Connect@ADP

Partnering with a more human resource

Warum eine globale Payroll-Lösung Ihre DSGVO-Versicherung sein wird

Veröffentlicht von: pbegala on 15/11/2017 in Compliance, Human Capital Management

Über die DSGVO – die EU Datenschutz-Grundverordnung – haben Sie in letzter Zeit sicherlich viel gelesen und gehört. Daher soll sich dieser Artikel mit einem praktikablen Lösungsszenario für die Fragestellung beschäftigen, wie Sie ab dem 25. Mai 2018 und für die Zukunft in Ihrer Personalabrechnung DSGVO-konform sein können; nämlich mit der richtigen globalen Payroll-Lösung.

Einige Grundlagen zum Verständnis:

Worum geht es eigentlich? Um die größte neue Gesetzgebung hinsichtlich Datenschutz seit fast 25 Jahren, die ab dem 25. Mai 2018 alle 28 EU-Mitglieder betrifft und zu diesem Stichtag anwendbar.

Wer ist betroffen? Jeder, der in irgendeiner Form personenbezogene Daten verarbeitet. Die DSGVO bezieht sich in 99 Artikeln auf den Umgang mit jeglicher Information, mit der Individuen direkt oder indirekt identifiziert werden können.

Was es bedeutet, nicht DSGVO-konform zu sein?

Eine Strafe in Höhe von bis zu 4% des weltweiten Vorjahresumsatzes oder 20 Mio. € (je nachdem, was höher ist) und/oder: aufsichtsbehördliche Überprüfungen, Compliance-Anordnungen oder -Sanktionen, Haftung von Privatpersonen.

Zahlreiche Unternehmen stellen sich die Frage, ob sie die Vorschriften der Europäischen Union hinsichtlich des Datenschutzes einfach ignorieren können oder ob diese Regelung sie tatsächlich treffen wird. Der Unterschied zu anderen Ideen und Regularien der Europäischen Union ist, dass es sich hierbei um ein Gesetz handelt, das die nationalen Datenschutzgesetze in den einzelnen Mitgliedsländern verdrängt. Dies bedeutet, dass selbst die EU-Länder, in denen datenschutzrechtliche Regelungen in der Vergangenheit eher moderat formuliert und gelebt wurden, nun genau dieselben Auflagen und Rechtsdurchsetzung in der Praxis haben werden, wie Deutschland als Beispiel für ein stark reguliertes Land.

Diese Erkenntnis führt multinationale Unternehmen zu der Frage: Sind alle meine Auslandsniederlassungen DSGVO-konform? Und wer hofft, dass eine Verletzung in kleineren Ländern mit entsprechenden kleineren Rückstellungen abzufedern ist, sollte sich noch einmal genau die Handhabe bei einer Sanktion anschauen: Bei jedem groben Verstoß, egal in welchem Land, wird nämlich der Umsatz der gesamten Gruppe und nicht nur der des betroffenen Landes als Richtwert genommen. EU- und Nicht-EU-Länder werden dabei nicht unterschieden und sind gleichermaßen betroffen.

Da wir gerade von Nicht-EU-Ländern sprechen: Wenn multinationale Unternehmen Niederlassungen in Ländern haben, die nicht Mitglied der Europäischen Union sind und damit nicht unter die direkte DSGVO-Gesetzgebung fallen, müssen sie ein von der Europäischen Union als angemessen anerkanntes Schutzniveau für die Verarbeitung der Daten gewährleisten. Typische Lösungen wie eine Mitgliedschaft von US-Unternehmen im EU Privacy Shield oder der Abschluss sogenannter EU-Standardverträge stehen in dem Ruf, nicht angemessen wirksam zu sein und in Zukunft ggf. nicht mehr anerkannt zu werden. Allein die Beantragung und Anerkennung so genannter BCR (Binding Corporate Rules), die eine Unternehmensgruppe für sich selbst verbindlich aufstellt, bieten hier verlässliche Sicherheit. Solche BCR werden zur ihrer Anerkennung von den EU Datenschutzaufsichtsbehörden geprüft und genehmigt. Sie bewirken, dass innerhalb der Unternehmensgruppe dasselbe Schutzniveau wie innerhalb der EU hergestellt und auch „offiziell“ anerkannt ist, auch wenn Konzernunternehmen außerhalb der EU ansässig sein sollten.

Um die Neuerungen greifbarer zu machen, finden Sie hier einen Abriss der wichtigsten Begriffe:

Privacy by Design: Der „Privacy by Design“-Ansatz, der u.a. die individuelle Löschung von Mitarbeiterdaten (nach dem Wunsch einzelner Personen) vorsieht, muss in allen Systemen gewährleistet sein.

Data Flow Mapping: Jeder, der Personaldaten systemisch verarbeitet, muss zu jeder Zeit ein entsprechendes Konzept nachweisen können, dass und auf welche Weise die Daten GDPR-konform verarbeitet werden.

Vendor Assurance Process: Jeder Zulieferer muss vorab einer streng reglementierten Privacy-Prüfung unterzogen werden; auch nachträglich. Jeder Vertrag mit einem Zulieferer muss strikte Datenschutz-Verpflichtungen enthalten.

Incident Management: Ein globales Unternehmen muss eine globale Sicherheitsorganisation, sowie ebenso globale Vorfall-Management-Struktur und –Werkzeuge vorweisen können.

Record Information Management: Aufgrund der Anforderungen an Datenminimierung, muss eine strikte Informations-Management-Policy eingerichtet und durchgesetzt werden, die sicherstellt, dass personenbezogene Daten gelöscht werden, sobald der datenschutzrechtlich erforderliche Rechtfertigungsgrund entfällt.

Privacy Impact Assessment: Alle Projekte, bei denen Daten transferiert oder verarbeitet werden, müssen vorab intern einer Prüfung hinsichtlich der Auswirkung auf den Datenschutz unterzogen werden.

Binding Corporate Rules (BCR): Um eine wirklich zuverlässige DSGVO-compliant Lösung für Datenverarbeitung in allen Nicht-EU Staaten zu erhalten, helfen aus unserer Sicht nur Binding Corporate Rules (BCRs), die sich eine Unternehmensgruppe, die in Nicht-EU Staaten tätig ist, selbst gibt und die von den EU Datenschutzaufsichtsunternehmen geprüft und akzeptiert werden; mit den BCRs verpflichtet sich die Unternehmensgruppe quasi verbindlich und unter Aufsicht der EU-Datenschutzbehörden, Data Protection Systeme zu installieren bzw. vorzuhalten, die außerhalb der EU GDPR-Compliance garantieren.

Wenn multinationale Unternehmen sich also nicht dafür entscheiden, eine Globale Payroll-Lösung zu installieren, sind sie verantwortlich dafür, diese und weitere Regularien in jedem einzelnen Land zu erfüllen.

Aber wie kann die Konsolidierung, Standardisierung und das Outsourcing der Payroll in einem globalen Maßstab multinationalen Unternehmen helfen, DSGVO-konform zu sein?

Wenn Sie Ihre Payroll sowohl fachlich, wie auch technisch auslagern, müssen Sie sich um die obenstehenden Gesetze, Strafen und Prozesse nicht sorgen, wenn Sie diese Verantwortung an einen Global Payroll-Dienstleister abgeben, der die oben genannten Anforderungen erfüllt und Ihnen dies über entsprechende Zertifizierungen nachwiesen kann.

Angenommen, ein Provider erfüllt mit seinen Systemen und Dienstleistungen die oben angeführten Vorgaben und er übernimmt das Hosting der Daten, die fachliche Abrechnung und die Gewährleistung derselben sowie alle aktuellen und zukünftigen internationalen und nationalen Gesetzesänderungen, bildet dies das Fundament Ihrer DSGVO-Konformität (Compliance). Er bewahrt Sie damit vor Strafzahlungen, arbeitet mit international standardisierten Prozessen und hängt somit ein Vorhängeschloss vor Ihr wichtigstes Gut – Ihre Personaldaten.

Sie möchten mehr erfahren? Unsere Experten stehen Ihnen gerne für ein persönliches Gespräch zur Verfügung!

 

(Visited 421 times, 1 visits today)

TAGS: Datenschutz GDPR

Schreiben Sie einen Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.