DSGVO / Bundesdatenschutzgesetz

Seit Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, im Mai 2018 sind die Datenschutz-Vorschriften in aller Munde. Sie regeln in der gesamten Europäischen Union das Datenschutzrecht, also den Umgang von Unternehmen mit personenbezogenen Daten. Die Hoheit über die eigenen Daten liegen demnach beim Nutzer. Für Unternehmen hingegen gilt: Halten sie sich nicht an die Datenschutz-Grundverordnung, kann im schlimmsten Fall eine Geldbuße bis zu 20 Millionen Euro drohen.

Von den einzelnen Bewerberdaten, dem sogenannten Talent-Pool, bis hin zu sämtlichen persönlichen Daten aller Mitarbeiter in einem Unternehmen: Gerade für Personalverantwortliche ist ein datenschutzkonformer Umgang mit den personenbezogenen Daten von enormer Wichtigkeit. Die DSGVO gilt uneingeschränkt auch für den gesamten HR-Bereich, etwa in Bezug auf das Recruiting selbst, das Talentmanagement und die Mitarbeiterverwaltung.

Datenschutzkonformer Umgang mit Mitarbeiterdaten

Im Hinblick auf den Arbeitnehmerdatenschutz gelten unter anderem diese wichtigen Punkte.

· Das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten selbst bestimmen zu dürfen, gilt auch am Arbeitsplatz. Arbeitgeber dürfen daher die Daten nur unter Zustimmung des Arbeitnehmers verarbeiten.

· Mitarbeiter haben ein Recht auf Auskunft und dürfen jederzeit einsehen, welche Daten der Arbeitgeber gespeichert hat.

· Personenbezogene Daten im Hinblick auf Religion, Sexualität oder Gesundheit dürfen nur nach eindeutiger Zustimmung erhoben und gespeichert werden.

· Nachweislich falsche oder veraltete Daten muss der Arbeitgeber auf Antrag löschen.

· Arbeitnehmer haben das Recht, sensible Daten, wie etwa den Grund einer Erkrankung, zurückzuhalten.

Datenschutzkonformer Umgang mit Bewerberdaten

Im Hinblick auf den Datenschutz gelten für Bewerber unter anderem diese wichtigen Punkte.

· Bewerberunterlagen dürfen generell und im Bewerbermanagement-System nur den Personen zugänglich sein, die direkt in die Besetzung der freien Stelle involviert sin.

· Sobald eine Stelle neu besetzt ist, müssen personenbezogene Daten aller Kandidaten dauerhaft gelöscht werden. Postalisch zugesandte Unterlagen müssen spätestens sechs Monate nach Zugang an den Kandidaten zurückgeschickt werden.

· Möchte die HR-Abteilung zum Beispiel zwecks Aufbau eines Talent-Pools die Daten der Kandidaten darüber hinaus speichern, muss deren schriftliche Einwilligung zur Speicherung vorliegen. Dabei ist der Kandidat vor Abgabe der Einwilligung auf sein Widerrufsrecht hinzuweisen.

Im Hinblick auf die Löschung der Daten von Bewerbern nach Besetzung der freien Stelle ist zu beachten, dass ein abgelehnter Kandidat theoretisch nach dem Allgemeinen Gleichbehandlungsgesetzes (AGG) wegen einer angeblichen Benachteiligung gegen das Unternehmen klagen kann. Daher dürfen oder besser gesagt sollten Personalabteilungen die Bewerberdaten solange aufbewahren, wie mit Auseinandersetzungen mit nicht berücksichtigten Kandidaten gerechnet werden muss. Da die Klagefrist zwei Monate beträgt, ist eine Aufbewahrungsfrist von mindestens drei Monaten gerechtfertigt.

Auch die Sicherheitsmaßnahmen erhöhen sich durch den Arbeitnehmerdatenschutz. Die DSGVO setzt daher auch hohe Maßstäbe hinsichtlich der IT-Sicherheit eines Unternehmens. Setzt man als Unternehmen aber auf hochwertige Softwarelösungen wie etwa auch bei den Bewerbermanagementsystemen, optimieren diese sogar den Datenschutz. Zu den wichtigsten Sicherheitsmaßnahmen gehören zum Beispiel verschlüsselte Verbindungen bei Online- oder One-Click-Bewerbungen. Das Gleiche gilt für die Übermittlung personenbezogener Daten an Behörden, wie etwa hinsichtlich der Lohnverrechnungsdaten. Beim Bewerber- und Kandidatenmanagement wird das automatisierte Löschen von Daten nach der Aufbewahrungsfrist empfohlen. Generell ist ein Unternehmen dazu verpflichtet, die personenbezogenen Daten von potenziellen, aktuellen oder ehemaligen Mitarbeitern vor unbefugten Dritten zu schützen. Das garantiert zumeist ein umfangreiches IT-Rechte- und Sicherheitsmanagement.

Hinweis: Aus Gründen der Lesbarkeit verzichten wir in diesem Text auf das Gendern.