Beiträge

Veränderungsmanagement

Bewerbung > speichern unter … – Nicht mehr einfach so, ab Mai 2018!

Wie oft und wo wird ein Dokument in Ihrem Unternehmen gespeichert und von wem? Zum Beispiel eine online eingegangene Bewerbung? Wie können kleine und mittlere Unternehmen auch nach dem 25. Mai 2018 datenschutzkonform Bewerberdaten verwalten und passende Mitarbeiter einstellen?

Am 25.Mai 2018 tritt die Datenschutzgrundverordung (DSGVO) in Kraft. Unternehmen sind ab diesem Tag zu besonderen Datenschutzvorkehrungen verpflichtet. Ihnen drohen empfindliche Strafen, etwa 4 Prozent des internationalen Umsatzes oder bis zu 20 Millionen Euro, wenn sie gegen diese verstoßen und oder sie missachten.

Personalabteilungen und Personalverantwortliche sind von der DSGVO besonders betroffen, denn sie empfangen, senden und verwalten täglich personenbezogene Daten von Bewerbern. Darauf macht Stefan Ehrlich vom Recruiting-Tool-Anbieter Connectoor aufmerksam.

Schauen wir uns die aktuelle Situation doch einmal genauer an: Lebensläufe, Anschreiben, Zeugnisse und Bewerbungsbilder werden täglich an Unternehmen per E-Mail gesendet. Dort gehen sie entweder in den bewerbung@-, oder noch schlimmer, in das info@-Postfach des Unternehmens ein. Nachts wird ein Sicherheits-Backup des Posteingangs erstellt. Am nächsten Tag wird die Bewerbung von einem Mitarbeiter in der Personalabteilung bearbeitet. Das heißt, die Unterlagen werden auf der Festplatte des Personalers gespeichert und alle relevanten personenbezogenen Daten des Bewerbers zusätzlich in einer Excel-Tabelle angelegt. Da der Bewerber einen guten Eindruck macht, werden die Unterlagen an den Teamleiter zum Einholen eines Feedbacks per E-Mail weitergeleitet, der die Unterlagen ebenfalls auf der Festplatte seines Rechners speichert. In der Nacht wird wieder ein Backup erstellt und jetzt sind die Bewerberdaten bereits an sieben unterschiedlichen Stellen innerhalb eines Unternehmens gespeichert. Wenn die Unterlagen jetzt noch ein paarmal weitergeleitet werden, ist es schwierig einen Überblick über die Orte zu bekommen, an denen sie gespeichert, abgelegt oder verarbeitet wurden.

Vorsicht, Datenschutzfalle!

Bewerber haben ab dem 25. Mai 2018 ein Auskunftsrecht, wo ihre Daten gespeichert werden und wie sie weiterverarbeitet wurden. Zusätzlich haben sie ein Recht auf Löschung. Dies bedeutet, dass Unternehmen alle Bewerbungsunterlagen auf allen Systemen, Servern und Festplatten entfernen muss und das nachweislich bei jedem Kollegen, der sie in dem Recruiting-Prozess gespeichert haben könnte. Nebenbei müssen Unternehmen alle Datenströme dokumentieren und Ihre Datenschutzbestimmungen den neuen EU-Reglungen anpassen.

Kontrolle behalten

1.    Prozess festlegen, genau festlegen, wo die Bewerbung von wem abgelegt wird und wo, wenn nötig elektronisch dazu Kommentare abgegeben werden können.

2.    Routine festlegen: Sobald die Stelle besetzt ist, müssen alle Daten der abgelehnten Bewerber an allen Stellen gelöscht werden. Außer der/die Bewerber hat die Einwilligung gegeben, dass die Bewerbung beispielsweise in einem Bewerberpool gespeichert wird.

3.    Wenn die Bewerbung an andere Stellen weitergegeben werden soll, muss die Einwilligung des Bewerbers eingeholt werden.

4.    Eine Alternative dazu bieten beispielsweise Online-Systeme, die Bewerberdaten zentral speichern und den einzelnen Mitarbeitern nur passwortgeschützte Links zu den Bewerberdaten versendet.

Ein Bericht aus der Praxis:

Hürde

Gesetze können kein hervorragendes Geschäftsmodell verhindern

Die Rechtsanwälte Jörg Schielein und Alexander von Chrzanowski geben im Interview einen Überblick wichtiger Rechtsthemen, die Unternehmen in der Digitalisierung begegnen.

Welche Rolle spielt Arbeitsrecht, wenn Unternehmen in die Digitalisierung einsteigen?

Schielein: Man muss in einigen Berufen nicht mehr im Unternehmen anwesend sein, um zu arbeiten. Sie arbeiten vormittags, kümmern sich nachmittags um die Kinder und arbeiten abends wieder. Das Problem ist das Arbeitszeitgesetz, das eine Ruhezeit von elf Stunden vorschreibt. Das ist schwierig, wenn sie am Abend noch länger und früh morgens dann schon wieder arbeiten. Da kann man im Augenblick fast nur dagegen verstoßen. Es gibt kaum Ausnahmen. Ansonsten gibt es noch Höchstarbeitszeiten am Tag und in der Woche. Sie können nicht in einer Woche siebzig Stunden arbeiten und in der nächsten Woche gar nicht.

Wenn jeder Arbeitsgang dokumentiert wird, zum Beispiel durch vorheriges Scannen:  Ist diese Datenerhebung für Arbeitgeber ein Problem?

von Chrzanowski: Der Arbeitgeber hat die Möglichkeit, die Arbeitsleistung zu messen. Immerhin bezahlt er die Mitarbeiter auch. Andererseits könnte er auf diese Weise auch Arbeitsprofile, gar Persönlichkeitsprofile erstellen. Das ist aber nicht zulässig. Hier muss er eine Balance finden. Wenn ein Betriebsrat im Unternehmen besteht, dann hat er bei der Einführung und beim Betrieb solcher Systeme ein Mitbestimmungsrecht. Es ist wichtig zu schauen, dass das möglichst datensparsam passiert.

Was ist, wenn mehrere Unternehmen zusammenarbeiten? Zum Beispiel verkauft ein Online-Shop Dinge, die dann in Losgröße 1 erst produziert werden müssen?

von Chrzanowski: Sie sprechen das Thema Weisungsstrukturen an. Der Shop leitet die Anfragen direkt weiter an das Unternehmen und das wird direkt an den Arbeitnehmer weitergegeben. Im Endeffekt sagt ein Externer dem Mitarbeiter, von was er wieviel herstellen soll. Das ist als direkte Weisung zu vermeiden, sonst wird der Mitarbeiter in die Betriebsorganisation des Online-Shops eingebunden. Da muss man sich Gedanken machen, wie man das organisatorisch abfängt und umsetzt.
Durch Sensoren können Maschinen heute riesige Mengen an Daten sammeln. Wem gehören diese eigentlich?

von Chrzanowski: Hier geht es um Know-how-Schutz. Man hört das beispielsweise von Mähmaschinen. Sie sind heute rollende Computer und nehmen alle möglichen Daten auf: wie das Feld gerade ist, wie hoch das Getreide steht, welche Ausbeute bei welchem Erntewetter erzielt wird. Das Interessante ist, dass diese Daten einen Wert haben. Sie können weiterverwendet werden. Aber das deutsche Recht regelt die Eigentumsverhältnisse an diesen Daten derzeit nicht. Das heißt, auch der Hersteller und der Mähmaschine oder der Sensoren kann sie erheben. Behält er sie für sich selber, ist das in Ordnung. Möchte er die Daten aber verkaufen, dann muss er sich überlegen, was für Verträge nötig sind, möglichst nur für eine bestimmte Nutzung dieser Daten. Nicht, dass der Erwerber der Daten sie auch noch weiterverkauft. Hier spielt auch der Datenschutz eine große Rolle, wenn personenbezogene Daten mit verarbeitet werden. Solche „Big Data“ sind viel Wert: sie können daraus sogar neue Geschäftsmodelle entwickeln. Man sieht es immer wieder, dass Unternehmen mit einem Produkt angefangen haben und mittlerweile bekannt sind für etwas ganz Anderes.

Wenn Maschinen untereinander kommunizieren und etwas schiefläuft: Wer ist schuld?

von Chrzanowski: Hier geht es um Maschinenerklärungen. Das haben Sie zum Beispiel bei Lagern: Wenn der Lagerbestand zur Neige geht, wird automatisch nachbestellt. Passiert ein Fehler, kann man relativ einfach sagen: Der, der das Lager hergestellt hat und die Computer programmiert hat, trägt die Verantwortung. Aber in Zukunft werden Maschinen selbst lernen und Entscheidungen treffen. Und dann ist die Frage: Wer ist dann für Fehler verantwortlich? Da gibt es viele Beteiligte: der, der ursprünglich die Maschine gebaut hat, der die Software geliefert hat und Menschen, die der Maschine beim Lernen geholfen haben. Wer verantwortlich ist, ist noch unklar.

Was können Unternehmen noch – außer die Technik gegen Cyberangriffe zu schützen – für ihre IT-Sicherheit tun?

von Chrzanowski: Es ist an zwei Fronten etwas zu tun: Einerseits gibt es die Mitarbeiter. Durch Phishing-Mails können sie überzeugt werden, irgendwo drauf zu klicken oder einen geschenkten USB-Stick mit Schadsoftware in den PC zu stecken. Das ist sehr häufig erfolgreich. Es bringt aber wenig, deshalb zu sagen: Wir schützen unsere Technik nicht, es nützt ohnehin nichts. Sowohl die IT-Sicherheit ist zu stärken, als auch die Mitarbeiter zu schulen. Das ist nicht einmal ein spezielles IT-Thema! Eindringlinge können sich auch wie ein Monteur anziehen, ins Unternehmen reingehen und sagen, sie wollen etwas ablesen oder reparieren. Sehr häufig kommen sie damit durch.

Amazon hat den Dash-Button eingeführt. Kurze Zeit später klagte die Verbraucherzentrale dagegen. Wie schätzen Sie solche Digitalisierungsvorstöße ein?

von Chrzanowski: Die Dash-Buttons sind im Augenblick wahrscheinlich unzulässig. Die Frage ist: Was ändert man? Entweder man passt die Gesetze an oder man hält an den derzeitigen Gesetzen fest. Die Erfahrung zeigt, dass große amerikanische Unternehmen erstmal das machen, was technisch möglich ist und sich dann erst ums Rechtliche kümmern. Beispiel: Google Books. Google hat erstmal alles gescannt was zu scannen war und hat danach geschaut, ob sie die Urheberrechte kriegen. Nach jahrelangem Streit hat man sich mit Autoren und Verlagen geeinigt.

Schielein: Das ist genau die Sache, die der Mittelstand verstehen muss. Wenn es für den Verbraucher einfach ist und wenn es akzeptiert wird, dann kann man durch gesetzliche Maßnahmen nur verzögern aber sicher kein hervorragendes Geschäftsmodell verhindern.Was standardisiert werden kann, wird standardisiert. Das muss sich jeder überlegen, der im Mittelstand tätig ist: Inwieweit ist mein Geschäftsmodell, meine Geschäftsidee, an der Stelle anfällig?

Wie kann ich denn anfangen, mein Unternehmen digital zu denken?

Schielein: Man muss es zulassen! Die Psychologie des Menschen ist so, dass sie zunächst Veränderungen ablehnt. Sie nimmt zwar wahr, dass es sowas wie Uber gibt, denkt dann aber: „Mich betrifft das nicht. Ich nehme es zur Kenntnis und bedauere es. Aber es betrifft mich nicht.“ Das ist die erste psychologische Hürde, die der Mittelständler nehmen muss: diesen Abwehrmechanismus mal auszuschalten und dann ernsthaft darüber nachzudenken, ob es ihn nicht vielleicht doch betrifft.
Diejenigen, die sich – beispielsweise, weil sie immer wieder mit diesem Thema konfrontiert werden – dennoch weiter damit befassen, beginnen häufig sich Sorgen zu machen oder eine Veränderung abzulehnen. Das ist in einem Veränderungsprozess vollkommen normal. Dem sollte aber möglichst schnell eine rationale Analyse der Chancen, die in jeder Veränderung liegen, folgen. Veränderungsprozesse verlaufen immer in mehreren Phasen und sollten deshalb von der Unternehmensführung aktiv gemanagt werden.

Herr Schielein, Herr von Chrzanowski, vielen Dank für das Gespräch.

Das Interview führte Anette Nickels von der Mittelstand 4.0-Agentur Kommunikation.

Jörg Schielein ist Rechtsanwalt und Partner bei Rödl & Partner in Nürnberg.
Alexander von Chrzanowski ist Rechtsanwalt bei Rödl & Partner in Jena und Leiter der Praxisgruppe IT-Recht bei Rödl & Partner.
Rödl & Partner ist ein inhabergeführtes Unternehmen mit 25 Standorten in Deutschland, 106 sind es weltweit. Rödl & Partner bietet Rechtsberatung, Steuerdeklaration und Wirtschaftsprüfungen an.
Foto Quelle:Pixabay.com/ geralt, Rödl & Partner[/layotter]