Die neue EU-Datenschutz-Grundverordnung (kurz: DSGVO) nähert sich mit großen Schritten. Für die meisten – wenn nicht sogar alle – Unternehmen bedeutet das eine Umstellung in der Arbeitsweise. Denn sind personenbezogene Daten im Spiel, muss jede Verarbeitung, Übertragung und/oder Speicherung an die neue Verordnung angepasst sein. Ist die Datenanwendung nicht DSGVO-konform, drohen hohe Geldstrafen. Bei grob fahrlässigem Verstoß wird ein Bußgeld von 20 Millionen Euro bzw. 4% des weltweiten Firmenumsatzes (der höhere Wert ist maßgeblich) – bei leichter Fahrlässigkeit 10 Millionen Euro, bzw. 2% des globalen Firmenumsatzes fällig. Warum DSGVO und Recruiting sich näherstehen als es vielleicht auf den ersten Blick scheint, erfahren Sie auch in unserem neuen Whitepaper zum Thema.
Im Zentrum der DSGVO steht der Schutz personenbezogener Daten natürlicher Personen. Diese Daten umfassen alle Informationen, die sich auf eine natürliche Person beziehen bzw. diese identifizierbar machen. Konkret ist also von Namen, Kennnummern, Standortdaten und Online-Kennungen die Rede. Außerdem schützenswert sind physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale einer Person. Kommt es zu einer Verarbeitung dieser Daten, sind diese gemäß der Grundsätze der DSGVO zu melden. Dazu später mehr.
Jede der drei Gruppen hat entweder das Recht auf Schutz personenbezogener Daten oder die Verpflichtung zum Schutz dieser Daten:
Betroffene Personen sind natürliche Personen, denen der Schutz ihrer Daten zusteht. Im Recruiting sind das Kandidaten, die im Zuge des Bewerbungsprozesses personenbezogene Daten preisgeben. Der Datenverantwortliche bestimmt, welche personenbezogenen Daten benötigt werden und wie diese verwendet werden sollen. Zu dieser Gruppe zählen also Recruiter oder Unternehmen, die bestimmen, welche Daten im Recruiting-Prozess erforderlich sind. Der Auftragsverarbeiter verarbeitet Daten nach Anweisung des Datenverantwortlichen. Das können beispielsweise Anbieter von Bewerbermanagementsystemen sein, denn sie erheben und verarbeiten die Daten der jeweiligen Bewerber.
Die DSGVO baut auf fünf Maximen auf, die die Fairness und Sicherheit im Umgang mit personenbezogenen Daten erhöhen soll.
“Im Recruiting oder Bewerbermanagement liegen die Herausforderungen weniger in der Begründung einer grundsätzlichen Rechtmäßigkeit der Verarbeitungstätigkeiten, als vielmehr in der Sicherstellung eines dem Risiko angemessenen technischen und organisatorischen Sicherheitsniveaus.”
Die DSGVO sieht keine konkreten Regelungen für technische oder organisatorische Sicherheitsmaßnahmen (kurz TOM) vor. Jedoch ist es – je nach Umstand oder Zweck der Datenverarbeitung – sinnvoll, unter anderem folgende Maßnahmen zu ergreifen, um eine DSGVO-Compliance sicherstellen zu können:
Weitere Maßnahmen, die Sie DSGVO-konform machen, finden Sie hier: DSGVO & Recruiting.
Gut geplant ist halb gewonnen. Allem voran empfiehlt es sich, einen Datenschutzbeauftragten zu benennen, egal ob dieser intern oder extern bestellt wird. Wichtig ist nur, nicht jemanden dafür zu wählen, der in Sachen Datenschutz ein unbeschriebenes Blatt ist und sich zusätzlich, neben dem laufenden Tagesgeschäft, auch noch mit der Umstellung zur DSGVO-Konformität herumschlagen und sich das notwendige Know-How erst aneignen muss. Auch die Aufstellung eines Zeit- und Budgetplans ist – wie bei allen Projekten – durchaus sinnvoll. Priorisieren Sie Ihre Ziele. Danach kann der Status Quo erhoben werden. Dabei sollten Antworten und valide Aussagen zu Fragen um den derzeitigen Stand der Datensicherheit im eigenen Unternehmen gefunden werden. Erforderliche Schriftstücke wie Verträge, Formulare oder Vereinbarungen können ebenfalls bereits vorab verfasst werden. Dies hilft einerseits bei der erwähnten Priorisierung von Zielen und spart andererseits Zeit, wenn die DSGVO am 25. Mai 2018 tatsächlich zur Anwendung kommt.
Das gesamte Whitepaper „DSGVO & Recruiting“ können Sie hier kostenlos herunterladen!