Neben Kunden- müssen auch Mitarbeiterdaten datenschutzkonform gehandhabt werden. Dieser Beitrag fasst wesentliche Punkte der Datenschutzgrundverordnung zusammen und gibt Ihnen Anhaltspunkte, was bei der Nutzung von Cloud-Software zu beachten ist.
DSGVO einfach erklärt
Die Datenschutzgrundverordnung (DSGVO) schützt personenbezogene Daten sogenannter natürlicher Personen. Man könnte auch einfach „Menschen“ dazu sagen, im Gegensatz zu einer juristischen Person, wie einer Gesellschaft. Ein großer Pluspunkt der DSGVO ist, dass sie eine einheitliche Regelung für den gesamten europäischen Wirtschaftsraum bietet. Das erleichtert die Zusammenarbeit, da sich alle an einen gemeinsamen Standard halten. In Deutschland präzisiert das Bundesdatenschutzgesetz die DSGVO auf nationaler Ebene.
Drei wesentliche Punkte, die durch die DSGVO definiert und geregelt werden:
- Personenbezogene Daten gehören der jeweiligen (natürlichen) Person.
Persönliche Daten werden also als Besitz gewertet und dürfen nicht ohne Rechtsgrundlage erhoben und verwendet werden.
Beispiele für personenbezogene Daten: Name, Adresse, Alter, Bankverbindung, Bewerbungsdaten, Arbeitszeiterfassungen; besondere personenbezogene Daten sind z.B. Gesundheitsdaten, Religionszugehörigkeit. - Um personenbezogene Daten erheben und verarbeiten zu dürfen, muss es einen Grund oder Zweck geben. Daten einfach mal so zu sammeln, falls man sie irgendwann für irgendetwas braucht, geht also nicht. Die Person muss außerdem darüber informiert werden, welche Daten erhoben, wie diese verwendet und für wie lange sie gespeichert werden.
Beispiel: Die Frage nach der Mail-Adresse für die Zusendung eines Newsletters, die Abfrage der Bankdaten zur Überweisung des Gehalts oder die Angabe der Religionszugehörigkeit zur Abführung der Kirchensteuer ist zulässig. Die Abfrage der Bankverbindung für die Zusendung eines kostenlosen Newsletters ist dagegen eher fragwürdig. - Die Person, deren Daten erhoben wurde, hat ein Recht darauf, nach einiger Zeit „vergessen“ zu werden – sprich, dass ihre Daten gelöscht werden.
Beispiel: Mitarbeiterdaten werden nach X Monaten nach Ausscheiden aus dem Unternehmen gelöscht. Aufbewahrungsfristen sind ggf. durch weitere Bestimmungen geregelt.
Ein Unternehmen sollte nicht nur bei Kunden, sondern auch bei seinen Mitarbeitern besondere Sorgfalt im Umgang mit deren personenbezogenen Daten erkennen lassen. Von Mitarbeitern werden im Rahmen des Arbeitsverhältnisses besonders schützenswerte Daten erhoben, wie z.B. Bankdaten, Religionszugehörigkeit, Krankheitstage, persönliche Bewertungen in der Personalakte usw. Detaillierte Bestimmungen zu Erhebung und Umgang mit Mitarbeiterdaten sind im Bundesdatenschutzgesetz zu finden.
In diesem Beitrag gehen wir auf ein konkretes Fallbeispiel ein: Was ist zu prüfen, wenn ein Unternehmen Mitarbeiterdaten mit Cloud-Software verarbeitet, wie z.B. spezialisierter Software für Reisekostenabrechnungen oder eine Web-Software für die Buchhaltung?
Cloud-Software: Verarbeitung von Daten durch einen Dienstleister
Gibt ein Unternehmen durch die Nutzung einer Cloud-Software Mitarbeiterdaten an Dritte weiter? Ja und nein. Ja, weil Datenübermittlung stattfindet. Nein, weil ein Dienstleister, welcher Daten nach strengen Vorgaben durch den Auftraggeber (das Unternehmen) verarbeitet, als Teil des beauftragenden Unternehmens betrachtet wird. Der Dienstleister wird also nicht als „Dritter“ behandelt, sondern dem Unternehmen selbst zugerechnet. Diese besondere Art der Datenverarbeitung nennt sich in der DSGVO „Auftragsverarbeitung“. Sie ist in Art. 28 der DSGVO geregelt.
Eine Cloud-Software für Buchhaltung oder Reisekostenabrechnung muss also datenschutzkonform gestaltet sein. Manchmal ist auch der Begriff „DSGVO Compliance“ zu finden, was im Wesentlichen ein anderer Begriff für DSGVO-konform ist und aussagt, dass die Daten sicher gespeichert werden und vor unbefugtem Zutritt geschützt sein müssen.
Auftragsverarbeitung in Zusammenhang mit der DSGVO
Nochmal kurz zusammengefasst: Bei einer Auftragsverarbeitung handelt es sich um die Verarbeitung von Daten, die im Auftrag und streng weisungsgemäß erfolgt. Gerade weil der Dienstleister streng nach Vorgabe des Auftraggebers und im Rahmen gesetzlicher Regelungen arbeitet, wird er als Teil des auftraggebenden Unternehmens betrachtet. Bei der Lohnüberweisung steht als Absender immer noch das Unternehmen selbst, nicht etwa der Dienstleister. Und das Unternehmen, in der DSGVO „Auftraggeber“ genannt, ist auch durchgängig für die Verarbeitung der Mitarbeiterdaten verantwortlich.
Weitere Beispiele für Auftragsverarbeitung:
- Software as a Service (SaaS)
- Lettershops
- Web-Hosting
- Cloud-Speicher
N2F beispielsweise verarbeitet für seine Kunden Reisedaten, Belege und Mitarbeiterdaten nach strengen Vorgaben, z.B. durch Steuergesetze und Unternehmensrichtlinien. Es handelt es sich bei dieser Dienstleistung um eine klassische „Auftragsverarbeitung“. Für solche Tätigkeiten wird ein Auftragsverarbeitungsvertrags (AVV) geschlossen, in dem Art und Zweck der Datenverarbeitung festlegt werden.
Was beinhaltet ein Auftragsverarbeitungsvertrag (AVV) nach DSGVO?
Auch wenn die Fachsprache von Gesetzestexten abschreckend kompliziert klingt, ist eine DSGVO-konforme Regelung bei der Verwendung von Cloud-Software gar nicht so schwierig. Die Vorgaben für einen AVV sind zum Großteil in Art. 28 DSGVO zu finden. Einige Dienstleister stellen bereits eine AVV-Vorlage zur Verfügung, dem der Auftraggeber nach Prüfung einfach zustimmen kann, ohne selbst einen erstellen zu müssen. Dieser wichtige und nötige Schritt zum Schutz der Mitarbeiterdaten wird damit sehr vereinfacht.
Was muss laut Art. 28 DSGVO in einem AVV geregelt sein? Hier ein paar Anhaltspunkte für Ihre Prüfung:
- Der Dienstleister muss geeignete technische und organisatorische Maßnahmen durchführen, sodass die Verarbeitung der Daten DSGVO-konform ist.
> Wie werden die Daten verschlüsselt? Wer hat Zugang zu den Servern? Wie ist das Firmengebäude des Dienstleisters, in dem Daten verarbeitet werden, gesichert? - Ein Dienstleister darf nicht ohne schriftliche Genehmigung des Auftraggebers weitere Dienstleister hinzuziehen und die Mitarbeiter- oder Kundendaten des Auftraggebers weiterreichen.
> Arbeitet die Buchhaltungssoftware mit Tools weiterer Dienstleister, z.B. Zahlungsdienstleister für Überweisungen? Wenn ja, muss das über den AVV ausdrücklich vereinbart und geregelt sein. - Gegenstand, Dauer, Art und Zweck der Datenverarbeitung sowie die Löschung der Mitarbeiterdaten müssen vereinbart sowie Pflichten und Rechte des Verantwortlichen (des Auftraggebers) festgelegt werden.
- Alle Personen, die mit der Verarbeitung personenbezogener Daten betraut sind, unterliegen einer Verschwiegenheitspflicht und sind zur Vertraulichkeit verpflichtet.
Fazit
DSGVO-konforme Verarbeitung von Mitarbeiterdaten mit Cloud-Software ist wichtig. Wenn Sie für Ihre digitale Buchhaltung Cloud-Software nutzen, können Sie einen Auftragsverarbeitungsvertrag abschließen, um die Verarbeitung der Mitarbeiterdaten DSGVO-konform zu regeln. Falls Sie festgestellt haben, dass Sie an dieser Stelle in Ihrem Unternehmen nachbessern müssen, haben Sie in diesem Beitrag ein paar konkrete Stichworte an die Hand bekommen, die Sie mit Ihrem internen Datenschutzbeauftragen oder externen Datenschutzberater besprechen sollten.
Bei der Nutzung von N2F für Ihre Reisekostenabrechnungen sind die Daten Ihrer Mitarbeiter sicher. N2F legt größten Wert auf die Einhaltung aller geltenden Bestimmungen und Gesetze. Die Software ist GoBD-konform und auch die Verarbeitung der Kunden- und Nutzerdaten ist klar in den Privacy Terms geregelt.
Fordern Sie eine kostenlose Demo-Version an!