Die neue Datenschutz-Grundverordnung: Was Personaldienstleister wissen sollten

verfasst von zvoove, 20.09.2017
keyboard_arrow_left Zurück zur Übersicht

Von der Datenspeicherung bis zur Tastaturüberwachung: Brennpunktthema Datenschutz

Videoüberwachung, Software-Keylogger und digitale Datenspeicherung – mit der Digitalisierung und dem technischen Fortschritt eröffnen sich neue Möglichkeiten im Umgang mit personenbezogenen Daten und in der Überwachung von Mitarbeitern. Mit den wachsenden Spielräumen gehen rechtliche Unsicherheiten, Grauzonen und Verschärfungen einher, auf die sich Personaler und Personaldienstleister einstellen müssen – nicht selten sind (unfreiwillige) Überschreitungen von Datenschutzrichtlinien mit zum Teil existenzgefährdenden Sanktionen verbunden. Ein Beispiel für den aktuellen juristischen Klärungsbedarf bietet das sogenannte Keylogger-Urteil: Unlängst verhandelte das Bundesarbeitsgericht (BAG) einen Fall, in dem sämtliche Tastatureingaben eines Web-Entwicklers per Keylogger protokolliert und regelmäßig Screenshots angefertigt wurden. Der Arbeitgeber ertappte den Mitarbeiter dabei, dass er den PC während der Arbeitszeit für die Programmierung eines Computerspiels und zur Abwicklung des E-Mail-Verkehrs seines Vaters nutzte. Die Konsequenz: eine fristlose Kündigung. Der Arbeitnehmer wehrte sich mit einer Kündigungsschutzklage und bekam Recht. Die Überwachung geschah ohne Vorliegen eines begründeten Verdachts (z. B. im Zuge einer Straftat oder schwerwiegenden Pflichtverletzung) und die Kündigung sei somit unverhältnismäßig. Arbeitnehmer in Deutschland haben ein Recht auf informationelle Selbstbestimmung, sie entscheiden also über die Preisgabe und Verwendung personenbezogener Daten. Darunter fallen alle Daten, die Auskunft über die Persönlichkeit des Arbeitnehmers, dessen Fähigkeiten und Fertigkeiten sowie seinem Arbeitsverhalten liefern. In § 75 Abs. 2 BetrVG ist verankert, dass Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit von Beschäftigten zu schützen haben. Eingriffe in Persönlichkeitsrechte, die Verletzung des Rechts auf informationelle Selbstbestimmung und eine unzulässige Kontrolle der Arbeitsleistung sind zu vermeiden. Die Datenschutzrichtlinien erstrecken sich jedoch nicht nur auf die Rechte der Mitarbeiter: Auch der Umgang mit Bewerberdaten ist ein sensibles Thema. Die Speicherung der Daten unterliegt bestimmten Aufbewahrungsfristen und ist an einen Speicherungszweck gebunden. Prinzipiell dürfen Daten nur so lange aufbewahrt werden, bis der Speicherungszweck (Stellenbesetzung) erfüllt wurde. Eine unbegrenzte Speicherung ist nicht erlaubt. Im Sinne des Eigenschutzes kann die Datenspeicherung für das Unternehmen wichtig sein, um sich gegen potenzielle Diskriminierungsvorwürfe (AGG) seitens abgelehnter Bewerber zu wehren. Ein Recht auf Einsicht in die Bewerbungsunterlagen haben nur diejenigen Personen, die unmittelbar mit der Stellenbesetzung betraut sind. Nutzer eines Bewerbermanagement-Systems sollten darauf achten, dass etwa ein Schutz durch Zugriffrechte auf die Daten gewährleistet wird und Potenzialträger zur Aufnahme in den Talentpool ihre Einwilligung geben. Ab Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) mit ihren Regelungen zum Umgang mit sensiblen personenbezogenen Daten europaweit anwendbar. Die EU-DSGVO gewährleistet als Mindeststandard eine Vereinheitlichung der des Datenschutzrechts in der EU in puncto Datensicherheit und -speicherung. Sie gilt auch für Drittstaaten, die EU-Bürgern Waren oder Dienstleistungen anbieten. Rund die Hälfte aller Organisationen ist laut einer kürzlich veröffentlichten Studie (Veritas-Studie) noch nicht genügend auf die Neuregelungen vorbereitet. Für Unternehmen, die mit personenbezogenen Daten operieren, stellen sich viele Fragen zur konkreten Bereitstellung der DSGVO-Compliance: Welche operativen Maßnahmen sind nötig? Wer ist für die Einhaltung der Regelungen verantwortlich? Wer überwacht sie? Welche Konsequenzen haben die Regelungen für Personalverantwortliche und Personaldienstleister? Worauf sollten Nutzer eines Bewerbermanagement-Systems achten? 

 

Was ändert sich mit der neuen Datenschutz-Grundverordnung für das Bewerber-management?

Damit entscheidungsungebundene persönliche Informationen wie etwa Self-Tracking Daten zur Überwachung von Gesundheit keinen Einfluss auf Personalentscheidungen gewinnen, gilt die Zweckgebundenheit personenbezogener Daten. Nur diejenigen Daten sollen entscheidungsrelevant sein, die der Bewerber freiwillig mit seiner Bewerbung liefert. Im Zuge der EU-DSGVO müssen Unternehmen daher offenlegen, wie und an welcher Stelle persönliche Daten gespeichert und weitergegeben werden, wer Zugriff auf die Informationen hat und zu welchem Zweck diese erhoben und verarbeitet werden: 

  • Im Bewerbungsprozess müssen Unternehmen Bewerber über die Art der Datenerhebung informieren, also zum Beispiel über den Verarbeitungszweck und den Aufbewahrungszeitraum. 
  • Datenschutzrechtliche Einwilligungserklärungen, Datenschutzinformationen und Betriebsvereinbarungen sollten mit Blick auf die neue Datenschutz-Grundverordnung überprüft und angepasst werden – zu berücksichtigen sind dabei die zusätzlich anfallenden personellen Kapazitäten und Sachmittel. 
  • Nutzer eines Bewerbermanagement-Systems informieren ihre Bewerber häufig via automatisierter Eingangsbestätigung über die Art der Datenerhebung – auch diese sollten in Hinblick auf die DSGVO-Compliance überprüft werden. 
  • Bewerber haben jederzeit das Recht nachzufragen, zu welchem Zweck die Informationen erhoben und verarbeitet werden. Im Bewerbermanagement-System sollte daher immer eine Anmerkung zum Aufbewahrungsgrund getätigt werden. 
  • Auf Wunsch müssen datenerhebende Unternehmen sicherstellen, dass persönliche Daten herausgegeben und innerhalb einer bestimmten Frist gelöscht werden. Die Länge der Datenspeicherung richtet sich wie bisher nach dem Speicherungszweck, d. h. dem Abschluss des Bewerbungsverfahrens inkl. der Datenspeicherung als Beweismittel bei möglichen Klageerhebungen – Experten empfehlen eine Aufbewahrungsfrist von ca. 5 bis 6 Monaten. 
  • Sollten Unternehmen die Daten länger aufbewahren wollen, z. B. als Profil im Kandidatenpool, ist eine Einverständniserklärung des Kandidaten erforderlich. Die Speicherung von Big Data zu statistischen Zwecken unterliegt strengen Anforderungen. Erfolgt diese anonymisiert, haben Unternehmen etwas mehr Spielraum. Sollten die Daten zu Analysezwecken genutzt werden, muss dies in den Nutzungsbedingungen der Daten mit aufgenommen werden. 
  • Unternehmen müssen sicherstellen, dass ein gesicherter Versand von Bewerberdaten stattfindet: Bewerber sollen die Möglichkeit haben, ihre Daten über eine verschlüsselte Verbindung (z. B. SSL-Verbindung) zu versenden. Nutzer einer Bewerbermanagement-Software fragen am besten bei ihrem Anbieter nach, ob der Datentransfer verschlüsselt erfolgt und ob die Verschlüsselung den neuesten Standards entspricht. 
  • Nutzen Recruiter eine cloudbasierte E-Recruiting-Software, sollten Sie darauf achten, seriöse Cloudanbieter zu wählen, die eine sichere Cloudlösung anbieten – die Microsoft Azure Cloud beispielsweise, gehört zu den sichersten Cloud-Lösungen weltweit. Überprüfbar ist auch, ob die Rechenzentren der Betreiber datenschutzrechtlich auf dem neuesten Stand sind und ob diese europäische oder deutsche Server verwenden. Mit Anwendbarkeit der neuen Datenschutz-Grundverordnung müssen Unternehmen mit schärferen Sanktionen rechnen: Bei Compliance-Verstößen drohen hohe Geldbußen bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

 

 

Fazit

2018 gilt die neue EU-Datenschutz-Grundverordnung zur Vereinheitlichung des Datenschutzrechts mit Blick auf die Datensicherheit und Datenspeicherung. Personaldienstleistungsunternehmen und Personalverantwortliche, die mit sensiblen personenbezogenen Daten operieren, stehen vor der Herausforderung, sich auf die Änderungen vorzubereiten. Unternehmen müssen offenlegen, wie und an welcher Stelle persönliche Daten gespeichert und weitergegeben werden, wer Zugriff auf die Informationen erhält und zu welchem Zweck Daten erhoben und verarbeitet werden. 

Quelle Foto: Fotolia © sdecoret    

 

Du besuchst zvoove.com mit dem Internet Explorer

Dieser Browser wird seit 2020 nicht mehr unterstützt. Das bedeutet, dass Dir einige Funktionen von zvoove.com nicht zur Verfügung stehen.

Damit du alle Funtionen von zvoove.com nutzen kannst, empfehlen wir, unsere Webseite mit einem aktuellen Browser wie Microsoft Edge, Mozilla Firefox oder Google Chrome zu besuchen.