzliche Aufgaben für die HR-Abteilung bedeutet.
Die Datenschutzanalyse der HR-Tätigkeiten in diesen Bereichen, die Überprüfung und Anfertigung der Muster von Arbeitsverträgen und Informationsschreiben sowie der internen Ordnungen beziehungsweise die Entwicklung einer guten Datenverarbeitungspraxis spielen Schlüsselrolle bei der rechtlichen DSGVO-Compliance.
Wenn Sie wissen möchten, ob die HR-Tätigkeiten und -Prozesse Ihres Unternehmens den Anforderungen der DSGVO entsprechen, kontaktieren Sie uns und wir überprüfen gern mittels Datenschutzaudit Ihre derzeitige Praxis!