Die Datenschutz-Grundverordnung kommt! Was jetzt?

Posted in Blog, Digitalisierung, DSGVO, Recruiting

Der 25. Mai 2018 und damit die Datenschutz-Grundverordnung naht und es wird höchste Zeit sich den neuen Anforderungen zu stellen. Viele Unternehmen sind bislang nicht darauf vorbereitet. 13 Prozent sind dabei, erste Maßnahmen umzusetzen und rund die Hälfte beschäftigt sich mit dem Thema, ohne aber den Stichtag einhalten zu können. Dies geht aus einer Umfrage der Bitkom deutlich hervor. Ohne personenbezogene Daten geht im Recruiting und in der HR allerdings nichts. Es ist noch nicht zu spät, zu starten.

Wie läuft es aktuell?

Schauen wir einmal ehrlich in die gängige Unternehmenspraxis. Oftmals läuft das Recruiting noch mit Hilfe von Outlook, Excel, eigenen Bewerberdatenbanken und Daten aus den gängigen Business-Netzwerken. Nicht zu vergessen, dass Bewerberdaten auf Festplatten gespeichert oder ganz einfach ausgedruckt werden. Ist der Lebenslauf spannend, passt aber aktuell nicht zu den ausgeschriebenen Positionen, werden die Unterlagen für zukünftige Möglichkeiten abgelegt. Unternehmen müssen somit dringend ihre bestehenden Recruiting- und HR-Prozesse überprüfen. Das klingt nach viel Aufwand, Zeit und Changemanagement. „Wer allerdings jetzt nicht handelt und dies auch als Chance versteht, auf moderne und effiziente Prozesse zu setzten, verstößt ab Mai gegen geltendes Recht. Schlimmstenfalls drohen erhebliche Bußgelder“, so Ralf Breitenfeldt, Geschäftsführer HCM4all GmbH.

Wen trifft es?

Ab dem 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) gemeinsam mit dem neuen Bundesdatenschutzgesetz (BDSG-neu) in Kraft und regelt den Umgang mit persönlichen Daten. Für Unternehmen heißt dies, alle Bereiche und Systeme zu identifizieren, die mit personenbezogenen Daten arbeiten. Insbesondere Recruiter und Personaler in den HR-Abteilungen sind somit direkt davon betroffen. Tagtäglich.

Welche Auswirkungen hat die neue Regelung?

Unternehmen müssen handlungsfähig sein und bleiben und sollten daher ihre bestehenden Prozesse und Bestimmungen auf den Prüfstand stellen. Gerade im Recruiting liegen die Daten oftmals unstrukturiert und in E-Mails, Worddateien auf dem Sharepoint oder Exchange Servern sowie in Aktenordnern vor. Über diese Prozesse und Datenhaltung muss Klarheit herrschen. Das ist nicht nur Sache von HR, sondern der Geschäftsführung.

Für das Bewerbermanangement bedeutet dies:

  • Bewerber müssen ihre personenbezogenen Daten und Unterlagen verschlüsselt senden können
  • Unternehmen müssen Bewerber über die Art der Datenerhebung informieren, soll heißen über den Verarbeitungszweck und den Speicherzeitraum. Wichtig sind Hinweise auf das Recht zur Löschung oder Berichtigung der Daten sowie auf das Beschwerderecht.
  • Besonderes Augenmerk wird auch auf den längeren Verbleib von Daten gelegt, um z.B. einen Talentpool aufzubauen. In diesem Fall muss die explizite Einverständniserklärung des Kandidaten (Double-opt-in Verfahren) eingeholt werden.
  • Die Verantwortung für die Einhaltung der Datenschutz-Grundverordnung und dass die personenbezogenen Daten richtig aufbewahrt, bearbeitet und gelöscht werden, liegt beim Unternehmen. Im Fall eines Rechtsstreits müssen diese nachweisen können, dass alle erforderlichen Maßnahmen zur Gewährleistung des Schutzes der personenbezogenen Daten getroffen wurden.

Unternehmen sollten die anstehenden Änderungen ernst nehmen. Die Bußgelder, die je nach Verstoß verhängt werden, können mit 10 bis 20 Millionen Euro bzw. 2 oder 4 Prozent des weltweiten Jahresumsatzes zu Buche schlagen. Das ist weitaus mehr, als in effiziente und digitale Prozesse zu investieren.

  • Die Nachweis- und Dokumentationspflicht für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten wird stärker in den Fokus rücken. Unternehmen werden verpflichtet ein Verfahrensverzeichnis zu führen, um die internen Prozesse zur Verarbeitung personenbezogener Daten zu dokumentieren.
  • Die bestehenden Recruiting- und Bewerberprozesse sollten durchleuchtet werden. Datenschutzbeauftrage sowie IT-Verantwortliche müssen unbedingt hinzugezogen werden.
  • Die Einführung von Berechtigungssystemen, die den internen Zugriff auf Bewerberdaten regulieren sowie automatische Eingangsbestätigungen sind ein Muss.
  • Die Löschung der Daten abgelehnter Bewerber nach Ablauf des zulässigen Aufbewahrungszeitraums muss ebenfalls sichergestellt werden.

Fazit:

Die Zeit drängt, aber es ist noch nicht zu spät, zu starten. Es ist keine Frage, ob man den Datenschutz umsetzt oder nicht. Man muss sich den Anforderungen stellen. Der erste Schritt ist meist nicht leicht, heißt dies auch, sich von etablierten aber eben auch veralteten Prozessen zu verabschieden. Unternehmen sollten diesen Schritt als Chance begreifen, neue Wege zu gehen.

Die neue DSVGO ist allerdings kein Freibrief für Anbieter von E-Recruiting-Software! Anbieter von Personal- bzw. Bewerbermanagement Software sind Auftragsverarbeiter und in der Pflicht, die angemessenen technischen und organisatorischen Rahmenbedingungen zur Einhaltung von Verhaltensregeln und für die Sicherheit der Daten zu setzen. Anderenfalls sind sie in der Haftung. Datenschutz-konform arbeitende Anbieter von Personal- bzw. Bewerbermanagement Software lassen sich nach definierten Kriterien aussuchen. Datenschutzzertifikate und Gütesiegel können daher dabei helfen, den passenden Anbieter auszuwählen. Die größte Sicherheit bieten zertifizierte Rechenzentren, die mit den Gütesiegeln ISO 9001 und ISO/IEC 27 001 aufwarten können – den bekannten DIN-Normen, bei denen Kunden von einer maximalen Zuverlässigkeit profitieren können. Bei diesen Anbietern kommen nicht nur die höchsten Sicherheitsstandards zum Einsatz, sondern auch die Wartung wird entsprechend priorisiert.

  • Sitzen die Server für die Speicherung der Daten in Deutschland?
  • Ist das Rechenzentrum ISO-zertifiziert?
  • Läuft die Übertragung der Daten verschlüsselt ab?
  • Gibt es keine Bedenken in Sachen Auftragsdatenverarbeitung?
  • Sind die AGB des Dienstleisters als unbedenklich einzustufen?
  • Bietet der Anbieter eine gute Erreichbarkeit?

Mit Antworten auf diese Fragen sind HR-Manager und Geschäftsführung in der Lage, eine bewusste und positive Entscheidung im Sinne des Datenschutzes treffen.

In eigener Sache: Auch wir entwickeln HCM4all nach deutschen Standards und orientieren uns stets an der aktuellen Gesetzgebung. Dabei kommen regelmäßige Penetrationstests genauso zum Einsatz wie ein ISO 27001 zertifiziertes Rechenzentrum, ein umfassendes Datenschutzgutachten, Hosting in Deutschland und mehr. Sprechen Sie uns an, wir beantworten Ihre Fragen.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.