Drei Monate DSGVO: Es ist etwas Ruhe eingekehrt
- Stephan Frank, selbstständiger Datenschutzbeauftragter und -auditor, stellt fest: Nach hektischen ersten Wochen hat sich die Aufregung um die DSGVO etwas gelegt
- Nichtsdestotrotz: Die Zeitarbeit wird von der DSGVO voll getroffen. Es zeigt sich aber, dass die meisten Personaldienstleister die gestiegenen Anforderungen meistern können
- Wirkliche Probleme mit den Aufsichtsbehörden bekommt nur, wer aktuell noch keinerlei Systematiken und Strukturen im Sinne eines Datenschutzmanagements angestoßen hat
- Im Gegensatz zu anderen Branchen ist die Personaldienstleistung bisher noch nicht in eine branchenspezifische Sachverhaltsklärung geraten. Bisher hört man auch noch keine Stimmen, dass Personaldienstleister dem Datenschutz zum Opfer gefallen sind
Spätestens seit Anfang 2018 kam praktisch niemand mehr am Thema Datenschutzgrundverordnung (DSGVO) vorbei. Die Stimmung dazu schwankte zwischen genervt und überfordert. Heute, rund drei Monate später, ist etwas Ruhe eingekehrt. Die DSGVO ist angekommen.
Zum Glück! Denn in den ersten DSGVO-Tagen kam durch – wie sich herausgestellte – fragwürdige Abmahnungen mit wettbewerbsrechtlichem Hintergrund vielerorts Panik auf. Sicherheitshalber hatten Unternehmen vorübergehend ganze Homepages abgeschaltet, um keine Angriffsfläche zu bieten. Schlagworte wie „Web-Fonts“ und „Web-Tracking“ klingeln uns zwar heute noch in den Ohren. Der Umgang damit ist mit einigen technischen Änderungen, bei Web-Fonts vor allem durch den Einsatz auf dem eigenen Webserver, wieder sehr gut möglich. Das Web-Tracking ist, wenn es inhaltlich reduziert oder ebenfalls auf andere technische Füße gestellt wird, sehr wohl mit dem berechtigten Interesse machbar.
Interner „Datenschutz-Putz“
Personaldienstleister werden von der DSGVO voll getroffen. Kein Wunder, ihre Kerntätigkeit besteht in der Verarbeitung personenbezogener Daten. Erforderlich sind daher nicht nur eine Datenschutzfolgenabschätzung und die Benennung eines Datenschutzbeauftragten, sondern auch angemessene technische und organisatorische Maßnahmen. Bei genauer Betrachtung werden die meisten Personaldienstleister aber feststellen: Das lässt sich alles bewerkstelligen – und sorgt nebenbei für einen gewissen internen „Datenschutz-Putz“. So stehen viele Firmen vor der Frage, was mit Altbeständen an personenbezogenen Daten geschehen soll. Für Personaldienstleister ist dieses Thema besonders aktuell, da die Nachfrage der Kunden nach Zeitarbeitern gewaltig ist.
Mein Ratschlag an Unternehmen im Allgemeinen und Personaldienstleister im Speziellen: Wenn Sie mit einer gesunden Vorsicht agieren und den Weg zum DSGVO-konformen Datenschutz seit dem Stichtag 25. Mai angetreten haben, sind Sie auf der sicheren Seite.
Aufsichtsbehörden stocken auf
Bitte nicht falsch verstehen: Natürlich stellt die DSGVO – insbesondere in Kombination mit reformiertem AÜG und Equal-Pay – für Personaldienstleister eine echte Herausforderung dar. Die Aufsichtsbehörden nehmen die neuen Datenschutz-Regularien und die damit verbundenen Aufgaben sehr ernst. Die Aufstockung der eigenen Personaldecke ist Indiz hierfür. Im Moment richtet sich das Augenmerk von Aufsichtsbehörden aber mehrheitlich noch nach innen. Es werden Fragen diskutiert wie „Was werden wir wie prüfen?“ oder „Welche Anforderungen stellen wir an die Rechenschaftspflicht?“.
Mein Ratschlag an Unternehmen im Allgemeinen und Personaldienstleister im Speziellen: Wenn Sie mit einer gesunden Vorsicht agieren und den Weg zum DSGVO-konformen Datenschutz seit dem Stichtag 25. Mai angetreten haben, sind Sie auf der sicheren Seite. Die Rechenschaftspflicht verlangt den Nachweis, dass die DSGVO eingehalten wird. Über die nötige Perfektion der Umsetzung diskutieren Unternehmen und Aufsichtsbehörden aktuell – und werden das auch noch in den nächsten Jahren tun. Nur wer aktuell keinerlei Systematiken und Strukturen im Sinne eines Datenschutzmanagements angestoßen hat, der hat keine Chance, die Einhaltung der DSGVO nachzuweisen zu können. Dann wird es tatsächlich eng.
Bisher keine branchenspezifische Sachverhaltsklärung in der Personaldienstleistung
Fakt ist auch, dass sich die Spielregeln mit der DSGVO für alle Beteiligten geändert haben. Aufsichtsbehörden ermitteln in ihrem Zuständigkeitsbereich mit verschiedenen Instrumenten den Stand der Dinge. Sie fragen ab, wie Verantwortliche mit den verschiedenen und durchaus sehr konkreten Herausforderungen umgehen. Man schaue sich die Befragungen von Arztpraxen oder Industrieunternehmen an. Die Personaldienstleistung ist bisher noch nicht in eine branchenspezifische Sachverhaltsklärung geraten. Trotzdem an dieser Stelle nochmal: Wer etwas tut und sich erkennbar Mühe gibt, dem kann nicht vorgehalten werden, die DSGVO gar nicht einzuhalten.
Fazit
Toi, toi, toi – bisher hört man noch keine Stimmen, dass Personaldienstleister dem Datenschutz zum Opfer gefallen sind. Generell stehen deutsche Unternehmen in puncto DSGVO gut dar. Die EU-Datenschutzrichtlinien der Vergangenheit wurden bei uns stets in nationalen Gesetzen umgesetzt. Und: Wir sind es gewohnt, dass Gesetze auch kontrolliert werden. Als Weiterentwicklung der früheren EU-Datenschutzrichtlinien fordert die Datenschutzgrundverordnung nun auf die heutige Zeit angepasste Strukturen und Maßnahmen. Ganz ehrlich: Das ist gut so! Wer hätte schon zu Ende der 1990er-Jahre absehen können, wie sich das Internet entwickelt? Die heute relevanten und globalen Player gab es seinerzeit größtenteils noch gar nicht!
Ihnen hat der Beitrag gefallen? Wir haben mehr davon :-) ! Abonnieren Sie unseren Newsletter - und Sie erfahren regelmäßig, was auf dem arbeitsblog und rund um die Personaldienstleistungsbranche passiert.