ageneo-Mitarbeiter* und Geschäftspartner melden sich zu Wort: Von unseren Consultants bis hin zur Geschäftsleitung und langjährigen Wegbegleitern – hier hat jeder eine Meinung. Die Kollegen berichten über ihren Weg zur Personalberatung, was ihnen bei ageneo gefällt und geben Tipps für potenzielle Bewerber. Geschäftspartner berichten über Inside-News aus den Life-Scienes und vieles mehr.
Lesen Sie hier, welche Hauptaufgaben unser Datenschutzbeauftragter Herr Weuthen hat und was Sie als Endverbraucher tun können, wenn Sie möchten, dass Ihre persönlichen Daten gelöscht werden.
Was ist Ihre Hauptaufgabe als Datenschutzbeauftragter?
Das Ende Mai auslaufende (alte) Bundesdatenschutzgesetz fasst die Aufgaben des Datenschutzbeauftragten (DSB) abstrakt und prägnant zusammen: Der Datenschutzbeauftragte wirkt auf die Einhaltung sämtlicher Datenschutzvorschriften im Unternehmen hin. Das ab Ende Mai geltende neue Datenschutzgesetz, die sogenannte EU-Datenschutzgrundverordnung, konkretisiert die Aufgaben zwar nur gering, erweitert aber zugleich den möglichen Aufgabenumfang. Das mag auf den ersten Blick paradox anmuten, heißt aber im Klartext: Der DSB ist die Institution in einem Unternehmen, die sämtliche Prozesse, die eine Datenschutzrelevanz aufweisen, „auf dem Schirm“ haben muss. Dabei geht es vornehmlich um sogenannte personenbezogene Daten, also Daten aber auch Informationen, die einen Rückschluss auf eine natürliche Person zulassen. Der DSB dokumentiert und bewertet die Prozesse dahingehend, ob sie einen ausreichenden Schutz der personenbezogenen Daten vorweisen können. Hierunter fallen klassischerweise EDV-Systeme, wie Kunden- und Mitarbeiterverwaltungen, Prozesse zur Kundenansprache und -Gewinnung, u.U. der Einsatz von Social Media, Webseiten u.Ä., aber auch aus Datenschutzsicht kritische Systeme und Prozesse wie z.B. der Betrieb von Videoüberwachungsanlagen, Auswertungen von Kundenverhalten, das Generieren von Profilen usw. Der DSB gleicht den bestehenden Prozess mit den Anforderungen der Datenschutzvorschriften ab. Dabei kann es notwendig sein, dass er nicht nur das Datenschutzgesetz, sondern sämtliche mitgeltenden Rechtsvorschriften, Rechtsprechung, Empfehlungen von Aufsichtsbehörden und den Stand der Technik berücksichtigen muss, um eine umfängliche Risikobewertung abgeben zu können. Soweit erforderlich, trägt der DSB sodann Maßnahmenempfehlungen vor, die seiner Einschätzung nach dazu beitragen, ein angemessenes Schutzniveau herzustellen.
Vier Jahre lang haben Europäischer Rat, Europäisches Parlament und die Europäische Kommission über die endgültigen Inhalte der neuen DSGVO verhandelt. Was sind die signifikantesten Veränderungen für Endverbraucher, wenn die Verordnung am 25.05.2018 in Kraft tritt?
Die DSGVO zielt ganz klar auf einen verbesserten Schutz der Betroffenen ab. Betroffene sind dabei insbesondere die Endverbraucher, weshalb das neue Gesetzt auch den Verbraucherschutz stärken wird. Aber auch die Mitarbeiter eines Unternehmens werden durch den Mitarbeiterdatenschutz besser geschützt. Allem voran steht eine Transparenzpflicht, die dazu beitragen soll, dass Betroffene stets darüber informiert werden oder sich ohne Umwege darüber informieren können, wer, wie, wozu und wie lange seine personenbezogenen Daten verarbeitet, an Dritte weitergibt und speichert. Hierauf baut das ausgebaute Auskunftsrecht an. Kurz gesagt: Betroffene müssen künftig besser informiert werden, was mit ihren Daten geschieht; hierzu steht ihnen auch ein Anspruch auf umfangreiche, verständliche und transparente Auskunft zu ihren Daten zu. Um den Schutzgedanken zu bestärken, werden Betroffenen erweitere Rechte eingeräumt, der Kreis der Anspruchsgegner erweitert und Haftungstatbestände ausgedehnt.
Darüber hinaus schafft das neue Gesetz die sogenannten Rechte auf Vergessenwerden und auf Datenportabilität (auch Datenübertragbarkeit genannt). Gemeint sind damit die Möglichketen, dass z.B. soziale Netzwerke nicht unendlich lange Daten von Usern speichern oder dass ein kompletter Datensatz – zumindest theoretisch – von einem Unternehmen an ein anderes transportiert werden kann, ohne dass der User hierzu erst bei dem einen Unternehmen alles löschen und beim nächsten erneut alles anlegen muss. Auch bei einem Wechsel beispielsweise des behandelnden Hausarztes soll die digitale Patientenakte künftig auf diese Weise wechseln können. Wie konkret gerade diese beiden Ansprüche künftig umgesetzt werden können, bleibt mit Spannung abzuwarten, denn eine große Hürde, die es zu meistern gilt, sind dabei die technischen Möglichkeiten und die Kompatibilität von EDV-Systemen.
Was muss ich als Privatperson beachten, wenn ich personenbezogene Daten weitergebe? Nehmen wir beispielsweise einen Bewerber, der seine Unterlagen (Lebenslauf, Zeugnisse, etc.) an eine Personalberatung schickt?
Zunächst einmal muss sich jeder selber fragen, was ihm seine Daten wert sind und für wie schutzwürdig er seine Privatsphäre betrachtet. Während einige sehr freizügig mit Informationen und Angaben zu ihrer Person umgehen, handhaben andere den Umgang mit ihren Daten äußerst sensibel. Es darf nicht vergessen werden, dass im Grunde jeder selber dafür verantwortlich ist, was er wem, aus welchem Grund und auf welche Weise weitergibt. Deshalb gilt, dass man sich stets fragen sollte, ob die Weitergabe einer Information für den konkreten Zweck wirklich notwendig ist.
Eine Bewerbung bildet im Normalfall das gesamte bisherige Leben des Bewerbers ab. Nicht selten beinhaltet eine Bewerbung sensible Informationen beispielsweise zur religiösen oder ethnischen Zugehörigkeit oder gesundheitliche Beeinträchtigungen. Wer in der Kategorie Freizeitaktivitäten oder ehrenamtliches Engagement z.B. angibt, Mitglied in einer Partei oder einer Religionsgemeinschaft zu sein, gewährt damit Einblicke in seine politische oder religiöse Meinung und Weltanschauung. Zu guter Letzt darf nicht vergessen werden, dass eine Bewerbung bereits ein Profil darstellt, das Wertungen – in welche Richtung auch immer – einer Person zulässt.
Bewerber sollten zunächst darauf achten und abwägen, welche Informationen sie tatsächlich weitergeben wollen und ob diese für die ausgeschriebene Stelle wirklich notwendig sind. Im nächsten Schritt sollte der Versandweg gut gewählt werden: klassisch per Post, per verschlüsselter oder unverschlüsselter E-Mail oder als verschlüsselte Datei oder steht ein Online-Bewerberportal zur Verfügung? Wenn man sich – wie wohl die meisten heutzutage – für die klassische E-Mail mit Anhang entscheidet, sollte darauf geachtet werden, dass die Empfängeradresse eine bewerbung@-Adresse o.Ä. ist. Dies lässt nämlich vermuten, dass die Bewerbung – anders als eine Mail z.B. an info@ – direkt der Personalabteilung zugeht. Erhält der Bewerber eine Absage, sollte diese eine Information darüber beinhalten, was mit der eingegangenen Bewerbung geschieht, also ob und wann sie gelöscht wird. Hört ein Bewerber auch lange Zeit nach Bewerbungsschluss nichts von dem Unternehmen, bietet es sich an, das Unternehmen zu kontaktieren mit der Bitte um Bestätigung, dass die Bewerbung gelöscht wurde.
Was kann ich als Endverbraucher tun, wenn ich möchte, dass meine Daten gelöscht werden?
Verbrauchern steht zunächst ein Auskunftsrecht zu, um in Erfahrung zu bringen, welche persönlichen Informationen ein Unternehmen vom Auskunftsersuchenden gespeichert hat und zu welchem Zweck. Falsche oder fehlerhafte Daten muss das Unternehmen korrigieren. Daten, die ein Verbraucher auf freiwilliger Basis abgegeben hat, z.B. eine E-Mail-Adresse für den Empfang eines Newsletters, kann er mittels Widerspruch löschen bzw. sperren lassen. Daten, die ein Unternehmen auf unrechtmäßige Weise erhalten hat oder verarbeitet, müssen umgehend gelöscht werden. Kommt ein Unternehmen dem Auskunftsanspruch, dem Anspruch auf Korrektur der Daten, dem Widerspruchsrecht oder dem Wunsch auf Löschung der Daten nicht unverzüglich nach, hat der Verbraucher die Möglichkeit sich an die zuständige Aufsichtsbehörde und an Verbraucherschutzzentralen zu wenden.
Aber Achtung, nicht immer besteht für alle Daten ein Recht auf Löschung. So hat ein Unternehmen u.U. sogar die gesetzliche Pflicht personenbezogene Daten für eine bestimmte Zeit aufzubewahren, wenn ein Vertragsverhältnis mit einem Endverbraucher besteht oder bestand.
Haben Sie das Gefühl, dass die Verbraucher ausreichend über Ihre neuen Nutzerrechte informiert sind?
Seriöse Unternehmen, die sich Ihrer Pflichten gegenüber Verbrauchern bewusst sind und diese ernst nehmen, klären heutzutage gut auf. Informationen zum Datenschutz finden sich fast immer an der selben Stelle, nämlich dort, wo es um Rechtliches geht. Vor allem im Online-Marketing haben sich gewisse Routinen eingebürgert.
Bei Werbemaßnahmen, Gewinnspielen u.Ä. werden die Informationspflichten nicht selten verschleiert. Einwilligungserklärungen werden immer wieder „versteckt“ eingeholt.
Wir müssen aber als Verbraucher – und das sind wir alle – auch ehrlich zu uns sein: Wie oft lesen wir uns AGB´s, Datenschutzerklärungen und andere rechtliche Informationen wirklich durch? Auf der anderen Seite erscheint es mitunter mühselig und nicht verhältnismäßig, Unmengen Kleingedrucktes und schwer Verständliches lesen zu müssen, bevor man ein paar Turnschuhe kauft. Es erscheint auch alles andere als Verbraucherfreundlich, wenn z.B. Internetgiganten oder Soziale Netzwerke gefühlt mehrmals im Jahr ihre Nutzungsbedingungen ändern, Privatsphäreeinstellungen verstecken oder sich in ausländischen Rechtskreisen aufhalten, nur um die hiesigen Datenschutzgesetze zu umgehen.
Als Datenschutzbeauftragter denke ich, es geht immer besser. Aus persönlicher Sicht nehme ich in Sachen Datenschutz eine Doppelmoral wahr: Einerseits gehen wir gefährlich freizügig mit unseren Daten um. Andererseits schimpfen wir auf die Unternehmen, nehmen aber gleichzeitig deren Dienste in Anspruch.
Das Beratungsunternehmen EU-CON BeraterForum GmbH berät und unterstützt kleine und mittelständische Unternehmen in allen Belangen der technisch-organisatorischen und betriebswirtschaftlichen Belange, und das bereits seit mehr als 25 Jahren. Dies beinhaltet z.B. die Einführung und Umsetzung von Qualitätsmanagementsystemen, sowie die Erfüllung der Anforderungen des Arbeits-, Brand- und Datenschutzes.
Wenn Sie mehr über die EU-CON BeraterForum GmbH erfahren möchten, klicken Sie bitte hier.
Anna Mirabichvili – Marketing and Communications
*Allein aus Gründen der besseren Lesbarkeit wird bei der Personenbezeichnung in diesem Beitrag auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Die verkürzte Sprachform hat lediglich redaktionelle Gründe und beinhaltet keinerlei Wertung. Sämtliche Personenbezeichnungen gelten für alle Geschlechter.