Newsletter abonnieren
x
Erhalten Sie weitere wertvolle Tipps zum Thema Online Rekrutierung exklusiv per E-Mail.
Vielen Dank für Ihre Anmeldung!
Oops! Something went wrong while submitting the form

Die neue Datenschutz-Grundverordnung (DS-GVO)

Der ultimative Leitfaden

Schwarz auf weiß, 188 Seiten, 99 Artikel - am 27. April 2016 in Brüssel geschehen, im Namen des Europäischen Parlaments und des Rates. Unaufhaltsam kommt die Umsetzung der neuen EU-Datenschutz-Grundverordnung (DS-GVO) auf uns zu. Mit der DS-GVO hat die Europäische Union die Verarbeitung von personenbezogenen Daten durch Unternehmen neu geregelt und EU-weit vereinheitlicht. Auch Personalverantwortliche, die Daten von Ihren Bewerbern im Bewerbungsprozess erheben, sind davon betroffen. Viele Prinzipien des Bundesdatenschutzgesetzes (BDSG) gelten zwar weiter, jedoch enthält die DS-GVO eine ganze Reihe neuer Regelungen. Dadurch werden viele Fragen aufgeworfen. Wie wird die neue Verordnung umgesetzt? Wo brauche ich Toolunterstützung? Können Anbieter (wie z.B. Slack, Jira oder Workable), die außerhalb der EU angesiedelt sind weiterhin genutzt werden? Stellen Sie mit unserem Leitfaden sicher, dass Sie schon heute die Anforderungen im Griff haben und vermeiden Sie somit Datenschutzverstöße und hohe Bußgelder.

Datenschutz - Status-Quo:

Unsere heute globalisierte Informations- und Wissensgesellschaft ist ohne einen kontinuierlichen Datenaustausch kaum vorstellbar. Es werden immer mehr personenbezogene Daten erhoben und verarbeitet - national wie international. Es werden Daten von Personen gesammelt - wozu Sie jedoch verwendet werden, ist nicht immer ganz klar. Datenerhebung sollte grundsätzlich zu einem bestimmten Zweck erfolgen. Ist dieser erfüllt, müssen auch die Daten gelöscht werden, damit kein Missbrauch mit ihnen geschieht. Allerdings kommt es leider immer wieder zu Pannen und Missbrauch. Es passierte bereits, dass Patientendaten versehentlich veröffentlicht wurden oder US-Behörden Zugriff auf Daten von EU-Bürgern erhielten. Unternehmen werden in Zukunft aufgefordert, sensibler mit personenbezogenen Daten umzugehen.

 Im Umgang mit Bewerberdaten gibt es in vielen Unternehmen Mängel. Bewerbungen, die per Post oder E-Mail eingehen, werden in verschiedenen Ordnern abgelegt und für die Einsicht an weitere Personen weitergeleitet. All diese Daten müssen vor Missbrauch geschützt werden und nach der Löschfrist gelöscht werden.

Die Zukunft des Datenschutzes:

Mit der neuen Verordnung soll sich einiges ändern. Insbesondere zielt die Verordnung, die am 25. Mai 2018 in Kraft tritt, neben den zahlreichen Regelungen darauf ab, die persönlichen Rechte der individuellen Person stärker zu schützen. Bei einem Vergehen kann das eine Strafe von mind. 4% des weltweiten Jahresumsatzes bis hin zu 20 Millionen Euro nach sich ziehen - je nach Schwere des Verstoßes.

Leitfaden für Personaler

Vermeiden Sie Übermittlungen personenbezogener Daten in Drittstaaten

Der Transfer von personenbezogenen Daten in Staaten außerhalb der EU (sog. Drittstaaten) ist problematisch, da in den Drittstaaten kein angemessenes Datenschutzniveau herrscht. Diese Unternehmen werden ebenfalls zur Kasse gebeten oder gegebenenfalls wird Ihnen der Marktzugang verwehrt. Die beste Möglichkeit Cloud-Dienste datenschutzkonform zu nutzen ist, wenn sich die Auftragsdatenverarbeitung innerhalb einer EU/EWR-Cloud befindet. 

Gewährleistung der Betroffenenrechte

Einen wichtigen Stellenwert nimmt die Gewährleistung auf Betroffenenrechte in der DS-GVO ein. 

Jeder Nutzer hat das Recht auf:

- Auskunft, 

- Löschung, 

- Berichtigung, 

- Vergessenwerden, 

- Datenportabilität und Widerspruch innerhalb bestimmter Fristen. 

Für den Bewerbungsprozess heißt das also schon heute und nicht erst mit der neuen Verordnung, sobald eine Stelle neu besetzt wird, müssen personenbezogene Daten gelöscht werden. Wenn ein Unternehmen die Daten des Bewerbers darüber hinaus speichern möchte, z. B. in einem Talentpool, bedarf dies der schriftlichen Zustimmung des Kandidaten. Bewerbungsunterlagen dürfen nur den Personen zugänglich gemacht werden, die mit der Besetzung der Stelle direkt befasst sind. Glücklicherweise gibt es jede Menge technische Lösungen, die Ihnen bei der Datenschutzorganisation helfen. Nutzen sie z.B. für Ihren Recruitingprozess Bewerbermanagement-Systeme, die die gewünschten Anforderungen erfüllen.

Bewerbermanagement-Software kostenlos testen
Unser Bewerbermanagement-System onapply bms ist Ihr Unterstützer beim Datenschutz!‍

Aktualisieren bzw. erstellen Sie Dokumentationen

Aktualisieren Sie Dokumentationen der datenschutzrelevanten Vorgänge (wie z.B IT-Sicherheitshandbuch, Betriebsvereinbarungen, Compliance Handbuch oder Datenschutzrichtlinie). Falls keine Dokumentation der datenschutzrelevanten Vorgänge besteht, ist es höchste Zeit eine zu erstellen.

Bauen Sie ein Verfahrensverzeichnis auf

Beim Verzeichnis von Verarbeitungstätigkeiten handelt es sich um eine Dokumentation von Verfahren, bei denen personenbezogene Daten verarbeitet werden. Passen Sie Formulare für das Verfahrensverzeichnis und die Vorabprüfung kritischer Daten an. Zukünftig muss von Anfang an die Privatsphäre gesichert werden (Privacy by Design). Wann werden personenbezogene Daten von Bewerbern oder Beschäftigten erhoben? Welche Tools verarbeiten und speichern diese Daten? Dokumentieren Sie in welchen Tools, personenbezogene Daten gespeichert werden. Dokumentieren Sie diese Abläufe und bauen Sie ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß den Anforderungen von Art. 30 auf!

Setzen Sie Ihr Vertragsmanagement DS-GVO-konform auf

Unabhängig davon, ob der Dienstleister personenbezogene Daten verarbeitet oder nicht (z.B. Steuerbüro, IT-Dienstleister, Rechtsanwaltskanzlei etc.) ist es empfehlenswert alle Verträge zu erfassen. Prüfen Sie anschließend, ob die Verträge  DS-GVO-konform aufgesetzt sind: Erhebt oder verarbeitet der Dienstleister personenbezogene Daten? Ist eine „Vereinbarung zur Verarbeitung von personenbezogenen Daten im Auftrag“ nach § 11 BDSG erforderlich? Ist eine neue Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO abzuschließen?

Nutzen Sie Betriebsvereinbarungen als strategisches Mittel

Viele Unternehmen mit Betriebsräten nutzen Betriebsvereinbarungen als Grundlage für die Verarbeitung von Personaldaten oder die Verwendung von IT durch Mitarbeiter. Diese Betriebsvereinbarungen und Datenschutzinformationen müssen überprüft und an die Richtlinien der DSGVO angepasst werden.

Folgende Punkte sind beim Erstellen einer neuen bzw. aktuellen Betriebsvereinbarung zu berücksichtigen:

  • Informationspflicht bei Erhebung von Daten
  • Auskunftsrechte der betroffenen Personen
  • Rechte auf Berichtigung, Löschung und Sperrung und die damit verbundenen Mitteilungspflichten
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht und
  • Rechte bei Profilingmaßnahmen

Sofern bestehende Betriebsvereinbarungen anlässlich der Gesetzesnovelle anzupassen sind, bietet das den Unternehmen auch eine Chance, da der Verordnungsgeber den Betriebspartnern einen weiten Ermessensspielraum gewährt, datenschutzrechtliche Sachverhalte zu regeln. Nutzen Sie diesen!

Erfüllen Sie die Rechenschaftspflicht

Unter „Accountability“ ist nicht nur die Zuständigkeit und Verantwortung für die Einhaltung der DS-GVO zu verstehen, sondern auch eine Nachweispflicht. Das Unternehmen muss nachweisen, dass es als Verantwortlicher angemessene und wirksame Maßnahmen ergreift, um die DS-GVO umzusetzen. Im Bezug auf personenbezogene Daten, müssen Sie also nun folgendes einhalten und nachweisen:

  • Rechtmäßig, Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Führen Sie eine Datenschutz-Folgenabschätzung (DS-FA) durch

Die DS-FA ist grundsätzlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle. Sie dient der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Daher ist sie durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat“(Art. 35. Abs. 1 DS-GVO).

Erstellen Sie einen Krisenaktionsplan im Fall von Datenpannen 

Unternehmen sind bereits verpflichtet, die Aufsichtsbehörden oder die Betroffenen bei Datenpannen (Data Breaches) innerhalb von 72 Stunden zu informieren. Diese Verpflichtungen werden mit der DS-GVO deutlich verschärft. Als Datenpannen gilt jedes unbeabsichtigte Abhandenkommen von personenbezogenen Daten (Hackerangriff, Verlust von Festplatten, etc.). Wegen der sehr kurzen gesetzlichen Fristen und weitgehenden rechtlichen Konsequenzen muss klar sein, wer im Unternehmen bei einer Datenschutzverletzung zuständig ist und welche konkreten Maßnahmen zu ergreife sind. Stellen Sie ein Krisenaktionsplan auf.

Frankreich verhängt seine erste Geldstrafe für eine Datenpanne, da nicht vorbildlich reagiert wurde. Auslöser: Eine (1!) falsche Codezeile. Der Autovermieter Hertz muss 40.000 Euro an die französische Staatskasse zahlen, weil Daten von über 35.000 Kunden offen über seine Website zugänglich waren. Die Kontrollinstanz CNIL nutzt damit erstmals neue Sanktionsmöglichkeiten.

heise.de (28.07.2017)

Fazit

Unternehmen sind nun verpflichtet eine Datenschutzorganisation gemäß den Anforderungen der DS-GVO anzupassen bzw. aufzubauen, das den Schutz der personenbezogenen Daten sicherstellen soll. Ermitteln Sie frühzeitig Ihren Handlungsbedarf, erstellen Sie einen Aktionsplan und ändern Ihre Prozesse bzw. bauen Sie diese auf. Klare Prozesse und Strukturen führen zu einem Wettbewerbsvorteil gegenüber anderen Unternehmen - Datenschutz ist ein Qualitätsmerkmal. Informieren und schulen Sie Ihre Mitarbeiter in Bezug auf die neuen rechtlichen Rahmenbedingungen. Bestellen Sie einen Datenschutzbeauftragten. EU-Bürger werden mit der neuen Verordnung besser geschützt und haben die Möglichkeit ihre eigenen Daten zu kontrollieren. Nutzen Sie Anbieter, die Ihren sitzt in der EU haben. Die massive Verschärfung der Sanktionen macht deutlich, dass Unternehmen der Überprüfung ihrer Datenschutzorganisation entsprechende Priorität einräumen müssen, um für die zukünftigen Herausforderungen gewappnet zu sein. Es gilt also schnell mit der Umsetzung loszulegen.

HQ - Deutschland
On-apply GmbH
Solmsstraße 83
60486 Frankfurt am Main

Tel.: +49 (0)69 348 7986 0
Fax : +49 (0)69 348 7986 10
E-Mail: 
ImpressumAGBsNutzungsbedingungenDatenschutz