DSGVO in Polen, Rumänien und Italien – Revolutionäre Änderungen in der Personal- und Lohnbuchhaltung

PrintMailRate-it
veröffentlicht am 7. Februar 2018
von Renata Kabas-Komorniczak, Jarosław Kamiński und Marta Wiśniewska, Rödl & Partner Warschau
  
Ab Mai 2018 werden in der Europäischen Union einheitliche Vorschriften zum Schutz und zur Verarbeitung personenbezogener Daten gelten. Die Datenschutz-Grundverordnung (DSGVO) bestimmt, wie der Schutz und die Sicherheit zu gewährleisten sind. Die Wichtigkeit des Themas ist unbestreitbar, die alltägliche Praxis ließ häufig zu wünschen übrig – auch im Bereich Personal und Lohnbuchhaltung, in dem grundsätzlich personenbezogene Daten gesammelt und verarbeitet werden. Das betrifft nicht nur Unternehmen selbst, sondern auch Externe, die Daten im Auftrag anderer verarbeiten (z.B. Outsourcingunternehmen). 
 

 

Im Nachfolgenden widmen wir uns den wichtigsten Grundsätzen zur Verarbeitung personenbezogener Daten in der Personal- und Lohnbuchhaltung der ausgewählten Rechtssysteme in Polen, Rumänien und Italien.
 

 

Aktuelle Grundsätze der Verarbeitung personenbezogener Daten

Sowohl in Polen und Italien als auch in Rumänien ist die Datenverarbeitung von Arbeitnehmern erlaubt. Jedoch müssen die allgemeinen Datenschutzregelungen (ab 25. Mai 2018 die Bestimmungen der DSGVO) in allen Staaten eingehalten werden, da den betroffenen Personen durch den unbefugten Zugang zu den personenbezogenen (auch sensiblen) Daten Schaden entstehen kann. Zudem müssen Arbeitgeber angemessene und passende technische Sicherheitsmaßnahmen ergreifen, die den Schutz der Beschäftigtendaten gewährleisten. In Polen ist es zudem wichtig, dass der Arbeitgeber vom künftigen oder aktuellen Arbeitnehmer grundsätzlich nur solche Daten einholen darf, die in den nationalen Vorschriften (insbesondere im polnischen Arbeitsgesetzbuch) bestimmt sind.
 

Für den italienischen Gesetzgeber ist es z.B. von Bedeutung, dass der Arbeitgeber spezifische interne Verfahrensanweisungen für die Nutzung elektronischer Werkzeuge des Unternehmens einzuführen hat, um das Bewusstsein der Mitarbeiter zu schärfen. Die von der italienischen Datenschutzbehörde festgelegten Regeln beinhalten u.a.   
  • eine Privatsphärenfolgenabschätzung für die Rechte der Arbeitnehmer und die Identifizierung spezifischer Internetseiten, die der Beschäftigte nicht besuchen darf, sowie
  • ein Verbot der Datenverarbeitung mithilfe von Hard- und Software, die auf die systematische, per Fernzugriff erfolgende Kontrolle von Arbeitstätigkeiten abzielt.
     

In Rumänien müssen Arbeitgeber bei der Verarbeitung personenbezogener Beschäftigtendaten ebenfalls bestimmte, grundlegende Datenschutzgrundsätze beachten, bspw. Transparenz, Verhältnismäßigkeit oder Finalität. Auch das Bewusstsein des Personals muss sensibilisiert werden – d.h. Mitarbeiter, zu deren täglichen Aufgaben die Verarbeitung personenbezogener Beschäftigtendaten gehört, sollten im Bereich der Datenschutzregelungen geschult werden.
 

Besondere Vorschriften der DSGVO

Gemäß Art. 88 DSGVO kann jeder Mitgliedstaat den Schutz personenbezogener Daten bei der Beschäftigung auch detaillierter regeln, als es die DSGVO verlangt. Das insbesondere im Management oder bei Bewerbungsverfahren, der Erfüllung von Arbeitsverträgen, der Planung und Organisation der Arbeit, der Gleichheit und Diversität sowie der Gesundheit und Sicherheit am Arbeitsplatz.
 

In Polen wurden bislang lediglich Änderungsentwürfe ausgearbeitet. Es wird u.a. geplant, die Verarbeitung biometrischer Daten von Arbeitnehmern zuzulassen, wenn der Arbeitnehmer damit einverstanden ist – ein Fehlen der Zustimmung kann weder zu einer schlechten Behandlung führen noch sonstige negative Folgen nach sich ziehen. Der Änderungsentwurf sieht außerdem vor, dass Arbeitgeber den Arbeitsort überwachen dürfen. Der Arbeitgeber darf die Überwachung jedoch nicht mit dem Ziel einführen, die Arbeit zu kontrollieren, sondern nur um den Arbeitnehmern und dem Unternehmensvermögen Sicherheit zu gewährleisten. Der Umfang der Daten, die der Arbeitgeber sammeln darf, wird sich ebenfalls ändern – bspw. bei der Verarbeitung von Telefonnummern und E-Mail-Adressen, die während des Bewerbungsverfahrens gespeichert wurden.
 

Die rumänische Regierung hat einen Gesetzesentwurf zur öffentlichen Debatte gestellt: Darin sollen die zwingenden Vorschriften der DSGVO in die Landesgesetzgebung überführt werden. Er enthält jedoch keine spezifischen Regelungen für Beschäftigungs- bzw. Lohnabrechnungsangelegenheiten.
 

In Italien gibt es zurzeit noch keine spezifische Verordnung zur Implementierung des Art. 88 DSGVO. Die italienische Regierung arbeitet aber daran, das Landesrecht durch die Verabschiedung spezifischer Gesetzesverordnungen innerhalb der nächsten 6 Monate an die DSGVO anzupassen – das ergibt sich aus einem ganz neuen Gesetz (Gesetz Nr. 163/2017), das am 21. November 2017 veröffentlicht wurde. In der Praxis verfügt die Regierung über folgende Rechte:
  • Widerruf von Datenschutzregelungen, die nicht mit der DSGVO in Einklang stehen;
  • Änderungen des italienischen Datenschutzgesetzes, um diejenigen DSGVO-Regelungen zu implementieren, die nicht unmittelbar durchsetzbar sind;
  • Angleichung der Straf- und Verwaltungssanktionen an diejenigen, die in der neuen EU-Datenschutzverordnung vorgesehen sind.
     

Outsourcing von Personal- und Lohnbuchhaltung

Die Personal- und Lohnbuchhaltung wird in der Praxis häufig ausgelagert. Aufgrund der DSGVO sollte der Arbeitgeber – als Verantwortlicher für die Verarbeitung von Beschäftigtendaten – nur solche Outsourcingunternehmen beauftragen, die die Anforderungen der DSGVO erfüllen. Eine Bestimmung kann das Vorhandensein eines Datenschutzbeauftragten sein, was in manchen Fällen obligatorisch ist. Eine Pflicht der Bestellung des Datenschutzbeauftragten ergibt sich unmittelbar aus der DSGVO bzw. aus nationalen Vorschriften.
 

Die nationalen Aufsichtsbehörden können zudem Richtlinien erlassen, die Unternehmen bei der Bewertung behilflich sind, ob die Bestellung eines Datenschutzbeauftragten unabdingbar ist oder nicht. Bspw. hat die rumänische Datenschutzbehörde bereits eine Richtlinie erlassen, die – auch wenn die DSGVO die Pflicht zur Ernennung eines Datenschutzbeauftragten ausdrücklich nur in bestimmten Situationen oder für bestimmte Datenverantwortliche vorsieht – empfiehlt, dass jedes Unternehmen solch einen Auftragsverarbeiter ernennen sollte, da das für den Datenverantwortlichen von großem Vorteil ist.
 
Dieselbe Auffassung vertritt die italienische Datenschutzbehörde: Sie legt Unternehmen die Ernennung eines Auftragsverarbeiters dringend ans Herz – selbst wenn es optional ist. So kann nachgewiesen werden, dass der Verantwortliche und der Auftragsverarbeiter das Rechnungslegungsprinzip befolgen und gleichzeitig kann das Risiko einer Geldbuße ausgeschaltet werden. Die polnische Aufsichtsbehörde hat bisher keine solchen Richtlinien aufgestellt.
 

Angesichts der bisherigen Stellungen der europäischen Aufsichtsbehörden sollten Unternehmen, die Outsourcing-Dienstleistungen in der Lohnbuchhaltung erbringen, unseres Erachtens einen Auftragsverarbeiter ernennen. Arbeitgeber, die Personal- und Lohnbuchhaltung outsourcen wollen, sollten Dienstleiter auch unter Berücksichtigung dieser Frage verifizieren – dadurch können sie ihrerseits die Sorgfaltspflicht besser nachweisen.

 
 

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu