Sechs Auswirkungen der DSVGO auf die Personalabteilung

Niemand wird der Tatsache entgehen, dass ab diesem Jahr ein neues europäisches Datenschutzrecht gelten wird: Seit dem 25. Mai wird die Datenschutz-Grundverordnung (DSGVO) EU weit einheitlichere Regeln für den Umgang von Unternehmen mit Daten festlegen. Aber werden die neuen Regelungen wirklich Wirtschaft und Industrie so beeinflussen, wie es immer in den Medien suggeriert wird?

Mit der Einführung der DSGVO sollten Unternehmen geprüft und entschieden haben, wie sie auf der neuen Rechtsgrundlage personenbezogene Daten nutzen können. Dies wird sich auch auf das Personalmanagement der Unternehmen auswirken, aber dies ist keine Herausforderung, die nicht zu stemmen wäre, da Deutschland bisher schon ein sehr strenges Datenschutzrecht. José Alberto Rodríguez Ruiz, Datenschutzbeauftragter bei Cornerstone OnDemand, hob daher Anfang des Jahres im Rahmen der GDPR-Ready-Initiative die sechs wichtigsten Auswirkungen des neuen Gesetzes für die Personalabteilung hervor. Folgende Punkte sind dabei zu beachten:

1. Verbot von Datenspeicherung

Unternehmen dürfen personenbezogene Daten nur so lange aufbewahren, wie dies erforderlich ist. Zum Beispiel sollten in einem Bewerbungsprozess die Daten von Kandidaten, die nicht eingestellt wurden, kurz nach dem Einstellungsverfahren gelöscht werden, es sei denn, die Kandidaten haben ihre ausdrückliche Zustimmung gegeben, dass die Unterlagen länger aufbewahrt werden dürfen. Auch die Daten von Mitarbeitern, die ein Unternehmen verlassen, können nur für eine begrenzte Zeit gespeichert werden, was sicherlich das Offboarding-Verfahren vieler Unternehmen beeinflussen wird. Für deutsche Unternehmen ergibt sich hier eigentlich keine signifikante Veränderung, da die Regelung auch bisher schon explizit für Beschäftigtendaten im nationalen Recht existiert.

2. Informationen müssen zweckgebunden sein

Arbeitgeber können nur Daten von potenziellen Mitarbeitern erfragen, wenn dies erforderlich ist. Für alle anderen Daten muss eine explizite Einwilligung eingeholt werden. Ein kritischer Blick auf das aktuelle Bewerbungsverfahren ist daher unerlässlich. Beispiel: Ist die Frage nach der Erfüllung der Wehrpflicht erforderlich in einem Auswahlverfahren? Man muss nur lange genug suchen, um diese Frage auch heute noch in Bewerberportalen deutscher Unternehmen zu finden. Die Frage sollte natürlich nur Bewerbern gestellt werden, die nach ihrer Staatsangehörigkeit einer Wehrpflicht unterliegen könnten. Was allerdings wieder Fragen der Diskriminierungsprävention aufwirft. Das gleiche Prinzip gilt für die Daten der bereits eingestellten Mitarbeiter. Auch hierfür muss es einen Grund geben, warum einzelne Daten über die Mitarbeiter gespeichert werden. Unternehmen sollten jetzt die Gelegenheit der besonderen Datenschutz-Awareness des Managements nutzen um die Erforderlichkeit der vorgehaltenen Daten zu prüfen, insbesondere solche die nicht direkt mit der Rolle oder den Skills des Mitarbeiters zusammenhängen.

3. Brücke zwischen Transparenz und Verantwortlichkeit

Wie bisher bereits schon müssen Unternehmen zukünftig Einblick gewähren, wie und wo Mitarbeiterdaten gespeichert und verarbeitet werden. Für Informationen, für die eine Einwilligung des Arbeitnehmers erforderlich ist, muss eine erteilte Einwilligung auch von der Firma nachweisbar sein. Eine Einwilligung gilt jedoch nicht unbegrenzt, vielmehr haben Mitarbeiter das Recht, ihre Zustimmung jeder Zeit zu widerrufen. Es sollte auch klargestellt werden, wer auf welche Daten zugreifen darf. Um diese Transparenz zu ermöglichen, müssen Unternehmen ihre IT- Infrastruktur kritisch überprüfen. Erfüllt die derzeitige Art der Archivierung den strengen Anforderungen oder sollten Prozesse optimiert werden? Insbesondere müssen Unternehmen dokumentieren und nachweisen, wie sie das neue Gesetz einhalten.

4. Verwenden Sie Daten nur für Ihren beabsichtigten Zweck!

Personalabteilungen sind nicht nur in der Menge der Daten beschränkt, die sie von Mitarbeitern oder Bewerbern anfordern können, wie in Punkt Zwei bereits erwähnt; sie dürfen diese Informationen auch nur für den Zweck verwenden, den sie ursprünglich angegeben haben. Und dies auch nur, sofern eine rechtliche Erlaubnis vorliegt oder eine Einwilligung erteilt wurde. Um einen leistungsstarken Talentpool zu unterhalten, wird in aller Regel eine Einwilligung der gespeicherten Talents vorliegen müssen.

5. Daten nachverfolgen

Seit dem 25. Mai 2018 expliziter formuliert als bisher ist die Verpflichtung, personenbezogene Daten auf dem aktuellen Stand zu halten. Das dürfte im Sinne der Personalabteilungen liegen um eine hohe Datenqualität zu erreichen. Im Rahmen des Beispiels Talentpool, sollten also beispielsweise die gespeicherten Talents regelmäßig animiert werden die personenbezogenen Daten zu aktualisieren oder zu überprüfen. Datenänderungen von Mitarbeitern (Wechsel Arbeits- oder Wohnort, Jobwechsel etc.) sollten wie früher überprüfbar bleiben. Aber prüft eigentlich wer wann welche Leistungsbewertungen gespeichert hat? Unabhängig davon, mit welcher Software oder welchen Tools Daten verarbeitet oder gespeichert werden, muss die HR sicherstellen, dass nachvollziehbar ist, wer wann welche Daten verändert hat.

6. Datenschutz

Eines der Hauptziele des neuen europäischen Datenschutzrechts ist natürlich der Schutz personenbezogener Daten. Dies bedeutet, dass Daten sicher gespeichert werden müssen. Intern muss die Datensicherheit ebenfalls gut organisiert sein: Nur eine begrenzte Anzahl von Personen sollte Zugang zu den vertraulichen Informationen haben. Eine enge Zusammenarbeit mit der IT ist notwendig, um die richtige Balance zwischen Datenverwendung und dem Schutz dieser Daten vor externen Bedrohungen zu finden. Bei der Verwendung von Dienstleistern (z. B. SaaS, PaaS) müssen Unternehmen einen Anbieter mit ausreichenden Garantien (insbesondere Sicherheit der Daten) auswählen. Sie müssen einen Vertrag haben, der alle in der Verordnung klar geregelten Aspekte wiedergibt. Dazu gehören bspw. die Untervergabe von Aufträgen, die Unterstützung des Anbieters im Falle von Datenschutzverletzungen und die Fähigkeit zur Wiederherstellung der Daten und die Daten am Ende des Vertrags zu löschen. Unternehmen müssen möglicherweise ihr aktuelles Anbieter-Ökosystem sowie die geschlossenen Verträge zum Datenschutz mit Hinblick auf die DSGVO überprüfen.

Unterm Strich

Über die DSVGO gab und gibt es unterschiedliche Meinungen, auch zwischen Theorie und Praxis gibt es seit jeher Differenzen, wie zwischen Behörden und Unternehmen. Ähnlich verhält es sich auch zwischen den Mitgliedsländern der EU. Mit dem Text der DSGVO haben wir eine gute Grundlage, um praktikable Lösungen zu finden, wenn wir uns offen über den Schutz personenbezogener Daten austauschen.