Advertisement

HMD Praxis der Wirtschaftsinformatik

, Volume 54, Issue 6, pp 1021–1037 | Cite as

Datenschutz im Konzern

Ein Vorgehensmodell zur Zuordnung einer gemeinsamen Verantwortung bei der Verarbeitung von Mitarbeiterdaten
  • Wilhelm BerningEmail author
  • Lutz Keppeler
Spektrum
  • 879 Downloads

Zusammenfassung

Nach der neuen EU-DSGVO kann es einen oder mehrere Verantwortliche für die gesetzeskonforme Verarbeitung personenbezogener Daten geben. Ausschlaggebend ist, wer die Entscheidungsbefugnis hinsichtlich Zweck und Mittel der Verarbeitung innehat. Die Identifikation der faktischen Verantwortung und die Operationalisierung auf handelnde Menschen gestalten sich insbesondere dann schwierig, wenn in Konzernen oder Unternehmensgruppen zentrale Funktionen personenbezogene Daten verarbeiten, wie etwa eine zentrale IT- oder Personalabteilung. Welcher Konzernteil für die Umsetzung der über 30 bußgeld-bewehrten Verpflichtungen der DSGVO verantwortlich ist, ergibt sich keinesfalls von selbst. Anhand einer beispielhaften Konzernstruktur entwickelt dieser Beitrag eine Methodik, um für eine zentralisierte Verarbeitung von Mitarbeiterdaten die faktische Verantwortung mehrerer Verantwortlicher für ein und dieselbe Verarbeitung zu identifizieren und anwendbar zu machen.

Schlüsselwörter

DSGVO Personaldaten Vorgehensmodell Allein oder gemeinsam Verantwortlicher Unternehmensgruppe Personalmanagement-Prozess HR-IT System 

Data Protection in the Group

A procedure model for assigning a common responsibility in the processing of employee data

Abstract

According to the new EU GDPR, there may be one or more controller for the compliant processing of personal data. The decisive factor is who holds the decision-making power with regard to the purpose and means of processing. The identification of the factual responsibility and the operationalization on acting people are particularly difficult when within groups central functions of the group process personal data, such as a central IT or personnel department. Which part of the company is responsible for the implementation of the more than 30 fined obligations of the GDPR is not by itself self-evident. Based on an exemplary group structure, this article develops a methodology to identify the factual responsibility of more than one controller for a centralized processing of employee data. The methodology shows how the joint controllers can be identified and how it is applicable.

Keywords

GDPR Employee data Procedure model Alone or jointly responsible Group Personnel management process HR-IT System 

Literatur

  1. Artikel-29-Datenschutzgruppe (2010) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, 16.02.2010 (00264/10/DE WP 169). http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf. Zugegriffen: 29. Juni 2017Google Scholar
  2. Bernroider E, Koch S (2000) Entscheidungsfindung bei der Auswahl betriebswirtschaftlicher Standardsoftware. Ergebnisse einer empirischen Untersuchung in österreichischen Unternehmen. Wirtschaftsinformatik 42(4):329–338CrossRefGoogle Scholar
  3. Engeler M (2016) Die Auftragsdatenverarbeitung braucht einen Reboot. https://www.telemedicus.info/article/3150-Die-Auftragsdatenverarbeitung-braucht-ein-Reboot-mit-der-DSGVO-in-der-Hauptrolle.html. Zugegriffen: 30. Juni 2017Google Scholar
  4. Funke M, Wittmann J (2013) Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung? – Anforderungen an die verantwortliche Stelle. Z Datenschutz 3:221–228Google Scholar
  5. Gierschmann S (2016) Was „bringt“ deutschen Unternehmern die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. Z Datenschutz 6:51–55Google Scholar
  6. Gola P (2017) DSGVO Datenschutz-Grundverordnung VO (EU) 2016/679 Kommentar 2017. Beck, MünchenGoogle Scholar
  7. Jandt S, Roßnagel A (2011) Datenschutz in Social Networks – Kollektive Verantwortlichkeit für die Datenverarbeitung. Z Datenschutz 1:160–166Google Scholar
  8. Kroschwald S (2013) Kollektive Verantwortung für den Datenschutz in der Cloud – Datenschutzrechtliche Folgen einer geteilten Verantwortlichkeit beim Cloud Computing. Z Datenschutz 3:388–394Google Scholar
  9. Kruppke H, Otto M, Gontard M (Hrsg) (2006) Human Capital Management – Personalprozesse erfolgreich managen. Springer, Berlin, HeidelbergGoogle Scholar
  10. Paal BP, Pauly DA (Hrsg) (2017) Datenschutz-Grundverordnung. Beck, MünchenGoogle Scholar
  11. Petri T (2015) Datenschutzrechtliche Verantwortlichkeit im Internet – Überblick und Bewertung der aktuellen Rechtsprechung. Z Datenschutz 5:103–106Google Scholar
  12. Plath K‑U (2016) BDSG/DSGVO. Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Aufl. Verlag Dr. Otto Schmidt, KölnCrossRefGoogle Scholar
  13. Schmidt B, Freund B (2017) Perspektiven der Auftragsverarbeitung – Wegfall der Privilegierung durch die DSGVO? Z Datenschutz 7:14–18Google Scholar
  14. Ulrich D (1996) Human resource champions – the next agenda for adding value and delivering results. Harvard Business School Press, BostonGoogle Scholar
  15. Vogt V (2014) Datenübertragung innerhalb und außerhalb des Konzerns. Betr Berat 2014(5):245–250Google Scholar
  16. Wagner D (Hrsg) (2015) Praxishandbuch Personalmanagement. Haufe, FreiburgGoogle Scholar
  17. Wolff HA, Brink S (Hrsg) (2017) Beck-Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, MünchenGoogle Scholar

Copyright information

© Springer Fachmedien Wiesbaden GmbH 2017

Authors and Affiliations

  1. 1.BeCaM GmbHBillerbeckDeutschland
  2. 2.Heuking Kühn Lüer Wojtek PartGmbBKölnDeutschland

Personalised recommendations