Die fortschreitende Digitalisierung macht sich auch im Unternehmen bemerkbar, wenn es um die Führung von Personalakten und um Bewerbungsprozesse geht. Weg von der Personalakte oder Bewerbung aus Papier tritt die Nutzung von elektronischen Personalakten oder die Bewerbersuche über das sog. E-Recruiting und Active Sourcing in den Vordergrund. Die datenschutzrechtlichen Fragestellungen, die bei Mitarbeiter- und Bewerberdaten als personenbezogene Daten (pbD) aufkommen, werden in folgendem Artikel HR Services_Mobile Cloud SaaS_Datenschutz-Anforderungen_Kremer_Dümeland_HR Performance 4_2017 genauer beleuchtet. Hier fassen wir die wesentlichen Ergebnisse zusammen.
Die elektronische Personalakte (ePA)
Der Arbeitgeber hat die Möglichkeit, Mitarbeiterdaten elektronisch zu erfassen und zu verwalten. Dies hat den Vorteil, dass jederzeit auf Personaldaten wie z.B. Urlaubsanträge oder Abmahnungen über eine Web-App oder ggf. auch über eine App auf einem mobilen Endgerät zugegriffen werden kann. Dem Arbeitgeber obliegt dabei die Entscheidung, ob er die Daten mittels eines IT-Systems, das für ihn konzipiert wurde, oder extern bei einem Dienstleister speichert, ggf. auch in Form einer Cloudanwendung.
Dem Betriebsrat, Personalrat oder der Mitarbeitervertretung steht ein Mitspracherecht erst dann zu, wenn die ePA die Möglichkeit eröffnet, auch eine Leistungs- oder Verhaltenskontrolle vorzunehmen. Das hängt maßgeblich von den möglichen Reports aus der ePA und den dort vorhandenen Zusatzfunktionen ab.
Lokale ePA
Der zwingende § 32 Abs. 1 S. 1 BDSG (§ 26 Abs. 1 S. 1 BDSG-neu) erlaubt den Umgang ausschließlich mit solchen pbD, die zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind.
§ 9 BDSG (Art. 32 DS-GVO) hält den Arbeitgeber dazu an, die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Inhalte in der ePA zu treffen. Die Verschlüsselung der ePA ist nur dann zu gewährleisten, wenn es sich um besondere Kategorien von pbD (wie Gesundheitsdaten, Religionszugehörigkeit) handelt.
Art. 35, 36 DS-GVO schreiben zudem vor, eine Datenschutz-Folgeabschätzung durchzuführen, da die ePA stets ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach sich zieht.
ePA in der Cloud
Die Führung der ePA in der Cloud als Software as a Service muss genauso sicher und datenschutzkonform gestaltet werden. Kommt der Arbeitgeber dieser Anforderung nicht nach, wird dies als Ordnungswidrigkeit nach Art. 83 DS-GVO zukünftig mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes belegt.
Die Datenschutzwidrigkeit der externen Führung der ePA als erlaubsnispflichtige Übermittlung kann durch einen Vertrag zur Auftragsdatenverarbeitung (§ 11 BDSG, zukünftig Art. 28 DSGVO), der die Verantwortlichkeit über die Daten beim Arbeitgeber belässt, ausgeglichen werden.
Die Datenschutzfolgenabschätzung ist auch hier durchzuführen, wobei der Auftragsverarbeiter zur Unterstützung des Verantwortlichen gem. Art. 28 Abs. 3 lit. f) DSGVO verpflichtet ist.
E-Recruiting und Active Sourcing
E-Recruiting stellt den Bewerbungsprozess mittels eines internet- oder cloudbasierten Ablaufs dar. Bewerber sind dabei anders als im Betriebsverfassungsrecht wie Beschäftigte zu behandeln. Wird das E-Recruiting durch einen externen Dienstleister betrieben, so gelten die Ausführungen hinsichtlich einer Auftragsdatenverarbeitung auch hier. Bitte beachten: Auch die Datenübermittlung zwischen einzelnen Konzerngesellschaften erfordert eine datenschutzrechtliche Erlaubnis, etwa durch eine konzerninterne Funktionsübertragung.
Auch die Übernahme der erlangten Daten bei der Kandidatensuche bei einem Active Sourcing innerhalb eines sozialen Netzwerkes in das E-Recruiting-Tool des Arbeitgebers bedarf einer Erlaubnis. So muss besonders darauf hingewiesen werden, dass die Daten privater Accounts nur nach Einwilligung des Bewerbers übernommen werden dürfen.
Achtung: Auch wenn die Daten mit Einwilligung der Bewerber erhoben worden sind, so dürfen sie nicht unbegrenzt gespeichert werden, sofern diesbezüglich keine Einwilligung des Bewerbers vorliegt. Da dem Arbeitgeber der Nachweis obliegt, dass er Daten nicht rechtswidrig gespeichert hat, ist stets die Einholung einer geeigneten, dokumentierten Einwilligung zu empfehlen.
Anforderungen an mobile Endgeräte
Auch bei mobilen Endgeräten muss darauf hingewirkt werden, dass Datenschutzverstöße ausgeschlossen werden können. Dies reicht von Sichtschutzfolien bei Benutzung von Laptops bis hin zum ordnungsgemäßen Sperren von Laptop und Handy und Transport im Handgepäck.
Fazit
ePA, Active Sourcing und e-Recruiting sind datenschutzkonform möglich. Sprechen Sie uns an – Unsere Ansprechpartner finden Sie hier.