Seit Mai 2018 ist die DSGVO anzuwenden, um den Schutz der personenbezogenen Daten zu verbessern und die Privatsphäre der Menschen zu gewährleisten. Die Umsetzung der DSGVO zeitigt einen erheblichen Vertrauenszuwachs bei den Beschäftigten. Qualitätsorientierte Unternehmen streben eine Maximallösung an, um eine belastbare Datenverarbeitungsgrundlage für die Zukunft zu schaffen.
Die ADP Workforce View Europe 2019 befragte dazu über 10.000 europäische Mitarbeiter. Laut der Studie zeigt sich, dass sich das Inkrafttreten der Verordnung positiv auf das Vertrauen der Mitarbeiter in Bezug auf die Datensicherheit ausgewirkt hat. Mehr als die Hälfte der europäischen Befragten (56 %) sind zuversichtlich, dass ihre Daten von ihrem Arbeitgeber verantwortungsbewusst und sicher gespeichert werden. Dies ist ein Anstieg um acht Prozentpunkte seit 2018. In Deutschland sind es sogar 59,50 Prozent der Befragten, die diese Einschätzung treffen.
Vertrauenszuwachs. Cécile Georges, Chief Privacy Officer von ADP, kommentierte: »Es ist sehr ermutigend zu sehen, dass die Umsetzung der DSGVO mit einem erheblichen Vertrauenszuwachs der Beschäftigten einherging. Das deutet darauf hin, dass sich die Mitarbeiter nun sicherer fühlen als vor der DSGVO und dass Anforderungen von Unternehmen umgesetzt werden, die zum Teil bereits in der EU existierten. Sowohl für die Organisationen als auch für ihre Mitarbeiter ist es von entscheidender Bedeutung, dass die DSGVO einhalten wird und die Auswirkungen fehlerhafter Verarbeitung von Mitarbeiterdaten genau verstanden werden. Die DSGVO hat bereits zu positiven Ergebnissen geführt, jedoch müssen Unternehmen weiter daran arbeiten, die Datensicherheit aufrechtzuerhalten und Transparenz für die Mitarbeiter zu schaffen, um das Vertrauen weiter zu stärken.«
Trotzdem sorgen sich im Durchschnitt mehr als ein Viertel (26 %) der europäischen Mitarbeiter immer noch um die Sicherheit ihrer persönlichen Daten, was darauf hindeutet, dass eine beträchtliche Anzahl von Organisationen mehr tun muss. In Deutschland sorgen sich immerhin nur 23,6 Prozent um die Sicherheit ihrer Personaldaten. Die größten Sorgen unter den Mitarbeitern sind, dass sie keine Kontrolle über die gespeicherten Daten haben (11 %) und, dass die Systeme ihrer Organisation anfällig für Cyberangriffe oder Datenschutzverletzungen sind (10 %). Weitere 7 Prozent befürchten, dass zu viele Daten ohne ihre Zustimmung gespeichert werden.
Der Datenschutzbeauftrage ist eine deutsche Erfindung. Die Verantwortlichen bei ADP beobachteten, dass auch Datenschutzbeauftragte lernen mussten umzudenken. Klassische Themen sind neu in den Fokus gerückt. Aktuell werden beispielsweise offene Rechtsfragen, wie die Aufbewahrungsfristen bei Personaldaten, diskutiert. Im Bereich des Beschäftigtendatenschutzes wird die DSGVO vom neugefassten Bundesdatenschutzgesetz erweitert [1]. Zwar darf die DSGVO nicht neu definiert, aber detailliert werden. Deshalb gibt es innerhalb der EU weiterhin nationale Unterschiede [2]. Der Datenschutzbeauftrage, nun in einer beratenden Funktion, ist eine deutsche Erfindung und die Bestellpflicht geht in Deutschland im Rahmen der DSGVO-Öffnungsklauseln deutlich über europäisches Recht hinaus. Ob diese erweiterte Bestellpflicht für das höhere Vertrauen der Deutschen in die Datenverarbeitung durch den Arbeitgeber mit ursächlich ist, kann vermutet werden.
Weltweite Beachtung. Eine weitere Entwicklung, die ADP im letzten Jahr beobachtete, ist die Bußgeldpraxis. In Deutschland gab es bisher vergleichsweise moderate Bußgelder, da auf ein einsichtiges Einhalten und Umsetzen des Datenschutzes gesetzt wurde. Dass dies besonders bei globalen Konzernen selten zum Erfolg geführt hat, zeigt sich seit der Erhöhung des Bußgeldrahmens auf bis zu 20 Mio. Euro bzw. 4 Prozent des Gesamtvorumsatzes eines Konzerns. Somit kann bei einer Datenschutzverletzung durch eine Tochtergesellschaft quasi der gesamte Konzern bestraft werden. In der Folge ist die Anzahl der Datenschutzexperten in den Unternehmen rapide angestiegen. Der strengere Umgang führt zudem zu sichtbarem Aufbau von Personal bei den Aufsichtsbehörden, da Datenschutzverletzungen häufiger zu melden sind und die Zahl der zu bearbeitenden Fälle steigt. Diese Entwicklungen sensibilisieren Management und Gesellschafter gegenüber der DSGVO. Es zeigt sich, dass die zunächst geäußerte Kritik an der DSGVO nun zurückgeht und diese stattdessen weltweit Beachtung findet und neue Standards schafft.
Verbindliche interne Datenschutzvorschriften. Generell ist zu sehen, dass das Thema Datenschutz aus einem kleinen Kreis von Experten seinen Weg in die breite Öffentlichkeit gefunden hat. So wird im professionellen Umfeld von Managern und Entscheidern der Datenschutz stärker wahrgenommen und demzufolge oft auch konsequenter umgesetzt. Dabei wird deutlich, Datenschutz ist keine Einmalaufgabe. Es geht um Investitionen, Optimierung und Lernen. Der Königsweg und Trend für Unternehmen, die Daten außerhalb der EU verarbeiten lassen wollen, sind verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (»BCRs«). Diese selbst auferlegten Vorgaben werden aufsichtsbehördlich überprüft und anerkannt, die Einführung ist zeit- und kostenintensiv. Die Liste der Unternehmen mit anerkannten BCRs führt die Europäische Kommission und diese wächst stetig. Daraus kann man folgern, dass qualitätsorientierte Unternehmen eine Maximallösung anstreben und eine belastbare Datenverarbeitungsgrundlage für die Zukunft schaffen [3].
In das Bewusstsein der Öffentlichkeit ist auch die bessere Durchsetzbarkeit von Rechten betroffener Personen gelangt. Die DSGVO formuliert nun umfassende Rechte wie das Recht auf Auskunft, das Recht auf Datenübertragbarkeit oder das Recht auf Vergessenwerden [4]. Das schafft Aufmerksamkeit und ein neues Anspruchsdenken bei den betroffenen Personen.
Dieter Schmidt,
Datenschutzbeauftragter,
ADP Employer Services GmbH Germany
[1] DSGVO zum Datenschutzbeauftragten: Artikel 37-39 DSGVO https://dsgvo-gesetz.de/art-37-dsgvo
[2] Das neugefasste BDSG §26: Das Beschäftigtendatenschutzgesetz regelt den Umgang mit personenbezogenen Daten im Beschäftigungsverhältnis. Nach Artikel 88 DSGVO ist ausdrücklich zugelassen, dass die Mitgliedstaaten spezifischere Vorschriften erlassen können.
[3] Unternehmen, die über anerkannte Binding Corporte Rules für den Datenschutz verfügen: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en
[4] In Abschnitt 3, Artikel 12-23