Umsetzung der Datenschutzgrundverordnung DSGVO in der Personalberatung

Die Zeit drängt

Ab dem 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung DSGVO endgültig in Kraft. Obwohl dies zunehmend über Medien, IHKs, Berufsverbände, Handwerkskammern und viele andere Einrichtungen und Institutionen kommuniziert wird, scheint das Thema bei vielen Unternehmen, im Besonderen bei KMUs, nicht oder nur bedingt wahrgenommen zu werden.

Das Thema Datenschutz ist zwar in aller Munde, viele Unternehmen denken aber, dass dies nur die Großkonzerne betrifft. Besonders die klein- und mittelständigen Unternehmen unterschätzen, was auf sie zukommen kann. Viele haben keine Mitarbeiter eingestellt oder geschult, die sich speziell mit dem Thema Datenschutz beschäftigen sollen. Getreu dem Motto: Bisher ist immer alles gut gegangen, warum sollte sich das ändern?

Viele Unternehmen könnten nun in Zukunft eine böse Überraschung erleben, und zwar dann, wenn die ersten behördlichen Überprüfungen auf Einhaltung der Datenschutzgrundverordnung erfolgen. Dann könnte es sehr schnell sehr teuer werden, denn die vorgesehenen Strafen sind empfindlich hoch: bis zu 20 Millionen Euro oder 4% vom Jahresumsatz.

Im Übrigen ist vielen Unternehmen nicht bekannt, welche Daten überhaupt von der DSGVO betroffen sind und was getan werden muss, um der DSGVO zu entsprechen. Darüber hinaus scheuen viele Unternehmen die nötigen Prozessumstellungen und Dokumentationen, die mit der Umsetzung der DSGVO verbunden sind. 

Besonders Unternehmen, deren Geschäftsmodelle auf der Verarbeitung und Weitergabe von persönlichen Daten beruhen, werden gut beraten sein, die DSGVO einzuhalten. Personalberater zählen zweifelsohne zu diesen Unternehmen.

In Artikel 5, Absatz 1f der DSGVO steht: Personenbezogene Daten müssen […]

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die meisten Personalberatungen haben schon heute diverse Sicherungssysteme für ihre IT im Einsatz. So sind Firewalls eine elementarer Teil davon. Aber wie sieht es aus wenn Daten in einer Cloud gespeichert werden? Wurde geprüft, ob der Anbieter der Cloud die DSGVO in seinen allgemeinen Geschäftsbedingungen verankert hat? 

Und wie sieht es in Bezug auf die digitale Kommunikation aus?

E-Mails mit personenbezogenen Daten müssen in geeigneter Weise geschützt, d. h. konkret, verschlüsselt, übertragen werden. Werden beispielsweise curricula vitae vom Personalberater an den Auftraggeber per E-Mail übermittelt, müssen diese E-Mails ab Ende Mai unbedingt verschlüsselt versendet werden, da sonst ein Verstoß gegen die DSGVO erfolgt. 

Gleiches gilt auch, wenn an den Auftraggeber Zugangsdaten für eine Webplattform, auf der die Bewerber mit ihren persönlichen Daten ersichtlich sind, per E-Mail versendet werden. Auch dann muss diese E-Mail verschlüsselt werden, obwohl sie keine direkten persönlichen Daten enthält. Sie eröffnet aber den Cyberkriminellen die Möglichkeit an persönliche, vertrauliche, Daten zu gelangen. Und genau das gilt es zu verhindern.

Auf dem Markt gibt es Programme, die eine E-Mail Verschlüsselung ermöglichen. Leider sind die meisten Programme umständlich und werden von den Empfängern nur widerwillig oder gar nicht akzeptiert, da sich der Empfänger beispielsweise auf einer Website registrieren oder auf andere Art und Weise legitimieren müssen.

Frama bietet mit RMail, der Software für den sicheren E-Mailversand, nun aber eine Möglichkeit, die einen sicheren, verschlüsselten, DSGVO-konformen E-Mail Versand direkt in das Empfängerpostfach ermöglicht, ohne dass der Empfänger irgendetwas unternehmen muss. Die TLS-Verschlüsselung ermöglicht es dem E-Mail Empfänger sogar, die verschlüsselte E-Mail zu öffnen, ohne das er ein Passwort benötigt. Ist TLS nicht möglich, wird eine 256 Bit AES Verschlüsselung verwendet. In beiden Fällen erhält der Absender eine Zustellungsbestätigung aus der hervorgeht, dass die E-Mail verschlüsselt übertragen wurde und somit der DSGVO Compliance entspricht.

Die Einhaltung der DSGVO Compliance muss zudem dokumentiert sein. Im Gegensatz zum BDSG fordert die DSGVO eine aktive Rechenschaftspflicht!

Mit der EU-DSGVO wird die Beweislast umgekehrt:  Es muss  Ihnen kein Vergehen nachgewiesen werden, sondern Sie stehen aktiv in der Rechenschaftspflicht. Dies bedeutet, dass alle Prozesse im Unternehmen so aufgebaut und dokumentiert sein müssen, dass Sie jederzeit die Einhaltung der DSGVO beweisen können.

Mehr Informationen erhalten Sie unter: https://www.frama.de/rmail/

Veröffentlicht am: 16. Mai 2018
Kategorie: Business