Diese Seite teilen

Neue Datenschutz-Grundverordnung: Das müssen Sie wissen

Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Sie regelt den Umgang mit persönlichen Daten neu. Obwohl viele der Paragrafen weitgehend an das geltende deutsche Recht angelehnt sind, sind viele Personalverantwortliche, Personaldienstleister und –vermittler aktuell verunsichert, wie sie sich auf das neue Gesetz vorbereiten können. Was sie über die neue Datenschutz-Grundverordnung wissen sollten.

 
Die Verunsicherung gegenüber der bevorstehenden Neuregelung der Datenschutz-Gesetzgebung im Personalwesen ist derzeit groß. Viele Fragen sind offen. Diese zum Beispiel: Dürfen Bewerberdaten weiterhin gespeichert werden? Und wenn ja – wie lange?

Neue Datenschutz-Grundverordnung inhaltlich schwer nachvollziehbar

Auch wenn Personalverantwortliche in aller Regel über einen Background in BWL oder einem artverwandten Fach haben und an die Lektüre von Fachtexten gewöhnt sind. Beim Lesen der Gesetzgebung kommen viele ins Trudeln. Denn das doch sehr eigene Juristendeutsch ist für Fachfremde alles andere als eindeutig nachvollziehbar.

Doch auch, wenn die Gesetzestexte zugegebenermaßen komplex und nur schwer zugänglich sind – Unternehmen sind nicht gut beraten, einfach den Kopf in den Sand zu stecken und die bevorstehenden Änderungen zu ignorieren.

Datenschutz-Grundverordnung: Die wesentlichen Änderungen im „Schnelldurchlauf“

Genau das tun aber viele Betriebe, wie vor knapp einem halben Jahr eine Veritas-Studie enthüllte. Dieser zufolge ist mehr als die Hälfte der Unternehmen (54 Prozent) nicht auf die neue Datenschutz-Grundverordnung vorbereitet. Fatal. Sollten die Anforderungen der DSGVO nicht richtig umgesetzt werden, erwarten Unternehmen nämlich erhebliche juristische Probleme. Das betrifft insbesondere HR, da hier sensible personenbezogene Daten vorgehalten werden. Nachfolgend daher eine Übersicht der wesentlichen Änderungen im „Schnelldurchlauf“.

Ab Mai 2018 müssen Arbeitgeber zum Beispiel gewährleisten, dass Talente bei der Bewerbung ihre persönlichen Informationen über eine verschlüsselte Verbindung an sie versenden können. Schließlich können im Falle eines ungesicherten Versands viele sensible Informationen über einen Bewerber in die falschen Hände gelangen. Cyberkriminelle, die in ihren Besitz gelangen, können ihm dann erheblich schaden.

Die Palette reicht vom Hacken der E-Mail-Adresse, über den Angriff auf persönliche Geldanlagen bis hin zu rufschädigenden Aktionen. Anwender eines Applicant Tracking Systems sollten daher unbedingt beim Anbieter nachhaken, ob der Datentransfer im Recruiting zum Beispiel via SSL-Verschlüsselung vonstattengeht und ob diese den neuesten Standards unterliegt.

Information über Art der Datenerhebung ist Pflicht

Des Weiteren besagt die DSGVO, dass Unternehmen ab sofort verpflichtet sind, Kandidaten nach Erhalt der Bewerbung über die Art der Datenerhebung zu informieren.

Sie müssen sie zum Beispiel über den Verarbeitungszweck der Informationen und über den Aufbewahrungszeitraum in Kenntnis setzen. Viele Unternehmen berücksichtigen das bereits und lassen Kandidaten dazu eine automatische Eingangsbestätigung zukommen. Angesichts der Neuregelung lohnt es sich aber, doch nochmal einen Blick auf die Vorlage zu werfen, um festzustellen, ob darauf wirklich alle benötigten Informationen abgebildet werden.

Datenschutz: Wie lange dürfen personenbezogene Daten gespeichert werden?

Kommen wir nun zu einer weiteren Frage, die im Human Ressource Management oft gestellt wird: Wie lange dürfen personenbezogene Daten gespeichert werden? Hier verändert sich nichts. Bereits heute dürfen die Daten nur bis Abschluss des Bewerbungsverfahrens aufgehoben werden. Das gilt auch weiterhin.

Aber kein Gesetz ohne Ausnahme: So kann es theoretisch eine gewisse Zeit nach einer erfolgreichen Stellenbesetzung noch zu einer juristischen Auseinandersetzung mit einem abgelehnten Bewerber kommen. Daher dürfen Unternehmen die Daten so lange in ihrem System vorhalten, so lange sie befürchten müssen, dass sie noch vom Anwalt eines Talents zu hören bekommen könnten.

Allerdings gibt es bezüglich der maximal zulässigen Aufbewahrungsdauer keine einheitliche juristische Aussage. Generell geben einschlägige Empfehlungen von Experten aber an, die Daten nicht länger als sechs Monate zu speichern. Alles, was darüber hinaus geht, sollte über eine Einverständniserklärung des Kandidaten abgesichert werden.

Zweck der Datenspeicherung

Kommen wir nun zu Artikel 15. Dieser regelt derweil, dass Bewerber ab Mai 2018 jederzeit nachfragen dürfen, zu welchem Zweck ihre Profilinformationen vorgehalten werden. Das macht eine ausführliche Dokumentation unerlässlich. Also bitte immer daran denken, im Bewerbermanagement-System Anmerkungen zum Aufbewahrungsgrund zu hinterlegen.

Zugegeben, das ist lästig, aber empfehlenswert. Die Beweislast zum Bewerberdatenschutz liegt nämlich immer beim Arbeitgeber, beziehungsweise beim Personaldienstleister oder -vermittler. Und diese müssen bei einer juristischen Auseinandersetzung belegen können, alles dafür getan zu haben, um die persönlichen Daten von Kandidaten angemessen zu schützen.

Was droht bei Datenschutz-Verletzungen?

Ansonsten drohen schmerzhafte Strafen, die in der EU-Datenschutz-Grundverordnung noch einmal zugespitzt wurden. De Facto ist hier von Bußgeldern bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes die Rede, die bei Verstößen dann die Konten wechseln.

Die Änderungen, die auf Unternehmen in punkto Datenschutz zukommen, sollten also alles andere als auf die leichte Schulter genommen werden. Im Gegenteil! Denn erstmals können Datenschutzverletzungen existenzbedrohend für das verantwortliche Unternehmen werden.

Was Firmen jetzt tun sollten…

Was ist jetzt zu tun…? Firmen, die ihr Bewerberdatenmanagement auf hauseigenen Servern warten, sollten genau prüfen, ob dieses alle Sicherheitsrichtlinien erfüllt. Gegebenenfalls bedarf es neuer Prozesse und Standards, die bis Mai 2018 etabliert sein müssen.

Und was gilt für die Anwender einer Software aus der Cloud? Sollten die Daten sicherheitshalber wieder gelöscht werden? Nein. Prinzipiell sind Cloud-Betreiber für die Sicherheit ihrer Cloud verantwortlich und die meisten gehen mit dieser Verantwortung auch sorgsam um. Aber es gibt auch schwarze Schafe. Daher sollten sich Anwender bei offenen Fragen unbedingt direkt an den Cloud-Lösungsanbieter wenden. Sicher ist sicher.

Was gilt bei Cloud-Systemen?

Dieser sollte den eingeforderten Auskünften über alle kritischen Bereiche des Datenschutzes nicht aus dem Weg gehen. Wichtig ist zum Beispiel, dass die Lösungsanbieter ihre Clouds nicht mit veralteten Software-Versionen betreiben, die eine zu schlechte Absicherung gewährleisten. Das ist fahrlässig und macht es Kriminellen zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen.

Aber bevor Panik aufkommt: In der Regel sind die Rechenzentren der Betreiber datenschutztechnisch auf dem neuesten Stand. Nicht allein, dass hier die neueste Firewall und Sicherheitssoftware ihren Dienst tut.

Auch werden die Prozesse innerhalb der Rechenzentren von seriösen Cloud-Anbietern von externer Stelle überprüft und zertifiziert. Potenzielle Software-Anwender sollten bei der Wahl eines Anbieters zum Beispiel auf Zertifikate wie den ISAE 3000-Bericht achten, in dessen Besitz auch HR Lösungsanbieter Carerix ist. Aber wie gesagt: Einmal zu viel fragen kostet nix und schützt im Zweifel vor hohen Strafen!

Mehr Nachrichten