Checkliste DSGVO für Personaler: sieben Punkte, die unbedingt zu prüfen sind

Die DSGVO soll vor allem den Schutz personenbezogener Daten gewährleisten. Besonders betroffen von den Vorgaben der Verordnung sind somit HR-Abteilungen, die per se mit solchen Daten arbeiten. Worauf Personalverantwortliche dabei in jedem Fall achten müssen, verrät eine Checkliste.

Spätestens nach Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) hat sich fast jedes Unternehmen – gezwungenermaßen – zumindest mit den grundlegenden Verpflichtungen durch die Gesetzgebung auseinandergesetzt. Geschäftsprozesse für die Verarbeitung persönlicher Daten werden nach und nach angepasst. Allerdings sind sich viele Abteilungen noch nicht sicher, welche ihrer Aufgaben und Prozesse wirklich betroffen sind. HR-Abteilungen verarbeiten naturgemäß personenbezogene Daten. Daher hat Talent-Management-Experte SumTotal eine Checkliste mit sieben Punkten zu den DSGVO-Vorgaben zusammengestellt, die Personalverantwortliche zwingend überprüfen sollten.

HR-Abteilungen und Personalverantwortliche arbeiten nicht nur mit Daten aktueller, sondern auch mit denen ehemaliger und künftiger Mitarbeiter. Die Quellen, aus denen diese Informationen gesammelt werden, variieren von Abteilung zu Abteilung und von Geschäft zu Geschäft. Informationen werden häufig elektronisch über Online-Formulare oder per E-Mail übermittelt, doch ist auch ein Einreichen in Papierform immer noch üblich.  Eine der größten Herausforderungen für die Verantwortlichen besteht darin sicherzustellen, dass ihr Unternehmen die eindeutige Zustimmung jeder einzelnen Person zur Bearbeitung und Speicherung ihrer personenbezogenen Daten hat. Das betrifft nicht nur Mitarbeiter und ehemalige Mitarbeiter, sondern auch externe Partner sowie Bewerber.

Umgang mit Bewerbern

Wie die Praxis zeigt, werden viele Situationen, in denen personenbezogene Daten ausgetauscht werden, immer noch unterschätzt. Das lässt sich am Beispiel des Umgangs mit Bewerbern verdeutlichen.  Auch wenn man bei einer eingehenden Bewerbung davon ausgehen kann, die Person habe ein Interesse daran, dass das angesprochene Unternehmen die Bewerbungsunterlagen aufnimmt, muss ein Einverständnis zur Weiterverarbeitung und Speicherung der Daten eingeholt werden.

Die Zustimmung hierzu muss laut DSGVO im Rahmen einer „aktiven und positiv bejahenden Handlung jedes Einzelnen“ erfolgen. Eine passive oder stillschweigende Akzeptanz ist rechtlich nicht zulässig. Die Einwilligung kann von der betroffenen Person nach eigenem Ermessen begrenzt oder aufgehoben werden, was die Handhabung für die Personalabteilungen weiter erschwert. Bewerber könnten beispielsweise auch angeben, dass ihre Daten vorläufig gespeichert, aber nach sechs Monaten gelöscht werden sollten oder sie können Einsicht in die Daten fordern.

Mit diesen Fragen sollten sich HR- und Personalverantwortliche daher auseinandersetzen:

Aktive Zustimmung zur Datenverarbeitung

Erhalten Bewerber eine entsprechende Datenschutzerklärung, in der beschrieben wird, wie, warum und wofür ihre Daten verwendet werden? Werden sie aufgefordert, aktiv ihr Einverständnis hierzu zu erteilen? Geschieht dies auf allen Bewerbungskanälen (Online-Formulare, Eingang per E-Mail und per Post) Wird das Einverständnis – gegebenenfalls mit einer zeitlichen Begrenzung zur Datenspeicherung – dokumentiert?

Zugangsbeschränkung zu Bewerber-Daten

Die Nutzung, Verarbeitung und Speicherung von Bewerberdaten darf nach DSGVO (Art. 5, Abs. 1.b) ausschließlich zweckgebunden erfolgen und ist nur auf wenige Personen beschränkt, die aktiv mit dem Bewerbungsverfahren beauftragt sind. Ist sichergestellt, dass der Datenzugriff auf diese Personen beschränkt ist? Wird dies über einen zentralen Ort geregelt, an dem die Daten gespeichert sind oder werden diese beispielsweise per E-Mail weitergeleitet? Auch für den generellen Umgang mit sensiblen personenbezogenen Daten empfiehlt sich eine Zugangsbeschränkung.

Datenvorratsspeicherung und das "Recht auf Vergessenwerden"

Bewerber (aber auch Kunden, Mitarbeiter usw.) können nach den Regelungen der DSGVO ihr „Recht auf Vergessenwerden“ und damit das Löschen ihrer Daten einfordern. Daher sollte man sich generell fragen: Ist das Speichern sämtlicher erhobener Daten unbedingt erforderlich? Wem ist bekannt, wo die Daten aufbewahrt werden, und sind diese Personen nach der DSGVO haftbar? Werden die Daten nach Ablauf des vom Bewerber akzeptierten Speicherzeitraums an allen Speicherorten gelöscht? Je mehr Personen Zugriff auf die Daten haben (s.o.), desto größer ist die Gefahr, dass Unterlagen lokal gespeichert werden, was das verpflichtende Löschen der Daten sowie die vorgeschriebene Dokumentation der entsprechenden Prozesse erschwert. Neben den digitalen Daten betrifft dies auch Ausdrucke oder Bewerbungsmappen, die zurückgesendet oder „geschreddert“ werden müssen.

Transparenz auf Abruf

Dateninhaber, also Mitarbeiter, ehemalige Mitarbeiter, Kunden usw. können nach der DSGVO offizielle Subject Access Requests (SAR), zu Deutsch eine „Bitte um Offenlegung“ stellen. Wenn beispielsweise eine Person nicht mehr in einem Unternehmen arbeitet, kann sie um eine Offenlegung der personenbezogenen Daten bitten. Sind die Prozesse und Ablagestrukturen im Unternehmen so eingerichtet, dass sie die Zugriffsanforderungen für die Einsicht von persönlichen Daten erfüllen können? Ist das Unternehmen in der Lage, die Daten und Dokumentationen der Prozesse innerhalb des gesetzlich angesetzten Zeitraums in „ (…) präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ offenlegen zu können (Art. 12, Abs. 1, DSGVO)?

Prüfung von Geschäftsprozessen und Auswirkungen

Die meisten Unternehmen haben ihre Prozesse im Blick auf die DSGVO-Standards überprüft, was Datensicherheit und Datenschutz anbelangt. Aber auch durch die Gesetzgebung neu entstandene Prozesse können Gefahren für Verstöße bergen – wenn beispielsweise eine Bitte um Offenlegung (SAR) gestellt wird und die Daten über einen nicht ausreichend gesicherten Kanal oder eine öffentlich zugängliche Seite bereitgestellt werden. Gleichzeitig kann sich auch herausstellen, dass zugunsten der Gesetzgebung geänderte Prozesse negative Auswirkungen auf das Geschäft haben. Daher sollten Prozesse und Praktiken aller Abteilungen, die mit personenbezogenen Daten arbeiten, regelmäßig überprüft und angepasst werden.

Umgang mit externen Partnern

Arbeitet das Unternehmen mit „Dritten“ zusammen, die Zugriff auf personenbezogene Daten haben? Dies könnten beispielsweise externe Partner und Dienstleister im Bereich Personal, Beratung oder Buchhaltung sowie Anbieter von Cloud-Systemen sein, falls diese jeweils Zugriff auf bzw. Umgang mit personenbezogenen Daten haben. Entsprechen die Geschäftspraktiken dieser Partner den Vorgaben? Beinhalten Partnerverträge ausdrücklich die Befugnisse, Verantwortlichkeiten und Grenzen jeder Partei im Rahmen der DSGVO?

Datenschutzbeauftragte

Benötigt das Unternehmen definitiv einen Datenschutzbeauftragten? Hierfür gibt es verschiedene Kriterien, die sowohl durch die DSGVO, also auch durch das BDSG geregelt werden. Für HR-Abteilungen ist es besonders wichtig, Unterschiede zwischen personenbezogenen Daten und sensiblen personenbezogenen Daten zu berücksichtigen. Letztgenannte sind laut DSGVO beispielsweise die ethnische Herkunft, politische Meinung, religiöse Überzeugung sowie Informationen zu Straftaten. Werden solche Daten gespeichert, benötigt das Unternehmen unabhängig von seiner Größe verpflichtend einen Datenschutzbeauftragen. Zusätzlich ist in Deutschland nach § 38 BDSG ein Datenschutzbeauftragter erforderlich, wenn im sich Unternehmen „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.  Die Überprüfung durch einen fachkundigen Berater empfiehlt sich aber auf jeden Fall.

Fazit: Die Checkliste zeigt, dass Personalverantwortliche eine ganze Reihe von Prozessen überprüfen müssen, um die DSGVO-Compliance ihrer Organisation sicherzustellen. Dies geht über Abteilungsgrenzen hinaus, da üblicherweise auch Entscheider in anderen Geschäftsbereichen in die Auswahl von Bewerbern oder sonstige Personalprozesse eingebunden sind.

Sensibilität im gesamten Unternehmen erhöhen

Für Unternehmen ist es daher wichtig, die Sensibilität in der gesamten Organisation zu erhöhen, was die Datenschutzvorgaben anbelangt. Konkrete Schulungen, die heute auch in Form von Online-Angeboten in den Arbeitsalltag integriert werden können, sind hier eine hilfreiche Maßnahme. Auch die Digitalisierung der Unterlagen und Prozesse kann eine große Hilfe dabei sein, gesetzliche Vorgaben einzuhalten. Sie unterstützt Unternehmen beispielsweise darin, Speicherorte und Zugriffsrechte zu beschränken und die Protokollierung zu automatisieren. Ist dies nicht geregelt und Daten werden per E-Mail oder in Papierform an Kollegen weitergegeben, lässt sich fast unmöglich sicherstellne, dass Daten an allen Ablageorten vernichtet werden – ganz zu schweigen von einer rechtskonformen Dokumentation aller entsprechenden Prozesse.

Über den Autor: Liam Butler ist VP Sales von SumTotal EMEA.

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

CAPTCHA
Diese Frage stellt fest, ob du ein Mensch bist.

Kommentare

Es ist schlichtweg FALSCH, dass Bewerber grds. in die Verarbeitung ihrer Daten einwilligen müssen. Eine solche Verarbeitung von Bewerberdaten ist vielmehr grds. gemäß § 26 Abs. 1 BDSG erlaubt. Zudem ist sowohl nach Ansicht der deutschen als auch europäischen Datenschutzbehörden eine Einwilligung unwirksam, soweit sie - wie im vorliegenden Fall bei Bewerbern - überflüssigerweise eingeholt wurde.
Von jedem Grundsatz gibt es natürlich eine Ausnahme: Eine Einwilligung ist im Bewerbungsprozess allerdings dann erforderlich, wenn die Daten und Dokumente des Kandidaten im Rahmen eines Bewerberpools für die Zukunft gespeichert werden sollen.
Genau durch solche vermeintliche "Experten"-Artikel hat der Datenschutz einen schlechten Ruf und Praktiker sind verwirrt, weil sie im Internet unterschiedliche Informationen finden.

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags