EU-DSGVO: Datenschutz-Faktencheck

Nur noch wenige Tage sind es bis zum Inkrafttreten der EU-DSGVO, der europaweiten Datenschutz-Grundverordnung. Laut einer aktuellen Umfrage unter internationalen Recruiting-Profis sind zwei von drei Befragten unsicher, ob ihre Datenschutz-Maßnahmen den neuen Anforderungen genügen. Ein kurzer Faktencheck zum Thema.

 

Grundsätzlich gilt: Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, das ab dem 25. Mai 2018 europaweit einheitlich durch die DSGVO geregelt wird. Die Verordnung ist bindend für alle Organisationen und Unternehmen in der EU, die personenbezogene Daten erheben, nutzen, speichern und löschen. Die DSGVO steht über nationalen Gesetzen. Das Bundesdatenschutzgesetz (BDSG) tritt in seiner neuen Fassung ebenfalls am 25. Mai in Kraft.

 

Definition der personenbezogenen Daten

Personenbezogene Daten sind in der DSGVO breiter definiert als in bisherigen Gesetzen. Demnach fallen unter diesen Begriff "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen" - also neben Namen und Anschrift zum Beispiel auch die IP-Adresse, die E-Mail-Adresse oder die Bankverbindung.

 

Dank der neuen Gesetzgebung erhalten Bürger das Recht zu erfahren, wie ihre Daten genutzt und gespeichert werden. Außerdem haben sie erweiterte Rechte zur Löschung ihrer Daten.

 

Ausnahmen vom Recht auf Vergessenwerden

Ausnahmen vom Recht auf Vergessenwerden bestehen unter anderem dann, wenn die Daten für die jeweilige Aufgabe erforderlich sind oder der Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben dienen.

 

Erhöhte Dokumentations- und Nachweispflichten

Mit der Einführung der DSGVO gelten europaweit erhöhte Dokumentations- und Nachweispflichten sowie eine Beweislast-Umkehr. Für Arbeitgeber gilt: Jeder Mitarbeiter hat ein Recht darauf zu erfahren, wie das Unternehmen seine personenbezogenen Daten erhebt, speichert und verarbeitet. Zwar sind diese Regelungen bereits in Deutschland in den bestehenden Gesetzen zum Beschäftigtendatenschutz verankert. Die DSGVO erweitert diese aber um die Anforderungen an die Einwilligung zur Datenverarbeitung und das Widerrufsrecht. Außerdem betrifft die Verordnung zukünftig auch Unternehmen mit Sitz außerhalb der EU, sofern sie Beschäftigtendaten innerhalb der EU erfassen.

 

Daten bei Recruiting- und Bewerbungsprozessen

Einen sensiblen Umgang mit Daten fordert die DSGVO für Recruiting- und Bewerbungsprozesse. So muss zum Beispiel sichergestellt werden, dass die Daten abgelehnter Bewerber nach Ablauf des zulässigen Aufbewahrungszeitraums (zwei bis sechs Monate) gelöscht werden.

 

Außerdem muss die automatische Eingangsbestätigung einer Bewerbung europaweit den Anforderungen von Art. 13 DSGVO entsprechen und Hinweise zur Datenverarbeitung enthalten. Umgekehrt können Bewerber der Aufbewahrung ihrer Daten zustimmen. Bei einem Verstoß gegen den Bewerberdatenschutz kann ein Kandidat die zuständigen Aufsichtsbehörden einschalten.

 

Übrigens: Laut einer Umfrage des Recruiting-Software-Anbieters Invenias ist die größte Sorge von 65 Prozent der befragten Recruiter, dass sie die Anforderungen der DSGVO nicht hinreichend erfüllen. Nur 42 Prozent fühlten sich "einigermaßen gut vorbereitet". Befragt wurden 400 Recruiting-Verantwortliche aus Unternehmen und Personalberatungen.

 

Verarbeitungsverzeichnis pflegen

Das Verarbeitungsverzeichnis ist eines der zentralen Dokumente, die Unternehmen pflegen müssen, um den Transparenzvorgaben der DSGVO zu entsprechen. Einen kompakten Leitfaden stellt der IT-Branchenverband Bitkom zum kostenlosen Download zur Verfügung. Hier gibt es auch Beispiele und Vorlagen sowie Musterverträge zur Auftragsverarbeitung.

 

Travelmanagement: Rechte von Geschäftsreisenden werden gestärkt

Speziell für das Travelmanagement gilt: Die Rechte von Reisenden - also auch die von Geschäftsreisenden - werden künftig gestärkt. So gilt grundsätzlich ein Recht auf Löschung und die Anonymisierung der Daten bei Flügen und Buchung über Geschäftsreisebüros. Bei Verstößen drohen immense Bußgelder. Dienstreise-Management-Anbieter wie BCD Travel und der Verband Deutsches Reisemanagement (VDR) haben sich in den vergangenen Monaten intensiv mit der DSGVO beschäftigt und bieten Informationen und Schulungsmaterial.

 

Auswirkungen auf international agierende Unternehmen

Die DSGVO - im Englischen übrigens als GDPR bezeichnet - hat Auswirkungen auf Prozesse international agierender Unternehmen, die ihren Sitz außerhalb der EU haben: Wann immer sie Waren oder Dienstleistungen für EU-Bürger anbieten, müssen sie den Anforderungen der DSGVO entsprechen und zum Beispiel einen Datenschutz-Verantwortlichen in der EU benennen. Umgekehrt müssen Unternehmen in der EU den Export von Daten außerhalb der EU an die Richtlinie anpassen.