GDPR-Compliance Was die HR-Abteilung wissen muss

Die Datenschutz-Grundverordnung (GDPR) ändert die Art und Weise, wie Unternehmen Informationen über ihre Mitarbeiter und Kunden erfassen, sammeln und verwenden können. Sie betrifft alle Länder in der Europäischen Union (EU), einschließlich Großbritannien, und zielt darauf ab, die Datenvorschriften im gesamten Block zu vereinheitlichen. Wenn Sie ein Unternehmen sind, das außerhalb dieser Region ansässig ist, aber Daten über Bürger aus einem EU-Land speichern, werden Sie ebenfalls in die GDPR einbezogen.

Für Unternehmen, die im Vereinigten Königreich ansässig oder dort tätig sind, ist es wichtig zu beachten, dass das Land, auch wenn es aus der EU ausscheiden muss, zumindest bis März 2019 den vom GDPR festgelegten Gesetzen unterliegt. Das bedeutet, dass alle Organisationen innerhalb Europas sich darüber im Klaren sein müssen, welche Verpflichtungen sie gemäß GDPR erfüllen und was sie tun müssen.

Ist mein Unternehmen betroffen?

Ja. Jede Organisation ist gegenüber GDPR rechenschaftspflichtig, egal wie groß oder klein sie auch sein mag. Es wird nicht an der Größe Ihres Unternehmens gemessen, weil es sich nicht nur um Informationen handelt, die Sie über potentielle Kunden über Ihre Webseite erhalten.

Unternehmen, die Daten speichern, müssen sich an die Vorschriften halten, von denen ebenfalls jeder betroffen ist, der eine andere Person beschäftigt. Alle Organisationen benötigen für die Einhaltung der arbeitsrechtlichen Vorschriften grundlegende Informationen über ihre Mitarbeiter, wie z. B. Bankverbindung oder Anschrift.

Warum jetzt?

Die Technologie hat sich viel schneller als erwartet entwickelt, und nur wenige Vorschriften spiegeln die zahlreichen Möglichkeiten wider, wie Daten erfasst, gespeichert und genutzt werden können. Darüber hinaus müssen Unternehmen sicherstellen, dass sie vor der wachsenden Bedrohung durch Cyberkriminalität geschützt sind. GDPR dient dazu, sicherzustellen, dass das Gesetz für ein modernes Online-Leben angemessen ist und dass jeder Einzelne die Kontrolle über seine persönlichen Daten hat.

Was ändert sich?

Ziel der neuen Rechtsvorschriften ist es, Lücken, die Unternehmen in der Vergangenheit ausgenutzt haben könnten, zu beseitigen und entsprechende Geldbußen zu erhöhen, wenn sie nicht die richtigen Vorkehrungen getroffen haben.

Im Großen und Ganzen gibt GDPR dem Einzelnen mehr Rechte, die in einige Schlüsselbereiche unterteilt werden können:

• Information - Unternehmen müssen Einzelpersonen mitteilen, wie/wo ihre Informationen verarbeitet oder gespeichert werden
• Zugriff - Sie müssen Einzelpersonen die Möglichkeit geben, Ihre Daten einzusehen und ihnen den Zugriff darauf für ihren persönlichen Gebrauch ermöglichen
• Berichtigung - Unternehmen müssen Personen die Möglichkeit geben, falsche Informationen zu aktualisieren
• Löschung - Personen müssen die Möglichkeit haben, Sie aufzufordern, Ihre persönlichen Daten zu entfernen oder zu löschen
• Einschränkung - Einzelpersonen können Ihnen erlauben, ihre Daten zu speichern, ohne dass Sie damit einverstanden sind, sie weiterzugeben, was auch Situationen betrifft, in denen Informationen von Maschinen und nicht von Personen verarbeitet werden
• Einspruch - Unternehmen müssen Einzelpersonen die Möglichkeit einräumen, das datengesteuerte Marketing oder die Verwendung ihrer Informationen für Forschungszwecke abzulehnen.

Wann tritt es in Kraft?

Das Gesetz wird am 25. Mai 2018 eingeführt, aber es gibt Maßnahmen, die Ihr Unternehmen jetzt ergreifen muss, um sicherzustellen, dass Sie die in der Gesetzgebung festgelegten Standards erfüllen. Als HR-Mitarbeiter haben Sie die besten Voraussetzungen, um eine führende Rolle bei der Vorbereitung Ihres Unternehmens auf die GDPR-Frist zu übernehmen.

Hier sind fünf Schlüsselfragen, die Sie sich vor Ablauf der Frist bis 2018 stellen sollten:

• Wissen Einzelpersonen, wie Sie um Entfernung Ihrer Informationen bitten können?
• Wie werden diese Anfragen bearbeitet?
• Wie lange dauert es, bis Ihre personenbezogenen Daten gelöscht werden?
• Benötigen Sie die Einwilligung eines anderen für die Daten, die Sie gespeichert haben (Kinder oder schutzbedürftige Erwachsene)?
• Wie sieht Ihr Krisenplan für den Fall eines Datenmissbrauchs aus?

Wenn Sie sich diese Fragen stellen, können Sie herausfinden, in welchen Bereichen Ihre Datenpolitik anfällig sein könnte, wenn die GDPR in Kraft tritt. Es ist auch wichtig zu sehen, ob sich der Rest des Unternehmens auf die Veränderungen und die Grundausbildung in Datenschutz und Sicherheit angemessen vorbereitet fühlt, um sich und Ihre Kunden umfassend zu schützen.

Was sind die Strafen?

Eine der bedeutendsten Änderungen, die durch GDPR erreicht werden, ist der Betrag der Geldstrafe, mit der Sie bei Nichtbeachtung der Verordnung belegt werden könnten. Daten sind ein seriöses Geschäft, ganz gleich, ob es sich um Daten von Mitarbeitern oder Verbrauchern handelt, und die Strafen spiegeln dies wider.

Ab Mai 2018 könnten Unternehmen bei Nichteinhaltung mit Geldstrafen bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes eines Unternehmens belegt werden, was auch immer höher ist.