Portal für Konstruktion und Entwicklung
von Medizin- und Laborprodukten

Zurück


DSGVO-Checkliste für HR und Personalverantwortliche

7 Punkte, die Unternehmen prüfen sollten

Spätestens nach Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) hat sich fast jedes Unternehmen – gezwungenermaßen – zumindest mit den grundlegenden Verpflichtungen durch die Gesetzgebung auseinandergesetzt. Geschäftsprozesse für die Verarbeitung persönlicher Daten werden nach und nach angepasst. Allerdings sind sich viele Abteilungen noch unsicher, welche ihrer Aufgaben und Prozesse wirklich betroffen sind. HR-Abteilungen verarbeiten naturgemäß personenbezogene Daten, daher hat Talent-Management-Experte SumTotal eine Checkliste mit 7 Punkten in Bezug auf die DSGVO-Vorgaben zusammengefasst, die Personalverantwortliche auf jeden Fall überprüfen sollten.

HR-Abteilungen und Personalverantwortliche arbeiten nicht nur mit Daten aktueller, sondern auch mit denen ehemaliger und zukünftiger Mitarbeiter. Die Quellen, aus denen diese Informationen gesammelt werden, variieren von Abteilung zu Abteilung sowie von Geschäft zu Geschäft. Informationen werden häufig elektronisch über Online-Formulare oder per E-Mail übermittelt, doch ist auch ein Einreichen in Papierform immer noch üblich.  Eine der größten Herausforderungen für die Verantwortlichen besteht darin sicherzustellen, dass ihr Unternehmen die eindeutige Zustimmung jeder einzelnen Person zur Bearbeitung und Speicherung ihrer personenbezogenen Daten hat. Das betrifft nicht nur Mitarbeiter und ehemalige Mitarbeiter, sondern auch externe Partner sowie Bewerber.

Wie die Praxis zeigt, werden viele Situationen, in denen personenbezogene Daten ausgetauscht werden, immer noch unterschätzt. Das lässt sich am Beispiel des Umgangs mit Bewerbern verdeutlichen.  Auch wenn man bei einer eingehenden Bewerbung davon ausgehen kann, dass die Person ein Interesse daran hat, dass das angesprochene Unternehmen die Bewerbungsunterlagen aufnimmt, muss ein Einverständnis zur Weiterverarbeitung und Speicherung der Daten eingeholt werden. Die Zustimmung hierzu muss laut DSGVO im Rahmen einer „aktiven und positiv bejahenden Handlung jedes Einzelnen" erfolgen. Eine passive oder stillschweigende Akzeptanz ist rechtlich nicht zulässig. Die Einwilligung kann von der betroffenen Person nach eigenem Ermessen begrenzt oder aufgehoben werden, was die Handhabung für die Personalabteilungen weiter erschwert. Bewerber könnten beispielsweise auch angeben, dass ihre Daten vorläufig gespeichert, aber nach sechs Monaten gelöscht werden sollten oder sie können die Dateneinsicht fordern.

Mit den folgenden Fragen sollte sich HR- und Personalverantwortliche daher auseinandersetzen:

Aktive Zustimmung zur Datenverarbeitung

Erhalten Bewerber eine entsprechende Datenschutzerklärung, in der beschrieben wird, wie, warum und wofür ihre Daten verwendet werden? Werden sie aufgefordert, aktiv ihr Einverständnis hierzu zu erteilen? Geschieht dies auf allen Bewerbungskanälen (Online-Formulare, Eingang per E-Mail und per Post) Wird das Einverständnis – ggf. mit einer zeitlichen Begrenzung zur Datenspeicherung – dokumentiert?

Zugangsbeschränkung zu Bewerber-Daten

Die Nutzung, Verarbeitung und Speicherung von Bewerberdaten darf nach DSGVO (Art. 5, Abs. 1.b) ausschließlich zweckgebunden erfolgen und ist nur auf wenige Personen beschränkt, die aktiv mit dem Bewerbungsverfahren beauftragt sind. Ist sichergestellt, dass der Datenzugriff auf diese Personen beschränkt ist? Wird dies über einen zentralen Ort geregelt, an dem die Daten gespeichert sind oder werden diese beispielsweise per E-Mail weitergeleitet? Auch für den generellen Umgang mit sensiblen personenbezogenen Daten empfiehlt sich eine Zugangsbeschränkung.

Datenvorratsspeicherung und das "Recht auf Vergessenwerden"

Bewerber (aber auch Kunden, Mitarbeiter, etc.) können nach den Regelungen der DSGVO ihr „Recht auf Vergessenwerden" und damit das Löschen ihrer Daten einfordern. Daher sollte man sich generell fragen: Ist das Speichern sämtlicher erhobener Daten unbedingt erforderlich? Wem ist bekannt, wo die Daten aufbewahrt werden, und sind diese Personen nach der DSGVO haftbar? Werden die Daten nach Ablauf des vom Bewerber akzeptierten Speicherzeitraums an allen Speicherorten gelöscht? Je mehr Personen Zugriff auf die Daten haben (s.o.), desto größer ist die Gefahr, dass Unterlagen lokal gespeichert werden, was das verpflichtende Löschen der Daten sowie die vorgeschriebene Dokumentation der entsprechenden Prozesse erschwert. Neben den digitalen Daten betrifft dies auch Ausdrucke oder Bewerbungsmappen, die zurückgesendet oder „geschreddert" werden müssen.

Transparenz auf Abruf

Dateninhaber, also Mitarbeiter, ehemalige Mitarbeiter, Kunden u.a. können nach der DSGVO offizielle Subject Access Requests (SAR), zu Deutsch eine „Bitte um Offenlegung" stellen. Wenn beispielsweise eine Person nicht mehr in einem Unternehmen arbeitet, kann sie um eine Offenlegung der personenbezogenen Daten bitten. Sind die Prozesse und Ablagestrukturen im Unternehmen so eingerichtet, dass sie die Zugriffsanforderungen für die Einsicht von persönlichen Daten erfüllen können? Ist das Unternehmen in der Lage die Daten und Dokumentationen der Prozesse innerhalb des gesetzlich angesetzten Zeitraums in „ (...) präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" offenlegen zu können (Art. 12, Abs. 1, DSGVO).

Prüfung von Geschäftsprozessen und Auswirkungen

Die meisten Unternehmen haben ihre Prozesse in Bezug auf die DSGVO-Standards hinsichtlich Datensicherheit und Datenschutz überprüft. Aber auch durch die Gesetzgebung neu entstandene Prozesse können Gefahren für Verstöße bergen – wenn beispielsweise eine Bitte um Offenlegung (SAR) gestellt wird und die Daten über einen nicht ausreichend gesicherten Kanal oder eine öffentlich zugängliche Seite bereitgestellt werden. Gleichzeitig kann sich auch herausstellen, dass zugunsten der Gesetzgebung geänderte Prozesse negative Auswirkungen auf das Geschäft haben. Daher sollten Prozesse und Praktiken aller Abteilungen, die mit personenbezogenen Daten arbeiten, regelmäßig überprüft und angepasst werden.

Umgang mit externen Partnern

Arbeitet das Unternehmen mit „Dritten" zusammen, die Zugriff auf personenbezogene Daten haben? Dies könnten beispielsweise externe Partner und Dienstleister im Bereich Personal, Beratung oder Buchhaltung sowie Anbieter von Cloud-Systemen sein, falls diese jeweils Zugriff auf bzw. Umgang mit personenbezogenen Daten haben. Entsprechen die Geschäftspraktiken dieser Partner den Vorgaben? Beinhalten Partnerverträge ausdrücklich die Befugnisse, Verantwortlichkeiten und Grenzen jeder Partei im Rahmen der DSGVO?

Datenschutzbeauftragte

Benötigt das Unternehmen definitiv einen Datenschutzbeauftragten? Hierfür gibt es verschiedene Kriterien, die sowohl durch die DSGVO, also auch durch das BDSG geregelt werden. Für HR-Abteilungen ist es besonders wichtig, Unterschiede zwischen personenbezogenen Daten und sensiblen personenbezogenen Daten zu berücksichtigen. Letztere sind laut DSGVO beispielsweise die ethnische Herkunft, politische Meinung, religiöse Überzeugung sowie Informationen zu Straftaten. Werden solche Daten gespeichert, benötigt das Unternehmen unabhängig von seiner Größe verpflichtend einen Datenschutzbeauftragen. Zusätzlich ist in Deutschland nach § 38 BDSG ein Datenschutzbeauftragter erforderlich, wenn im sich Unternehmen „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen".  Die Überprüfung durch einen fachkundigen Berater empfiehlt sich aber auf jeden Fall.

Fazit

Die Checkliste zeigt, dass Personalverantwortliche eine ganze Reihe von Prozessen überprüfen müssen, um die DSGVO-Compliance ihrer Organisation sicherzustellen. Dies geht über Abteilungsgrenzen hinaus, da üblicherweise auch Entscheider in anderen Geschäftsbereichen in die Auswahl von Bewerbern oder sonstige Personalprozesse eingebunden sind. Für Unternehmen ist es daher wichtig, die Sensibilität hinsichtlich der Datenschutzvorgaben in der gesamten Organisation zu erhöhen. Konkrete Schulungen, die heute auch in Form von Online-Angeboten in den Arbeitsalltag integriert werden können, sind hier eine hilfreiche Maßnahme. Auch die Digitalisierung der Unterlagen und Prozesse kann eine große Hilfe bei der Einhaltung der gesetzlichen Vorgaben sein. Sie hilft Unternehmen beispielsweise dabei Speicherorte und Zugriffsrechte zu beschränken und die Protokollierung zu automatisieren. Ist dies nicht geregelt und Daten werden per E-Mail oder in Papierform an Kollegen weitergegeben, ist es beispielsweise fast unmöglich sicherzustellen, dass Daten an allen Ablageorten vernichtet werden – ganz zu schweigen von einer rechtskonformen Dokumentation aller entsprechenden Prozesse.

www.sumtotalsystems.de


Zurück

Termine

21.05.2019, Messezentrum Nürnberg

MedtecLIVE

Informationen

Mehr
22.05.2019, Maritim Hotel Berlin

Jahreskongress „Menschlich. Künstlich. Intelligent. Technologie nutzen, Leben verbessern."

Informationen

 

Mehr