Warum sind so wenig Leute auf der Baustelle? Die sind alle mit dem Datenschutz beschäftigt.
Die Personalabteilung als datenschutzrechtliches Schlachtfeld
Bewerbungen, Vorstellungsgespräche, Bewerbungsunterlagen, Fotos, Profile, Zeugnisse, Gesprächsnotizen, Telefonnummern, Email-Adresse, Namen, Recherchen in sozialen Medien aber auch Dienstzeugnisse und Beurteilungen sind personenbezogene Daten.
Datenverarbeitung und Checklisten in Zeiten der DSGVO
Ich bin ein Freund von Checklisten. Ich überlege mir einmal einen Verarbeitungsprozess und erstelle dann dafür eine Checkliste. Das hilft mir mich zu orientieren, wichtige Dinge nicht zu vergessen und immer einen einheitlichen Standard aufrecht zu erhalten. Ein weiterer Aspekt ist aber auch, dass ich die verschiedenen Arbeiten delegieren kann.
Ein wichtiger Bereich im Geschäftsleben ist das Rekrutieren. Diese Aufgabe wird zusehends mehr automatisiert werden. Über einen automatisierten „Rekrutierungsprozess“ habe ich meinen Kunden sehr viel Zeit und Geld sparen können. Mittlerweile ist das stellenweise so praktisch geworden, dass das Bewerbungsgespräch, meist nur noch mit wirklich qualifizierten Kandidaten statt findet.
So toll diese Entwicklung ist, so ist sie vom Datenschutz her unter die Lupe zu nehmen. Auch das Gleichbehandlungsgesetz ist zu berücksichtigen.
Die im Mai kommende DSGVO wird auch noch einiges an Hürden für den automatisierten Anwerbungsprozess von Mitarbeitern bereit halten.
Die Daten der Kandidaten dürfen nicht jedermann zugänglich sein
Bewerberdaten dürfen, so wie andere personenbezogene Daten, nicht einfach jedermann in der Firma zugänglich sein. Das werden vielleicht der mögliche Sachbearbeiter sein, unter dem der „Neue“ arbeiten wird, die Personalabteilung sicher, aber sicher nicht die „Frau vom Chef“.
Technische und organisatorische Maßnahmen nur bei elektronischer Erhebung?
Es wird zwar immer die elektronische Datenerfassung betont, aber auch die Zusendung von Bewerberdaten in Papierform unterliegen dem Datenschutz. Diese sind vielleicht noch eine Spur heikler, weil sie auf irgendwelchen Schreibtischen oder Schubladen vergessen werden können.
Es gilt in jedem Fall, dass die Bewerberdaten geschützt werden müssen.
Datenschutz und Karriere-Plattformen zur Vermittlung von Personal
Besonderes Interesse am Datenschutz hat natürlich auch der Betreiber einer „Job-Plattform“. Er sammelt Daten von Bewerbern in großen Stil ein und vermittelt diese dann an geeignete Bedarfsgruppen. Da hängt die Form des Datenschutzes auch mit dem jeweiligen Geschäftsmodell zusammen. In gewisser Form wird sich der Betreiber solcher Plattformen wie ein Auftragsverarbeiter verhalten müssen.
Hier empfehle ich eine „wasserdichte“ Einwilligung mit dem Bewerber zu machen damit fehlerhaftes Verarbeiten der personenbezogenen Daten des Bewerbers ausgeschlossen ist.
So wird in der Einwilligung großes Augenmerk auf die Weitergabe der Daten an interessierte Stellenausschreiber gelegt werden müssen, möglicherweise ein Hinweis auf das automatische Selektieren nach Qualifikationen wird angegeben werden müssen. Auch die weitere Verwendung der Daten für weitere Verarbeitung im Bezug auf kommende Stellenausschreibungen sollte vorab in der Einwilligung berücksichtigt werden.
Personalleasing und korrekter Datenschutz
Für den Arbeitskräfteverleiher werden auch spezielle Auflagen im Rahmen der Datenschutz Grundverordnung zu berücksichtigen sein. Bei näherer Betrachtung ist der Berufszweig des Personalleasings möglicherweise auch eine Art Auftragsverarbeiter. Natürlich ist mir bewußt, dass er keine personenbezogenen Daten für einen Verantwortlichen verarbeitet aber bei genauer Analyse ergeben sich einige Aufgaben und Pflichten die eigentlich im Bereich des Auftragsverarbeiters liegen.
Um Klarheit für den Datenschutz in dieser Berufsgruppe zu bekommen empfehle ich eine gründliche Erhebung der erfaßten Daten und deren Verwendung und wer genau Zugriff auf diese Daten hat. Da werden auf jeden Fall die Schnittstellen zum Kunden des Pesonalverleihers gut etabliert werden müssen. Denn die Frage der Haftung stellt sich, wenn der Kunde des Personalverleihers die personenbezogenen Daten des Leiharbeiters nicht ordnungsgemäß verarbeitet und dadurch Beschwerde geführt wird.
Hier kannst Du nicht vorsichtig genug sein. Es kann leicht sein, dass ein Angestellter aus Frust und Boshaftigkeit eine Beschwerde einreicht die sich dann schnell in eine Straffalle entwickeln können, die existenzbedrohend sind.
Ich würde diesen ganzen Vorgang von Vorne bis Hinten dokumentieren und in das Verfahresverzeichnis aufnehmen und dann mit der Berufsvertretung und einem Datenschutz-Experten auf Herz und Nieren prüfen lassen. Dieses Szenario ist zu komplex um es auf die leichte Schulter zu nehmen. Möglicherweise ist zu prüfen ob diese Unternehmensgruppe nicht auch einen Datenschutzbeauftragten braucht. Gerade im Personalwesen werden sensible Daten in größeren Umfang verarbeitet. Man denke da an Gewerkschaftszugehörigkeit (Gewerkschaftsbeitrag), Religionsbekenntnis (Stichwort „Feiertage zur jeweiligen Religion“) und nicht zuletzt jede Menge Gesundheitsdaten wie Krankenstand, verpflichtende medizinische Untersuchungsergebnisse z.B. für Gastronomie und ich bin sicher ich habe noch nicht alles berücksichtigt.
Das erinnert mich noch an meine Zeit als ich noch selber Personalverrechnung gemacht habe. Da war immer eine Menge Besonderheit zu bedenken und durch den Datenschutz ist das sicher nicht einfacher geworden.
Wem gehören die Bewerberdaten?
Die Daten des Bewerbers sind personenbezogene Daten und unterliegen daher, genau wie Kundendaten, dem Datenschutz. Da fällt mir gleich als erstes die Frage nach der Speicherdauer ein. Ich denke die Speicherdauer wird, wegen der Verjährungsfrist beim §15 GlBG (Gleichbehandlungsgesetz) bei drei Jahren liegen.
Die Verwendung der Bewerberdaten für andere Zwecke als zur Bestimmung und Qualifizierung eines zukünftigen Mitarbeiters ist natürlich unzulässig.
Automatisches Profiling ist aufgrund der Bestimmung der DSGVO ebenfalls unzulässig. Ich beziehe mich auf gängige automatisierte Auswahlkriterien die automatisiert Kandidaten aussortieren. Sei es aufgrund des Alters oder anderer Parameter wodurch sie beim Bewerbungsprozess benachteiligt werden.
Ich habe einen Kunden der die Bewerberdaten in ein Bewerberregister für zukünftige Stellenausschreibungen übernimmt. In Zukunft wird er das ohne die Zustimmung der Bewerber nicht mehr machen können. Dabei ist zu beachten, dass Du diese Zustimmung erst in diesem Fall nach der Einreichung der Bewerbung machst, da sonst vielleicht der Eindruck der „Unfreiwilligkeit“ entstehen könnte.
Das Thema Personal und Datenschutz wird in dieser Reihe sicher noch öfters behandelt werden. Ich bin sicher in der laufenden Datenschutzpraxis werden noch einige wertvolle Einsichten und Verfahren gewonnen werden.
Lohnverrechnung ist Auftragsverarbeitung
Einer meiner nächsten Artikel wird sich mit den datenschutzrechtlichen Umständen befassen, mit denen der Lohnverrechner konfrontiert sein wird. Dabei werde ich besonderes Augenmerk auf den Lohnverrechner als Auftragsverarbeiter legen.
Bis dahin eine datensichere Zeit und lass die verbleibende Zeit für Dein Datenschutzprogramm nicht ungenutzt verstreichen.
Ist eine Frage offen geblieben?
Kann ich Dir beim Umsetzen helfen?
