Insbesondere im Personalbereich hantieren die Unternehmen tagt\u00e4glich mit sensiblen Daten ihrer MitarbeiterInnen. Umso wichtiger ist es f\u00fcr Personalverantwortliche, sich mit der DSGVO eingehend auseinanderzusetzen, um f\u00fcr die Zukunft rechtssicher mit den Daten des eigenen Personals umzugehen:<\/p>\n
I. Was verstehen wir unter der Datenschutz-Grundverordnung (DSGVO)?<\/strong><\/p>\n Am 25.05.2018 tritt die in 2016 bereits verabschiedete Datenschutz-Grundverordnung der Europ\u00e4ischen Union in Kraft. Sie ersetzt die bis dahin geltende EG-Datenschutzrichtlinie von 1995. Im Vergleich zur EG-Datenschutzrichtlinie wird die DSGVO direkt anwendbar sein, Umsetzungsakte der EU-Mitgliedstaaten sind nicht mehr notwendig. Damit soll mehr Rechtssicherheit durch die Angleichung der Datenschutzvorschriften in Europa entstehen. Inhaltlich zielt die DSGVO somit auf die Vereinheitlichung zum Schutz von personenbezogenen Daten auf europ\u00e4ischer Ebene ab.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n In Art. 88 DSGVO sind allerdings \u00d6ffnungsklauseln enthalten, die den Mitgliedstaaten die M\u00f6glichkeit gew\u00e4hren, speziellere Vorschriften f\u00fcr die Verarbeitung von Besch\u00e4ftigtendaten zu erlassen. Das meint in diesem Zusammenhang, dass beispielsweise Deutschland durch Rechtsvorschrift oder Kollektivvereinbarung speziellere Regelungen treffen kann.<\/p>\n Hier tritt in Deutschland zum einen das Datenschutz-Anpassungs- und Umsetzungsgesetz, kurz DSAnpUG, in Kraft, welches eine Modifikation und Konkretisierung der DSGVO darstellt. Zum anderen ersetzt hierzulande dann \u00a7 26 BDSG-neu die bisherige Norm des \u00a7 32 BDSG. Sie erg\u00e4nzt die Vorgaben zum Besch\u00e4ftigtensdatenschutz in der DSGVO.<\/p>\n II. Was genau zieht die Einf\u00fchrung der neuen Datenschutzgrundverordnung nach sich?<\/strong><\/p>\n Fr\u00fchzeitig sollten Sie sich mit den \u00c4nderungen dieser neuen Verordnung auseinandersetzen, da Ihnen als Unternehmen angesichts der sehr kurz gefassten Umsetzungsfristen nicht viel Zeit zum Handeln bleiben wird, und Ihnen bei versp\u00e4teter Aktion Bu\u00dfgelder drohen. Dabei ist zu beachten, dass der Bu\u00dfgeldrahmen betr\u00e4chtlich erh\u00f6ht wird, und bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen kann.<\/p>\n Die DSGVO regelt vor allem die rechtlichen Grundlagen f\u00fcr die Datenverarbeitung sowie Rechte und Pflichten der Normadressaten.<\/p>\n Vor allem werden die Rechte der Nutzer gest\u00e4rkt. Hier sei insbesondere auf die neuen Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen einzugehen. Sie erm\u00f6glichen zum einen f\u00fcr Betroffene leichteren Zugang zu ihren Daten sowie der Information der Datennutzung. Zudem wird der Anspruch auf L\u00f6schung nun im Gesetz fest verankert.<\/p>\n Daneben werden zudem wesentliche Elemente des bisherigen BDSG erhalten bleiben, zus\u00e4tzlich aber weitergehende Anforderungen an den Datenschutz speziell in Unternehmen in Deutschland und au\u00dferhalb der EU gestellt. Als Beispiel w\u00e4re die Regelung zu benennen, die verpflichtet, Ger\u00e4te und Anwendungen datenschutzfreundlich voreinzustellen. Desweiteren ist explizit auf die Verpflichtung von Unternehmen zur Datenschutz-Folgeeinsch\u00e4tzung bei besonderen Risiken f\u00fcr die erhobenen Daten durch beispielsweise neue Technologien aufmerksam zu machen.<\/p>\n Die Tatsache, dass die DSGVO auch f\u00fcr Unternehmen au\u00dferhalb der EU gilt, wird vor allem f\u00fcr Unternehmen mit Sitz in den USA weitreichende Konsequenzen haben.<\/p>\n III. Welchen Voraussetzungen unterliegt die Datenverarbeitung?<\/strong><\/p>\n Nur wenn die Verordnung oder ein anderes Gesetz es ausdr\u00fccklich erlaubt, ist die Datenverarbeitung zul\u00e4ssig. Damit bleibt die bisherige Regelung dazu im BDSG im Wesentlichen erhalten.<\/p>\n Die relevantesten Erlaubnistatbest\u00e4nde w\u00e4ren die Folgenden:<\/p>\n Zudem ist Art. 9 DSGVO als Verbotsnorm zu erw\u00e4hnen, die besondere Kategorien von Daten benennt, die grunds\u00e4tzlich nicht verarbeitet werden d\u00fcrfen. Im Vergleich zu der bisherigen Regelung im BDSG sind die Kategorien jedoch weiter gefasst. Sofern jedoch einer der oben genannten Erlaubnistatbest\u00e4nde greift, ist die Datenverarbeitung erlaubt.<\/p>\n IV. Was m\u00fcssen Sie im Hinblick auf eine Datenverarbeitung konkret als Unternehmen bzw. als HR-Verantwortliche(r) eines Unternehmens beachten?<\/strong><\/p>\n Die wichtigsten zu beachtenden Pflichten w\u00e4ren die Folgenden:<\/p>\n 1. Die Datenschutzorganisation im Unternehmen<\/u><\/strong><\/p>\n Es wird f\u00fcr Unternehmen keinen unerheblichen Verwaltungsaufwand darstellen, ihre eigene Datenschutzorganisation gem\u00e4\u00df der DSGVO auszugestalten:<\/p>\n a. Dokumentation der Art und Weise der Verarbeitungst\u00e4tigkeiten<\/strong><\/p>\n Jedes Unternehmen muss genau verzeichnen, inwiefern es welche Daten verarbeitet gem\u00e4\u00df der Vorgaben der DSGVO zum Nachweis gegen\u00fcber Aufsichtsbeh\u00f6rden sowie zur Erf\u00fcllung von Informationspflichten gegen\u00fcber den betroffenen Personen. Diese Verzeichnisse m\u00fcssen \u00fcber den Verarbeitungszweck, die Kategorien der personenbezogenen Daten und die eingesetzten technischen sowie organisatorischen Schutzma\u00dfnahmen beschreiben.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n F\u00fcr Sie als Personalverantwortliche(r) ist hier insbesondere zu beachten, die Daten Ihrer MitarbeiterInnen stets so zu verarbeiten, dass Sie theoretisch jederzeit auskunftsf\u00e4hig gegen\u00fcber der jeweiligen Aufsichtsbeh\u00f6rde oder den betroffenen Personen sind. Dies gilt f\u00fcr die personenbezogenen Daten von Bewerbern genauso wie f\u00fcr die Daten gegenw\u00e4rtiger oder bereits ausgeschiedener MitarbeiterInnen.<\/p>\n b. Ernennung eines internen oder externen Datenschutzbeauftragten?<\/strong><\/p>\n Sofern gesetzlich dazu verpflichtet, muss ein Datenschutzbeauftragter ernannt werden. Dies kann mit entsprechender fachlicher Bef\u00e4higung ein interner, zum Datenschutzbeauftragten ernannte(r) MitarbeiterIn sein oder aber ein extern beauftragter Datenschutzbeauftragter. Dies gilt zum einen f\u00fcr Privatunternehmen, sofern die Hauptt\u00e4tigkeit ihrer Unternehmensstrategie in der Durchf\u00fchrung von Datenverarbeitungst\u00e4tigkeiten besteht. Daneben treten zudem die F\u00e4lle, bei denen gem\u00e4\u00df BDSG ein Datenschutzbeauftragter zu benennen ist.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Grunds\u00e4tzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n c. Risikoabw\u00e4gung im Datenschutz<\/strong><\/p>\n Zudem wird von Unternehmen zuk\u00fcnftig erwartet, eine Datenschutz-Folgeabsch\u00e4tzung vorzunehmen, sofern beispielsweise die Verarbeitungst\u00e4tigkeit, insbesondere unter der Verwendung neuer Technologien dazu f\u00fchrt, dass ein hohes Risiko f\u00fcr die Rechte und Freiheiten der betroffenen Personen besteht. Hier m\u00fcssen Ma\u00dfnahmen zur Minimisierung des Datenschutzrisikos er\u00f6rtert werden. Insbesondere ist hier zu beachten, dass vor der Datenverarbeitung die Aufsichtsbeh\u00f6rde hinzugezogen werden muss, sofern die Datenschutz-Folgenabsch\u00e4tzung ein erh\u00f6htes Datenschutzrisiko f\u00fcr einzelne Personen besteht und der Verantwortliche keine Ma\u00dfnahmen zur Eind\u00e4mmung des Risikos trifft.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Als HR-Verantwortliche(r) m\u00fcssen Sie hier insbesondere wachsam bei der Einf\u00fchrung neuer digitaler HR-Instrumente sein, da diese pr\u00e4destiniert sind, die oben genannte Problematik zu er\u00f6ffnen. Sie m\u00fcssen vor<\/u> der Einf\u00fchrung des jeweiligen Instruments genau identifizieren, wie<\/u> die Daten Ihres Personals von dem HR-Instrument verarbeitet werden und wo<\/u> die Daten Ihres Personals durch die Verwendung des Instruments eventuell zwischengespeichert werden. Sofern Mitarbeiterdaten au\u00dferhalb der EU auf einem Server abgespeichert werden, ergeben sich hier neue kaum absehbare Folgeproblematiken. Hier empfehle ich immer, sich an einen internationalen Fachexperten zu wenden.<\/p>\n Grunds\u00e4tzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n d. Technikgestaltung und datenschutzfreundliche Voreinstellungen<\/strong><\/p>\n Unternehmen sollten sich dringend mit der Thematik auseinandersetzen ihre Technikgestaltung durch Voreinstellung datenschutzfreundlich zu gestalten, da sonst Bu\u00dfgelder von betr\u00e4chtlicher H\u00f6he drohen k\u00f6nnten.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Speziell f\u00fcr den HR-Bereich gelten hier keine Besonderheiten zu anderen Bereichen des Unternehmens. Grunds\u00e4tzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n e. Technischer und organisatorischer Datenschutz<\/strong><\/p>\n Technische und organisatorische Datenschutzma\u00dfnahmen m\u00fcssen getroffen werden zur Gew\u00e4hrleistung der verarbeiteten personenbezogenen Daten. Welches Datenschutzniveau im konkreten Fall angemessen ist, muss anhand des Risikopotenzials der jeweiligen Datenverarbeitungst\u00e4tigkeit ermittelt werden.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Insbesondere ist im HR-Bereich im Hinblick auf die Verarbeitung und Speicherung von Bewerberdaten immer besonders auf die Einhaltung datenschutzrechtlicher Vorgaben zu achten (N\u00e4heres dazu in einem weiteren Blogeintrag). Mitarbeiter willigen grunds\u00e4tzlich bei Unterzeichnung des Arbeitsvertrags und einer zus\u00e4tzlich zu unterzeichnenden Erkl\u00e4rung in die Verarbeitung ihrer Daten ein, so dass lediglich darauf zu achten ist, dass entsprechende Klauseln im Arbeitsvertrag bzw. entsprechende Formulare zur Einwilligung in die Datenverarbeitung im Hinblick auf die ab Mai geltende DSGVO zu aktualisieren w\u00e4ren.<\/p>\n Es gilt auch hier, dass der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten sollte, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n f. Rechte betroffener Personen<\/strong><\/p>\n Zuk\u00fcnftig m\u00fcssen datenverarbeitende Unternehmen zahlreiche Informationsrechte gegen\u00fcber betroffenen Personen erf\u00fcllen. Zum Beispiel sind diese Unternehmen verpflichtet, Informationen \u00fcber die Verarbeitung und das L\u00f6schen personenbezogener Daten zu erteilen.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Speziell f\u00fcr den HR-Bereich gelten hier keine Besonderheiten zu anderen Bereichen des Unternehmens. Insbesondere ist im HR-Bereich in dem genannten Zusammenhang im Hinblick auf die Verarbeitung und Speicherung von Bewerberdaten<\/u> auf die Einhaltung datenschutzrechtlicher Vorgaben zu achten (N\u00e4heres dazu in einem weiteren Blogeintrag). Grunds\u00e4tzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n g. Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen<\/strong><\/p>\n Sofern sich eine Datenschutzverletzung zugetragen hat, m\u00fcssen die Datenschutzverantwortlichen in den Unternehmen innerhalb eines Zeitraums von 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbeh\u00f6rde melden. Sofern zudem ein hohes Risiko f\u00fcr die Rechte und Freiheiten der betroffenen Personen besteht, m\u00fcsse diese auch informiert werden. Die Aufsichtsbeh\u00f6rde unterst\u00fctzt hier bei der Kommunikation.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Grunds\u00e4tzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n h. Datenschutzmanagement<\/strong><\/p>\n Die Einhaltung der Vorgaben der DSGVO kann mithilfe eines Datenschutzmanagementsystems in der Form eines internen Compliance-Systems sichergestellt und \u00fcberwacht werden.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Grunds\u00e4tzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n i. Benennung eines Vertreters durch nicht in der EU niedergelassene Unternehmen<\/strong><\/p>\n Auch solche Unternehmen, die keine Niederlassung in der EU haben, m\u00fcssen einen Vertreter in der EU als Ansprechpartner benennen.<\/p>\n j. Verhaltensregeln & Datenschutzzertifizierungen<\/strong><\/p>\n In der DSGVO kommt Selbstregulierungsinstrumenten wie beispielsweise Datenschutzzertifizierungen eine erh\u00f6hte Bedeutung zu.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Grunds\u00e4tzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n 2. Die rechtlichen Voraussetzungen f\u00fcr die Datenverarbeitung<\/u><\/strong><\/p>\n Neben organisatorischen Verpflichtungen m\u00fcssen Unternehmen zudem den rechtlichen Verpflichtungen, die die DSGVO auferlegt, gerecht werden:<\/p>\n a. Rechtsgrundlagen f\u00fcr die Verarbeitung<\/strong><\/p>\n Grunds\u00e4tzlich unterliegen Datenverarbeitungst\u00e4tigkeiten einem Verbot mit Erlaubnisvorbehalt. Das bedeutet im Klartext, dass grunds\u00e4tzlich prim\u00e4r alle Datenverarbeitungst\u00e4tigkeiten verboten sind, es sei denn deren Zul\u00e4ssigkeit ist gesetzlich ausdr\u00fccklich durch einen Erlaubnistatbestand geregelt. Als Beispiel sei hier die Einwilligung der von der Datenverarbeitung betroffenen Person genannt. Diese wurden im Wesentlichen unter Punkt III. erw\u00e4hnt.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Grunds\u00e4tzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n b. Interne Datenverarbeitung im Konzern<\/strong><\/p>\n Auch konzerninterne Datentransfers m\u00fcssen von einer Rechtsgrundlage gedeckt sein wie jeder Datentransfer an sonstige Dritte.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n F\u00fcr den Personalbereich ziehen wir in diesem Zusammenhang wieder das folgende Beispiel heran:<\/p>\n Konzern A mit Hauptsitz in den USA hat eine deutsche Tochtergesellschaft B in Hamburg (Deutschland). Der Konzern beschlie\u00dft nunmehr die Einf\u00fchrung eines einheitlichen digitalen Personalinstruments zur Verwaltung der Mitarbeiterdaten. Um gewisse Mitarbeiterdaten der Konzernmutter in den USA via Datentransfer zukommen zulassen, bedarf es hier einer ausdr\u00fccklichen Rechtsgrundlage<\/u>, die diesen Datentransfer rechtfertigt.<\/p>\n c. Besondere Kategorien personenbezogener Daten<\/strong><\/p>\n Besonders schutzw\u00fcrdig sind personenbezogene Daten, die politische Meinungen, religi\u00f6se oder weltanschauliche \u00dcberzeugungen oder die Gesundheit der Personen wiedergeben. Die Verarbeitung dieser Daten kann nur dann erfolgen, sofern angemessene Schutzma\u00dfnahmen eingesetzt werden, die dem hohen Risikopotenzial der Verarbeitungssituation Rechnung tragen.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Vor allem k\u00f6nnen Besch\u00e4ftigtendaten von MitarbeiterInnen auch Informationen zur Gesundheit dieser enthalten. In diesem Zusammenhang m\u00fcssen Sie als HR-Verantwortliche(r) beachten, dass unter Umst\u00e4nden bei der Verarbeitung besonderer Kategorien der personenbezogenen Daten explizit die Einwilligung der betroffenen Person erforderlich ist. Zum anderen kann die Verarbeitung in diesem Kontext gerechtfertigt sein, sofern ein Arbeitsverh\u00e4ltnis diese Notwendigkeit voraussetzt oder sozialversicherungsrechtlich die Datenverarbeitung erforderlich ist. Grunds\u00e4tzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.<\/p>\n d. Auftragsverarbeitung<\/strong><\/p>\n Im Sinne der DSGVO gelten Auftragsverarbeiter nicht als Dritte, weswegen eine Weitergabe personenbezogener Daten an diesen im Entscheidungsspielraum des Verantwortlichen liegt. Es bedarf hier keines Erlaubnistatbestandes. Dies gilt sogar f\u00fcr Auftragsverarbeiter au\u00dferhalb der EU. Gerade wegen des hier vorhandenen Spielraums muss der Auftragsverarbeiter in seinem Handeln ein angemessenes Datenschutzniveau aufzeigen, da diesem ansonsten Bu\u00dfgelder drohen, sofern er seine datenschutzrechtlichen Verpflichtungen nicht einh\u00e4lt.<\/p>\n e. Allgemeine Anforderungen an Daten\u00fcbermittlungen in Drittl\u00e4nder<\/strong><\/p>\n Wie bereits unter Punkt IV.2.b. bereits angemerkt: Sofern Daten\u00fcbermittlungen an au\u00dferhalb der EU ans\u00e4ssige Dritte erfolgen, bedarf es einer Rechtsgrundlage, die zur Daten\u00fcbermittlung erm\u00e4chtigt. Folgende Instrumente stehen hier zur Verf\u00fcgung:<\/p>\n EU-Standardvertragsklauseln <\/u><\/p>\n Es kann ein Vertrag geschlossen werden zwischen dem Datenexporteur und dem au\u00dferhalb der EU niedergelassenen Datenimporteur. Dieser Vertrag hat als Grundlage die EU-Standard-Vertragsklauseln, die von der Europ\u00e4ischen Kommission oder einer nationalen Aufsichtsbeh\u00f6rde verabschiedet werden.<\/p>\n Mehr Informationen dazu unter https:\/\/www.gdd.de\/links<\/a>.<\/p>\n EU-U.S. Privacy Shield <\/u><\/p>\n F\u00fcr einen Datentransfer in die USA bedarf es eines EU-U.S. Privacy Shield, wobei es sich um einen durch Europ\u00e4ische Kommission verabschiedeten Rechtsakt handelt. Danach wird einem Unternehmen aus den USA eine Zertifizierung erm\u00f6glicht, welche die Einhaltung eines Datenschutzniveaus nach europ\u00e4ischen Standards sicherstellt.<\/p>\n Mehr Informationen dazu unter https:\/\/www.privacyshield.gov\/welcome<\/a>.<\/p>\n Binding Corporate Rules <\/u><\/p>\n Sofern Konzerne oder eine Gruppe von Unternehmen einer gemeinsam wirtschaftlichen T\u00e4tigkeit nachgehen, besteht die M\u00f6glichkeit, dass diese Konzerne oder Unternehmen sich Binding Corporate Rules unterwerfen. Unter den Binding Corporate Rules ist eine weltweit geltende Datenschutz-Policy zu verstehen, die festlegen, welchen Vorgaben der Datentransfer an Gruppenmitglieder in L\u00e4ndern au\u00dferhalb der EU unterliegt, sofern diese Staaten kein hinreichendes Datenschutzniveau vorweisen k\u00f6nnen.<\/p>\n Mehr Informationen dazu unter https:\/\/www.datenschutzbeauftragter-info.de\/internationale-datentransfers-binding-corporate-rules-nach-dsgvo\/<\/a>.<\/p>\n Hinweis f\u00fcr HR-Verantwortliche<\/u><\/em><\/strong>:<\/u><\/em><\/p>\n Wie bereits unter Punkt III.1.c. bereits angemerkt: Als HR-Verantwortliche(r) m\u00fcssen Sie hier insbesondere wachsam bei der Einf\u00fchrung neuer digitaler HR-Instrumente sein, da diese pr\u00e4destiniert sind, die genannte Problematik zu er\u00f6ffnen. Sie m\u00fcssen vor<\/u> der Einf\u00fchrung des jeweiligen Instruments genau identifizieren, wo<\/u> die Daten Ihres Personals durch die Verwendung des Instruments eventuell zwischengespeichert werden. Sofern es zu einer Daten\u00fcbermittlung von Mitarbeiterdaten in Drittl\u00e4nder (au\u00dferhalb der EU) kommt durch bzw. Abspeicherung auf einem externen Sever, ergeben sich hier neue kaum absehbare Folgeproblematiken. Hier empfehle ich immer, sich an einen internationalen Fachexperten zu wenden.<\/p>\n V. Weitere Hinweise<\/strong><\/p>\n Diese Auflistung einiger gesetzlicher relevanter Neuheiten der DSGVO ist nicht abschlie\u00dfend und stellt als solche weder eine rechtliche Beratung dar noch ersetzt sie diese. Es handelt sich hier lediglich um informative Hinweise zur Sensibilisierung. Auf die neue Rolle des Betriebsrates ab Geltung der DSGVO wird in einem weiteren Blogbeitrag eingegangen.<\/p>\n Zur Vertiefung dieser weitaus umfangreichen Problematik empfehle ich die Lekt\u00fcre des folgenden Praxishandbuchs und des benannten Aufsatzes. Zudem empfehle ich ebenso weitere Links:<\/p>\n \u201eEU-Datenschutz-Grundverordnung (DSGVO)\u201c von Paul\u00a0Voigt und Dr.\u00a0Axel\u00a0von\u00a0dem\u00a0Bussche, ISBN: 978-3-662-56186-7<\/p>\n \u201eWorauf beim Besch\u00e4ftigtendatenschutz geachtet werden muss\u201c, Online-Artikel bei Springer Porfessional v. V. Reitler u. K.H\u00f6hendinger, 14.08.2017<\/p>\n https:\/\/www.datenschutzbeauftragter-info.de\/.<\/a><\/p>\n Damit Sie sich und Ihre MitarbeiterInnen im Datenschutz fachlich auf dem neuesten Stand halten und \u00fcber ausreichendes Fachwissen verf\u00fcgen empfehle ich die Schulungen und Fortbildungsseminare des T\u00dcV:<\/p>\n https:\/\/www.tuev-nord.de\/weiterbildung\/seminare\/Datenschutzbeauftragter-TUEV\/<\/a><\/p>\n\n