Neuregelung Datenschutz Keine Panik vor der DSGVO

von Julia Wittenhagen
Freitag, 18. Mai 2018
Dr. Annegret Balzer
Niels Schubert Stuttgart
Dr. Annegret Balzer
Ab dieser Woche müssen alle Unternehmen der EU die Datenschutzgrundverordnung (DSGVO) anwenden. Sie regelt den Umgang mit personenbezogenen Daten neu und gibt dem Bürger mehr Rechte. Was das für Recruiting und Personalverwaltung bedeutet, erläutern Annegret Balzer und Alexander Späth von der Kanzlei Kleiner Rechtsanwälte

Frau Balzer, Herr Späth, Ihre Kanzlei berät viele Unternehmen der Lebensmittelbranche. Wie gut sind diese vorbereitet?

Viele haben sich seit Monaten auf die Änderungen vorbereitet. Andere Unternehmen fragen entsetzt, wie lange die Umsetzungsfrist nach dem 25. Mai denn eigentlich gelte und haben noch nicht einmal angefangen. Die DSGVO ist ein großes Projekt, eine enorme Zusatzbelastung und viele Mittelständler arbeiten ohnehin am Limit mit überdurchschnittlichem persönlichem und familiärem Einsatz.

Wenn ein Unternehmen sich mit der DSGVO noch nicht beschäftigt hat, womit fängt es schnell an?

Mit der Homepage. Sie ist die Visitenkarte des Unternehmens. Wer aus dem Versäumnis der Mitbewerber Vorteil ziehen will, wird wegen des einfachen Zugangs zuerst dessen Homepage aufrufen und die Datenschutzerklärung auf DSGVO-Konformität überprüfen. Dazu gehört die Nennung eines Datenschutzbeauftragten. Mit diesen SOS-Schritten sollte man also beginnen und sich gleichzeitig an die Strukturierung der Datenverarbeitung machen.

Annegret Balzer und Alexander Späth von der Kanzlei Kleiner Rechtsanwälte haben schon viele Mandanten bei der Umsetzung der DSGVO unterstützt. Die Kanzlei berät Lebensmittelhersteller von Markteinführung, Herstellung, Health Claims, Marken- und Designrecht, Lebensmittelkennzeichnung bis zu Datenschutz und Arbeitsrecht.
Lichtschacht, Essen
Annegret Balzer und Alexander Späth von der Kanzlei Kleiner Rechtsanwälte haben schon viele Mandanten bei der Umsetzung der DSGVO unterstützt. Die Kanzlei berät Lebensmittelhersteller von Markteinführung, Herstellung, Health Claims, Marken- und Designrecht, Lebensmittelkennzeichnung bis zu Datenschutz und Arbeitsrecht.

Was tun, wenn noch nicht einmal die Homepage verschlüsselt ist als Basis für den sicheren Datenaustausch mit Mitarbeitern und Bewerbern?

Wer Bewerber auffordert, Unterlagen über die Homepage hochzuladen oder über E-Mail kommuniziert, muss über ein gesichertes Online-Tool und Mail-Verschlüsselung verfügen. Unternehmen, die das technisch nicht gewährleisten können, sollten davon Abstand nehmen und lieber auf die "Old School" Papierform ausweichen und hierauf in der Stellenanzeige auch hinweisen.


Können Sie die wichtigsten Neuerungen beim Umgang mit Bewerber- und Mitarbeiterdaten zusammenfassen?

Jeder Betroffene, dessen personenbezogene Daten verarbeitet werden, hat ein Recht auf Datenschutz und ein Auskunftsrecht. Bewerber, Mitarbeiter und Kunden müssen also informiert werden, welche ihrer Daten zu welchem Zweck und wie lange gespeichert werden. Betroffene haben ein "Recht auf Vergessen", also ein Recht auf Löschung ihrer im Unternehmen nicht mehr benötigten Daten. Das zwingt Unternehmen, die Strukturen der Datenverarbeitung zu dokumentieren und Löschroutinen festzulegen. Sie sind voll in der Nachweispflicht, auf welcher Rechtsgrundlage Daten verarbeitet werden und für welchen Zweck diese erforderlich sind. Betroffene sind auf ihre Widerspruchs- und Beschwerderechte hinzuweisen.

Was bedeutet das für das Recruiting?

Dass die bereits übliche Eingangsbestätigung mit Inkrafttreten der neuen DSGVO praktisch unumgänglich ist, denn die Bewerber müssen über die weitere Verarbeitung ihrer Daten in Kenntnis gesetzt werden. In Art. 13 DSGVO findet sich die Auflistung aller Punkte, die dieses Schreiben beinhalten sollte. Zudem müssen Angaben gemacht werden, wann oder unter welchen Bedingungen die Daten wieder gelöscht werden. Bewerbungen sollten nicht mehr per Mail innerhalb des Unternehmens weitergesendet werden, das macht eine Löschung ansonsten sehr schwierig. Besser ist es, über Zugriffs- oder Leserechte zu arbeiten.

Was ist mit Lebensläufen, die man bisher gesammelt hat?

Hier sollte geprüft werden, ob eine DSGVO-konforme Einwilligung vorliegt. Falls nicht, sollte die Genehmigung mit Fristsetzung eingeholt werden und alle Daten bei Ausbleiben einer positiven Reaktion gelöscht werden. Zukünftig ist eine Einwilligung erforderlich, wenn die Unterlagen länger gespeichert werden sollen, als das Bewerbungsverfahren dauert. Möglich ist, die Archivierung der Bewerbung inklusive Lebenslauf an eine regelmäßige Aktualisierung durch den Bewerber zu knüpfen. Bleibt sie aus, muss die Bewerbung gelöscht werden. Darüber ist der Bewerber vor seiner Einwilligung zu informieren.

Welche Daten bestehender Mitarbeiter gehören auf den Prüfstand?

Gespeichert werden darf nur, was "erforderlich" ist für Bewerbung, Durchführung oder Beendigung des Arbeitsverhältnisses – oder für das eine Einwilligung vorliegt. Dies ist der Maßstab dafür, welche Daten gesammelt werden dürfen und welche gelöscht werden müssen. Wer ordentlich vorbereitet ist, kann dem Mitarbeiter die Auskunft darüber leicht innerhalb des anvisierten Monats erteilen, alle anderen haben ein Problem.

Schafft man es, all dies mit einer guten IT-Abteilung allein umzusetzen ober braucht man Experten?

Es wäre nicht richtig, die Arbeit der IT-Abteilung hinzuschieben. Hier sind alle Fachabteilungen gefordert. Wichtig ist, dass der Datenschutzbeauftragte die erforderlichen Schritte im Blick hat, mit einem DSGVO-Team rasch die Umsetzung beginnt und deren Einhaltung nachhaltig überprüft. Es hilft, Grenzen zu erkennen und sich insgesamt oder punktuell Unterstützung zu holen.

To-do-Liste DSGVO

•Maßnahmenplan und Team
•Datenschutzbeauftragter
•Datenschutzerklärung und Einstellungen (Webtracking) anpassen
•Bestandsaufnahme, Risiken abschätzen, Dokumentation der Datenverarbeitung vorhalten, Löschkonzepte erstellen; Penetrationstests und Informationssicherheitsmanagement planen
•Betriebsvereinbarungen anpassen
•Erweitere Informationspflichten und Betroffenenrechte klären
•Rechtskonforme Einwilligungserklärungen und AGBS aufsetzen
•Verträge mit Auftragsverarbeitern (wie Lohn & Gehalt) überprüfen
•Strengere Vorschriften implementieren und dokumentieren. Meldepflicht bei Verletzung
•Technische Umsetzung
•Schulungsplanung

Quelle: Kleiner Rechtsanwälte

Beim Recruiting gibt es viele Dienstleister. Wie bindet man sie mit ein?

Auch sie müssen DSGVO-konform arbeiten. Man kann Datenschutzerklärungen auf der Homepage prüfen und auf eine entsprechende Zertifizierung achten. Auftragsverarbeitungsverträge müssen auf Konformität hin überprüft und angepasst werden.

Darf ich Bewerber auf Facebook ansprechen und per Skype interviewen, obwohl die Server in den USA stehen?

Es ist dringend zu raten, einen Videokonferenz-Anbieter mit EU-Sitz zu wählen oder das Erstgespräch per Telefon zu führen. Facebook gilt und galt schon in der Vergangenheit als privates Netzwerk und darf von Unternehmen für die aktive Bewerberansprache nicht genutzt werden.

Glauben Sie, dass der Gesetzgeber ab 25. Mai Verstöße sofort ahnden wird?

Bei kleineren Verstößen wird die Landesdatenschutzbehörde vermutlich erst aufklären, warnen und dann ein Bußgeld verhängen. Aus unserer Sicht ist für Unternehmen viel problematischer, dass die DSGVO einen Schadensersatzanspruch des Betroffenen gekoppelt mit der Möglichkeit der Verbandsklage geschaffen hat. Über kurz oder lang wird es wie im Bereich des unlauteren Wettbewerbs Vereinigungen geben, die die Rechte der Betroffenen an deren Stelle einfordern. Unternehmen sind in der Beweislast, warum sie welche Daten verarbeitet haben und ob eine wirksame Einwilligung vorlag. Hierfür muss sauber archiviert werden, sonst ist das Unterliegen vor Gericht vorprogrammiert. Die Risiken sind bekannt, die Geschäftsführer, Vorstände und auch die Datenschutzbeauftragten haften persönlich. Das sollte Antrieb genug sein, die DSGVO jetzt so schnell wie möglich umzusetzen.

Gibt es etwas "Gutes" an der DSGVO, für das sich der Aufwand lohnt?

Es gibt tatsächlich drei Aspekte: Das Recht auf informationelle Selbstbestimmung ist eine große Errungenschaft, denn Datenschutz ist Persönlichkeitsschutz. Das sollte man bei dem ganzen Ärger über den Zusatzaufwand nicht vergessen. Denn jeder ist an anderer Stelle selbst "Betroffener" und profitiert davon. Zweitens zwingt die DSGVO zur Bestandsaufnahme. Transparenz ist das Ziel. Löschvorgaben schaffen Platz und können zu einer höheren Digitalisierung führen. Und drittens kann ein tragfähiges Datenschutzkonzept auch positiv gegenüber den Kunden kommuniziert werden und ihr Vertrauen erhöhen.

Sie haben Fragen oder Anmerkungen zu diesem Artikel?
Schicken Sie eine Email an die Redaktion.

Hier können Sie die Nutzungsrechte an diesem Artikel erwerben.

Meistgelesen

stats