Home
Intern
Im Nachfolgenden widmen wir uns den wichtigsten Grundsätzen zur Verarbeitung personenbezogener Daten in der Personal- und Lohnbuchhaltung der ausgewählten Rechtssysteme in Polen, Rumänien und Italien.
Sowohl in Polen und Italien als auch in Rumänien ist die Datenverarbeitung von Arbeitnehmern erlaubt. Jedoch müssen die allgemeinen Datenschutzregelungen (ab 25. Mai 2018 die Bestimmungen der DSGVO) in allen Staaten eingehalten werden, da den betroffenen Personen durch den unbefugten Zugang zu den personenbezogenen (auch sensiblen) Daten Schaden entstehen kann. Zudem müssen Arbeitgeber angemessene und passende technische Sicherheitsmaßnahmen ergreifen, die den Schutz der Beschäftigtendaten gewährleisten. In Polen ist es zudem wichtig, dass der Arbeitgeber vom künftigen oder aktuellen Arbeitnehmer grundsätzlich nur solche Daten einholen darf, die in den nationalen Vorschriften (insbesondere im polnischen Arbeitsgesetzbuch) bestimmt sind.
In Rumänien müssen Arbeitgeber bei der Verarbeitung personenbezogener Beschäftigtendaten ebenfalls bestimmte, grundlegende Datenschutzgrundsätze beachten, bspw. Transparenz, Verhältnismäßigkeit oder Finalität. Auch das Bewusstsein des Personals muss sensibilisiert werden – d.h. Mitarbeiter, zu deren täglichen Aufgaben die Verarbeitung personenbezogener Beschäftigtendaten gehört, sollten im Bereich der Datenschutzregelungen geschult werden.
Gemäß Art. 88 DSGVO kann jeder Mitgliedstaat den Schutz personenbezogener Daten bei der Beschäftigung auch detaillierter regeln, als es die DSGVO verlangt. Das insbesondere im Management oder bei Bewerbungsverfahren, der Erfüllung von Arbeitsverträgen, der Planung und Organisation der Arbeit, der Gleichheit und Diversität sowie der Gesundheit und Sicherheit am Arbeitsplatz.
In Polen wurden bislang lediglich Änderungsentwürfe ausgearbeitet. Es wird u.a. geplant, die Verarbeitung biometrischer Daten von Arbeitnehmern zuzulassen, wenn der Arbeitnehmer damit einverstanden ist – ein Fehlen der Zustimmung kann weder zu einer schlechten Behandlung führen noch sonstige negative Folgen nach sich ziehen. Der Änderungsentwurf sieht außerdem vor, dass Arbeitgeber den Arbeitsort überwachen dürfen. Der Arbeitgeber darf die Überwachung jedoch nicht mit dem Ziel einführen, die Arbeit zu kontrollieren, sondern nur um den Arbeitnehmern und dem Unternehmensvermögen Sicherheit zu gewährleisten. Der Umfang der Daten, die der Arbeitgeber sammeln darf, wird sich ebenfalls ändern – bspw. bei der Verarbeitung von Telefonnummern und E-Mail-Adressen, die während des Bewerbungsverfahrens gespeichert wurden.
Die rumänische Regierung hat einen Gesetzesentwurf zur öffentlichen Debatte gestellt: Darin sollen die zwingenden Vorschriften der DSGVO in die Landesgesetzgebung überführt werden. Er enthält jedoch keine spezifischen Regelungen für Beschäftigungs- bzw. Lohnabrechnungsangelegenheiten.
Die Personal- und Lohnbuchhaltung wird in der Praxis häufig ausgelagert. Aufgrund der DSGVO sollte der Arbeitgeber – als Verantwortlicher für die Verarbeitung von Beschäftigtendaten – nur solche Outsourcingunternehmen beauftragen, die die Anforderungen der DSGVO erfüllen. Eine Bestimmung kann das Vorhandensein eines Datenschutzbeauftragten sein, was in manchen Fällen obligatorisch ist. Eine Pflicht der Bestellung des Datenschutzbeauftragten ergibt sich unmittelbar aus der DSGVO bzw. aus nationalen Vorschriften.
Die nationalen Aufsichtsbehörden können zudem Richtlinien erlassen, die Unternehmen bei der Bewertung behilflich sind, ob die Bestellung eines Datenschutzbeauftragten unabdingbar ist oder nicht. Bspw. hat die rumänische Datenschutzbehörde bereits eine Richtlinie erlassen, die – auch wenn die DSGVO die Pflicht zur Ernennung eines Datenschutzbeauftragten ausdrücklich nur in bestimmten Situationen oder für bestimmte Datenverantwortliche vorsieht – empfiehlt, dass jedes Unternehmen solch einen Auftragsverarbeiter ernennen sollte, da das für den Datenverantwortlichen von großem Vorteil ist. Dieselbe Auffassung vertritt die italienische Datenschutzbehörde: Sie legt Unternehmen die Ernennung eines Auftragsverarbeiters dringend ans Herz – selbst wenn es optional ist. So kann nachgewiesen werden, dass der Verantwortliche und der Auftragsverarbeiter das Rechnungslegungsprinzip befolgen und gleichzeitig kann das Risiko einer Geldbuße ausgeschaltet werden. Die polnische Aufsichtsbehörde hat bisher keine solchen Richtlinien aufgestellt.
Angesichts der bisherigen Stellungen der europäischen Aufsichtsbehörden sollten Unternehmen, die Outsourcing-Dienstleistungen in der Lohnbuchhaltung erbringen, unseres Erachtens einen Auftragsverarbeiter ernennen. Arbeitgeber, die Personal- und Lohnbuchhaltung outsourcen wollen, sollten Dienstleiter auch unter Berücksichtigung dieser Frage verifizieren – dadurch können sie ihrerseits die Sorgfaltspflicht besser nachweisen.
Daten – Treibstoff einer neuen Ökonomie
Fakten zur DSGVO
Datenschutz als Wettbewerbsvorteil für Unternehmen – Einheitliche Regelung in der EU
Datenschutz-Grundverordnung – Alle Zielsetzungen werden verfehlt
Einhaltung von Datenschutz-Vorgaben – Zwischen unsäglichem Übel und großartiger Gelegenheit
Kontrolle von Beschäftigten in Europa – Informationspflichten in Polen nach nationalen und europäischen Vorgaben
§ 203 StGB: Neuerung im Gesetz – Inanspruchnahme von IT-Dienstleistern und Cloud-Computing vereinfacht
Steuerlicher Datenschutz – Was die Finanzbehörden dürfen
DSGVO in Polen, Rumänien und Italien – Revolutionäre Änderungen in der Personal- und Lohnbuchhaltung
Anonymisieren und Pseudonymisieren von Kundendaten – Praxisbeispiel aus dem Datenschutz
Die DSGVO im Ökosystem der ERP-Lösungen – Auswirkung auf das Zusammenspiel zwischen Unternehmen und Dienstleister
DSGVO und Abschlussprüfung – Veränderungen nicht nur für den Datenschutzbeauftragten
Umsetzung der DSGVO – So verschaffen Sie sich als Geschäftsführer, Vorstand oder Aufsichtsrat Sicherheit
Renata Kabas-Komorniczak
Certified Tax Consultant (Polen)
Geschäftsführende Partnerin
Anfrage senden