Skip to main content

Tipp

Weitere Artikel dieser Ausgabe durch Wischen aufrufen

Erschienen in: HMD Praxis der Wirtschaftsinformatik 6/2017

03.09.2017 | Spektrum

Datenschutz im Konzern

Ein Vorgehensmodell zur Zuordnung einer gemeinsamen Verantwortung bei der Verarbeitung von Mitarbeiterdaten

verfasst von: Wilhelm Berning, Lutz Keppeler

Erschienen in: HMD Praxis der Wirtschaftsinformatik | Ausgabe 6/2017

Einloggen, um Zugang zu erhalten
share
TEILEN

Zusammenfassung

Nach der neuen EU-DSGVO kann es einen oder mehrere Verantwortliche für die gesetzeskonforme Verarbeitung personenbezogener Daten geben. Ausschlaggebend ist, wer die Entscheidungsbefugnis hinsichtlich Zweck und Mittel der Verarbeitung innehat. Die Identifikation der faktischen Verantwortung und die Operationalisierung auf handelnde Menschen gestalten sich insbesondere dann schwierig, wenn in Konzernen oder Unternehmensgruppen zentrale Funktionen personenbezogene Daten verarbeiten, wie etwa eine zentrale IT- oder Personalabteilung. Welcher Konzernteil für die Umsetzung der über 30 bußgeld-bewehrten Verpflichtungen der DSGVO verantwortlich ist, ergibt sich keinesfalls von selbst. Anhand einer beispielhaften Konzernstruktur entwickelt dieser Beitrag eine Methodik, um für eine zentralisierte Verarbeitung von Mitarbeiterdaten die faktische Verantwortung mehrerer Verantwortlicher für ein und dieselbe Verarbeitung zu identifizieren und anwendbar zu machen.
Fußnoten
1
Im Hinblick auf die parallele Anwendbarkeit der im Weiteren dargestellten Überlegungen auf § 3 Abs. 7 BDSG vgl. Petri (2015, S. 103); Plath (2016, § 3 BDSG Rn. 69).
 
2
Beispielhaft sei auf das SAP HCM verwiesen. Es besteht im Wesentlichen aus den Modulen Personaladministration (PA), Personalabrechnung (PY), Personalzeitwirtschaft (PT), Veranstaltungsmanagement (PE), Personalbeschaffung (PB) und Organisationsmanagement (OM) und deckt damit den Personalmanagement-Prozess umfangreich ab.
 
3
Bei der Artikel-29-Datenschutzgruppe handelt es sich um einen Zusammenschluss sämtlicher europäischer Datenschutzaufsichtsbehörden. Das bislang ausführlichste Dokument, welches sich anhand von einigen Beispielfällen mit der Frage beschäftigt, wann eine (alleinige oder gemeinschaftliche) Verantwortlichkeit vorliegt, hat diese Gruppe vorgelegt. Die Stellungnahme zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“ wurde zwar bereits am 16.02.2010, also vor der Verabschiedung der Datenschutzgrundverordnung veröffentlicht. Doch aufgrund des Gleichlaufs der Definition in Art. 4 Nr. 7 DSGVO und in Art. 2 lit. d der Datenschutzrichtlinie (RL 95/46/EG), sind die Ausführungen der Artikel-29-Datenschutzgruppe auch für die Zeit der Geltung der DSGVO als maßgeblich anzusehen.
 
4
Die Vereinbarung selbst wirkt nicht konstitutiv auf die Schaffung von Verantwortlichkeiten (Gola 2017, Art. 26 Rn. 9).
 
5
Im Kontext des § 11 BDSG hat sich der Begriff „Auftragsdatenverarbeitung“ etabliert. Mit der DSGVO hat sich die Begrifflichkeit dahingehend verändert, dass im Kontext von Art. 28 DSGVO nunmehr von „Auftragsverarbeitung“ die Rede ist.
 
6
Eigene Praxiserfahrungen ergaben noch unter Maßgabe des BDSG je Verfahren durchaus 20 und mehr ADV-Vereinbarungen.
 
7
Das betriebliche Organisationsverschulden kennt drei Formen: Selektionsverschulden (liegt vor, wenn ein Unternehmen die Verantwortung an ungeeignete Mitarbeiter delegiert), Anweisungsverschulden (Arbeitsanweisungen fehlen oder sind lückenhaft), Überwachungsverschulden (Kontrollen werden gar nicht oder lückenhaft durchgeführt).
 
Literatur
Zurück zum Zitat Bernroider E, Koch S (2000) Entscheidungsfindung bei der Auswahl betriebswirtschaftlicher Standardsoftware. Ergebnisse einer empirischen Untersuchung in österreichischen Unternehmen. Wirtschaftsinformatik 42(4):329–338 CrossRef Bernroider E, Koch S (2000) Entscheidungsfindung bei der Auswahl betriebswirtschaftlicher Standardsoftware. Ergebnisse einer empirischen Untersuchung in österreichischen Unternehmen. Wirtschaftsinformatik 42(4):329–338 CrossRef
Zurück zum Zitat Funke M, Wittmann J (2013) Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung? – Anforderungen an die verantwortliche Stelle. Z Datenschutz 3:221–228 Funke M, Wittmann J (2013) Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung? – Anforderungen an die verantwortliche Stelle. Z Datenschutz 3:221–228
Zurück zum Zitat Gierschmann S (2016) Was „bringt“ deutschen Unternehmern die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. Z Datenschutz 6:51–55 Gierschmann S (2016) Was „bringt“ deutschen Unternehmern die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. Z Datenschutz 6:51–55
Zurück zum Zitat Gola P (2017) DSGVO Datenschutz-Grundverordnung VO (EU) 2016/679 Kommentar 2017. Beck, München Gola P (2017) DSGVO Datenschutz-Grundverordnung VO (EU) 2016/679 Kommentar 2017. Beck, München
Zurück zum Zitat Jandt S, Roßnagel A (2011) Datenschutz in Social Networks – Kollektive Verantwortlichkeit für die Datenverarbeitung. Z Datenschutz 1:160–166 Jandt S, Roßnagel A (2011) Datenschutz in Social Networks – Kollektive Verantwortlichkeit für die Datenverarbeitung. Z Datenschutz 1:160–166
Zurück zum Zitat Kroschwald S (2013) Kollektive Verantwortung für den Datenschutz in der Cloud – Datenschutzrechtliche Folgen einer geteilten Verantwortlichkeit beim Cloud Computing. Z Datenschutz 3:388–394 Kroschwald S (2013) Kollektive Verantwortung für den Datenschutz in der Cloud – Datenschutzrechtliche Folgen einer geteilten Verantwortlichkeit beim Cloud Computing. Z Datenschutz 3:388–394
Zurück zum Zitat Kruppke H, Otto M, Gontard M (Hrsg) (2006) Human Capital Management – Personalprozesse erfolgreich managen. Springer, Berlin, Heidelberg Kruppke H, Otto M, Gontard M (Hrsg) (2006) Human Capital Management – Personalprozesse erfolgreich managen. Springer, Berlin, Heidelberg
Zurück zum Zitat Paal BP, Pauly DA (Hrsg) (2017) Datenschutz-Grundverordnung. Beck, München Paal BP, Pauly DA (Hrsg) (2017) Datenschutz-Grundverordnung. Beck, München
Zurück zum Zitat Petri T (2015) Datenschutzrechtliche Verantwortlichkeit im Internet – Überblick und Bewertung der aktuellen Rechtsprechung. Z Datenschutz 5:103–106 Petri T (2015) Datenschutzrechtliche Verantwortlichkeit im Internet – Überblick und Bewertung der aktuellen Rechtsprechung. Z Datenschutz 5:103–106
Zurück zum Zitat Plath K‑U (2016) BDSG/DSGVO. Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Aufl. Verlag Dr. Otto Schmidt, Köln CrossRef Plath K‑U (2016) BDSG/DSGVO. Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Aufl. Verlag Dr. Otto Schmidt, Köln CrossRef
Zurück zum Zitat Schmidt B, Freund B (2017) Perspektiven der Auftragsverarbeitung – Wegfall der Privilegierung durch die DSGVO? Z Datenschutz 7:14–18 Schmidt B, Freund B (2017) Perspektiven der Auftragsverarbeitung – Wegfall der Privilegierung durch die DSGVO? Z Datenschutz 7:14–18
Zurück zum Zitat Ulrich D (1996) Human resource champions – the next agenda for adding value and delivering results. Harvard Business School Press, Boston Ulrich D (1996) Human resource champions – the next agenda for adding value and delivering results. Harvard Business School Press, Boston
Zurück zum Zitat Vogt V (2014) Datenübertragung innerhalb und außerhalb des Konzerns. Betr Berat 2014(5):245–250 Vogt V (2014) Datenübertragung innerhalb und außerhalb des Konzerns. Betr Berat 2014(5):245–250
Zurück zum Zitat Wagner D (Hrsg) (2015) Praxishandbuch Personalmanagement. Haufe, Freiburg Wagner D (Hrsg) (2015) Praxishandbuch Personalmanagement. Haufe, Freiburg
Zurück zum Zitat Wolff HA, Brink S (Hrsg) (2017) Beck-Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München Wolff HA, Brink S (Hrsg) (2017) Beck-Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Metadaten
Titel
Datenschutz im Konzern
Ein Vorgehensmodell zur Zuordnung einer gemeinsamen Verantwortung bei der Verarbeitung von Mitarbeiterdaten
verfasst von
Wilhelm Berning
Lutz Keppeler
Publikationsdatum
03.09.2017
Verlag
Springer Fachmedien Wiesbaden
Erschienen in
HMD Praxis der Wirtschaftsinformatik / Ausgabe 6/2017
Print ISSN: 1436-3011
Elektronische ISSN: 2198-2775
DOI
https://doi.org/10.1365/s40702-017-0359-5

Weitere Artikel der Ausgabe 6/2017

HMD Praxis der Wirtschaftsinformatik 6/2017 Zur Ausgabe

Premium Partner