Ab Mai gilt die EU-Datenschutz-Grundverordnung
#HR & Recht | Franz Brandstetter

EU-Datenschutz-Grundverordnung

Wichtige Änderungen für HR ab Mai 2018

HR-Abteilungen sind von den Änderungen des datenschutzrechtlichen Umfelds besonders betroffen, denn sie verfügen über eine Vielzahl von personenbezogenen Daten und auch besonders schutzwürdigen Daten, wie etwa religiöse Überzeugung oder Gewerkschaftszugehörigkeit. HR-Abteilungen sind gleichzeitig Drehscheibe für die Weitergabe unterschiedlichster Daten an Einrichtungen wie Finanzamt, Sozialversicherung oder Arbeitsinspektorat. Ab 25. Mai 2018, dem Datum des Wirksamwerdens der EU-Datenschutz-Grundverordnung, müssen alle Betriebe die neuen Datenschutzregeln einhalten.

Was müssen Personaler dabei beachten?

Zum Einstieg: Ob Ihre Personalarbeit heute datenschutzkonform ist, können Sie anhand der nach wie vor gültigen Standardanwendung 002 überprüfen. Darin sind alle generell erlaubten Verarbeitungen und zulässigen Datenübermittlungen beschrieben.

Was ist bei Einhaltung der Datenschutz-Grundsätze besonders wichtig?:

  • Die Rechtsmäßigkeit der Datenverarbeitung gewährleisten: das können Sie, wenn Sie die Standardanwendung 002 durchgearbeitet haben und sich innerhalb des in der Standardanwendung beschriebenen Rahmens bewegen.
  • Daten sparsam erheben und verarbeiten: nur jene Daten, die Sie tatsächlich für die Personalauswahl oder die Personalarbeit benötigen, dürfen erhoben und weiterverarbeitet werden.
  • Zweckbindung beachten: Bewerberdaten dürfen nur für den Bewerbungsprozess und bei späterer Einstellung nur für Verrechnungs- und Aufzeichnungszwecke sowie für Meldepflichten verwendet werden, keinesfalls aber für andere Zwecke.

Betroffenenrechte (Auskunft, Richtigstellung, Löschung, ?) erfüllen

Die meisten Betroffenenrechte sind schon heute verpflichtend einzuhalten. Unternehmen müssen beispielsweise frühere Bewerber oder ehemalige Mitarbeiter, auf deren Anfrage hin, über die gespeicherten personenbezogenen Daten informieren. Wenn Daten, etwa von einem Bewerber, nicht mehr benötigt werden, oder wenn dies ein Bewerber verlangt, müssen die Daten gelöscht werden.

Neu für Unternehmen, die mehr als 250 Mitarbeiter beschäftigen oder besonders schutzwürdige Daten verarbeiten, ist, dass ein Verzeichnis ihrer eigenen Verarbeitungstätigkeiten geführt werden muss. Dieses ersetzt die bisherige Meldung an das DV-Register und muss unter anderem Folgendes beinhalten:

  • den Zweck der Verarbeitung: für Personaler „Verarbeitung und Übermittlung von Lohn- und Gehaltsdaten und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten“;
  • eine Beschreibung der Kategorien betroffener Personen: das sind Arbeitnehmer, arbeitnehmerähnliche Personengruppen, Leiharbeitnehmer, freie Dienstnehmer, Lehrlinge, Volontäre und Ferialpraktikanten sowie ehemalige Beschäftigte;
  • die Kategorien personenbezogener Daten: z. B. Personalnummer, Name, Personenstand, Bankverbindung und zahlreiche weitere Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden: z. B. Sozialversicherungsträger, betriebliche und gesetzliche Interessensvertreter, Arbeitsinspektorat, Finanzamt und Rechtsvertreter.

Neu: Unternehmen, die gegen die EU-Datenschutz-Grundverordnung verstoßen, müssen mit wirksamen, verhältnismäßigen und abschreckenden Strafen bis zu 20 Millionen Euro rechnen.

Datenschutz im Recruiting

Im Recruitingprozess stellt sich die Frage, ob Personaler Angaben von Bewerbern in sozialen Medien nutzen dürfen.

Nur weil Daten öffentlich zugänglich sind, heißt das nicht, dass es einen rechtmäßigen Grund gibt, diese auch zu verwenden! Nach der EU-Datenschutz-Grundverordnung ist die Verwendung und Verarbeitung von Daten nur zulässig, wenn es dafür eine Rechtsgrundlage gibt. Das wäre etwa eine gesetzliche oder vertragliche Verpflichtung, die freiwillige Zustimmung des Bewerbers oder ein berechtigtes Interesse des rekrutierenden Unternehmens.

Vor Einsicht in Social Media Daten ist zu klären, ob ein Account für berufliche oder private Zwecke verwendet wird. Die Verwertung der Ergebnisse ist nur zulässig, wenn diese notwendig und relevant für das jeweilige Job Profil sind. „Only if it is necessary for the job to review information about a candidate on social media, for example in order to be able to assess specific risks regarding candidates for a specific function, and the candidates are correctly informed (for example, in the text of the job advert) the employer may have a legal basis under Article 7(f) to review publicly-available information about candidates.“ (aus ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 2/2017 on data processing at work).

Daten, die in sozialen Medien veröffentlicht wurden, dürfen daher nur dann rechtmäßig im Recruiting-Prozess verwendet werden, wenn dafür ein berechtigtes Interesse besteht (z. B. eine besondere Zulässigkeitsprüfung erforderlich ist), wenn das Bewerberprofil vor allem beruflichen Zwecken dient, und der Bewerber über die Verwendung von sozialen Medien informiert wird, z. B. über ein Inserat.

Arbeitgeber sollten die Veränderungen im Bereich des Datenschutzes wieder zum Anlass nehmen, die bestehenden Dienstverträge auf inhaltliche Sinnhaftigkeit und Rechtskonformität durchzusehen und zu hinterfragen, ob sie für die Erstellung von Verträgen auf die richtigen Hilfsmittel, etwa Vertragserrichtungssoftware, zurückzugreifen.

Bildnachweis: istockphoto.com / NicoElNino



Verwandte Artikel






Franz Brandstetter

Dr. Franz Brandstetter bietet als Unternehmensberater Beratung und Coaching rund um alle Fragen der Personalarbeit. Mehr dazu unter www.franzbrandstetter.at






Artikel kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *