Das Internet ist schon seit Monaten in Aufruhr – um nicht zu sagen: In Endzeitstimmung – und bereitet sich akribisch auf eine Abmahnwelle vor. Doch was genau bedeutet die DSGVO eigentlich für den Bereich Personalwesen? Worauf müssen sich Mitarbeiter vorbereiten, die täglich Bewerberdaten verarbeiten? Der nachfolgende Beitrag klärt auf.
Hinweis: Dieser Artikel wurde sorgfältig recherchiert und verfasst. Dennoch entspricht er keiner Rechtsberatung. Eine Haftung ist ausgeschlossen. Die vollständige EU-Datenschutzgrundverordnung kann hier nachgelesen werden.
Die Auswirkung der DSGVO auf Personalabteilungen
Die wichtigste Information gleich vorweg: Personalabteilungen, die der Meinung sind, die DSGVO würde sie nicht betreffen, halten sich an einem großen Irrglauben fest. Fakt ist: Die neue Datenschutzgrundverordnung, die EU-weit in Kraft tritt, hat einige Auswirkungen auf diesen Bereich und wird das Personalwesen durchaus verändern. Es ist demnach alles andere als ratsam, so zu tun, als wüsste man nichts von den neuen Datenschutz-Richtlinien.
Zwar ist noch immer nicht geklärt, wie genau Verstöße ab dem 25. Mai 2018 geahndet werden sollen, doch geht aus der DSGVO hervor, dass die Sanktionen „verhältnismäßig und abschreckend“ sein werden.
Was sind personenbezogene Daten?
Weil dieser Terminus zwangsläufig immer im Kontext der DSGVO fällt, soll er an dieser Stelle kurz erklärt werden. Personenbezogene Daten sind Daten, die eindeutige Rückschlüsse auf eine bestimmte Einzelperson zulassen. Im Sinne der Datenschutzgrundverordnung versteht man hierunter beispielsweise:
- Name
- Adresse
- E-Mail-Adresse
- KFZ-Kennzeichen
- IP-Adresse
- Kontodaten
- Versicherungsnummern
- Kundennummern
Wichtig zu wissen ist außerdem, dass eine Kombination aus mehreren nicht-personenbezogenen Daten (beispielsweise Postleitzahl, Alter, Familienstand und Beruf) ebenfalls zu einem personenbezogenen Datum „verschmelzen“ können. Diese Sonderregelung ist eher für die Marketingabteilung und weniger für das Personalwesen von Bedeutung.
Was ist ein Verarbeitungsverzeichnis?
Laut Artikel 5 Absatz 2 DSGVO besteht für jeden, der personenbezogene Daten verarbeitet, eine Rechenschatzpflicht. Das bedeutet konkret, dass man im Falle einer Überprüfung in der Lage sein muss, die Einhaltung der DSGVO nachzuweisen.
Das Herzstück dieser Nachweispflicht ist das sogenannte Verzeichnis von Verarbeitungstätigkeiten, eine Art umfassende Liste, in der alle Datenverarbeitungsprozesse im Unternehmen aufgelistet werden. Welche Informationen außerdem im Verarbeitungsverzeichnis zu finden sein müssen, geht aus Artikel 30 DSGVO hervor.
Hinweis: In der Regel wird ein Verarbeitungsverzeichnis für das komplette Unternehmen geführt. Das heißt, dass die Personalabteilung ihre Datenverarbeitungsprozesse eventuell an eine andere Stelle weiterleiten muss.
Wie lang dürfen Bewerberdaten und E-Mails gespeichert bzw. aufbewahrt werden?
Die DSGVO unterliegt gewissen Richtlinien oder Grundsätzen. Einer davon ist die Zweckbindung (Artikel 5 Absatz 1b DSGVO). Das bedeutet, das erhobene Daten nur für einen bestimmten Zweck verwendet werden dürfen. Ist der Zweck nicht mehr gegeben (also: Wurde beispielsweise die offene Stelle besetzt und sind die übrigen Bewerbungen nicht weiter von Interesse), sind Sie dazu verpflichtet, die personenbezogenen Daten zu löschen.
Dies muss jedoch nicht sofort passieren, sondern kann beispielsweise einmal im Quartal erfolgen. Drei Monate gelten im Fall von Bewerbungsunterlagen als gerechtfertigte Aufbewahrungsfrist. Da es jedoch keine einheitlichen Regelungen gibt und sich viele Personalabteilungen gegen eventuelle gerichtliche Auseinandersetzungen absichern wollen (beispielsweise durch Speicherung von Email-Verläufen), ist es in der Praxis durchaus üblich, die Daten bis zu sechs Monate lang aufzubewahren.
Übrigens: Bewerberdaten mussten auch schon laut Bundesdatenschutzgesetz (also vor der DSGVO) nach Ende des Zwecks beziehungsweise innerhalb eines gewissen Zeitraums gelöscht werden.
Das Recht auf Löschung gilt auch für Bewerber
Da die DSGVO natürlich die Daten der einzelnen Person schützen will, erhält diese durch die neue Verordnung eine Reihe von Rechten. Eines der wichtigsten ist das Recht auf Löschung, manchmal auch Recht auf Vergessen genannt (Artikel 17 DSGVO).
In der Personal-Praxis bedeutet das, dass ein Bewerber nicht nur jederzeit um eine Auflistung all seiner gespeicherten personenbezogenen Daten bitten, sondern auch deren unverzügliche Löschung fordern kann.
Dies dürfte in einigen Fällen problematisch werden – beispielsweise dann, wenn die Bewerberdaten und E-Mails, in denen personenbezogene Daten genannt wurden, in einem Backup gespeichert wurden. Es ist dann aus technischer Sicht äußerst schwer, nur einzelne Elemente zu löschen. Eine Besprechung mit der IT-Abteilung zu diesem konkreten Problem wird dringend empfohlen.
Ist das Anlegen von Bewerberprofilen noch erlaubt?
Die DSGVO basiert auf dem Prinzip Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass es generell erst einmal immer verboten ist, personenbezogene Daten zu erheben, zu speichern, etc. – es sei denn, es liegt eine Erlaubnis vor. Erlaubnis-Tatbestände sind laut Artikel 6 DSGVO:
- freiwillige Einwilligung (die nachgewiesen werden muss)
- Erfüllung einer rechtlichen Pflicht
- berechtigtes Interesse
- Erfüllung eines Vertrags
- Schutz lebenswichtiger Interessen
Das bedeutet, dass personenbezogene Bewerberdaten nur dann verarbeitet werden dürfen, wenn einer der genannten Tatbestände vorliegt. Eine Speicherung der Daten (die für das Anlegen von Bewerberprofilen notwendig ist) ist nur im Sinne der oben bereits erwähnten Zweckbindung möglich.
Ein weiterer interessanter Fakt ist das Prinzip der Datenminimierung nach Artikel 5 Absatz 1c DSGVO. Darin heißt es: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.
Praxisbeispiel zur langfristigen Speicherung von personenbezogenen Bewerberdaten
Angenommen, eine neue Stelle soll besetzt werden und drei Bewerber stellen sich als besonders geeignet heraus. Natürlich kann nur einer die Stelle bekommen, sodass die anderen beiden leer ausgehen. Da die Personalabteilung jedoch der Meinung ist, dass diese zwei Kandidaten ebenfalls ein Gewinn für das Unternehmen sein können, will sie deren personenbezogene Daten (über den Zeitraum des eigentlichen Bewerbungsprozesses hinaus) speichern, um sie im Fall einer neuen Stellenausschreibung direkt kontaktieren zu können.
Damit dieser Vorgang als DSGVO-konform bezeichnet werden kann, muss ein Erlaubnis-Tatbestand vorliegen. In diesem konkreten Fall wird es sich wahrscheinlich um die freiwillige Einwilligung handeln, die die Personalabteilung jedoch auf jeden Fall beweisen können muss.
Schreibt der Bewerber schon in seinen Unterlagen, dass die Daten gern für spätere Kontaktaufnahmen gespeichert werden dürfen, dann genügt das als Nachweis. Andernfalls muss er seine Erlaubnis nachträglich (schriftlich) erteilen.
Personenbezogene Daten müssen sicher aufbewahrt werden
Ein Aspekt, der im Zuge der DSGVO sicherlich verschärft kontrolliert werden wird, ist die Art und Weise, wie personenbezogene Daten aufbewahrt werden. Konkret geht es hierbei um das Prinzip der Datensicherheit.
Hierunter fallen diverse Maßnahmen wie die SSL-Verschlüsselung von Email-Konten und Online-Bewerbungsformularen, die Absicherung des Servers (beispielsweise in einem abschließbaren Raum mit Feuerlöscher) und die Verwendung sicherer Passwörter.
Die Absicherung der Daten ist eine Aufgabe, die nicht allein von der Personalabteilung übernommen werden muss. Auch hier ist eine Zusammenarbeit mit der IT und bestenfalls auch mit dem Datenschutzbeauftragten des Unternehmens sinnvoll.
Hinweis: Stellt ein Unternehmen trotz aller Sicherheitsmaßnahmen fest, dass es Opfer von Cyberkriminalität geworden ist, muss es sich selbst wegen einer Datenschutzverletzung anzeigen. (vgl. Artikel 33 DSGVO)
Fazit: Mehr Sensibilität bei der Datenverarbeitung
Die DSGVO sorgt vor ihrem endgültigen Inkrafttreten am 25. Mai 2018 für reichlich Trubel und Unsicherheit. Nichtsdestotrotz gilt die Devise: Ruhe bewahren.
Es stimmt, dass es in Zukunft einige Veränderungen geben wird. Doch ist das längst kein Grund zur Panik. Wenn es um die Verarbeitung von Bewerberdaten geht, müssen vor allem diese Punkte beachtet werden:
- alle Verarbeitungsprozesse von personenbezogenen Daten müssen in einem Verzeichnis von Verarbeitungstätigkeiten („Verarbeitungsverzeichnis“) dokumentiert werden
- personenbezogene Daten dürfen nur zweckgebunden verarbeitet werden
- personenbezogene Daten müssen regelmäßig gelöscht werden, wenn der Verwendungszweck nicht mehr gilt
- Bewerber haben ein Recht auf Einsicht und Löschung all ihrer personenbezogenen Daten
- Sollen personenbezogene Daten über den eigentlichen Zweck hinaus verarbeitet werden, ist eine Einwilligung von Seiten des Bewerbers notwendig
- Es dürfen nur die personenbezogenen Daten erhoben werden, die auch tatsächlich benötigt werden
- Der Umgang mit personenbezogenen Daten muss einem gewissen Sicherheitsstandard entsprechen