| Sehr geehrte Kundin, sehr geehrter Kunde, am 25. Mai 2018 entfaltet die EU-Datenschutz-Grundverordnung (DSGVO) ihre Wirksamkeit. Der Datenschutz für betroffene Personen in der Europäischen Union wird hierdurch deutlich gestärkt. Uns ist bewusst, dass Sorgfalt und Transparenz die Grundlage für eine vertrauensvolle Zusammenarbeit mit unseren Kunden sind. Die Einhaltung von Gesetzen und regulatorischen Vorgaben im Generellen ist uns und unseren Mitarbeitern ein ebenso hohes Anliegen wie der rechtmäßige und sensible Umgang mit Ihren personenbezogenen Daten im Besonderen. Was ist die DSGVO? Die DSGVO ist die bedeutendste Datenschutz-Vorschrift in Europa seit der EU-Datenschutz- Richtlinie aus dem Jahr 1995. Nach einer zweijährigen Übergangsphase löst die DSGVO nunmehr die veraltete EU-Datenschutz-Richtlinie und in weiten Teilen einzelstaatliche Datenschutzgesetze ab. Im Gegensatz zu einer Richtlinie gilt eine Verordnung in allen Mitgliedstaaten der EU unmittelbar, ohne, dass es nationalstaatlicher Umsetzungsgesetze bedarf. Insofern wurde erstmals ein EU-weit einheitliches Regelwerk zum Datenschutz geschaffen. Es hebt das Datenschutzniveau in den EU-Mitgliedstaaten an und damit einhergehend, stärkt es die Rechte von Betroffenen gleichermaßen, wie es die Verpflichtungen für Unternehmen erhöht. Was bedeutet dies für unsere Kunden? Damit Sie die einzelnen Aspekte und Auswirkungen der neuen Verordnung besser einordnen können, geben wir Ihnen mit den beigefügten Hinweisen einen ersten Überblick, welche Neuerungen innerhalb der VEDA Softwareprodukte* implementiert wurden.
ArbeitnehmerINNEN haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten. In VEDA Softwareprodukten erhalten Sie die Möglichkeit diesem Recht Folge leisten zu können. Das Dokument umfasst alle gespeicherten personenbezogenen Daten zum aktuellen Zeitpunkt. Weiterhin wird ein Deckblatt mit grundlegenden Informationen (z. B. Verarbeitungszweck, Empfänger der Daten, Herkunft der Daten) enthalten sein, das individuell pro Arbeitgeber ergänzt werden kann.
Das Löschen von Daten ist bereits heute schon möglich. Im Rahmen der Umsetzungen zur DSGVO werden wir Ihnen zusätzlich eine Vorschau* der zu löschenden Daten anbieten.
Im Bereich der Entgeltabrechnung handelt es sich dabei um ausgeschiedene ArbeitnehmerINNEN zum Bespiel nach Ablauf aller Meldeverpflichtungen (i.d.R. nach Monatsabschluss März Folgejahr), wodurch der Zweck der Verarbeitung personenbezogener Daten nicht mehr gegeben ist. Systemseitig werden Sie zum Beispiel mittels optischer Kennzeichnungen* erkennen können, welche ArbeitnehmerINNEN das Kriterium der eingeschränkten Verarbeitung erfüllen. Die Kennzeichnung der „eingeschränkten Verarbeitung“ liegt in der Verantwortung des Verantwortlichen (in diesem Fall beim Sachbearbeiter). ArbeitnehmerINNEN mit eingeschränkter Verarbeitung unterliegen einer besonderen Berechtigung und sind daher nur für ausgewählte Verantwortliche - beispielsweise von der Personalleitung – einsehbar. ArbeitnehmerINNEN, die eine Einschränkung der Verarbeitung erwirkt haben, sind von dem Verantwortlichen zu unterrichten, bevor die Einschränkung wieder aufgehoben wird.
Im Bereich Verarbeitung von (personenbezogenen) Daten gelten gesetzliche Aufbewahrungsfristen. Grundsätzlich unterscheidet man bei den vom Arbeitgeber vorzuhaltenden Unterlagen zwischen den Abrechnungsunterlagen, die zum Großteil systemseitig erfasst und gespeichert sind, sowie den Belegen dazu, die jeweils in Papier- oder Dateiform gespeichert sind. Die Aufbewahrungsfristen müssen beim Löschen von Daten berücksichtigt werden müssen. In unseren Anwendungen sind selbstverständlich die Aufbewahrungsfristen verankert. Im Rahmen der DSGVO überprüfen wir diese nochmals auf die aktuelle Rechtsgrundlage und unterlegen diese einem besonderen Schutz. Damit unterbinden wir ein versehentlich, ungewolltes Ändern. Selbstverständlich können Aufbewahrungsfristen aus betriebsbedingten Gründen dennoch individuell definiert werden.
Bei der Erstellung von Testbibliotheken zum Zwecke von Problemanalysen durch den Softwarehersteller werden die personenbezogenen Daten zukünftig grundsätzlich verfremdet. Im besonderen Fall der Erfordernis unverfremdeter Daten bedarf es einer Einwilligung der betroffenen Person gem. Art. 7 DSGVO. Programmseitig werden Sie auf die Einholung der Zustimmung hingewiesen.
Die Speicherung personenbezogener Daten muss einer Zweckbindung unterliegen und dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Der Verantwortliche ist für die Einhaltung verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Die Dokumentation über die Speicherung weiterer personenbezogener Daten in unseren Anwendungen liegt in der Verantwortung des jeweiligen Arbeitgebers. Zu berücksichtigen ist dabei, dass die Erhebung dieser Daten regelmäßig einer Einwilligung der betroffenen Person gemäß Art. 7 DSGVO bedarf.
Als Softwarehersteller verfügen wir zukünftig über eine Dokumentation über die Verarbeitungsläufe personenbezogener Daten in HR Entgelt, in HR Zeit, im HR Manager mit Blick auf die DSGVO. *gilt nicht für VEDA HR Zeit Damit Sie alle Änderungen in der Softwarelandschaft in vollem Umfang nutzen können, müssen Sie ggf. den Releasestand resp. ein Update der Software durchführen. Hierzu beachten Sie bitte die folgenden Hinweise für Ihr entsprechendes Softwareprodukt. Bitte geben Sie die Informationen auch den aktuellen und künftigen vertretungsberechtigten Personen sowie etwaigen Mitverpflichteten in Ihrem Unternehmen weiter. |