Umsetzung der DSGVO in den Personalabteilungen

image_print

Dr. Jaime Uribe, Geschäftsführer, FCH Personal GmbH

Die neue Datenschutzgrundverordnung (DSGVO), die seit dem 25.05.2018 in Kraft getreten ist und das Ziel hat, einen EU-weiten wirksamen Schutz personenbezogener Daten zu schaffen, betrifft selbstverständlich nicht nur die Kunden-Datenbestände der Banken, sondern auch die ihrer Bewerber und ggf. auch die ihrer Beschäftigten.

Zu den wichtigsten Regelungen der neuen DSGVO, für Unternehmen im Sinne von Anforderungen an technische und organisatorische Maßnahmen, gehören die Datenschutzfolgeabschätzungen sowie die Dokumentations-, Informations- und Auskunftspflichten. Das kann in der Praxis allerdings nur gewährleistet werden, wenn Prozesse und Prozessverantwortliche klar definiert sind. Das ist (noch) in vielen Banken, leider vermehrt in Personalabteilungen, nicht immer der Fall und nach wie vor eines der größten Hindernisse bei der Umsetzung der DSGVO.

Personalprozesse, die personenbezogene Daten nutzen, insb. in großen Mengen, und mit sog. neuen Technologien unterstützt werden (sollten), müssen einer Datenschutzfolgeabschätzung (DSFA) unterzogen werden, sofern die Datenverarbeitung ein hohes Risiko für die Rechte und Grundfreiheiten natürlicher Personen zur Folge hat. Wichtig dabei ist nicht nur die bestehenden Risiken zu dokumentieren, sondern auch die technischen und organisatorischen Maßnahmen die in diesem Zusammenhang eingesetzt werden, um der DSGVO gerecht zu werden. Nach Art. 35 ist nun der (Prozess-)Verantwortliche und nicht mehr der DSB hierfür in der Pflicht.

Vor dem Hintergrund des Art. 30 „Verzeichnis von Verarbeitungsaktivitäten“ gewinnt die Dokumentationspflicht ebenso an Bedeutung. In den Abs. 1 und 2 werden sehr genau Angaben zu den Inhalten gemacht, die zu beachten sind, wie z. B. Name und die Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung und Beschreibung der Kategorien betroffener Personen. Seit dem 25. Mai ist das besonders wichtig für jeden Verantwortlichen und ggf. seinen Vertreter, weil sie nun auch hier, und nicht mehr der DSB, für das Führen des Verfahrensverzeichnisses in der Pflicht sind und auf Anfrage, dieses der Aufsichtsbehörde zur Verfügung stellen müssen. Hier sind Prozessausgestaltung und Dokumentation besonders gefordert.

BUCHTIPPS

Lindner, Erfolgsfaktor Humankapital bei der Fusion von Banken, 2018.

Kuhn/Thaler (Hrsg.), BankPersonaler-Handbuch, 2016.

 

 

Die Informations- und Dokumentationspflichten sollen mehr Transparenz im Prozess und gegenüber Betroffenen im Sinne des Datenschutzes ermöglichen. Zu beachten sind hier Art. 13 als auch Art. 14 die einen Katalog an Angaben enthalten, welche zwingend zu erfüllen sind. Im Absatz 2 werden weiterhin Angaben gemacht, die nicht bei jeder Datenerhebung mitzuteilen, sondern nur dann, wenn sie für eine transparente Datenerhebung erforderlich sind. Bei diesen Pflichten sind die Datenerhebung sowie deren Zeitpunkt entscheidend zu berücksichtigen. Zu unterscheiden ist zwischen der Datenerhebung bei dem Betroffenen und der Datenerhebung, die nicht bei der betroffenen Person erfolgt. Fällt die Datenerhebung unter Art. 13 DSGVO, ist der Betroffene zum Zeitpunkt der Erhebung der Daten zu informieren. Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden – Art. 14 DSGVO – sieht hingegen Abs. 3 eine Informationspflicht innerhalb einer „angemessenen Frist“ vor, die maximal einen Monat betragen soll.

Der Beschäftigtendatenschutz selbst wurde in Form einer eigenständigen Regelung in der DSGVO nicht erfasst. Lediglich im Art. 88 (Datenverarbeitung im Beschäftigungskontext) wird dieser im Kontext von Kollektivvereinbarungen angesprochen: Erwägungsgrund: „…in Kollektivvereinbarungen (einschl. Betriebsvereinbarungen) können spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorgesehen werden, und zwar insbesondere Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen…“. Nichtsdestotrotz sollte aufgrund der in der DSGVO doch geregelten Betroffenenrechte (Art. 12 ff.) und Rechenschaftspflicht (Art. 5 Abs. 2) der Umgang mit personenbezogenen Daten von Beschäftigten im (Personal-)Prozess transparent dokumentiert werden. Damit sind ebenso technische als auch organisatorische Maßnahmen gemeint.

SEMINARTIPP

 

DSGVO – Handlungsfelder und Umsetzung im Personalbereich, 12.11.2018, Frankfurt/M.

 

Bewerbungsprozesse sind stark betroffen von der DSGVO und müssen ggf. angepasst werden. Besonders hier gilt der Satz „so viel (und so lange) wie nötig – so wenig wie möglich“. Die Nutzung digitaler Unterstützung (z. B. Bewerbermanagementsysteme, elektronische Personalakte) verlangt hier zwar die Erstellung einer DSFA, dafür sind die Vorteile/Erleichterungen im Prozess bei Löschkonzepten, Zugriffsverwaltung, Protokollierung über die Datenverwendung und Dokumentation erheblich. In diesem Zusammenhang sollten hier „alt-eingesessene Gewohnheiten“ sofort als kritisch eingestuft werden, wie z. B.:

  • Weiterleiten von Bewerbungen per E-Mail: Zugriff und Löschung können vom Verantwortlichen praktisch nicht mehr garantiert werden. Besser ist die zentrale Speicherung, mit geregelten Zugriffen.
  • Anlegen von Bewerber-Pools, ohne explizite (dokumentierte) Zustimmung der Betroffenen.
  • Unterhaltung von (online) Formularen die mehr Informationen erheben, als es für den Auswahlprozess dringend notwendig ist. Freizeit oder Hobbies z. B. sind in diesem Kontext definitiv kritisch.
  • Bei Papierbewerbungen eine einfache Eingangsbestätigung zuschicken, ohne die eigene Datenschutzerklärung mitzugeben. Kompliziert bleibt es trotzdem, weil der Bewerber die Datenschutzerklärung theoretisch unterschrieben zurückschicken muss (Einverständnis). Hier sind Online-Formulare eindeutig im Vorteil, weil die eigene Datenschutzerklärung verlinkt und mit einem Häkchen akzeptiert werden kann.
  • manuelle/analoge Bewerberempfehlungen durch Dritte: Hier liegen in der Regel die Einverständniserklärungen für die Weitergabe und die Verarbeitung der Daten dem Prozessverantwortlichen nicht vor. Fremde Bewerbungsmappen und Visitenkarten sollten daher in dieser Hinsicht nicht angenommen werden. Das betrifft z. B. die Zusammenarbeit mit Personalberatern, die den Prozess nicht elektronisch entsprechend DSGVO-konform führen.
  • Informationsangleichung/-ergänzung durch Social Media: war vorher schon kritisch ist jetzt aber nicht mehr legal, insbesondere bei sozialen Netzwerken mit privatem Charakter (z. B. Facebook, Instagram). Ausgenommen werden können stattdessen Netzwerke wie Xing und LinkedIn, die Informationen über die persönliche berufliche Weiterentwicklung zur Verfügung stellen.

PRAXISTIPPS

  • Als Personaler sollten Sie die Zusammenarbeit mit der Datenschutzbeauftragten-Stelle nicht nur suchen, sondern möglichst fördern. Das wird Ihnen helfen, (neue) Personalprozesse DSGVO-konform zu gestalten und Ihre neuen Pflichten zu erfüllen.
  • Beleuchten Sie federführend die bestehenden Personalprozesse mit der „DSGVO-Brille“ und arbeiten Sie dabei unbedingt und von Anfang an zusammen mit dem DSB. Achten Sie dabei insb. auf die Anforderungen bzgl. Informationspflicht, Auskunftspflicht und Dokumentationspflicht, auch gegenüber der Aufsichtsbehörde.
  • Als Verantwortlicher im Personalbereich sollten Sie die betroffenen Prozesse in Ihrem Zuständigkeitsbereich ausnahmslos kennen und sich ggf. Klarheit über Ihre Pflichten bzgl. Verzeichnis von Verarbeitungsaktivitäten und Datenschutzfolgeabschätzung verschaffen.
  • Nutzen Sie unbedingt bei den Risikofolgeabschätzungen und generell bei Ihren Prozessanalysen die Synergien die sich im Rahmen weiterer Anforderungen ergeben (z. B. MaRisk, BAIT, BSI). Vermeiden Sie insbesondere Doppelanalysen und -bewertungen.
  • Die elektronische Personalakte stellt zwar keinen inhaltlichen Unterschied zu einer herkömmlichen Akte in Papierform, muss aber nach der neuen DSGVO beleuchtet werden. Insbesondere wenn es um Fragen des Zugriffs, der Datensperrung und der rückstandlosen Datenentfernung (z. B. bei Abmahnungen) geht.
  • Prüfen Sie den vorhandenen Bewerbungsprozess fokussiert auf die Datenerhebung, Datenweitergabe (organisationsintern und -extern), Datenlöschungskonzepte und falls vorhanden, auch in dieser Hinsicht die Zusammenarbeit mit externen Personaldienstleistern (z. B. Lohnbuchhaltung, Personalberater, Personalverleiher).
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.