Anzeige

Wie Marketingverantwortliche DSGVO-konform Mitarbeiter einstellen können

 (Bild: Pixabay)

19.02.2019 - Auf sieben Punkte müssen Marketingverantwortliche achten, wenn Sie DSGVO-konform Mitarbeiter suchen und einstellen wollen. Unsere Checkliste hilft, die oft übersehenen Fallstricke zu berücksichtigen.

von Joachim Graf

Spätestens nach Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) hat sich fast jedes Unternehmen - gezwungenermaßen - zumindest mit den grundlegenden Verpflichtungen durch die Gesetzgebung auseinandergesetzt. Allerdings ist viele Entscheider unklar, wie weit sich diese Verantwortung erstreckt. Beim Employer-Marketing und der Bewerberauswahl verarbeiten Unternehmen naturgemäß personenbezogene Daten. Liam Butler vom Talent-Management-Experte SumTotal hat eine Checkliste in Bezug auf die DSGVO-Vorgaben zusammen gestellt, die Marketingentscheider mit Personalverantwortung auf jeden Fall überprüfen sollten.

Personalverantwortliche arbeiten nicht nur mit Daten aktueller sondern auch mit denen ehemaliger und zukünftiger Mitarbeiter. Die Quellen, aus denen diese Informationen gesammelt werden, variieren von Abteilung zu Abteilung sowie von Geschäft zu Geschäft. Informationen werden häufig elektronisch über Online-Formulare oder per E-Mail übermittelt, doch ist auch ein Einreichen in Papierform immer noch üblich. Eine der größten Herausforderungen für die Verantwortlichen besteht darin sicherzustellen, dass ihr Unternehmen die eindeutige Zustimmung jeder einzelnen Person zur Bearbeitung und Speicherung ihrer personenbezogenen Daten hat. Das betrifft nicht nur Mitarbeiter und ehemalige Mitarbeiter, sondern auch externe Partner sowie Bewerber.

Wie die Praxis zeigt, werden viele Situationen, in denen personenbezogene Daten ausgetauscht werden, immer noch unterschätzt. Das lässt sich am Beispiel des Umgangs mit Bewerbern verdeutlichen. Auch wenn man bei einer eingehenden Bewerbung davon ausgehen kann, dass die Person ein Interesse daran hat, dass das angesprochene Unternehmen die Bewerbungsunterlagen aufnimmt, muss ein Einverständnis zur Weiterverarbeitung und Speicherung der Daten eingeholt werden. Die Zustimmung hierzu muss laut DSGVO im Rahmen einer "aktiven und positiv bejahenden Handlung jedes Einzelnen" erfolgen. Eine passive oder stillschweigende Akzeptanz ist rechtlich nicht zulässig. Die Einwilligung kann von der betroffenen Person nach eigenem Ermessen begrenzt oder aufgehoben werden, was die Handhabung für die Personalabteilungen weiter erschwert. Bewerber könnten beispielsweise auch angeben, dass ihre Daten vorläufig gespeichert, aber nach sechs Monaten gelöscht werden sollten oder sie können die Dateneinsicht fordern. Mit den folgenden Fragen sollte sich Personalverantwortliche daher auseinandersetzen:

1. Aktive Zustimmung zur Datenverarbeitung


Erhalten Bewerber eine entsprechende Datenschutzerklärung, in der beschrieben wird, wie, warum und wofür ihre Daten verwendet werden? Werden sie aufgefordert, aktiv ihr Einverständnis hierzu zu erteilen? Geschieht dies auf allen Bewerbungskanälen (Online-Formulare, Eingang per E-Mail und per Post) Wird das Einverständnis - ggf. mit einer zeitlichen Begrenzung zur Datenspeicherung - dokumentiert?

2. Zugangsbeschränkung zu Bewerber-Daten


Die Nutzung, Verarbeitung und Speicherung von Bewerberdaten darf nach DSGVO (Art. 5, Abs. 1.b) ausschließlich zweckgebunden erfolgen und ist nur auf wenige Personen beschränkt, die aktiv mit dem Bewerbungsverfahren beauftragt sind. Ist sichergestellt, dass der Datenzugriff auf diese Personen beschränkt ist? Wird dies über einen zentralen Ort geregelt, an dem die Daten gespeichert sind oder werden diese beispielsweise per E-Mail weitergeleitet? Auch für den generellen Umgang mit sensiblen personenbezogenen Daten empfiehlt sich eine Zugangsbeschränkung.

3. Datenvorratsspeicherung und das "Recht auf Vergessenwerden"


Bewerber (aber auch Kunden, Mitarbeiter, etc.) können nach den Regelungen der DSGVO ihr "Recht auf Vergessenwerden" und damit das Löschen ihrer Daten einfordern. Daher sollte man sich generell fragen: Ist das Speichern sämtlicher erhobener Daten unbedingt erforderlich? Wem ist bekannt, wo die Daten aufbewahrt werden, und sind diese Personen nach der DSGVO haftbar? Werden die Daten nach Ablauf des vom Bewerber akzeptierten Speicherzeitraums an allen Speicherorten gelöscht? Je mehr Personen Zugriff auf die Daten haben (s.o.), desto größer ist die Gefahr, dass Unterlagen lokal gespeichert werden, was das verpflichtende Löschen der Daten sowie die vorgeschriebene Dokumentation der entsprechenden Prozesse erschwert. Neben den digitalen Daten betrifft dies auch Ausdrucke oder Bewerbungsmappen, die zurückgesendet oder "geschreddert" werden müssen.

4. Transparenz auf Abruf


Dateninhaber, also Mitarbeiter, ehemalige Mitarbeiter, Kunden u.a. können nach der DSGVO offizielle Subject Access Requests (SAR), zu Deutsch eine "Bitte um Offenlegung" stellen. Wenn beispielsweise eine Person nicht mehr in einem Unternehmen arbeitet, kann sie um eine Offenlegung der personenbezogenen Daten bitten. Sind die Prozesse und Ablagestrukturen im Unternehmen so eingerichtet, dass sie die Zugriffsanforderungen für die Einsicht von persönlichen Daten erfüllen können? Ist das Unternehmen in der Lage die Daten und Dokumentationen der Prozesse innerhalb des gesetzlich angesetzten Zeitraums in " (...) präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" offenlegen zu können (Art. 12, Abs. 1, DSGVO).

5. Prüfung von Geschäftsprozessen und Auswirkungen


Die meisten Unternehmen haben ihre Prozesse in Bezug auf die DSGVO-Standards hinsichtlich Datensicherheit und Datenschutz überprüft. Aber auch durch die Gesetzgebung neu entstandene Prozesse können Gefahren für Verstöße bergen - wenn beispielsweise eine Bitte um Offenlegung (SAR) gestellt wird und die Daten über einen nicht ausreichend gesicherten Kanal oder eine öffentlich zugängliche Seite bereitgestellt werden. Gleichzeitig kann sich auch herausstellen, dass zugunsten der Gesetzgebung geänderte Prozesse negative Auswirkungen auf das Geschäft haben. Daher sollten Prozesse und Praktiken aller Abteilungen, die mit personenbezogenen Daten arbeiten, regelmäßig überprüft und angepasst werden.

6. Umgang mit externen Partnern


Arbeitet das Unternehmen mit "Dritten" zusammen, die Zugriff auf personenbezogene Daten haben? Dies könnten beispielsweise externe Partner und Dienstleister im Bereich Personal, Beratung oder Buchhaltung sowie Anbieter von Cloud-Systemen sein, falls diese jeweils Zugriff auf bzw. Umgang mit personenbezogenen Daten haben. Entsprechen die Geschäftspraktiken dieser Partner den Vorgaben? Beinhalten Partnerverträge ausdrücklich die Befugnisse, Verantwortlichkeiten und Grenzen jeder Partei im Rahmen der DSGVO?

7. Datenschutzbeauftragte


Benötigt das Unternehmen definitiv einen Datenschutzbeauftragten? Hierfür gibt es verschiedene Kriterien, die sowohl durch die DSGVO, also auch durch das BDSG geregelt werden. Für HR-Abteilungen ist es besonders wichtig, Unterschiede zwischen personenbezogenen Daten und sensiblen personenbezogenen Daten zu berücksichtigen. Letztere sind laut DSGVO beispielsweise die ethnische Herkunft, politische Meinung, religiöse Überzeugung sowie Informationen zu Straftaten. Werden solche Daten gespeichert, benötigt das Unternehmen unabhängig von seiner Größe verpflichtend einen Datenschutzbeauftragen. Zusätzlich ist in Deutschland nach § 38 BDSG ein Datenschutzbeauftragter erforderlich, wenn im sich Unternehmen "mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen". Die Überprüfung durch einen fachkundigen Berater empfiehlt sich aber auf jeden Fall.