Werbung

Checkliste DSGVO für Personaler: sieben Punkte, die unbedingt zu prüfen sind

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Checkliste DSGVO für Personaler: sieben Punkte, die unbedingt zu prüfen sind

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Die DSGVO soll vor allem den Schutz personenbezogener Daten gewährleisten. Besonders betroffen von den Vorgaben der Verordnung sind somit HR-Abteilungen, die per se mit solchen Daten arbeiten. Worauf Personalverantwortliche dabei in jedem Fall achten müssen, verrät eine Checkliste.

Personalabteilung

DSGVO Personalabteilung (Checkliste): Die DSGVO soll vor allem den Schutz personenbezogener Daten gewährleisten. Besonders betroffen von den Vorgaben der Verordnung sind somit HR-Abteilungen, die per se mit solchen Daten arbeiten. Worauf Personalverantwortliche dabei in jedem Fall achten müssen, verrät eine Checkliste.

Spätestens nach Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) hat sich fast jedes Unternehmen – gezwungenermaßen – zumindest mit den grundlegenden Verpflichtungen durch die Gesetzgebung auseinandergesetzt. Geschäftsprozesse für die Verarbeitung persönlicher Daten werden nach und nach angepasst. Allerdings sind sich viele Abteilungen noch nicht sicher, welche ihrer Aufgaben und Prozesse wirklich betroffen sind. HR-Abteilungen verarbeiten naturgemäß personenbezogene Daten. Daher hat Talent-Management-Experte SumTotal eine Checkliste mit sieben Punkten zu den DSGVO-Vorgaben zusammengestellt, die Personalverantwortliche zwingend überprüfen sollten.

HR-Abteilungen und Personalverantwortliche arbeiten nicht nur mit Daten aktueller, sondern auch mit denen ehemaliger und künftiger Mitarbeiter. Die Quellen, aus denen diese Informationen gesammelt werden, variieren von Abteilung zu Abteilung und von Geschäft zu Geschäft. Informationen werden häufig elektronisch über Online-Formulare oder per E-Mail übermittelt, doch ist auch ein Einreichen in Papierform immer noch üblich.  Eine der größten Herausforderungen für die Verantwortlichen besteht darin sicherzustellen, dass ihr Unternehmen die eindeutige Zustimmung jeder einzelnen Person zur Bearbeitung und Speicherung ihrer personenbezogenen Daten hat. Das betrifft nicht nur Mitarbeiter und ehemalige Mitarbeiter, sondern auch externe Partner sowie Bewerber.

Umgang mit Bewerbern – DSGVO Personalabteilung Checkliste

Wie die Praxis zeigt, werden viele Situationen, in denen personenbezogene Daten ausgetauscht werden, immer noch unterschätzt. Das lässt sich am Beispiel des Umgangs mit Bewerbern verdeutlichen.  Auch wenn man bei einer eingehenden Bewerbung davon ausgehen kann, die Person habe ein Interesse daran, dass das angesprochene Unternehmen die Bewerbungsunterlagen aufnimmt, muss ein Einverständnis zur Weiterverarbeitung und Speicherung der Daten eingeholt werden.

Die Zustimmung hierzu muss laut DSGVO im Rahmen einer „aktiven und positiv bejahenden Handlung jedes Einzelnen“ erfolgen. Eine passive oder stillschweigende Akzeptanz ist rechtlich nicht zulässig. Die Einwilligung kann von der betroffenen Person nach eigenem Ermessen begrenzt oder aufgehoben werden, was die Handhabung für die Personalabteilungen weiter erschwert. Bewerber könnten beispielsweise auch angeben, dass ihre Daten vorläufig gespeichert, aber nach sechs Monaten gelöscht werden sollten oder sie können Einsicht in die Daten fordern.

DSGVO Personalabteilung Checkliste:

Mit diesen Fragen sollten sich HR- und Personalverantwortliche daher auseinandersetzen:

Aktive Zustimmung zur Datenverarbeitung

Erhalten Bewerber eine entsprechende Datenschutzerklärung, in der beschrieben wird, wie, warum und wofür ihre Daten verwendet werden? Werden sie aufgefordert, aktiv ihr Einverständnis hierzu zu erteilen? Geschieht dies auf allen Bewerbungskanälen (Online-Formulare, Eingang per E-Mail und per Post) Wird das Einverständnis – gegebenenfalls mit einer zeitlichen Begrenzung zur Datenspeicherung – dokumentiert?

Zugangsbeschränkung zu Bewerber-Daten

Die Nutzung, Verarbeitung und Speicherung von Bewerberdaten darf nach DSGVO (Art. 5, Abs. 1.b) ausschließlich zweckgebunden erfolgen und ist nur auf wenige Personen beschränkt, die aktiv mit dem Bewerbungsverfahren beauftragt sind. Ist sichergestellt, dass der Datenzugriff auf diese Personen beschränkt ist? Wird dies über einen zentralen Ort geregelt, an dem die Daten gespeichert sind oder werden diese beispielsweise per E-Mail weitergeleitet? Auch für den generellen Umgang mit sensiblen personenbezogenen Daten empfiehlt sich eine Zugangsbeschränkung.

Datenvorratsspeicherung und das „Recht auf Vergessenwerden“

Bewerber (aber auch Kunden, Mitarbeiter usw.) können nach den Regelungen der DSGVO ihr „Recht auf Vergessenwerden“ und damit das Löschen ihrer Daten einfordern. Daher sollte man sich generell fragen: Ist das Speichern sämtlicher erhobener Daten unbedingt erforderlich? Wem ist bekannt, wo die Daten aufbewahrt werden, und sind diese Personen nach der DSGVO haftbar? Werden die Daten nach Ablauf des vom Bewerber akzeptierten Speicherzeitraums an allen Speicherorten gelöscht? Je mehr Personen Zugriff auf die Daten haben (s.o.), desto größer ist die Gefahr, dass Unterlagen lokal gespeichert werden, was das verpflichtende Löschen der Daten sowie die vorgeschriebene Dokumentation der entsprechenden Prozesse erschwert. Neben den digitalen Daten betrifft dies auch Ausdrucke oder Bewerbungsmappen, die zurückgesendet oder „geschreddert“ werden müssen.

Transparenz auf Abruf

Dateninhaber, also Mitarbeiter, ehemalige Mitarbeiter, Kunden usw. können nach der DSGVO offizielle Subject Access Requests (SAR), zu Deutsch eine „Bitte um Offenlegung“ stellen. Wenn beispielsweise eine Person nicht mehr in einem Unternehmen arbeitet, kann sie um eine Offenlegung der personenbezogenen Daten bitten. Sind die Prozesse und Ablagestrukturen im Unternehmen so eingerichtet, dass sie die Zugriffsanforderungen für die Einsicht von persönlichen Daten erfüllen können? Ist das Unternehmen in der Lage, die Daten und Dokumentationen der Prozesse innerhalb des gesetzlich angesetzten Zeitraums in „ (…) präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ offenlegen zu können (Art. 12, Abs. 1, DSGVO)?

Prüfung von Geschäftsprozessen und Auswirkungen

Die meisten Unternehmen haben ihre Prozesse im Blick auf die DSGVO-Standards überprüft, was Datensicherheit und Datenschutz anbelangt. Aber auch durch die Gesetzgebung neu entstandene Prozesse können Gefahren für Verstöße bergen – wenn beispielsweise eine Bitte um Offenlegung (SAR) gestellt wird und die Daten über einen nicht ausreichend gesicherten Kanal oder eine öffentlich zugängliche Seite bereitgestellt werden. Gleichzeitig kann sich auch herausstellen, dass zugunsten der Gesetzgebung geänderte Prozesse negative Auswirkungen auf das Geschäft haben. Daher sollten Prozesse und Praktiken aller Abteilungen, die mit personenbezogenen Daten arbeiten, regelmäßig überprüft und angepasst werden.

Umgang mit externen Partnern

Arbeitet das Unternehmen mit „Dritten“ zusammen, die Zugriff auf personenbezogene Daten haben? Dies könnten beispielsweise externe Partner und Dienstleister im Bereich Personal, Beratung oder Buchhaltung sowie Anbieter von Cloud-Systemen sein, falls diese jeweils Zugriff auf bzw. Umgang mit personenbezogenen Daten haben. Entsprechen die Geschäftspraktiken dieser Partner den Vorgaben? Beinhalten Partnerverträge ausdrücklich die Befugnisse, Verantwortlichkeiten und Grenzen jeder Partei im Rahmen der DSGVO?

Datenschutzbeauftragte

Benötigt das Unternehmen definitiv einen Datenschutzbeauftragten? Hierfür gibt es verschiedene Kriterien, die sowohl durch die DSGVO, also auch durch das BDSG geregelt werden. Für HR-Abteilungen ist es besonders wichtig, Unterschiede zwischen personenbezogenen Daten und sensiblen personenbezogenen Daten zu berücksichtigen. Letztgenannte sind laut DSGVO beispielsweise die ethnische Herkunft, politische Meinung, religiöse Überzeugung sowie Informationen zu Straftaten. Werden solche Daten gespeichert, benötigt das Unternehmen unabhängig von seiner Größe verpflichtend einen Datenschutzbeauftragen. Zusätzlich ist in Deutschland nach § 38 BDSG ein Datenschutzbeauftragter erforderlich, wenn im sich Unternehmen „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.  Die Überprüfung durch einen fachkundigen Berater empfiehlt sich aber auf jeden Fall.

Fazit: Die DSGVO Personalabteilung Checkliste zeigt, dass Personalverantwortliche eine ganze Reihe von Prozessen überprüfen müssen, um die DSGVO-Compliance ihrer Organisation sicherzustellen. Dies geht über Abteilungsgrenzen hinaus, da üblicherweise auch Entscheider in anderen Geschäftsbereichen in die Auswahl von Bewerbern oder sonstige Personalprozesse eingebunden sind.

Sensibilität im gesamten Unternehmen erhöhen

Für Unternehmen ist es daher wichtig, die Sensibilität in der gesamten Organisation zu erhöhen, was die Datenschutzvorgaben anbelangt. Konkrete Schulungen, die heute auch in Form von Online-Angeboten in den Arbeitsalltag integriert werden können, sind hier eine hilfreiche Maßnahme. Auch die Digitalisierung der Unterlagen und Prozesse kann eine große Hilfe dabei sein, gesetzliche Vorgaben einzuhalten. Sie unterstützt Unternehmen beispielsweise darin, Speicherorte und Zugriffsrechte zu beschränken und die Protokollierung zu automatisieren. Ist dies nicht geregelt und Daten werden per E-Mail oder in Papierform an Kollegen weitergegeben, lässt sich fast unmöglich sicherstellne, dass Daten an allen Ablageorten vernichtet werden – ganz zu schweigen von einer rechtskonformen Dokumentation aller entsprechenden Prozesse.

DSGVO Personalabteilung Checkliste

Über den Autor: Liam Butler ist VP Sales von SumTotal EMEA.

Lesen Sie auch: DSGVO-konforme Cookie-Nutzung auf Webseiten

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
1 Kommentar
Oldest
Newest
Inline Feedbacks
View all comments
Tomas Mueller
Tomas Mueller
13. Februar 2019 15:51

Es ist schlichtweg FALSCH,Es ist schlichtweg FALSCH, dass Bewerber grds. in die Verarbeitung ihrer Daten einwilligen müssen. Eine solche Verarbeitung von Bewerberdaten ist vielmehr grds. gemäß § 26 Abs. 1 BDSG erlaubt. Zudem ist sowohl nach Ansicht der deutschen als auch europäischen Datenschutzbehörden eine Einwilligung unwirksam, soweit sie – wie im vorliegenden Fall bei Bewerbern – überflüssigerweise eingeholt wurde. Von jedem Grundsatz gibt es natürlich eine Ausnahme: Eine Einwilligung ist im Bewerbungsprozess allerdings dann erforderlich, wenn die Daten und Dokumente des Kandidaten im Rahmen eines Bewerberpools für die Zukunft gespeichert werden sollen. Genau durch solche vermeintliche „Experten“-Artikel hat der Datenschutz… Weiterlesen »

Andere Leser haben sich auch für die folgenden Artikel interessiert

Nicht nur Einkaufszentren und Geschäfte sind im Zuge der Corona-Krise geschlossen worden, viele Unternehmen haben auch ihre Büros vorübergehend geschlossen, um persönliche Kontakte zu minimieren. Daher werden geschäftliche Abläufe zunehmend in die Online-Kanäle verlagert. Hierfür ist es dringend notwendig, die Self-Services zu automatisieren.
Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Cyber Defense: Wie Unternehmen Hackerangriffe erfolgreich abwehren

Cyber Defense

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.