Verschärfte Kontrollen der französischen Datenschutzbehörde im HR-Bereich erwartet

PDF Download »

Artikel 35 der Datenschutz-Grundverordnung (DSGVO) sieht hinsichtlich bestimmter Datenverarbeitungsvorgänge die Pflicht zur Durchführung einer sogenannten Datenschutz-Folgenabschätzung (DSFA) vor. In den meisten Unternehmen betrifft dies – nicht ausschließlich, aber insbesondere – Verarbeitungsvorgänge im Personalverwaltungsbereich.

Bei Einführung der DSGVO im Jahr 2018 hat die französische Datenschutzbehörde CNIL den Unternehmen hierfür eine dreijährige Schonfrist eingeräumt. Diese Frist endet am 24.05.2021.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Nicht alle Datenverarbeitungsvorgänge bedürfen einer DSFA. Gemäß Art. 35 Abs. 1 DSGVO hat eine DSFA immer dann zwingend vor Beginn einer geplanten Datenverarbeitung zu erfolgen, wenn die Verarbeitung „wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt“.

Art. 35 Abs. 3 DSGVO enthält eine nicht abschließende Aufzählung von Fällen, in denen eine DSFA zwingend erforderlich ist. Da die dort aufgeführten Fälle sehr allgemein gehalten sind, hat der Europäische Datenschutzausschuss (EDSA) neun Kriterien daraus abgeleitet, die für ein erhöhtes Risiko und damit für die Erforderlichkeit einer DSFA sprechen.[1]

Welche Kriterien legt die CNIL im HR-Bereich zugrunde?

Um eine konkrete Beurteilung auf nationaler Ebene zu ermöglichen, sieht Art. 35 Abs. 4 DSGVO eine Pflicht für die jeweiligen Aufsichtsbehörden vor, eine Liste der Verarbeitungsvorgänge zu veröffentlichen, für die ihrer Ansicht nach eine DSFA durchzuführen ist. Für den Bereich der Personalverwaltung enthält die von der CNIL veröffentlichte Liste drei Verarbeitungsvorgänge, die eine DSFA zwingend erforderlich machen:

  • Erstellung von Profilen natürlicher Personen zum Zwecke der Personalverwaltung (z. B. Identifizierung und Verwaltung von High Potentials, Personalsuche unter Einsatz von Auswahlalgorithmen, auf Algorithmen basierende Vorschläge zu personalisierten Weiterbildungsangeboten, Verarbeitungen zur Identifizierung und Vorbeugung von Mitarbeiterabgängen anhand festgestellter Korrelationen zwischen verschiedenen Faktoren)
  • Datenverarbeitungen, die der permanenten Überwachung von Mitarbeitern dienen (z. B. Videoüberwachung, Analyse ausgehender E-Mails, Einsatz von Fahrtenschreibern)
  • Verarbeitungen zur Verwaltung von Warnmeldungen im beruflichen Bereich (z. B. interne Verfahren zur Sammlung von Whistleblower-Meldungen (etwa betreffend Einflussnahme, Korruption, Sorgfaltspflicht))

Da diese Auflistungen jedoch nicht abschließend sind, sollten sich Unternehmen zusätzlich auch an den neun Kriterien des EDSA orientieren, um im Einzelfall zu prüfen, ob eine DSFA erforderlich ist. In Zweifelsfällen, in denen eine Einordnung nicht eindeutig möglich ist, sollte eine DSFA grundsätzlich immer durchgeführt werden.

Verstärkte Kontrollen ab Mai 2021?

Aufgrund der eingangs erwähnten Schonfrist hat die CNIL bislang von Kontrollen zur DSFA abgesehen. Mit Ablauf der Frist am 24.05.2021 dürfte sich dies jedoch ändern. Spätestens dann müssen Unternehmen für alle in den Anwendungsbereich der DSFA fallenden Verarbeitungsvorgänge, die seit Mai 2018 stattgefunden haben, nachweislich eine DSFA vorgenommen haben.

Bei Unterlassung droht den betroffenen Unternehmen eine Geldstrafe von bis zu 10 Millionen Euro bzw. von bis zu 2 % des weltweiten Jahresumsatzes.

Praxistipp:

In Anbetracht der zu erwartenden Kontrollen und einer nicht unerheblichen Gelstrafe, sollten Unternehmen die Pflicht zur Durchführung der Datenschutz-Folgenabschätzung ernst nehmen.

Hierfür ist zunächst zu ermitteln, ob die Datenverarbeitungsvorgänge im Unternehmen eine DSFA erforderlich machen oder nicht. Hierbei sind insbesondere die vorstehend genannten Kriterien der CNIL sowie die neun Kriterien des EDSA zu berücksichtigen. Darüber hinaus stellt die CNIL auf ihrer Website eine Infografik zur Verfügung, die als zusätzliche Orientierungshilfe genutzt werden kann.

Für den Fall, dass sich eine DSFA als erforderlich erweist, bietet die CNIL auf ihrer Website ein kostenloses Tool an, das den Unternehmen bei der Erstellung der DSFA hilft.

Wenn Sie weitere Fragen zu diesem Thema haben oder Hilfe benötigen, stehen wir Ihnen gerne mit Rat und Tat zur Seite.
 

 

[1] Die entsprechende Leitlinie des EDSA enthält neben der Liste der Kriterien zahlreiche Erläuterungen und Beispiele. Die in mehreren Sprachen verfügbare Leitlinie finden Sie hier.

 

03.05.2021

Jeanne Faymonville
Jeanne Faymonville

Weitere Publikationen zu ähnlichen Themen

12.07.2023 : Datenschutz / IT
Datenübermittlung in die USA: Neues Datenschutzabkommen zwischen EU und USA
19.04.2023 : Datenschutz / IT
Skandale im Unternehmen vermeiden durch effektiven Hinweisgeberschutz
15.02.2023 : Datenschutz / IT
Regulierung von Cyber-Schäden in Frankreich setzt Strafanzeige voraus
Alle Publikationen »
Telefon

Qivive Avocats & Rechtsanwälte hat 4,77 von 5 Sternen 351 Bewertungen auf ProvenExpert.com