Zusammenfassung
Nach der neuen EU-DSGVO kann es einen oder mehrere Verantwortliche für die gesetzeskonforme Verarbeitung personenbezogener Daten geben. Ausschlaggebend ist, wer die Entscheidungsbefugnis hinsichtlich Zweck und Mittel der Verarbeitung innehat. Die Identifikation der faktischen Verantwortung und die Operationalisierung auf handelnde Menschen gestalten sich insbesondere dann schwierig, wenn in Konzernen oder Unternehmensgruppen zentrale Funktionen personenbezogene Daten verarbeiten, wie etwa eine zentrale IT- oder Personalabteilung. Welcher Konzernteil für die Umsetzung der über 30 bußgeldbewehrten Verpflichtungen der DSGVO verantwortlich ist, ergibt sich keinesfalls von selbst. Anhand einer beispielhaften Konzernstruktur entwickelt dieser Beitrag eine Methodik, um für eine zentralisierte Verarbeitung von Mitarbeiterdaten die faktische Verantwortung mehrerer Verantwortlicher für ein und dieselbe Verarbeitung zu identifizieren und anwendbar zu machen.
Unveränderter Original-Beitrag Berning & Keppeler (2017) Datenschutz im Konzern – ein Vorgehensmodell zur Zuordnung einer gemeinsamen Verantwortung bei der Verarbeitung von Personaldaten, HMD – Praxis der Wirtschaftsinformatik, online first, https://doi.org/10.1365/s40702-017-0359-5.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Im Hinblick auf die parallele Anwendbarkeit der im Weiteren dargestellten Überlegungen auf § 3 Abs. 7 BDSG vgl. Petri (<CitationRef CitationID="CR11" >2015</Citation Ref>, S. 103), Plath (<CitationRef CitationID="CR12" >2016</Citation Ref>, § 3 BDSG Rn. 69).
- 2.
Beispielhaft sei auf das SAP HCM verwiesen. Es besteht im Wesentlichen aus den Modulen Personal-Administration (PA), Personalabrechnung (PY), Personalzeitwirtschaft (PT), Veranstaltungsmanagement (PE), Personalbeschaffung (PB) und Organisationsmanagement (OM) und deckt damit den Personalmanagement-Prozess umfangreich ab.
- 3.
Bei der Artikel-29-Datenschutzgruppe handelt es sich um einen Zusammenschluss sämtlicher europäischer Datenschutzaufsichtsbehörden. Das bislang ausführlichste Dokument, welches sich anhand von einigen Beispielsfällen mit der Frage beschäftigt, wann eine (alleinige oder gemeinschaftliche) Verantwortlichkeit vorliegt, hat diese Gruppe vorgelegt. Die Stellungnahme zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“ wurde zwar bereits am 16.02.2010, also vor der Verabschiedung der Datenschutzgrundverordnung veröffentlicht. Doch aufgrund des Gleichlaufs der Definition in Art. 4 Nr. 7 DSGVO und in Art. 2 lit. d der Datenschutzrichtlinie (RL 95/46/EG), sind die Ausführungen der Artikel-29-Datenschutzgruppe auch für die Zeit der Geltung der DSGVO als maßgeblich anzusehen.
- 4.
Die Vereinbarung selbst wirkt nicht konstitutiv bezüglich der Schaffung Schaffung von Verantwortlichkeiten (Gola <CitationRef CitationID="CR6" >2017</Citation Ref>, Art. 26 Rn. 9).
- 5.
Im Kontext des § 11 BDSG hat sich der Begriff „Auftragsdatenverarbeitung“ etabliert. Mit der DSGVO hat sich die Begrifflichkeit dahingehend verändert, dass im Kontext von Art. 28 DSGVO nunmehr von „Auftragsverarbeitung“ die Rede ist.
- 6.
Eigene Praxiserfahrungen ergaben noch unter Maßgabe des BDSG je Verfahren durchaus 20 und mehr ADV-Vereinbarungen.
- 7.
Das betriebliche Organisationsverschulden kennt drei Formen: Selektionsverschulden (liegt vor, wenn ein Unternehmen die Verantwortung an ungeeignete Mitarbeiter delegiert), Anweisungsverschulden (Arbeitsanweisungen fehlen oder sind lückenhaft), Überwachungsverschulden (Kontrollen werden gar nicht oder lückenhaft durchgeführt).
Literatur
Artikel-29-Datenschutzgruppe (2010) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, 16.02.2010 (00264/10/DE WP 169). http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf. Zugegriffen am 29.06.2017
Bernroider E, Koch S (2000) Entscheidungsfindung bei der Auswahl betriebswirtschaftlicher Standardsoftware. Ergebnisse einer empirischen Untersuchung in österreichischen Unternehmen. Wirtschaftsinformatik 42(4):329–338
Engeler M (2016) Die Auftragsdatenverarbeitung braucht einen Reboot. https://www.telemedicus.info/article/3150-Die-Auftragsdatenverarbeitung-braucht-ein-Reboot-mit-der-DSGVO-in-der-Hauptrolle.html. Zugegriffen am 30.06.2017
Funke M, Wittmann J (2013) Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung? – Anforderungen an die verantwortliche Stelle. Z Datenschutz 3:221–228
Gierschmann S (2016) Was „bringt“ deutschen Unternehmern die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. Z Datenschutz 6:51–55
Gola P (2017) DSGVO Datenschutz-Grundverordnung VO (EU) 2016/679 Kommentar 2017. Beck, München
Jandt S, Roßnagel A (2011) Datenschutz in Social Networks – Kollektive Verantwortlichkeit für die Datenverarbeitung. Z Datenschutz 1:160–166
Kroschwald S (2013) Kollektive Verantwortung für den Datenschutz in der Cloud – Datenschutzrechtliche Folgen einer geteilten Verantwortlichkeit beim Cloud Computing. Z Datenschutz 3:388–394
Kruppke H, Otto M, Gontard M (Hrsg) (2006) Human Capital Management – Personalprozesse erfolgreich managen. Springer, Berlin/Heidelberg
Paal BP, Pauly DA (Hrsg) (2017) Datenschutz-Grundverordnung. Beck, München
Petri T (2015) Datenschutzrechtliche Verantwortlichkeit im Internet – Überblick und Bewertung der aktuellen Rechtsprechung. Z Datenschutz 5:103–106
Plath K-U (2016) BDSG/DSGVO. Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Schmidt B, Freund B (2017) Perspektiven der Auftragsverarbeitung – Wegfall der Privilegierung durch die DSGVO? Z Datenschutz 7:14–18
Ulrich D (1996) Human resource champions – the next agenda for adding value and delivering results. Harvard Business School Press, Boston
Vogt V (2014) Datenübertragung innerhalb und außerhalb des Konzerns. Betriebs-Berater 2014(5):245–250
Wagner D (Hrsg) (2015) Praxishandbuch Personalmanagement. Haufe, Freiburg
Wolff HA, Brink S (Hrsg) (2017) Beck-Online-Kommentar Datenschutzrecht, 20. Aufl., Stand 01.05.2017. Beck, München
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2017 Springer Fachmedien Wiesbaden GmbH
About this chapter
Cite this chapter
Berning, W., Keppeler, L.M. (2017). Datenschutz im Konzern – ein Vorgehensmodell zur Zuordnung einer gemeinsamen Verantwortung bei der Verarbeitung von Personaldaten. In: Knoll, M., Strahringer, S. (eds) IT-GRC-Management – Governance, Risk und Compliance. Edition HMD. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-20059-6_14
Download citation
DOI: https://doi.org/10.1007/978-3-658-20059-6_14
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-20058-9
Online ISBN: 978-3-658-20059-6
eBook Packages: Computer Science and Engineering (German Language)