Niemand wird der Tatsache entgehen, dass ab diesem Jahr ein neues europäisches Datenschutzrecht gelten wird: Seit dem 25. Mai wird die Datenschutz-Grundverordnung (DSGVO) EU weit einheitlichere Regeln für den Umgang von Unternehmen mit Daten festlegen. Aber werden die neuen Regelungen wirklich Wirtschaft und Industrie so beeinflussen, wie es immer in den Medien suggeriert wird?
Mit der Einführung der DSGVO sollten Unternehmen geprüft und entschieden haben, wie sie auf der neuen Rechtsgrundlage personenbezogene Daten nutzen können. Dies wird sich auch auf das Personalmanagement der Unternehmen auswirken, aber dies ist keine Herausforderung, die nicht zu stemmen wäre, da Deutschland bisher schon ein sehr strenges Datenschutzrecht. José Alberto Rodríguez Ruiz, Datenschutzbeauftragter bei Cornerstone OnDemand, hob daher Anfang des Jahres im Rahmen der GDPR-Ready-Initiative die sechs wichtigsten Auswirkungen des neuen Gesetzes für die Personalabteilung hervor. Folgende Punkte sind dabei zu beachten:
1. Verbot von Datenspeicherung
Unternehmen dürfen personenbezogene Daten nur so lange aufbewahren, wie dies erforderlich ist. Zum Beispiel sollten in einem Bewerbungsprozess die Daten von Kandidaten, die nicht eingestellt wurden, kurz nach dem Einstellungsverfahren gelöscht werden, es sei denn, die Kandidaten haben ihre ausdrückliche Zustimmung gegeben, dass die Unterlagen länger aufbewahrt werden dürfen. Auch die Daten von Mitarbeitern, die ein Unternehmen verlassen, können nur für eine begrenzte Zeit gespeichert werden, was sicherlich das Offboarding-Verfahren vieler Unternehmen beeinflussen wird. Für deutsche Unternehmen ergibt sich hier eigentlich keine signifikante Veränderung, da die Regelung auch bisher schon explizit für Beschäftigtendaten im nationalen Recht existiert.
2. Informationen müssen zweckgebunden sein
Arbeitgeber können nur Daten von potenziellen Mitarbeitern erfragen, wenn dies erforderlich ist. Für alle anderen Daten muss eine explizite Einwilligung eingeholt werden. Ein kritischer Blick auf das aktuelle Bewerbungsverfahren ist daher unerlässlich. Beispiel: Ist die Frage nach der Erfüllung der Wehrpflicht erforderlich in einem Auswahlverfahren? Man muss nur lange genug suchen, um diese Frage auch heute noch in Bewerberportalen deutscher Unternehmen zu finden. Die Frage sollte natürlich nur Bewerbern gestellt werden, die nach ihrer Staatsangehörigkeit einer Wehrpflicht unterliegen könnten. Was allerdings wieder Fragen der Diskriminierungsprävention aufwirft. Das gleiche Prinzip gilt für die Daten der bereits eingestellten Mitarbeiter. Auch hierfür muss es einen Grund geben, warum einzelne Daten über die Mitarbeiter gespeichert werden. Unternehmen sollten jetzt die Gelegenheit der besonderen Datenschutz-Awareness des Managements nutzen um die Erforderlichkeit der vorgehaltenen Daten zu prüfen, insbesondere solche die nicht direkt mit der Rolle oder den Skills des Mitarbeiters zusammenhängen.
3. Brücke zwischen Transparenz und Verantwortlichkeit
Wie bisher bereits schon müssen Unternehmen zukünftig Einblick gewähren, wie und wo Mitarbeiterdaten gespeichert und verarbeitet werden. Für Informationen, für die eine Einwilligung des Arbeitnehmers erforderlich ist, muss eine erteilte Einwilligung auch von der Firma nachweisbar sein. Eine Einwilligung gilt jedoch nicht unbegrenzt, vielmehr haben Mitarbeiter das Recht, ihre Zustimmung jeder Zeit zu widerrufen. Es sollte auch klargestellt werden, wer auf welche Daten zugreifen darf. Um diese Transparenz zu ermöglichen, müssen Unternehmen ihre IT- Infrastruktur kritisch überprüfen. Erfüllt die derzeitige Art der Archivierung den strengen Anforderungen oder sollten Prozesse optimiert werden? Insbesondere müssen Unternehmen dokumentieren und nachweisen, wie sie das neue Gesetz einhalten.
4. Verwenden Sie Daten nur für Ihren beabsichtigten Zweck!
Personalabteilungen sind nicht nur in der Menge der Daten beschränkt, die sie von Mitarbeitern oder Bewerbern anfordern können, wie in Punkt Zwei bereits erwähnt; sie dürfen diese Informationen auch nur für den Zweck verwenden, den sie ursprünglich angegeben haben. Und dies auch nur, sofern eine rechtliche Erlaubnis vorliegt oder eine Einwilligung erteilt wurde. Um einen leistungsstarken Talentpool zu unterhalten, wird in aller Regel eine Einwilligung der gespeicherten Talents vorliegen müssen.
5. Daten nachverfolgen
Seit dem 25. Mai 2018 expliziter formuliert als bisher ist die Verpflichtung, personenbezogene Daten auf dem aktuellen Stand zu halten. Das dürfte im Sinne der Personalabteilungen liegen um eine hohe Datenqualität zu erreichen. Im Rahmen des Beispiels Talentpool, sollten also beispielsweise die gespeicherten Talents regelmäßig animiert werden die personenbezogenen Daten zu aktualisieren oder zu überprüfen. Datenänderungen von Mitarbeitern (Wechsel Arbeits- oder Wohnort, Jobwechsel etc.) sollten wie früher überprüfbar bleiben. Aber prüft eigentlich wer wann welche Leistungsbewertungen gespeichert hat? Unabhängig davon, mit welcher Software oder welchen Tools Daten verarbeitet oder gespeichert werden, muss die HR sicherstellen, dass nachvollziehbar ist, wer wann welche Daten verändert hat.
6. Datenschutz
Eines der Hauptziele des neuen europäischen Datenschutzrechts ist natürlich der Schutz personenbezogener Daten. Dies bedeutet, dass Daten sicher gespeichert werden müssen. Intern muss die Datensicherheit ebenfalls gut organisiert sein: Nur eine begrenzte Anzahl von Personen sollte Zugang zu den vertraulichen Informationen haben. Eine enge Zusammenarbeit mit der IT ist notwendig, um die richtige Balance zwischen Datenverwendung und dem Schutz dieser Daten vor externen Bedrohungen zu finden. Bei der Verwendung von Dienstleistern (z. B. SaaS, PaaS) müssen Unternehmen einen Anbieter mit ausreichenden Garantien (insbesondere Sicherheit der Daten) auswählen. Sie müssen einen Vertrag haben, der alle in der Verordnung klar geregelten Aspekte wiedergibt. Dazu gehören bspw. die Untervergabe von Aufträgen, die Unterstützung des Anbieters im Falle von Datenschutzverletzungen und die Fähigkeit zur Wiederherstellung der Daten und die Daten am Ende des Vertrags zu löschen. Unternehmen müssen möglicherweise ihr aktuelles Anbieter-Ökosystem sowie die geschlossenen Verträge zum Datenschutz mit Hinblick auf die DSGVO überprüfen.
Unterm Strich
Über die DSVGO gab und gibt es unterschiedliche Meinungen, auch zwischen Theorie und Praxis gibt es seit jeher Differenzen, wie zwischen Behörden und Unternehmen. Ähnlich verhält es sich auch zwischen den Mitgliedsländern der EU. Mit dem Text der DSGVO haben wir eine gute Grundlage, um praktikable Lösungen zu finden, wenn wir uns offen über den Schutz personenbezogener Daten austauschen.
Gerelateerde bronnen
Wilt u blijven leren? Bekijk onze producten, klantverhalen en de nieuwste branche-inzichten.
Blogpost
Anders werken in een nieuwe wereld: HR-voorspellingen 2024
Op het kruispunt van technologie en personeel nemen HR-leiders daadkrachtig het voortouw bij het transformeren van de wijze waarop organisaties omgaan met de complexe werkwereld van vandaag. Met de intrede van 2024 vraagt het snelle tempo van verandering, aangejaagd door technologische vooruitgang, om een scherp inzicht in opkomende trends.
E-book
Anders werken in een nieuwe wereld: HR-voorspellingen 2024
Hoe goed weet uw organisatie om te gaan met de snelle veranderingen die op ons af blijven komen? 41% van de werknemers zegt niet te beschikken over de benodigde middelen om hun skills te ontwikkelen, terwijl 59% op zoek is naar meer loopbaanbegeleiding. Daarom is het voor HR-managers belangrijker dan ooit om op de hoogte te blijven van de nieuwste trends en te begrijpen wat deze voor hun personeel en organisatie betekenen. Toch maakt meer dan 60% van de organisaties geen gebruik van AI-technologie om hun talentprogramma te optimaliseren.
Video
AI as universal as electricity
Marc Ramos, Chief Learning Officer at Cornerstone, believes AI will become as universal and ubiquitous as electricity. We’re right at the beginning, and there is a lot of hype, fear and anxiety, so governments and other entities are putting controls in place. But there are also tremendous values with AI, not least from a talent, HR and learning perspective. Here are some areas where Marc already sees advancements in AI.