- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Datenschutzfalle Bewerbermanagement


Datenschutzkonformer Umgang mit Daten potenzieller Mitarbeiter
Artikel 13 der DSGVO schreibt eine Informationspflicht bei Erhebung von personenbezogenen Daten vor – sobald die Unterlagen eingehen, müssen die Bewerber Informationen über die Datenerhebung erhalten

- Anzeigen -





Unternehmen erhalten ständig Bewerbungen – sei es auf ausgeschriebene Stellen oder initiativ. Doch seit dem Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, gelten im Umgang mit Lebensläufen, Anschreiben und Zeugnissen neue Regeln. Um einen datenschutzkonformen Umgang mit diesen Informationen sicherzustellen, empfiehlt es sich, das Bewerberdatenmanagement detailliert zu überprüfen und die Mitarbeiter in den Personalabteilungen regelmäßig zu schulen. "Der ordnungsgemäße Umgang mit Bewerberdaten kann eine Herausforderung darstellen, wenn Mitarbeiter nicht wissen, wo Fallstricke lauern. Doch nach Implementierung entsprechender Prozesse ist das Datenmanagement in der Regel kaum mit Mehraufwand verbunden. Außerdem wünscht sich jeder im Falle einer Bewerbung auch einen angemessenen Umgang mit den eigenen Unterlagen", so Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG.

Wieso, weshalb, warum
Artikel 13 der DSGVO schreibt eine Informationspflicht bei Erhebung von personenbezogenen Daten vor – sobald die Unterlagen eingehen, müssen die Bewerber Informationen über die Datenerhebung erhalten. Hierzu zählen unter anderem Details darüber, welche Daten die Personalverantwortlichen verarbeiten, den Verarbeitungszweck und die Dauer des Aufbewahrungszeitraums. Bei der Suche nach einem neuen Mitarbeiter erfolgt meist die Verarbeitung von Daten, wie Namen, Kontaktdaten, Zeugnissen, Anschreiben sowie Lebensläufen. Unternehmen kommen dieser Pflicht nach, indem sie beispielsweise eine automatisch generierte Eingangsbestätigung mit den entsprechenden Angaben versenden. Erfolgt die Bewerbung über ein Online-Portal, können potenzielle Arbeitgeber die Kandidaten unmittelbar über diese Plattform über die Datenerhebung informieren. Artikel 30 der DSGVO zufolge müssen Unternehmen zudem ein Verzeichnis von Verarbeitungstätigkeiten führen. "Auch hier sollte eine Auflistung aller Prozesse, die im Rahmen des Bewerbermanagements stattfinden, erfolgen. Nur auf diese Weise können sich Verantwortliche absichern, für den Fall, dass sich Bewerber bei der Datenschutzaufsichtsbehörde beschweren", so der Datenschutzexperte.

Löschung ist Pflicht
Sobald ein passender Kandidat gefunden und die offene Stelle besetzt wurde, müssen Verantwortliche die personenbezogenen Daten der nicht ausgewählten löschen, wenn Einspruchsfristen abgelaufen sind, da dann keine Notwendigkeit mehr besteht, diese Daten zu speichern. Sollten Unternehmen Unterlagen per Post erhalten haben, müssen sie diese dem Bewerber wieder aushändigen – in der Regel innerhalb von zwei bis spätestens sechs Monaten.

Vorsicht beim Kandidatenpool
In manchen Fällen erhalten Unternehmen Unterlagen von vielversprechenden Kandidaten, für die sie nur augenblicklich keine offenen Stellen haben. Viele Firmen möchten die Bewerbung dann für einen späteren Zeitraum in einem sogenannten Kandidatenpool speichern. Hierfür benötigen sie jedoch eine ausdrückliche Einwilligung des Kandidaten. "Eine entsprechende Einwilligung zu erhalten, stellt in den meisten Fällen kein Problem dar, wenn Kandidaten Interesse an einer Anstellung haben. Verantwortliche dürfen nur nicht vergessen, den potenziellen Mitarbeiter auf sein Recht auf Widerruf hinzuweisen, beispielsweise für den Fall, dass er nicht mehr auf Jobsuche ist", erklärt Hösel.

Nicht jeder darf Bewerbungsunterlagen lesen
Geht eine Bewerbung ein, darf nicht jeder Mitarbeiter im Unternehmen diese lesen. Im Rahmen des Bewerbungsverfahrens darf nur derjenige Zugriff auf die Daten haben, der sich unmittelbar mit der Vergabe der Position beschäftigt. In der Regel zählen die Verantwortlichen der Personalabteilung und gegebenenfalls noch der Vorgesetzte der entsprechenden Abteilung dazu. "Aus diesem Grund empfiehlt es sich, die Zugriffsrechte auf Bewerbermanagement-Systeme genauestens zu prüfen. Gehen die Bewerbungen unter einer allgemeinen E-Mail-Adresse ein, gilt es auch hier vorher festzulegen, wer die erste Sichtung übernehmen darf", erklärt Hösel abschließend. (Hubit: ra)

eingetragen: 15.07.19
Newsletterlauf: 02.09.19

Hubit Datenschutz: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Beschwerden zu Analyse-Diensten auf Webseiten

    Vielen Nutzern im Internet ist nicht bewusst, dass mit dem Aufruf einer Webseite häufig nicht nur eine Verbindung zu dem Anbieter aufgebaut wird, sondern auch eingebundene Dienstleister die Klicks sehen und auswerten können. Besonders bekannt sind Analyse-Dienste, die das Nutzungsverhalten analysieren oder die Nutzenden beim Surfen über verschiedene Webangebote beobachten ("Tracking"). Nicht jeder Webanbieter hat bei der Einbindung solcher Dienste das Datenschutzrecht im Blick. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, sieht hier Nachholbedarf in der Gestaltung der Angebote: "Uns erreichen zahlreiche Beschwerden zu Analyse-Diensten auf Webseiten - das sind nicht mehr nur Einzelfälle. Die Menschen machen sich Sorgen, dass detaillierte Daten über ihr Nutzungsverhalten, ihre Interessen oder ihre Standorte gesammelt werden. Sie wollen keine auf sie zugeschnittene Werbung oder haben Angst vor Manipulation. Dies betrifft besonders solche Dienstleister, die die Daten von verschiedenen Webseiten zusammenführen, mit weiteren Informationen anreichern und zu eigenen Zwecken verwerten. Dabei lassen sich nicht nur Klicks auswerten, sondern auch Mausbewegungen oder Tastatureingaben."

  • Drei häufige Fehleinschätzungen bei der DSGVO

    Da DGSVO-Verstöße mit hohen Geldbußen belegt werden, könnte man annehmen, dass verantwortliche Manager sich alle Mühe geben, die Einhaltung der Vorschriften zu gewährleisten. Jedoch ist dies nicht immer der Fall. Zwar haben die Unternehmen ihre Rechenschaftspflicht durch die Ernennung eines Datenschutzbeauftragten verbessert und einen Rechtsrahmen für den Datenschutz erstellt oder überarbeitet. Auch wurden Schutzmaßnahmen gegen Datenschutzverletzungen verbessert und Identitäten sowie Zugänge zu IT-Systemen werden konsequenter kontrolliert. Und dennoch zeigen Untersuchungen von Talend, dass im Rahmen der DSGVO noch immer Fehler gemacht werden: rund 70 Prozent der in Deutschland in einer Stichprobe befragten Unternehmen reagieren nicht auf Anfragen von Verbrauchern zu ihren personenbezogenen Daten innerhalb der vorgeschriebenen Frist von einem Monat.

  • Abfahren von Straßenzügen mit Kamera-Autos

    Apple lässt jetzt in Deutschland Autos mit auf dem Dach montierter Kamera fahren, mit denen Straßenansichten und Gebäudefronten aufgenommen werden. Apple gibt an, dass durch Analyse von Wegen und Verkehrszeichen das Datenmaterial des eigenen Kartendienstes verbessert werden soll. Außerdem könnten diese Bilder der Straßen und Häuser künftig in der geplanten Funktion "Apple Look Around" ("Umsehen-Funktion") dargestellt und im Internet veröffentlicht werden. Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hält das Abfahren von Straßenzügen mit Kamera-Autos nicht nur für kritisch, wenn Menschen auf den Wegen erkennbar sind oder gar in private Häuser hineingefilmt wird: "Apple verspricht zwar, dass Gesichter und Autokennzeichen vor der Veröffentlichung unkenntlich gemacht werden und die dafür eingesetzte Software ziemlich zuverlässig arbeitet. Doch nicht jeder ist damit einverstanden, dass die Aufnahmen vom Privatgrundstück über Jahre abrufbar sind und etwa darauf zu erkennen ist, dass man seinen Vorgarten nicht perfekt gepflegt hat, dass teure Autos vor dem Haus parken oder wo Einbrecher leichtes Spiel haben könnten."

  • Tipps für mehr Datenhoheit

    Die Temperatur in unserer Wohnung regulieren wir mit dem Smartphone, für Online-Dienste registrieren wir uns mit Namen und Adresse, Smartwatches messen und analysieren unsere Körperfunktionen. Wer im Internet unterwegs ist und smarte Geräte benutzt, hinterlässt Spuren. Doch es gibt Möglichkeiten, um seine Privatsphäre zu schützen. So wenige Daten wie möglich von sich preiszugeben, ist dabei so naheliegend wie schwer. Schließlich basiert das Geschäftsmodell mancher Unternehmen - sogenannter Datenbroker - genau darauf, möglichst viele und präzise Informationen über Nutzer zu sammeln. Prominentestes Beispiel für einen solchen Datenbroker ist Cambridge Analytica. Dieses Unternehmen hat Daten von bis zu 87 Millionen Facebook-Nutzern abgegriffen, darunter rund 310.000 Nutzer aus Deutschland. Die Daten hat Cambridge Analytica etwa zur Erstellung politischer Profile genutzt, mit dem Ziel, Einfluss auf die letzte Präsidentschaftswahl in den USA zu nehmen. Ein weiterer großer Datenbroker ist Acxiom. Das Unternehmen verfügt über Daten von über 700 Millionen Menschen weltweit, darunter mehr als 40 Millionen aus Deutschland, mit mehr als 1.500 Eigenschaften pro Haushalt.

  • Vier Fragen zum Thema Auftragsverarbeitung

    Jeder, der sich in den vergangenen Monaten mit der Datenschutz-Grundverordnung, kurz DSGVO, beschäftigt hat, stieß dabei unwiderruflich auf den Begriff Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Doch nur die wenigsten wissen auch, was sich wirklich dahinter verbirgt. Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG., beantwortet die vier wichtigsten Fragen zum Thema Auftragsverarbeitung und erklärt, warum diese für fast alle Unternehmen ein "Muss" darstellt.