Dürfen wir Sie beraten?
Norbert Kytka
KontaktSAP meets HR | Blog
Seit dem 25.05.2018 gilt die Datenschutzgrundverordnung unmittelbar in allen EU-Mitgliedsstaaten – und was war das für ein Durcheinander im Vorfeld. Ab etwa November des Vorjahres wurde immer mehr Unternehmen bewusst, dass still und leise eine Rechtsnorm Gesetzeskraft erlangen würde, mit der sich viele noch nicht wirklich intensiv auseinandergesetzt hatten. Bange Fragen wie „Es ändert sich doch eigentlich gar nichts, oder?“ wurden von Hoffnungen wie „Aber da gibt es doch bestimmt noch Übergangsfristen!“ abgelöst, die dann langsam der Gewissheit wichen, dass das Gesetz ohne Übergangsfrist ab dem 25. Mai 2018 bindend werden würde. Denn eine Übergangsfrist lief ja schon seit einigen Jahren – nur hatte das niemand wahrhaben wollen. Und dann kam Hektik auf. Viele Firmen wollten kurzfristig Informationen erhalten, wie sie ihre HXM-Anwendungen nun DSGVO-konform einstellen konnten, was überhaupt an Daten gelöscht werden und wie man denn mit Anfragen von Mitarbeitern umgehen sollte. Und dann kehrte Ruhe ein.
Seit dieser Zeit ist das Thema DSGVO ein ständiger Begleiter im Personalwesen. Allerdings mit stark nachlassender Tendenz. Irgendwie ist es wie mit einem Thema, das man einfach nicht mehr hören kann. „DSGVO? Ja, da müssen wir wohl mal ran.“ Und spätestens, wenn die Aufwände dann nicht bei 30 Tagen, sondern deutlich höher liegen, schwindet der letzte Rest an Begeisterung für dieses Thema. Anstelle von Begeisterung kommt dann das schlechte Gewissen: „Ich weiß, wir hätten ja schon längst...“ gefolgt von dem „Aber, wir haben doch …“. Und dann einer meiner Lieblingssätze: „Aber es werden doch noch gar keine Bußgelder verhängt.“ Übrigens: Werden sie doch. Und zwar in beachtlicher Höhe. Erinnert sei nur an die 225.000.000 € Strafe gegen WhatsApp in Irland. Und ja, auch in Deutschland trifft das zu: Am 30.01.2020 wurde beispielsweise ein Bußgeld in Höhe von 100.000 € gegen ein Lebensmittelunternehmen verhängt, weil es die Bewerberdaten nicht ausreichend geschützt hatte. Sie sehen: Bußgelder werden verhängt und sie tun häufig auch richtig weh.
Eines der großen Missverständnisse rundum das Thema DSGVO und Projekte im HXM-Umfeld ist, dass man die HXM-Systeme nur deswegen compliant machen sollte, weil die Bußgeldstrafen so hoch sind. Dieses Verständnis ist vergleichbar mit der Auffassung, man fahre nur deshalb nicht mit Tempo 120 durch eine verkehrsberuhigte Zone mit spielenden Kindern, weil der Führerschein dann weg sei. Tatsächlich fährt man dort nur Schrittgeschwindigkeit, weil es sinnvoll ist. Genauso ist es mit der DSGVO – sie zu berücksichtigen macht Sinn. Wenn ein Mitarbeiter ausgeschieden ist, dann ist es einfach unsinnig, seine Daten über eine bestimmte Frist hin noch aufzubewahren. Denn sie nützen einem dann nichts mehr. In Papierakten nehmen sie ausschließlich Platz weg und in digitalen Systemen verlangsamen sie schlimmstenfalls die Antwortzeiten. Ja, Speicherplatz ist momentan kein großer Kostenfaktor mehr. Für cloudbasierte Systeme ist jedoch eine zukünftige Metrik realistisch, in der der entstehende Traffic bzw. der genutzte Speicherplatz ein erheblicher Kostenfaktor sein wird. Dazu kommt ein weiteres Argument: Insbesondere bei großen Datenmengen leidet die Laufzeit. Im Personalbereich trifft uns das manchmal nur in bestimmen Themen, die im täglichen Geschäft nicht störend wirken. Trotzdem sind Bereiche wie die TEVEN gerade in größeren Unternehmen mit einer langjährigen Nutzung häufig in Dimensionen gewachsen, die Auswirkungen auf die Laufzeit haben.
Und dann kommt noch ein weiteres Argument für die DSGVO hinzu – und hier kommt Marie Kondo ins Spiel. Aufräumen führt zu mehr Klarheit. In ganz vielen Systemen finden wir „Leichen“ von Buchungskreisen, Personalbereichen oder -teilbereichen, in denen noch vereinzelte Personalnummern zu finden sind. Ganz regelmäßig sind dies ehemalige, schon längst ausgetretene Mitarbeiter, deren Daten beispielsweise bei einer Buchungskreisverschmelzung nicht mehr benötigt wurden. Die Frage „Benötigen wir diese Daten noch?“ wird dann ganz häufig mit „Ach, lass mal drin, frisst ja kein Brot.“ beantwortet. Und dann werden diese Daten vergessen. Nur die Buchungskreise tauchen weiter in allen Wertetabellen mit auf und nerven dort, weil man sie immer wieder ausschließen muss. Abgrenzen in den HR-Systemen kann man sie nicht, weil ja noch „Altlasten“ in Form von Personalnummern dort schlummern. Und wenn sie nicht gelöscht sind, dann schlummern sie noch heute… ungefähr nach diesem Motto.
Wie erfrischend ist es dann, diese Daten einfach zu löschen, wenn man sie nicht mehr benötigt. Und wie schön ist es, dann einfach Buchungskreise, die keine Rolle mehr spielen, auch in Auswertungen nicht mehr ausschließen zu müssen. Und jetzt zu Marie Kondo: Es ist erfrischend, sich von Dingen zu trennen, die man jahrelang schon nicht mehr braucht. Genauso erfrischend ist es, sich von Daten zu trennen, die überflüssig sind. Zum einen beschäftigt man sich in diesem Zusammenhang fast automatisch mit seiner Systemhygiene („Warum benötigen wir eigentlich diese Daten?“) und zum anderen schneidet man alte Zöpfe ab („Benötige ich diesen Mitarbeiterkreis eigentlich noch, wenn keine Mitarbeiter mehr darin sind?“). Das kann sehr erfrischend sein, tut dem System aber auf jeden Fall gut.
Ein zusätzlicher positiver Nebeneffekt neben der Klarheit über im System vorhandene Daten ist, dass das Risiko eines zufälligen bzw. unkontrollierten Abflusses von Daten mindestens erheblich minimiert werden kann. Durch die Analyse und das anschließende Löschen von Daten weiß das Unternehmen, welche Daten im System sind und kann dann aktiv die Daten löschen, für deren Aufbewahrung die rechtlichen Grundlagen fehlen. Hierdurch werden Datenmengen reduziert und ein zufälliger Abfluss von Daten, weil beispielsweise Selektionskriterien fehlerhaft bzw. unvollständig gewählt werden, ist damit wesentlich unwahrscheinlicher geworden, bestenfalls ausgeschlossen.
Eines meiner Lieblingsmissverständnisse rundum das Thema DSGVO ist auch die Behauptung, dass sich dieses ja nur auf die HR-Systeme beziehe. Dabei wird ganz selbstverständlich vorausgesetzt, dass personenbezogene Daten ja ausschließlich in den HR-Systemen vorhanden seien. Themen wie Active Directory, Anwendungen in Vertriebsbereichen (ja – Kundenansprechpartner sind durchaus natürliche Personen) oder in Lieferantensystemen (siehe Aussage zu Kundenansprechpartnern) beinhalten eine ganze Reihe von personenbezogenen Daten und unterliegen damit selbstverständlich auch der DSGVO. Tatsächlich ist die Komplexität in der Antwort auf die Frage „Wann dürfen diese Daten denn gelöscht werden?“ noch deutlich höher als in Daten rundum das Thema Personalwesen. Denn in diesem Bereich haben wir Verordnungen und Gesetze, die Aufbewahrungsfristen regeln. Dieses fehlt häufig in den anderen Themenkomplexen. Und mit der DSGVO gilt: Daten, die nicht ausdrücklich gespeichert werden dürfen, sind zu löschen. Deshalb: Scheuklappen runter – auch die anderen Systeme sind DSGVO-relevant.
Sie möchten gerne mehr über das Thema erfahren? Am 24.11.2021 sind wir online. Neben einer Expertenrunde haben wir Zeit für Fragen eingeplant. Deshalb scheuen Sie sich nicht und löchern Sie uns mit allen Fragen, die Sie bei dem Thema bewegen. Wir freuen uns darauf.
Kostenlos anmelden
Haben Sie Fragen zu diesem Thema? Dann kontaktieren Sie mich gerne.
Michael Kleine-Beckel | HR-Experte | Michael.Kleine-Beckel@team-con.de
