Sieben Fragen an Professor Volker Lüdemann zum rechtssicheren Umgang mit der DSGVO

Am 25. Mai 2018 hat die europäische Datenschutzgrundverordnung (DSGVO) Gültigkeit erlangt. Was heißt das für den Personalbereich? Wie sollten Personalmanager vorgehen? Professor Volker Lüdemann, Leiter des Niedersächsischen Datenschutzzentrums, erläutert die Hintergründe und gibt Ratschläge für die Praxis. Ein Tipp: Versehen Sie alle kritischen Prozesse mit Löschroutinen.

Frage 1: Herr Professor Lüdemann, inwiefern ist auch der Personalbereich von der DSGVO betroffen?

Volker Lüdemann: Der Personalbereich ist sogar einer der Bereiche im Unternehmen, in dem sich die DSGVO am stärksten auswirkt. Dies liegt vor allem daran, dass die DSGVO umfangreiche Informationspflichten vorsieht, die vor der Datenerhebung zu erfolgen haben. Ein Beispiel dazu: Wenn sich jemand über ein Online-Portal bewirbt, muss er in dem Moment, in dem er die Felder ausfüllt, über all das informiert werden, was mit seinen Daten passiert. Er muss unter anderem darüber informiert werden, wer der zuständige Datenschutzbeauftragte ist, auf welcher Rechtsgrundlage die Daten verarbeitet werden, wann die Daten gelöscht werden und wer die Daten empfängt. Bei Online-Bewerbungsformularen ist das relativ einfach zu handhaben: Das Unternehmen kann die Felder so einrichten, dass der Bewerber sie erst ausfüllen kann, wenn er zuvor anklickt, dass er die Informationen erhalten und gelesen hat.

Frage 2: Problematisch wird es wahrscheinlich, wenn Initiativbewerbungen per E-Mail ins Haus kommen?

Volker Lüdemann: In diesem Fall ist die Datenschutz-Thematik ungleich schwieriger. Wenn ein Personalmanager auf eine Initiativbewerbung antwortet, die er per E-Mail erhalten hat, verarbeitet er schon Daten. Das heißt, er kann den rechtlichen Anforderungen gar nicht gerecht werden, weil er allenfalls im Nachhinein darüber informieren kann, dass bereits eine Datenverarbeitung stattgefunden hat. Das sind Unschärfen innerhalb der DSGVO, die für große Unsicherheiten im Bewerbungsprozess sorgen.

Frage 3: Können Sie ein weiteres Beispiel für zu erwartende Problemfälle nennen?

Volker Lüdemann: Ein weiteres Beispiel ist der Talent Pool. Nach einer Absage müssen Arbeitgeber die Daten löschen. Die Bewerberdaten dürfen höchstens vier bis sechs Monate aufbewahrt werden, damit das Unternehmen auf Nachfragen oder bei rechtlichen Auseinandersetzungen reagieren kann. Wollen Arbeitgeber die Bewerberdaten in ihren Talent Pool aufnehmen, müssen sie eine gesonderte Einwilligung einholen.

Frage 4: Warum sind Verstöße gegen die DSGVO so kritisch?

Volker Lüdemann: Die DSGVO bietet ein großes Missbrauchspotenzial, weil sich jeder, dessen Daten verarbeitet werden, künftig auf eine Datenschutzverletzung berufen kann. Jeder Betroffene kann sagen, dass das Recht an seinen personenbezogenen Daten verletzt wurde und kann Schadensersatzanspruch geltend machen. Das ist neu. Richtig gefährlich wird das, weil die DSGVO die Beweislast umkehrt. Es genügt eine einfache Behauptung und das Unternehmen muss nachweisen, dass es keinen Datenschutzverstoß gegeben hat. Mit Blick auf die bereits genannte Datenverarbeitung bei Initiativbewerbungen wird das extrem gefährlich: Es wird wahrscheinlich einen Datenschutzverstoß geben, weil das Unternehmen zu dem Zeitpunkt, zu dem es Daten verarbeitet, den Bewerber noch gar nicht informieren konnte. Für diese Bruchstellen in der DSGVO gibt es im Moment keine richtige Lösung. Das sind Risiken, die aufgrund eines unvollkommenen Gesetzes auf die Wirtschaft abgewälzt werden. Gerade im Personalbereich wird es Auswirkungen geben, da hier das Enttäuschungspotenzial groß ist. Wir kennen das aus der Vergangenheit mit dem AGG. Auch da haben einige versucht, ihren Lebensunterhalt durch Unregelmäßigkeiten im Bewerbungsprozess zu bestreiten. AGG war gestern, DSGVO ist morgen. Das wird uns noch über Jahre hinaus beschäftigen.

Frage 5: Wo sollte ich als Personalmanager am besten anfangen?

Volker Lüdemann: Sie sollten zunächst an den kritischsten Stellen ansetzen. Das sind die Schaufenster des Unternehmens im Internet: Auf der Homepage muss die Datenschutzerklärung korrekt angegeben sein. Dann sollten Sie sich alle Prozesse vornehmen, die ein großes Enttäuschungspotenzial bergen, zum Beispiel Bewerbungen, Kündigungen oder Versetzungen. Diese sollten Sie so gut wie möglich datenschutzkonform aufstellen. Was Sie jetzt an Zeit und Geld investieren, holen Sie in den nächsten zwei bis drei Jahren locker wieder herein. Denn dann können Sie genau belegen, wie Ihre Prozesse aussehen, welche Maßnahmen Sie ergriffen haben und dass alles datenschutzkonform ist. Wenn Ihnen das gelingt, das in den wichtigsten Prozessen mit hohem Enttäuschungspotenzial umzusetzen, ist das die beste Vorsorge, die Sie für Ihr Unternehmen treffen können. Der Aufwand hält sich in Grenzen, wenn Sie einen DSGVO-kundigen Experten beauftragen.

Frage 6: Welche technischen Maßnahmen kann ich einsetzen, um meine HR-Prozesse datenschutzkonform zu machen?

Volker Lüdemann: Das ist ein ganz wichtiger Punkt. Sehr hilfreich ist es, ein Dokumentenmanagement zu haben, das bei jedem Dokument die dazugehörige Löschfrist hinterlegt. Gerade die gesetzlichen Löschfristen stellen ein Einfallstor für Datenschutzverletzungen dar. Werden die Daten nach dem angegebenen Zeitraum nicht gelöscht, liegt sofort ein Rechtsverstoß vor. Deshalb empfiehlt es sich, alle kritischen Prozesse mit Löschroutinen zu versehen. Ein Schlagwort der DSGVO lautet „Datenschutz durch Technik“. Bei allen Prozessen, die Sie automatisieren können, sollten Sie das auch tun. Ein weiterer wichtiger Aspekt ist die Zusammenarbeit mit Dritten: Wenn Sie mit Anbietern von HR-Software oder anderen Dienstleistern zusammenarbeiten, gilt es, diese sehr sorgfältig auszuwählen. Arbeiten Sie nur mit Dienstleistern zusammen, die eine hohe Datenschutzkompetenz haben. Einen Dienstleister, der keinen Datenschutzbeauftragten hat, sollten Sie niemals akzeptieren.

Frage 7: Sind auch bei der Zusammenarbeit mit dem Betriebsrat Datenschutzprobleme zu erwarten?

Volker Lüdemann: Der Betriebsrat hat nach wie vor eine eigene Datenschutz-Verantwortung. Er ist sozusagen eine eigene Welt im Unternehmen. Für die Datenverarbeitung im Bereich des Betriebsrats ist der Betriebsrat selbst zuständig – und nicht die Unternehmensführung. Andernfalls könnte die Unternehmensführung über ihren Datenschutzbeauftragten den Betriebsrat kontrollieren. Das ist nicht gewollt und war in der Vergangenheit auch nicht so. Die Zuständigkeit des Datenschutzbeauftragten endet sozusagen vor dem Betriebsratsbüro. Das heißt aber nicht, dass der Betriebsrat nichts mit der DSGVO zu tun hat. Er muss sich natürlich auch DSGVO-konform aufstellen.

Zur Person

Volker Lüdemann ist Professor für Wirtschafts- und Wettbewerbsrecht an der Hochschule Osnabrück und Wissenschaftlicher Leiter des Niedersächsischen Datenschutzzentrums (NDZ).

Kontaktieren Sie uns

Kontaktieren Sie uns

Sie haben Fragen zu den Lösungen und Dienstleistungen von perbit? Unsere Experten stehen gern für Sie zur Verfügung.

Wir freuen uns auf Ihre Anfrage per Telefon oder über unser Kontaktformular.

+49 2505 9300-93

Anfrage senden
© perbit Software GmbH 2018
Kontaktanfrage
senden
Kostenlose Online
Demo anfordern
Infomaterial zum
Download 

Kontaktanfrage senden

* Pflichtfelder

Kostenlose Online Demo anfordern

* Pflichtfelder