Karrierefaktor 3. Mai 2018

DSGVO – Was mĂŒssen Personaler in Bezug auf Bewerberdaten beachten


Am 25. Mai 2018 tritt die EU-weite Datenschutzgrundverordnung (kurz: DSGVO) endgĂŒltig in Kraft. Nach zwei Jahren „Probezeit“ wird es ab dann keine weiteren Übergangsfristen mehr geben. Das bedeutet: Wer gegen die Verordnung verstĂ¶ĂŸt und personenbezogene Daten nicht DSGVO-konform verarbeitet (das heißt: erhebt, speichert, löscht, verĂ€ndert und weitergibt), muss mit teils hohen Strafen rechnen. Das Internet ist schon seit Monaten in Aufruhr – um nicht zu sagen: In Endzeitstimmung – und bereitet sich akribisch auf eine Abmahnwelle vor. Doch was genau bedeutet die DSGVO eigentlich fĂŒr den Bereich Personalwesen? Worauf mĂŒssen sich Mitarbeiter vorbereiten, die tĂ€glich Bewerberdaten verarbeiten? Der nachfolgende Beitrag klĂ€rt auf.

Hinweis: Dieser Artikel wurde sorgfÀltig recherchiert und verfasst. Dennoch entspricht er keiner Rechtsberatung. Eine Haftung ist ausgeschlossen. Die vollstÀndige EU-Datenschutzgrundverordnung kann hier nachgelesen werden.

 

Die Auswirkung der DSGVO auf Personalabteilungen

Die wichtigste Information gleich vorweg: Personalabteilungen, die der Meinung sind, die DSGVO wĂŒrde sie nicht betreffen, halten sich an einem großen Irrglauben fest. Fakt ist: Die neue Datenschutzgrundverordnung, die EU-weit in Kraft tritt, hat einige Auswirkungen auf diesen Bereich und wird das Personalwesen durchaus verĂ€ndern. Es ist demnach alles andere als ratsam, so zu tun, als wĂŒsste man nichts von den neuen Datenschutz-Richtlinien.

Zwar ist noch immer nicht geklĂ€rt, wie genau VerstĂ¶ĂŸe ab dem 25. Mai 2018 geahndet werden sollen, doch geht aus der DSGVO hervor, dass die Sanktionen „verhĂ€ltnismĂ€ĂŸig und abschreckend“ sein werden.

 

Was sind personenbezogene Daten?

Weil dieser Terminus zwangslĂ€ufig immer im Kontext der DSGVO fĂ€llt, soll er an dieser Stelle kurz erklĂ€rt werden. Personenbezogene Daten sind Daten, die eindeutige RĂŒckschlĂŒsse auf eine bestimmte Einzelperson zulassen. Im Sinne der Datenschutzgrundverordnung versteht man hierunter beispielsweise:

  • Name
  • Adresse
  • E-Mail-Adresse
  • KFZ-Kennzeichen
  • IP-Adresse
  • Kontodaten
  • Versicherungsnummern
  • Kundennummern

Wichtig zu wissen ist außerdem, dass eine Kombination aus mehreren nicht-personenbezogenen Daten (beispielsweise Postleitzahl, Alter, Familienstand und Beruf) ebenfalls zu einem personenbezogenen Datum „verschmelzen“ können. Diese Sonderregelung ist eher fĂŒr die Marketingabteilung und weniger fĂŒr das Personalwesen von Bedeutung.

 

Was ist ein Verarbeitungsverzeichnis?

Laut Artikel 5 Absatz 2 DSGVO besteht fĂŒr jeden, der personenbezogene Daten verarbeitet, eine Rechenschatzpflicht. Das bedeutet konkret, dass man im Falle einer ÜberprĂŒfung in der Lage sein muss, die Einhaltung der DSGVO nachzuweisen.

Das HerzstĂŒck dieser Nachweispflicht ist das sogenannte Verzeichnis von VerarbeitungstĂ€tigkeiten, eine Art umfassende Liste, in der alle Datenverarbeitungsprozesse im Unternehmen aufgelistet werden. Welche Informationen außerdem im Verarbeitungsverzeichnis zu finden sein mĂŒssen, geht aus Artikel 30 DSGVO hervor.

Hinweis: In der Regel wird ein Verarbeitungsverzeichnis fĂŒr das komplette Unternehmen gefĂŒhrt. Das heißt, dass die Personalabteilung ihre Datenverarbeitungsprozesse eventuell an eine andere Stelle weiterleiten muss.

 

Wie lang dĂŒrfen Bewerberdaten und E-Mails gespeichert bzw. aufbewahrt werden?

Die DSGVO unterliegt gewissen Richtlinien oder GrundsĂ€tzen. Einer davon ist die Zweckbindung (Artikel 5 Absatz 1b DSGVO). Das bedeutet, das erhobene Daten nur fĂŒr einen bestimmten Zweck verwendet werden dĂŒrfen. Ist der Zweck nicht mehr gegeben (also: Wurde beispielsweise die offene Stelle besetzt und sind die ĂŒbrigen Bewerbungen nicht weiter von Interesse), sind Sie dazu verpflichtet, die personenbezogenen Daten zu löschen.

Dies muss jedoch nicht sofort passieren, sondern kann beispielsweise einmal im Quartal erfolgen. Drei Monate gelten im Fall von Bewerbungsunterlagen als gerechtfertigte Aufbewahrungsfrist. Da es jedoch keine einheitlichen Regelungen gibt und sich viele Personalabteilungen gegen eventuelle gerichtliche Auseinandersetzungen absichern wollen (beispielsweise durch Speicherung von Email-VerlĂ€ufen), ist es in der Praxis durchaus ĂŒblich, die Daten bis zu sechs Monate lang aufzubewahren.

Übrigens: Bewerberdaten mussten auch schon laut Bundesdatenschutzgesetz (also vor der DSGVO) nach Ende des Zwecks beziehungsweise innerhalb eines gewissen Zeitraums gelöscht werden.

 

Das Recht auf Löschung gilt auch fĂŒr Bewerber

Da die DSGVO natĂŒrlich die Daten der einzelnen Person schĂŒtzen will, erhĂ€lt diese durch die neue Verordnung eine Reihe von Rechten. Eines der wichtigsten ist das Recht auf Löschung, manchmal auch Recht auf Vergessen genannt (Artikel 17 DSGVO).

In der Personal-Praxis bedeutet das, dass ein Bewerber nicht nur jederzeit um eine Auflistung all seiner gespeicherten personenbezogenen Daten bitten, sondern auch deren unverzĂŒgliche Löschung fordern kann.

Dies dĂŒrfte in einigen FĂ€llen problematisch werden – beispielsweise dann, wenn die Bewerberdaten und E-Mails, in denen personenbezogene Daten genannt wurden, in einem Backup gespeichert wurden. Es ist dann aus technischer Sicht Ă€ußerst schwer, nur einzelne Elemente zu löschen. Eine Besprechung mit der IT-Abteilung zu diesem konkreten Problem wird dringend empfohlen.

 

Ist das Anlegen von Bewerberprofilen noch erlaubt?

Die DSGVO basiert auf dem Prinzip Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass es generell erst einmal immer verboten ist, personenbezogene Daten zu erheben, zu speichern, etc. – es sei denn, es liegt eine Erlaubnis vor. Erlaubnis-TatbestĂ€nde sind laut Artikel 6 DSGVO:

  • freiwillige Einwilligung (die nachgewiesen werden muss)
  • ErfĂŒllung einer rechtlichen Pflicht
  • berechtigtes Interesse
  • ErfĂŒllung eines Vertrags
  • Schutz lebenswichtiger Interessen

Das bedeutet, dass personenbezogene Bewerberdaten nur dann verarbeitet werden dĂŒrfen, wenn einer der genannten TatbestĂ€nde vorliegt. Eine Speicherung der Daten (die fĂŒr das Anlegen von Bewerberprofilen notwendig ist) ist nur im Sinne der oben bereits erwĂ€hnten Zweckbindung möglich.

Ein weiterer interessanter Fakt ist das Prinzip der Datenminimierung nach Artikel 5 Absatz 1c DSGVO. Darin heißt es: „Personenbezogene Daten mĂŒssen dem Zweck angemessen und erheblich sowie das fĂŒr die Zwecke der Verarbeitung notwendige Maß beschrĂ€nkt sein“.

 

Praxisbeispiel zur langfristigen Speicherung von personenbezogenen Bewerberdaten

Angenommen, eine neue Stelle soll besetzt werden und drei Bewerber stellen sich als besonders geeignet heraus. NatĂŒrlich kann nur einer die Stelle bekommen, sodass die anderen beiden leer ausgehen. Da die Personalabteilung jedoch der Meinung ist, dass diese zwei Kandidaten ebenfalls ein Gewinn fĂŒr das Unternehmen sein können, will sie deren personenbezogene Daten (ĂŒber den Zeitraum des eigentlichen Bewerbungsprozesses hinaus) speichern, um sie im Fall einer neuen Stellenausschreibung direkt kontaktieren zu können.

Damit dieser Vorgang als DSGVO-konform bezeichnet werden kann, muss ein Erlaubnis-Tatbestand vorliegen. In diesem konkreten Fall wird es sich wahrscheinlich um die freiwillige Einwilligung handeln, die die Personalabteilung jedoch auf jeden Fall beweisen können muss.

Schreibt der Bewerber schon in seinen Unterlagen, dass die Daten gern fĂŒr spĂ€tere Kontaktaufnahmen gespeichert werden dĂŒrfen, dann genĂŒgt das als Nachweis. Andernfalls muss er seine Erlaubnis nachtrĂ€glich (schriftlich) erteilen.

 

Personenbezogene Daten mĂŒssen sicher aufbewahrt werden

Ein Aspekt, der im Zuge der DSGVO sicherlich verschÀrft kontrolliert werden wird, ist die Art und Weise, wie personenbezogene Daten aufbewahrt werden. Konkret geht es hierbei um das Prinzip der Datensicherheit.

Hierunter fallen diverse Maßnahmen wie die SSL-VerschlĂŒsselung von Email-Konten und Online-Bewerbungsformularen, die Absicherung des Servers (beispielsweise in einem abschließbaren Raum mit Feuerlöscher) und die Verwendung sicherer Passwörter.

Die Absicherung der Daten ist eine Aufgabe, die nicht allein von der Personalabteilung ĂŒbernommen werden muss. Auch hier ist eine Zusammenarbeit mit der IT und bestenfalls auch mit dem Datenschutzbeauftragten des Unternehmens sinnvoll.

Hinweis: Stellt ein Unternehmen trotz aller Sicherheitsmaßnahmen fest, dass es Opfer von CyberkriminalitĂ€t geworden ist, muss es sich selbst wegen einer Datenschutzverletzung anzeigen. (vgl. Artikel 33 DSGVO)

 

Fazit: Mehr SensibilitÀt bei der Datenverarbeitung

Die DSGVO sorgt vor ihrem endgĂŒltigen Inkrafttreten am 25. Mai 2018 fĂŒr reichlich Trubel und Unsicherheit. Nichtsdestotrotz gilt die Devise: Ruhe bewahren.

Es stimmt, dass es in Zukunft einige VerĂ€nderungen geben wird. Doch ist das lĂ€ngst kein Grund zur Panik. Wenn es um die Verarbeitung von Bewerberdaten geht, mĂŒssen vor allem diese Punkte beachtet werden:

  • alle Verarbeitungsprozesse von personenbezogenen Daten mĂŒssen in einem Verzeichnis von VerarbeitungstĂ€tigkeiten („Verarbeitungsverzeichnis“) dokumentiert werden
  • personenbezogene Daten dĂŒrfen nur zweckgebunden verarbeitet werden
  • personenbezogene Daten mĂŒssen regelmĂ€ĂŸig gelöscht werden, wenn der Verwendungszweck nicht mehr gilt
  • Bewerber haben ein Recht auf Einsicht und Löschung all ihrer personenbezogenen Daten
  • Sollen personenbezogene Daten ĂŒber den eigentlichen Zweck hinaus verarbeitet werden, ist eine Einwilligung von Seiten des Bewerbers notwendig
  • Es dĂŒrfen nur die personenbezogenen Daten erhoben werden, die auch tatsĂ€chlich benötigt werden
  • Der Umgang mit personenbezogenen Daten muss einem gewissen Sicherheitsstandard entsprechen

 

Newsletter abonnieren

Was bringt meine Karriere voran? RegelmĂ€ĂŸige Tipps zu Karriere & Weiterbildung...

E-Mail-Adresse eintragen:
 Ich habe die DatenschutzerklĂ€rung & Widerrufshinweise zur Kenntnis genommen. Ich stimme zu, dass meine E-Mailadresse zum Versand des Newsletters elektronisch erhoben und gespeichert wird. Hinweis: Sie können Ihre Einwilligung jederzeit fĂŒr die Zukunft hier per E-Mail an Karrierefaktor.de widerrufen.

 

Karrierefaktor von: Karrierefaktor
429 0 0


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Top-Artikel

Weiterbildung

Ein gelungener Start fĂŒr Ihre englische E-Mail

Wie gut sind Ihre englischen E-Mails? Können Sie sicher verkehren und haben Sie stets die richtigen ...
Weiterlesen »

Karrierefaktor von: Karrierefaktor
64397 0 1
Firmenfahrzeug Im Job

Dienstwagen statt Gehaltserhöhung: Wann sich der Deal lohnt

Wenn der Chef die Bitte nach einer Gehaltserhöhung immer wieder ablehnt, bleibt noch die ...
Weiterlesen »

Karrierefaktor von: Karrierefaktor
30566 0 5
Gehalt

Wann muss das Gehalt auf dem Konto sein?

Ein monatliches Gehalt ist eine schöne Form von Sicherheit: Du kannst planen, einen Dauerauftrag ...
Weiterlesen »

Karrierefaktor von: Karrierefaktor
11815 0 0

Legende: Karrierefaktor = Karrierefaktor   Gastbeitrag = Gastbeitrag



Karrierefaktor

Google+