Karrierefaktor 3. Mai 2018

DSGVO – Was m├╝ssen Personaler in Bezug auf Bewerberdaten beachten


Am 25. Mai 2018 tritt die EU-weite Datenschutzgrundverordnung (kurz: DSGVO) endg├╝ltig in Kraft. Nach zwei Jahren ÔÇ×ProbezeitÔÇť wird es ab dann keine weiteren ├ťbergangsfristen mehr geben. Das bedeutet: Wer gegen die Verordnung verst├Â├čt und personenbezogene Daten nicht DSGVO-konform verarbeitet (das hei├čt: erhebt, speichert, l├Âscht, ver├Ąndert und weitergibt), muss mit teils hohen Strafen rechnen. Das Internet ist schon seit Monaten in Aufruhr ÔÇô um nicht zu sagen: In Endzeitstimmung ÔÇô und bereitet sich akribisch auf eine Abmahnwelle vor. Doch was genau bedeutet die DSGVO eigentlich f├╝r den Bereich Personalwesen? Worauf m├╝ssen sich Mitarbeiter vorbereiten, die t├Ąglich Bewerberdaten verarbeiten? Der nachfolgende Beitrag kl├Ąrt auf.

Hinweis: Dieser Artikel wurde sorgf├Ąltig recherchiert und verfasst. Dennoch entspricht er keiner Rechtsberatung. Eine Haftung ist ausgeschlossen. Die vollst├Ąndige EU-Datenschutzgrundverordnung kann hier nachgelesen werden.

 

Die Auswirkung der DSGVO auf Personalabteilungen

Die wichtigste Information gleich vorweg: Personalabteilungen, die der Meinung sind, die DSGVO w├╝rde sie nicht betreffen, halten sich an einem gro├čen Irrglauben fest. Fakt ist: Die neue Datenschutzgrundverordnung, die EU-weit in Kraft tritt, hat einige Auswirkungen auf diesen Bereich und wird das Personalwesen durchaus ver├Ąndern. Es ist demnach alles andere als ratsam, so zu tun, als w├╝sste man nichts von den neuen Datenschutz-Richtlinien.

Zwar ist noch immer nicht gekl├Ąrt, wie genau Verst├Â├če ab dem 25. Mai 2018 geahndet werden sollen, doch geht aus der DSGVO hervor, dass die Sanktionen ÔÇ×verh├Ąltnism├Ą├čig und abschreckendÔÇť sein werden.

 

Was sind personenbezogene Daten?

Weil dieser Terminus zwangsl├Ąufig immer im Kontext der DSGVO f├Ąllt, soll er an dieser Stelle kurz erkl├Ąrt werden. Personenbezogene Daten sind Daten, die eindeutige R├╝ckschl├╝sse auf eine bestimmte Einzelperson zulassen. Im Sinne der Datenschutzgrundverordnung versteht man hierunter beispielsweise:

  • Name
  • Adresse
  • E-Mail-Adresse
  • KFZ-Kennzeichen
  • IP-Adresse
  • Kontodaten
  • Versicherungsnummern
  • Kundennummern

Wichtig zu wissen ist au├čerdem, dass eine Kombination aus mehreren nicht-personenbezogenen Daten (beispielsweise Postleitzahl, Alter, Familienstand und Beruf) ebenfalls zu einem personenbezogenen Datum ÔÇ×verschmelzenÔÇť k├Ânnen. Diese Sonderregelung ist eher f├╝r die Marketingabteilung und weniger f├╝r das Personalwesen von Bedeutung.

 

Was ist ein Verarbeitungsverzeichnis?

Laut Artikel 5 Absatz 2 DSGVO besteht f├╝r jeden, der personenbezogene Daten verarbeitet, eine Rechenschatzpflicht. Das bedeutet konkret, dass man im Falle einer ├ťberpr├╝fung in der Lage sein muss, die Einhaltung der DSGVO nachzuweisen.

Das Herzst├╝ck dieser Nachweispflicht ist das sogenannte Verzeichnis von Verarbeitungst├Ątigkeiten, eine Art umfassende Liste, in der alle Datenverarbeitungsprozesse im Unternehmen aufgelistet werden. Welche Informationen au├čerdem im Verarbeitungsverzeichnis zu finden sein m├╝ssen, geht aus Artikel 30 DSGVO hervor.

Hinweis: In der Regel wird ein Verarbeitungsverzeichnis f├╝r das komplette Unternehmen gef├╝hrt. Das hei├čt, dass die Personalabteilung ihre Datenverarbeitungsprozesse eventuell an eine andere Stelle weiterleiten muss.

 

Wie lang d├╝rfen Bewerberdaten und E-Mails gespeichert bzw. aufbewahrt werden?

Die DSGVO unterliegt gewissen Richtlinien oder Grunds├Ątzen. Einer davon ist die Zweckbindung (Artikel 5 Absatz 1b DSGVO). Das bedeutet, das erhobene Daten nur f├╝r einen bestimmten Zweck verwendet werden d├╝rfen. Ist der Zweck nicht mehr gegeben (also: Wurde beispielsweise die offene Stelle besetzt und sind die ├╝brigen Bewerbungen nicht weiter von Interesse), sind Sie dazu verpflichtet, die personenbezogenen Daten zu l├Âschen.

Dies muss jedoch nicht sofort passieren, sondern kann beispielsweise einmal im Quartal erfolgen. Drei Monate gelten im Fall von Bewerbungsunterlagen als gerechtfertigte Aufbewahrungsfrist. Da es jedoch keine einheitlichen Regelungen gibt und sich viele Personalabteilungen gegen eventuelle gerichtliche Auseinandersetzungen absichern wollen (beispielsweise durch Speicherung von Email-Verl├Ąufen), ist es in der Praxis durchaus ├╝blich, die Daten bis zu sechs Monate lang aufzubewahren.

├ťbrigens: Bewerberdaten mussten auch schon laut Bundesdatenschutzgesetz (also vor der DSGVO) nach Ende des Zwecks beziehungsweise innerhalb eines gewissen Zeitraums gel├Âscht werden.

 

Das Recht auf L├Âschung gilt auch f├╝r Bewerber

Da die DSGVO nat├╝rlich die Daten der einzelnen Person sch├╝tzen will, erh├Ąlt diese durch die neue Verordnung eine Reihe von Rechten. Eines der wichtigsten ist das Recht auf L├Âschung, manchmal auch Recht auf Vergessen genannt (Artikel 17 DSGVO).

In der Personal-Praxis bedeutet das, dass ein Bewerber nicht nur jederzeit um eine Auflistung all seiner gespeicherten personenbezogenen Daten bitten, sondern auch deren unverz├╝gliche L├Âschung fordern kann.

Dies d├╝rfte in einigen F├Ąllen problematisch werden ÔÇô beispielsweise dann, wenn die Bewerberdaten und E-Mails, in denen personenbezogene Daten genannt wurden, in einem Backup gespeichert wurden. Es ist dann aus technischer Sicht ├Ąu├čerst schwer, nur einzelne Elemente zu l├Âschen. Eine Besprechung mit der IT-Abteilung zu diesem konkreten Problem wird dringend empfohlen.

 

Ist das Anlegen von Bewerberprofilen noch erlaubt?

Die DSGVO basiert auf dem Prinzip Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass es generell erst einmal immer verboten ist, personenbezogene Daten zu erheben, zu speichern, etc. – es sei denn, es liegt eine Erlaubnis vor. Erlaubnis-Tatbest├Ąnde sind laut Artikel 6 DSGVO:

  • freiwillige Einwilligung (die nachgewiesen werden muss)
  • Erf├╝llung einer rechtlichen Pflicht
  • berechtigtes Interesse
  • Erf├╝llung eines Vertrags
  • Schutz lebenswichtiger Interessen

Das bedeutet, dass personenbezogene Bewerberdaten nur dann verarbeitet werden d├╝rfen, wenn einer der genannten Tatbest├Ąnde vorliegt. Eine Speicherung der Daten (die f├╝r das Anlegen von Bewerberprofilen notwendig ist) ist nur im Sinne der oben bereits erw├Ąhnten Zweckbindung m├Âglich.

Ein weiterer interessanter Fakt ist das Prinzip der Datenminimierung nach Artikel 5 Absatz 1c DSGVO. Darin hei├čt es: ÔÇ×Personenbezogene Daten m├╝ssen dem Zweck angemessen und erheblich sowie das f├╝r die Zwecke der Verarbeitung notwendige Ma├č beschr├Ąnkt seinÔÇť.

 

Praxisbeispiel zur langfristigen Speicherung von personenbezogenen Bewerberdaten

Angenommen, eine neue Stelle soll besetzt werden und drei Bewerber stellen sich als besonders geeignet heraus. Nat├╝rlich kann nur einer die Stelle bekommen, sodass die anderen beiden leer ausgehen. Da die Personalabteilung jedoch der Meinung ist, dass diese zwei Kandidaten ebenfalls ein Gewinn f├╝r das Unternehmen sein k├Ânnen, will sie deren personenbezogene Daten (├╝ber den Zeitraum des eigentlichen Bewerbungsprozesses hinaus) speichern, um sie im Fall einer neuen Stellenausschreibung direkt kontaktieren zu k├Ânnen.

Damit dieser Vorgang als DSGVO-konform bezeichnet werden kann, muss ein Erlaubnis-Tatbestand vorliegen. In diesem konkreten Fall wird es sich wahrscheinlich um die freiwillige Einwilligung handeln, die die Personalabteilung jedoch auf jeden Fall beweisen k├Ânnen muss.

Schreibt der Bewerber schon in seinen Unterlagen, dass die Daten gern f├╝r sp├Ątere Kontaktaufnahmen gespeichert werden d├╝rfen, dann gen├╝gt das als Nachweis. Andernfalls muss er seine Erlaubnis nachtr├Ąglich (schriftlich) erteilen.

 

Personenbezogene Daten m├╝ssen sicher aufbewahrt werden

Ein Aspekt, der im Zuge der DSGVO sicherlich versch├Ąrft kontrolliert werden wird, ist die Art und Weise, wie personenbezogene Daten aufbewahrt werden. Konkret geht es hierbei um das Prinzip der Datensicherheit.

Hierunter fallen diverse Ma├čnahmen wie die SSL-Verschl├╝sselung von Email-Konten und Online-Bewerbungsformularen, die Absicherung des Servers (beispielsweise in einem abschlie├čbaren Raum mit Feuerl├Âscher) und die Verwendung sicherer Passw├Ârter.

Die Absicherung der Daten ist eine Aufgabe, die nicht allein von der Personalabteilung ├╝bernommen werden muss. Auch hier ist eine Zusammenarbeit mit der IT und bestenfalls auch mit dem Datenschutzbeauftragten des Unternehmens sinnvoll.

Hinweis: Stellt ein Unternehmen trotz aller Sicherheitsma├čnahmen fest, dass es Opfer von Cyberkriminalit├Ąt geworden ist, muss es sich selbst wegen einer Datenschutzverletzung anzeigen. (vgl. Artikel 33 DSGVO)

 

Fazit: Mehr Sensibilit├Ąt bei der Datenverarbeitung

Die DSGVO sorgt vor ihrem endg├╝ltigen Inkrafttreten am 25. Mai 2018 f├╝r reichlich Trubel und Unsicherheit. Nichtsdestotrotz gilt die Devise: Ruhe bewahren.

Es stimmt, dass es in Zukunft einige Ver├Ąnderungen geben wird. Doch ist das l├Ąngst kein Grund zur Panik. Wenn es um die Verarbeitung von Bewerberdaten geht, m├╝ssen vor allem diese Punkte beachtet werden:

  • alle Verarbeitungsprozesse von personenbezogenen Daten m├╝ssen in einem Verzeichnis von Verarbeitungst├Ątigkeiten (ÔÇ×VerarbeitungsverzeichnisÔÇť) dokumentiert werden
  • personenbezogene Daten d├╝rfen nur zweckgebunden verarbeitet werden
  • personenbezogene Daten m├╝ssen regelm├Ą├čig gel├Âscht werden, wenn der Verwendungszweck nicht mehr gilt
  • Bewerber haben ein Recht auf Einsicht und L├Âschung all ihrer personenbezogenen Daten
  • Sollen personenbezogene Daten ├╝ber den eigentlichen Zweck hinaus verarbeitet werden, ist eine Einwilligung von Seiten des Bewerbers notwendig
  • Es d├╝rfen nur die personenbezogenen Daten erhoben werden, die auch tats├Ąchlich ben├Âtigt werden
  • Der Umgang mit personenbezogenen Daten muss einem gewissen Sicherheitsstandard entsprechen

 

Newsletter abonnieren

Was bringt meine Karriere voran? Regelm├Ą├čige Tipps zu Karriere & Weiterbildung...

E-Mail-Adresse eintragen:
 Ich habe die Datenschutzerkl├Ąrung & Widerrufshinweise zur Kenntnis genommen. Ich stimme zu, dass meine E-Mailadresse zum Versand des Newsletters elektronisch erhoben und gespeichert wird. Hinweis: Sie k├Ânnen Ihre Einwilligung jederzeit f├╝r die Zukunft hier per E-Mail an Karrierefaktor.de widerrufen.

 

Karrierefaktor von: Karrierefaktor
560 0 0


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht ver├Âffentlicht. Erforderliche Felder sind mit * markiert.


Top-Artikel

Weiterbildung

Ein gelungener Start f├╝r Ihre englische E-Mail

Wie gut sind Ihre englischen E-Mails? K├Ânnen Sie sicher verkehren und haben Sie stets die richtigen ...
Weiterlesen »

Karrierefaktor von: Karrierefaktor
71750 0 1
Firmenfahrzeug Im Job

Dienstwagen statt Gehaltserh├Âhung: Wann sich der Deal lohnt

Wenn der Chef die Bitte nach einer Gehaltserh├Âhung immer wieder ablehnt, bleibt noch die ...
Weiterlesen »

Karrierefaktor von: Karrierefaktor
36063 0 5
Gehalt

Wann muss das Gehalt auf dem Konto sein?

Ein monatliches Gehalt ist eine sch├Âne Form von Sicherheit: Du kannst planen, einen Dauerauftrag ...
Weiterlesen »

Karrierefaktor von: Karrierefaktor
22155 0 0

Legende: Karrierefaktor = Karrierefaktor   Gastbeitrag = Gastbeitrag



Karrierefaktor

Google+