Vor Kurzem jährte sich das Inkrafttreten der sogenannten DSGVO (Datenschutz-Grundverordnung). Wir sprachen mit Jan Dzulko über die Herausforderungen für Personaler in puncto Datenschutz, horrende Strafen und die Rolle von mobilen Endgeräten. Jan ist Gründer und Geschäftsführer von everphone, einem Berliner Start-up. Das 2016 gegründete Unternehmen versteht sich als One-Stop-Lösung für Firmenhandys. Datenschutz und Compliance mit der DSGVO sind dabei zentrale Aspekte. Als dritter Faktor kommt das Smartphone als Mitarbeiterangebot dazu.
Hallo, Jan. Warum machen sich Personaler Sorgen, dass sie durch die DSGVO bestraft werden könnten?
Hallo! Nun, nach einem Jahr und einigen saftigen Strafen kann man doch sagen, dass die Datenschutzbehörden immer dann besonders streng waren, wenn mit persönlichen Daten auch besonders sorglos umgegangen wurde. So wurde die bisher höchste Strafe in Deutschland verhängt, weil ein Krankenhaus die Gesundheitsdaten seiner Patienten versehentlich ins Netz gestellt hatte. Das ist natürlich eine fatale Datenschutzpanne. Entsprechend wurden dann 80.000 Euro fällig.

Nachdem Personaler mit den Bewerbungsunterlagen definitionsgemäß personenbezogene Daten erhalten, müssen sie nun einiges beachten: Sie benötigen eine Einwilligung zur Datenverarbeitung und müssen die Daten löschen, wenn sie nicht mehr benötigt werden. Das heißt auch, dass vieles eigentlich nicht mehr geht, wie zum Beispiel das simple Weiterleiten einer Bewerbung an einen Kollegen per E-Mail.
Warum ist die DSGVO so ein wichtiges Thema für die Personalabteilung?
Die DSGVO oder Datenschutz-Grundverordnung will den Datenschutz für die EU-Bürger verbessern. Unternehmen dürfen sogenannte personenbezogene Daten nur noch zweckgebunden und zeitlich begrenzt speichern und müssen auf Verlangen auch Auskunft über die Daten erteilen.

Für Personaler heißt das: Sie benötigen von den Bewerbern eine Einwilligung für die Speicherung der Daten. Nach dem Bewerbungsprozess müssen die Daten nachvollziehbar gelöscht werden. Die Bewerber haben anderenfalls Anspruch auf Schadensersatz; außerdem drohen Strafen durch die Datenschutzbehörden.
Mit welchen Strafen muss man denn rechnen?
Mit sehr hohen! Die DSGVO sieht Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens vor. Google beispielsweise musste in Frankreich 50 Millionen Euro bezahlen, British Airways gleich 200 Millionen Euro!

In einem Interview zum einjährigen Bestehen der DSGVO sagte Stefan Brink, der Datenschutzbeauftragte für Baden-Württemberg, sinngemäß, die Schonfrist für Unternehmen sei jetzt vorbei und fünf- oder sechsstellige Bußgelder seien nun regelmäßig zu erwarten. Entsprechend wird die Liste der DSGVO-Strafen permanent länger.
Wo lauern Datenschutz-Fehler in der HR-Arbeit?
Wir sind alle nur Menschen und jeder kann beispielsweise versehentlich mal ein Dokument auf dem Drucker liegen lassen. So etwas ist im Prinzip auch schon ein Verstoß, lässt sich aber kaum vermeiden. Große Datenschutzpannen lauern aber vor allem in den Prozessen.
Worauf müssen Personaler besonders achten?
Die Personaldatenverarbeitung ist von Grund auf besonders sensibel, es werden ja fast ausschließlich personenbezogene Daten verarbeitet. Beim Bewerbermanagement müssen HR-Abteilungen besonders akribisch bei den Auskunftsrechten, der Einwilligung zur Verarbeitung und der Datenlöschung sein.

Personaler müssen außerdem verstehen, dass mit der DSGVO quasi auch eine Umkehr der Beweislast stattgefunden hat. Im Fall einer Datenschutzkontrolle muss alles nachgewiesen werden können – die sogenannte Rechenschaftspflicht. Werden Datenzugriffe automatisiert und sauber dokumentiert wie beispielsweise bei der Lösung von hocaboo, ist dabei schon sehr viel gewonnen.
Wie kann man sich in der HR-Arbeit für die DSGVO wappnen?
Es gibt zwar ganz gute DSGVO-Checklisten, ohne eine dedizierte Bewerbungsmanagement-Software ist die vorgeschriebene Datenverarbeitung und Dokumentation aber kaum mehr zu leisten, zumindest nicht mit einem vernünftigen Maß an Aufwand.

Unternehmen müssen außerdem für Transparenz in der Verarbeitung sorgen und auch Prinzipien wie die Datenminimierung beachten. Ganz besondere Vorsicht gilt der Verwaltung von Zugriffsrechten. Die hocaboo-App aggregiert die Bewerberdaten ja auch in einem geschützten Bereich, um sicherzustellen, dass der Zugriff auf die sensiblen Bewerberdaten nur von Personen erfolgen kann, die dazu auch berechtigt sind. Dies ist überaus sinnvoll und umgeht bereits im Vorfeld unliebsame Compliance-Probleme.

Es gibt auch technische Aspekte: So lauern Fallstricke beim Speichern der Bewerberdaten, etwa wenn ein Personaler auch auf einem privaten Tablet oder Smartphone mit den Daten arbeiten möchte. Im Fall der mobilen Endgeräte kommen dann noch weitere DSGVO-relevante Fragen der Datensicherheit und des Datenschutzes hinzu.
Was haben denn mobile Endgeräte mit der DSGVO zu tun?
In vielen Betrieben dürfen die Mitarbeiter ihre privaten Geräte nutzen. Der Ansatz nennt sich BYOD („Bring Your Own Device“) und soll Kosten sparen. In anderen Betrieben haben MitarbeiterInnen umgekehrt ein Diensthandy, das sie auch privat nutzen wollen. Sonst hat man ja zwei Handys, und das wünscht sich doch eigentlich niemand.
Und die DSGVO?
In beiden Fällen sieht die DSGVO eine strikte Trennung der privaten Daten von den geschäftlichen vor. Diese Trennung ist ohne weitere Maßnahmen wie eine Container-App oder eine Mobile-Device-Management-Software aber nicht gegeben, was ich auch in meinem E-Book zu DSGVO und Bring Your Own Device erläutere (hier geht’s zum Download).
Inwiefern ist das dann problematisch?
Es reicht zum Beispiel schon, wenn auf dem Firmenhandy Whatsapp installiert ist. Und schon hat man einen DSGVO-Verstoß begangen, weil Whatsapp Kontaktdaten auf Server in die USA überträgt – ohne Einwilligung ein No-go. Bei everphone bieten wir deshalb Firmenhandys in einem flexiblen Mietmodell an, bei welchem eine DSGVO-konforme Datentrennung bei allen Mobilgeräten bereits mit an Bord ist.
Versuchen Unternehmen, mit BYOD am falschen Ende zu sparen?
Sparen tun Unternehmen mit BYOD meistens viel weniger als erwartet, denn den eingesparten Anschaffungskosten stehen erhöhte Aufwände in der Verwaltung und vor allem in der IT gegenüber.

Außerdem wird aus Sicht der HR ein Riesenpotenzial verschenkt. Überlegen Sie doch mal aus der Bewerberperspektive. Was fänden Sie besser: Wenn Ihnen als Benefit verkauft wird, dass Sie Ihr eigenes Smartphone mitbringen „dürfen“ – oder wenn Ihr Arbeitgeber Ihnen ein Top-Smartphone zur Verfügung stellt, für das Sie sonst 1.000 oder mehr Euro aus eigener Tasche bezahlen müssten?
Das Smartphone als Benefit, sozusagen?
Absolut! Gerade für junge Arbeitnehmer ist ein Smartphone ein extrem wichtiges Gadget und im Prinzip das zentrale Stück Technik, das sie in allen Lebenslagen und Lebensbereichen begleitet. Gerade deswegen ist ein Smartphone als Mitarbeiterangebot ja auch so spannend.

Ein tolles Firmenhandy sorgt bei den Mitarbeitern wirklich für strahlende Gesichter und erinnert sie bei jedem gelungenen Selfie an das eigene Unternehmen und den Arbeitgeber. Und Compliance-Anforderungen wie die DSGVO sind definitiv beherrschbar – wenn man die richtige Mobile-Strategie anlegt.
Danke, Jan, für das Gespräch.
Sehr gerne!
-----
Willst du mehr über Jan Dzulko, sein Unternehmen everphone oder zu weiteren DSGVO Themen erfahren?
Dann klicke auf einen der folgenden Links!