VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

DSGVO Daten Shutterstock 1015692538 700

Niemand wird der Tatsache entgehen, dass ab diesem Jahr ein neues europäisches Datenschutzrecht gelten wird: Am 25. Mai wird die Datenschutz-Grundverordnung (DSGVO) EU weit einheitlichere Regeln für den Umgang von Unternehmen mit Daten festlegen. Aber werden die neuen Regelungen wirklich Wirtschaft und Industrie so beeinflussen, wie es immer in den Medien suggeriert wird?

Mit der Einführung der DSGVO sollten Unternehmen geprüft und entschieden haben, wie sie auf der neuen Rechtsgrundlage personenbezogene Daten nutzen können. Dies wird sich auch auf das Personalmanagement der Unternehmen auswirken, aber dies ist keine Herausforderung, die nicht zu stemmen wäre, da Deutschland bisher schon ein sehr strenges Datenschutzrecht. José Alberto Rodríguez Ruiz, Datenschutzbeauftragter bei Cornerstone OnDemand, hob daher Anfang des Jahres im Rahmen der GDPR-Ready-Initiative die sechs wichtigsten Auswirkungen des neuen Gesetzes für die Personalabteilung hervor.

Folgende Punkte sind dabei zu beachten:

Verbot von Datenspeicherung

Unternehmen dürfen personenbezogene Daten nur so lange aufbewahren, wie dies erforderlich ist. Zum Beispiel sollten in einem Bewerbungsprozess die Daten von Kandidaten, die nicht eingestellt wurden, kurz nach dem Einstellungsverfahren gelöscht werden, es sei denn, die Kandidaten haben ihre ausdrückliche Zustimmung gegeben, dass die Unterlagen länger aufbewahrt werden dürfen. Auch die Daten von Mitarbeitern, die ein Unternehmen verlassen, können nur für eine begrenzte Zeit gespeichert werden, was sicherlich das Offboarding-Verfahren vieler Unternehmen beeinflussen wird. Für deutsche Unternehmen ergibt sich hier eigentlich keine signifikante Veränderung, da die Regelung auch bisher schon explizit für Beschäftigtendaten im nationalen Recht existiert.

Informationen müssen zweckgebunden sein

Arbeitgeber können nur Daten von potenziellen Mitarbeitern erfragen, wenn dies erforderlich ist. Für alle anderen Daten muss eine explizite Einwilligung eingeholt werden. Ein kritischer Blick auf das aktuelle Bewerbungsverfahren ist daher unerlässlich. Beispiel: Ist die Frage nach der Erfüllung der Wehrpflicht erforderlich in einem Auswahlverfahren? Man muss nur lange genug suchen, um diese Frage auch heute noch in Bewerberportalen deutscher Unternehmen zu finden. Die Frage sollte natürlich nur Bewerbern gestellt werden, die nach ihrer Staatsangehörigkeit einer Wehrpflicht unterliegen könnten. Was allerdings wieder Fragen der Diskriminierungsprävention aufwirft.

Das gleiche Prinzip gilt für die Daten der bereits eingestellten Mitarbeiter. Auch hierfür muss es einen Grund geben, warum einzelne Daten über die Mitarbeiter gespeichert werden. Unternehmen sollten jetzt die Gelegenheit der besonderen Datenschutz-awareness des Managements nutzen um die Erforderlichkeit der vorgehaltenen Daten zu prüfen, insbesondere solche die nicht direkt mit der Rolle oder den Skills des Mitarbeiters zusammenhängen.

Brücke zwischen Transparenz und Verantwortlichkeit

Wie bisher bereits schon müssen Unternehmen zukünftig Einblick gewähren, wie und wo Mitarbeiterdaten gespeichert und verarbeitet werden. Für Informationen, für die eine Einwilligung des Arbeitnehmers erforderlich ist, muss eine erteilte Einwilligung auch von der Firma nachweisbar sein. Eine Einwilligung gilt jedoch nicht unbegrenzt, vielmehr haben Mitarbeiter das Recht, ihre Zustimmung jeder Zeit zu widerrufen. Es sollte auch klargestellt werden, wer auf welche Daten zugreifen darf. Um diese Transparenz zu ermöglichen, müssen Unternehmen ihre IT- Infrastruktur kritisch überprüfen. Erfüllt die derzeitige Art der Archivierung den strengen Anforderungen oder sollten Prozesse optimiert werden? Insbesondere müssen Unternehmen dokumentieren und nachweisen, wie sie das neue Gesetz einhalten.

Verwenden Sie Daten nur für Ihren beabsichtigten Zweck!

Personalabteilungen sind nicht nur in der Menge der Daten beschränkt, die sie von Mitarbeitern oder Bewerbern anfordern können, wie in Punkt Zwei bereits erwähnt; sie dürfen diese Informationen auch nur für den Zweck verwenden, den sie ursprünglich angegeben haben. Und dies auch nur, sofern eine rechtliche Erlaubnis vorliegt oder eine Einwilligung erteilt wurde. Um einen leistungsstarken Talentpool zu unterhalten, wird in aller Regel eine Einwilligung der gespeicherten Talents vorliegen müssen.

Daten nachverfolgen

Ab dem 25. Mai 2018 expliziter formuliert als bisher ist die Verpflichtung, personenbezogene Daten auf dem aktuellen Stand zu halten. Das dürfte im Sinne der Personalabteilungen liegen um eine hohe Datenqualität zu erreichen. Im Rahmen des Beispiels Talentpool, sollten also beispielsweise die gespeicherten Talents regelmäßig animiert werden die personenbezogenen Daten zu aktualisieren oder zu überprüfen. Datenänderungen von Mitarbeitern (Wechsel Arbeits- oder Wohnort, Jobwechsel etc.) sollten wie früher überprüfbar bleiben. Aber prüft eigentlich wer wann welche Leistungsbewertungen gespeichert hat? Unabhängig davon, mit welcher Software oder welchen Tools Daten verarbeitet oder gespeichert werden, muss die HR sicherstellen, dass nachvollziehbar ist, wer wann welche Daten verändert hat.

Datenschutz

Eines der Hauptziele des neuen europäischen Datenschutzrechts ist natürlich der Schutz personenbezogener Daten. Dies bedeutet, dass Daten sicher gespeichert werden müssen. Intern muss die Datensicherheit ebenfalls gut organisiert sein: Nur eine begrenzte Anzahl von Personen sollte Zugang zu den vertraulichen Informationen haben. Eine enge Zusammenarbeit mit der IT ist notwendig, um die richtige Balance zwischen Datenverwendung und dem Schutz dieser Daten vor externen Bedrohungen zu finden. Bei der Verwendung von Dienstleistern (z. B. SaaS, PaaS) müssen Unternehmen einen Anbieter mit ausreichenden Garantien (insbesondere Sicherheit der Daten) auswählen.

Sie müssen einen Vertrag haben, der alle in der Verordnung klar geregelten Aspekte wiedergibt. Dazu gehören bspw. die Untervergabe von Aufträgen, die Unterstützung des Anbieters im Falle von Datenschutzverletzungen und die Fähigkeit zur Wiederherstellung der Daten und die Daten am Ende des Vertrags zu löschen. Unternehmen müssen möglicherweise ihr aktuelles Anbieter-Ökosystem sowie die geschlossenen Verträge zum Datenschutz mit Hinblick auf die DSGVO überprüfen.

Unterm Strich

Über die DSVGO gab und gibt es unterschiedliche Meinungen, auch zwischen Theorie und Praxis gibt es seit jeher Differenzen, wie zwischen Behörden und Unternehmen. Ähnlich verhält es sich auch zwischen den Mitgliedsländern der EU. Mit dem Text der DSGVO haben wir eine gute Grundlage, um praktikable Lösungen zu finden, wenn wir uns offen über den Schutz personenbezogener Daten austauschen.

Lars KripkoLars Kripko ist ausgebildeter Datenverarbeitungskaufmann und Diplom-Wirtschaftsjurist(FH). Er hat die internationalen Zertifizierungen CIPP/E und CIPM und ist TÜV-zertifizierter Datenschutzbeauftragter. Nach 11 Jahren als interner und externer Datenschutzbeauftragter und Berater für Datenschutz in deutschen Unternehmen, arbeitet er nun seit zwei Jahren im globalen Team des Datenschutzbeauftragten von Cornerstone OnDemand.

cornerstoneondemand.de
 

GRID LIST
Datenschutz Superheld

Was macht einen guten Datenschutzbeauftragen aus?

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer…
Happy man with EU-Flag

DSGVO als Chance begreifen und Performance steigern

Etwas über einen Monat ist die DSGVO nun in Kraft und soll dafür sorgen, besonderes…
DSGVO

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutz-Grundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem…
Tb W190 H80 Crop Int Ac00bc491e29650606797a7a168b27ab

Datenaustausch und -archivierung in Zeiten der DSGVO

Nun ist es doch tatsächlich so weit: Die allseits gefürchtete…
Gérard Bauer

Bietet die DSGVO Cyberkriminellen eine Möglichkeit, sich besser zu verstecken?

Mit dem Ziel den Schutz und die Sicherheit von Daten deutlich zu verbessern, ist die…
Karl-Heinz Land

Die DSGVO bedeutet eine kalte Enteignung des Mittelstands

Was als Schutzschild gegen „Datenkraken“ wie Facebook, Twitter oder Google gedacht war,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security