Ziele und Grundsätze der DSGVO

Als Verordnung der Europäischen Union löste die EU-Datenschutz-Grundverordnung (im Folgenden kurz EU-DSGVO genannt) zum 25. Mai 2018 die Datenschutzrichtlinie 95/46/EG von 1995 ab. Die EU-DSGVO regelt die Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Institutionen einheitlich in der gesamten europäischen Union. Auch das Ideenmanagement ist betroffen, da dort personenbezogene Daten gespeichert und verarbeitet werden. Über zwei Jahre nach Inkrafttreten hat jedoch nur jede fünfte Firma die DSGVO vollständig umgesetzt und Prüfprozesse für die Weiterentwicklung eingerichtet. Insgesamt 37 Prozent haben die Verordnung immerhin "größtenteils umgesetzt". Das geht aus einer repräsentativen Umfrage des Digitalbranchenverbandes Bitkom vom September 2020 hervor.

Mögliche Konsequenzen bei Nicht- Einhaltung der DSGVO?

Wer gegen die DSGVO verstößt, muss mit empfindlichen Strafen rechnen. Die maximale Geldbuße beträgt 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Vorjahresumsatzes, bei gleichzeitigen Mindestbußgeldern in Höhe von 10.000.000 Euro. Zu beachten dabei: Es gilt der Jahresumsatz des gesamten Konzerns, nicht der einzelnen juristischen Person. Dies ist möglich, da die EU-Definition des Begriffs „Unternehmen“ es der zuständigen Aufsichtsbehörde gestattet, die gesamte wirtschaftliche Einheit zu betrachten. Sollte ein Datenschutzverstoß von einem Tochterunternehmen begangen werden, ist es erlaubt, den gesamten weltweiten Konzernumsatz heranzuziehen.

Wie können Verstöße ans Licht kommen?

  • Durch Überprüfungstätigkeiten der Aufsichtsbehörden
  • Durch Mitarbeiterbeschwerden bei der Aufsichtsbehörde
  • Durch Kunden- oder potenzielle Kundenmeldungen bei der Aufsichtsbehörde

Was genau bedeutet das für das Ideenmanagement?

Die DSGVO hat Auswirkungen auf alle Ideenprozesse von Unternehmen, da dort personenbezogene Daten gespeichert und verarbeitet werden. Besonders relevant im Kontext Ideenmanagement sind allerdings die folgenden Artikel:

  • Verarbeitung und Weitergabe personenbezogener Daten allgemein
    Einwilligung (Art. 6) und Informationspflichten (Art. 14)
  • Artikel 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
  • Recht auf Löschung/Vergessenwerden (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Dokumentation der Verarbeitung in einem Verarbeitungsverzeichnis (Art. 30)
  • Informationen für das Auskunftsrecht (Art. 15)

Worauf Sie daher achten sollten?

Einerseits gibt es für das Ideenmanagement bzw. das Betriebliche Vorschlagswesen Dokumentationspflichten und Aufbewahrungsfristen, die unter anderem im BGB, HGB, EStG, Arbeitnehmererfindungsgesetz und in den Betriebsvereinbarungen festgelegt sind, andererseits gibt die DSGVO vor, dass Daten unverzüglich gelöscht werden müssen, wenn ein (Ex-)Mitarbeiter dies anfordert. Daher sollten Sie folgende Maßnahmen einleiten:

  • Lassen Sie Ihre Datenschutzbeauftragten und/oder Ihre Rechtsabteilung überprüfen, in welcher Rangfolge die Regelungen, insbesondere die Dokumentationspflichten des Betriebsverfassungsgesetzes, HGB, BGB, EStG, Kollektivvereinbarungen und Arbeitnehmererfindungsgesetz, gegenüber der EU- DSGVO behandelt werden.
  • Stellen Sie sicher, dass alle für die Lohn- und Steuerprüfung relevanten Daten in anderen Systemen (z.B. der Lohnbuchhaltung) dokumentiert werden, damit diese bei einer evtl. Löschung personenbezogener Daten in Ihrer Software nicht zu Problemen mit den Dokumentationspflichten für steuerrelevante Themen führen.
  • Überprüfen Sie Ihr Reporting in Bezug auf die EU-DSGVO-Reports, die aus Sicht Ihres Datenschutzbeauftragten nicht EU-DSGVO-konform sind. Auswertungen für zielgruppenspezifisches Marketing müssen z.B. angepasst werden.
  • Wenn Sie z.B. für Ihr zielbezogenes Marketing weitere personenbezogene Daten, wie z.B. Alter, Funktion etc. der Anwender auswerten, stellen Sie sicher, dass Sie die Daten auswerten dürfen und –  sofern möglich anonymisieren oder pseudonymisieren Sie diese Daten für die Auswertung.
  • Fragen Sie ein Testat bzw. eine Aussage Ihres Herstellers an, ob die eingesetzte Software den gesetzlichen Datenschutzbestimmungen gemäß EU-DSGVO entspricht.
  • Weisen Sie die Mitarbeiter an, in den Ideen (z.B. den Beschreibungstexten oder Kommentaren) keine personenbezogenen Daten aufzuführen. Beispiel: „Wie mit Herr Mustermann besprochen …“
  • Verifizieren Sie, ob Sie in Ihrer Betriebsvereinbarung oder an anderer Stelle eine klare Regelung getroffen haben, in welcher das Eigentum an einer Idee festgelegt wurde. Ohne eine derartige Regelung könnten Sie gemäß Art. 20 DSGVO verpflichtet werden, die Daten bei einem Ausscheiden eines Mitarbeiters zu übertragen.
  • Bei Wartung und Support sowie in Cloud-Systemen haben Hersteller in der Regel Zugriff auf die personenbezogenen Daten. Überprüfen Sie Ihre bestehenden Regelungen zur Auftragsdatenvereinbarung und passen diese ggf. der EU-DSGVO an.

Was gilt es zu beachten bei Unternehmensrichtlinien (z.B. BV)?

Regeln Sie die Speicherung der Daten entweder in einer für Ihre Ideenprozesse gültigen Vereinbarung, z.B. der Betriebsvereinbarung, oder in einer Datenschutzvereinbarung. Darin sollte eine Einwilligungserklärung zur Nutzung personenbezogener Daten enthalten sein. Fragen Sie sich dabei:
  • Wurde bereits eine übergeordnete Datenschutzvereinbarung mit den Mitarbeitern getroffen?
  • Ist die Speicherung im Rahmen der Betriebsvereinbarung geregelt?
  • Haben Sie einen Disclaimer bei Erstbenutzung der Software durch den jeweiligen Anwender?
Nachfolgende Punkte müssen in der Betriebsvereinbarung bzw. einer Einwilligungserklärung geregelt sein:
  • Welche Daten erhoben werden
  • Dass diese Daten gespeichert werden 
  • Wofür diese Daten verwendet werden (z.B. Auswertungen)
  • Dass ein Widerruf der Nutzung möglich ist
  • Informationen für Mitarbeiter, welche Rechte sie haben und wie sich der Gebrauch dieser Rechte auswirken kann

Zusammenfassung der zentralen Punkte 

Die EU-Datenschutz-Grundverordnung ist mit zahlreichen Pflichten für das Ideenmanagement verbunden. Unternehmen müssen datenschutzrelevante Prozesse implementieren und regelmäßig überprüfen, um ein angemessenes Datenschutzniveau gewährleisten zu können.

Zusammenfassend daher noch einmal die wichtigsten Punkte für Ihr Ideenmanagement:
  • Entwickeln Sie für Ihr Ideenmanagement eine Einwilligungserklärung bzw. kommen Sie der Informationspflicht nach, indem Sie über die Zwecke der Datenverarbeitung informieren.
  • Liefern Sie den Beitrag zum Verfahrensverzeichnis Ihres Unternehmens für das Ideenmanagement, in dem dokumentiert ist, welche Datenarten in Ihrer Software zu welchem Zweck verarbeitet werden.
  • Seien Sie darauf vorbereitet, dass Mitarbeiter von ihrem Auskunftsrecht Gebrauch machen.
  • Planen Sie die auszuführenden Maßnahmen für den Fall, dass Mitarbeiter von ihrem Recht auf Vergessenwerden Gebrauch machen.
  • Nehmen Sie Kontakt zur IT-Abteilung auf, die für die Stammdaten-Lieferung zuständig ist, und klären Sie ab, wie zu löschende oder zu sperrende Mitarbeiterdaten zukünftig geliefert werden (sollen).

Hinweis: Dieser Text stellt keine verbindliche Rechtsberatung dar. Gemeinsam mit Ihrem Datenschutz und Ihrer Rechtsabteilung können Sie sicherstellen, dass stets alle gesetzlichen Grundlagen eingehalten werden.

 

Sie wünschen sich die wichtigsten Infos zur EU-DSGVO auf einen Blick? Hier geht's zum kostenlosen Download: Whitepaper EU-DSGVO. Falls Sie noch Fragen haben zur Umsetzung oder allgemein zum Thema Ideenmanagement, schreiben Sie uns: marketing@hype.de 

 

Gehe zu Abschnitt