Praxisnahe Umsetzung seit 2013
Ihr Branchenexperte für Datenschutz und Informationssicherheit
Datenschutz für Personaldienstleister
Bewerberdaten sind sehr sensibel. Diese Seite zeigt Ihnen mehr als 10 Themen, die im Datenschutz für Personaldienstleister beachtet werden müssen.
SIE WOLLEN DEN DATENSCHUTZ IN IHREM UNTERNEHMEN UMSETZEN?
wo fängt man an?
Datenschutz ist ein komplexes und umfangreiches Thema. Das Internet ist voll mit Vorlagen, Checklisten, Orientierungshilfen, Gerichtsurteilen oder Beiträgen.
Doch wo fängt man an, den Datenschutz im Unternehmen umzusetzen? Eine echte Herausforderung für jedes Unternehmen.
Wer soll es machen?
Jemanden zu finden, um die Vorgaben des Datenschutzes im Unternehmen zu erfüllen, ist nicht einfach. IT- und Prozesskenntnisse und eine Datenschutzaffinität sind notwendig. Die zuständige Person muss immer auf dem Laufenden bleiben und vielleicht sogar den Datenschutz in Teilzeit umsetzen. Eine Zerreißprobe für jeden internen Datenschutzbeauftragten, allen Anforderungen gerecht zu werden.
Wie geht es praxisnah?
Diverse Rechtsanwälte oder Datenschutzbeauftragte bieten keine praxisnahen Lösungen, um zeitnah den Datenschutz im Unternehmen umzusetzen. Es werden Vorlagen genutzt, die nicht auf das Unternehmen passen. So können Sie die Anforderungen nicht erfüllen. Geld und Aufwand werden vergeudet. Jede Dokumentation für ein Unternehmen ist eine Maßanfertigung. Engagieren Sie einen Datenschutz-Praktiker.
Es gibt fast wöchentlich neue Urteile, Einschätzungen, Handlungsempfehlungen und Fachberichte von Aufsichtsbehörden und Datenschutzbeauftragten.
Diese Veränderungen können gegebenenfalls Auswirkungen auf Ihr Unternehmen haben. Nur durch einen Experten im Datenschutz ist es möglich, die gesetzlichen Vorgaben zeitnah und fachgerecht umzusetzen.
Die Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine für Sie passende Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Datenschutz und Informationssicherheit
Praxisnahe Lösungen für Ihr Unternehmen
Wir machen das zusammen!
Datenschutzberatung für Personaldienstleister
Aufsichtsbehörden schauen sich auch in Personalberater aufgrund von Beschwerden von missgelaunter Bewerber an, ob die gesetzlichen Pflichten der DSGVO eingehalten worden sind. Typische Angriffsflächen sind:
- Korrekte Gestaltung des Bewerbungsprozesses
- Weitergabe von Daten an oder Zugriff durch externe Dienstleister
- Webseiten mit Analyse-Funktionen, externen Schriftarten, Google Maps oder Facebook-Beiträgen ohne entsprechende Rechtsgrundlage
- Löschprozesse nach Ablehnung im Bewerbungsprozess
Wenn eine Aufsichtsbehörde eine Prüfung im Unternehmen durchführt, ist es meist zu spät, um die fehlenden Vorgaben im Datenschutz zu erfüllen. Meist liegen dann anlassbezogene Unterlagen der Aufsichtsbehörde schon vor, wie z. B. eine nicht fachgerecht erstellte Website, Fotos von Videoüberwachungskameras oder Akquisetätigkeiten.
Im Alltag stellt sich daher die Frage: Arbeiten wir als Personaldienstleister eigentlich in diesem Bereich gesetzeskonform?
Rund um den Datenschutz für Personaldienstleister
Der Umgang mit personenbezogenen Daten im Bewerbungsverfahren oder im Coaching spielt eine große Herausforderung für die verantwortlichen Unternehmen. Der Einsatz von webbasierten Anwendungen, der Anstieg von Daten in digitaler Form und die steigende Verzahnung zwischen Unternehmen und weiteren externen Dritten erfordern einen professionellen Datenschutz im Bereich des Personalmanagements und der Kommunikation und die Einführung robuster Prozesse und technische und organisatorische Maßnahmen im Umgang mit diesen Daten.
Mängel im Datenschutzes bei Personaldienstleistern führen zu Beschwerden, Streitereien, die nicht selten vor Gericht landen oder sogar zu Strafzahlungen führen. Aber nicht nur die Bewerberdaten, Zeugnissen oder finanziellen Informationen sind wirkungsvoll zu schützen. Beschäftigt der Personaldienstleister auch eigenes Personal, sind deren Daten ebenfalls datenschutzkonform zu verarbeiten.
Für die Umsetzung des Datenschutzes ist bei Personaldienstleistern eine Person in der Verwaltung oder ein interner Datenschutzbeauftragter verantwortlich. Die Tätigkeiten werden meist in Nebentätigkeit durchgeführt. Weil nur wenige wissen, wie die Grundlagen des Datenschutzes umzusetzen sind, wird die Verantwortlichkeit durch die Geschäftsführung nicht ausreichend wahrgenommen.
Typische Aufgabenstellungen im Datenschutz für Personaldienstleister
Bei jedem Personaldienstleister sind typischerweise folgende Themen zu beachten und müssen jährlich auf Aktualität und Gesetzeskonformität geprüft werden.
- Verzeichnis der Verarbeitungstätigkeiten
- Verpflichtungserklärungen für die eigenen Beschäftigten
- Bewerbungsprozess (offline und online)
- Prozesse für die Umsetzung der Betroffenenrechte
- Gesetzeskonforme Gestaltung der Online-Auftritte
- Datenschutzschulungen für Beschäftigte
- Übermittlung von Daten in Drittländer
- Sicherheit der Verarbeitung (TOMs)
- Anlage und Management eines Talentpools
- Einwilligungen von Interessenten für den Aufbau eines Talentpools
- Prozess für die Handhabung von (möglichen) Datenschutzverletzungen
- Personalverwaltung für eigene Beschäftigte
- Vertragsmanagement mit externen Unternehmen
- Risikobewertung der Verarbeitungstätigkeiten
- Prüfung der bestehenden IT-Systeme
- Informationspflichten und Weitergabe der Daten an interessierte Arbeitgeber
- u. v. m.
Check-up für Personaldienstleister
Sie möchten wissen, wo Ihr Unternehmen in puncto Datenschutz und Datensicherheit steht? Werden die Daten Ihrer Beschäftigten und Bewerber sicher verarbeitet? Dann buchen Sie meine Beratung und erfahren Sie, wo es Handlungsbedarf gibt und wo Sie bereits gesetzeskonform arbeiten.
Ob alteingesessenes Unternehmen oder Start-up ich berate alle Personaldienstleister im norddeutschen Bereich vor Ort oder auch per Videokonferenz.
Wünschen Sie eine zweite Meinung zum Thema Datenschutz und Datensicherheit bei einem bestehendem Vertrag (mit einem externen Datenschutzberater) oder Ausübung durch einen interne Beschäftigte? Auch hier helfe ich Ihnen mit meiner Dienstleistung in Form einer umfassenden Überprüfung.
Als lokaler Datenschutzexperte bringe ich den Datenschutz für Ihr Unternehmen voran. Nach der Sichtung der bestehenden Unterlagen und einer Bestandsaufnahme erhalten Sie einen detaillierten und priorisierten Maßnahmenplan, der als Basis für die Zusammenarbeit gilt.
DATENSCHUTZBERATUNG, DATENSCHUTZBEAUFTRAGTER ODER EXPERTE FÜR INFORMATIONSSICHERHEIT?
Ganz nach Ihren Wünschen werde ich für Ihr Unternehmen als Datenschutzbeauftragter DSGVO sowie externer Informationssicherheitsbeauftragter tätig oder führe (einmalig sowie auf Wunsch regelmäßig) Datenschutzberatungen in Nord-Deutschland durch.
Haben Sie nach einer von mir durchgeführten Beratung Interesse an einer längeren Zusammenarbeit in Form eines externen Datenschutz- bzw. Informationsschutzbeauftragten, können wir dieses gerne festlegen.
Mit meiner über 20jährigen Berufserfahrung bringe ich viel Wissen als unabhängiger Datenschutzberater ein, von dem Sie vom ersten Tag an profitieren.
Binden Sie mir früh und umfassend in die datenschutzrelevanten Themen in Ihrem Unternehmen ein. So stellen Sie sicher, dass die Verarbeitung von personenbezogenen und geschäftskritischen Daten stets unter Einhaltung sämtlicher dafür vorgesehenen gesetzlichen Richtlinien stattfindet.
Häufig gestellte Fragen von Personaldienstleistern
Seit 2013 biete ich Dienstleistungen im Bereich Datenschutz für Personaldienstleister und Personalvermittler DSGVO an. Sämtliche Vorgaben des Datenschutzes sind zu beachten, wenn personenbezogene Daten verarbeitet werden. Daten von z. B. Bewerber, eigenen Beschäftigten und Kunden fallen unter diesen Schutz. Die Nutzung dieser Informationen ist in der Regel zur Erfüllung des Bewerbungsprozesses bzw. der Vermittlung zulässig. Doch es gibt noch weitere Verarbeitungstätigkeiten, die beachtet werden müssen. Finden Sie hier ein paar Fragen und Antworten, die mir immer wieder von Personaldienstleistern gestellt werden.
Persönliche Daten von Bewerbern fallen regelmäßig bei jedem Kontakt an. Viele Bewerber sind zudem besonders sensibel, denn das Bekanntwerden einer Bewerbung aus einem bestehenden Beschäftigungsverhältnis kann gravierende Nachteile mit sich bringen — vor allem, wenn der bestehende Arbeitgeber davon erfährt. Daher ist äußerste Diskretion notwendig.
Der Personalvermittler kennt das bestehende Arbeitsverhältnis, das aktuelle Gehalt und Vorlieben, ggf. die familiären Verhältnisse, Gründe für Schwierigkeiten in der alten Firma und erfährt von Stärken und Schwächen des Bewerbers (ggf. auch Gutachten, Vorstrafen oder sonstiges Fehlverhalten oder eine bereits erfolgte, aber nicht im Unternehmen kommunizierte Kündigung).
Der Personalvermittler muss dafür sorgen, dass die personenbezogenen Daten nach dem Datenschutzgesetz absolut vertraulich und fachgerecht verarbeitet werden. Die Enttäuschung der Bewerber bei Fehlern ist gut nachvollziehbar und führt meist zu anlassbezogenen Prüfungen durch die Aufsichtsbehörden.
Kaum ein Unternehmen bekommt einen so umfassenden Einblick in die Persönlichkeit des Bewerbers. Dies ist auch notwendig, denn schließlich erfolgt die Bezahlung des Personalvermittlers erst bei einem abgeschlossenen Vertrag. Dafür ist es notwendig, die genauen Umstände des Bewerbers zu kennen.
Dies verpflichtet ihn in besonderer Weise, das informationelle Selbstbestimmungsrecht seiner Bewerber zu wahren.
In aller Regel ist eine Bestellung eines Datenschutzbeauftragten (DSB) durchzuführen, wenn mindestens 2o Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut werden.
Es gibt noch ein paar Ausnahmen, wann eine Bestellung regelmäßig erfolgen muss, wie z. B. bei
- - der Verarbeitung besonders schützenswerter Daten, die auch eine Datenschutz-Folgenabschätzung notwendig machen.
- - der geschäftsmäßigen Übermittlung personenbezogener Daten oder
- - der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung
Eine Pflicht zur Bestellung eines Datenschutzbeauftragten könnte sich also daraus ergeben, dass eine Kerntätigkeit des Personalvermittlers eine risikoreiche Datenverarbeitung darstellt, die aufgrund Art, Umfang und/oder Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Beim Betreiben einer Personalvermittlung ist dies denkbar. Es werden als Hauptaufgabe des Personalvermittlers zahlreiche Daten von vielen Kandidaten und Bewerbern gesammelt und systematisch aufbereitet und Dritten (potenziellen Arbeitgebern) zur Verfügung gestellt.
Die Aufgaben des Datenschutzbeauftragten sind im Gesetz festgelegt. Er muss das Unternehmen und die Beschäftigten unterrichten und beraten, aber auch die Einhaltung der relevanten Datenschutzgesetze überwachen. Er berät auch bei Datenschutz-Folgenabschätzungen und kommuniziert mit den betroffenen Personen und den Aufsichtsbehörden.
Die Arbeit des Datenschutzbeauftragten ist so abwechslungsreich, wie komplex. In diesem sich noch stetig veränderten Rechtsgebiet empfiehlt es sich, einen erfahrenen Datenschutzbeauftragten zu bestellen.
Ein interner Datenschutzbeauftragter hat den großen Vorteil, dass er die Prozesse im Unternehmen und die Beteiligten kennt. Er bekommt im Rahmen seiner täglichen Arbeit deutlich mehr Informationen am Rande mit. Jedoch entstehen jedoch hohe Kosten für die Ausbildung und stetige Weiterbildung.
Ein externer DSB kann den Kostenfaktor deutlich reduzieren. Er kümmert sich auch selbstständig um seine Weiterbildung und lernt, wenn er für mehrere Unternehmen tätig ist, deutlich mehr Umsetzungspraktiken kennen.
Mit meiner langjährigen Erfahrung bringe ich auch Ihr Unternehmen praxisnah und wirtschaftlich in diesen Themen voran. Mein typischer Aufgabenbereich umfasst unter anderem folgende Bereiche:
- - Durchführung einer Bestandsaufnahme – Erstellung eines priorisierten Aktionsplanes für weitere Aktivitäten
- - Prüfung und ggf. Aktualisierung Ihrer bisher erarbeiteten Unterlagen
- - Beratung in sämtlichen datenschutzrelevanten Themengebieten
- - Unterstützung bei der Erstellung Ihrer Dokumentation, wie z. B. Verzeichnis der Verarbeitungstätigkeiten, Informationspflichten oder die Anfragen Betroffener
- - Erfüllung der Rolle des Datenschutzbeauftragten für ihr Unternehmen gem. Art. 39 DSGVO
- - Prüfung und Dokumentation Ihrer Auftragsverarbeiter gem. Art. 28 DSGVO
- - Prüfung Ihrer Online-Auftritte auf Gesetzeskonformität und Erstellung der Informationspflichten und Datenschutzhinweise
- - Erstellung von Richtlinien und Anweisungen zur Informationssicherheit und zum Datenschutz
Als Personaldienstleister oder Personalvermittler DSGVO dürfen Sie nur jene Daten Ihrer Bewerber verarbeiten, die Sie für die Erfüllung des Beherbergungsvertrags benötigen. Dabei sind sowohl die Datenschutzgrundsätze Datenminimierung und Zweckbindung zu beachten als auch die Speicherbegrenzung. Es darf eine Speicherung nur so lange erfolgen, als dies zeitlich erforderlich ist
und der Zweck für die Verarbeitung nicht entfallen ist.
In den folgenden Bereichen werden immer wieder Fehler im Bewerbungsprozess gemacht, die zu Abmahnungen oder Beschwerden führen:
- - Bewerbungsprozess
- - Aufbereitungsprozess der Unterlagen für potenzielle Arbeitgeber
- - Aufenthalt und Verwendung von Daten für weitere Zwecke, wie z. B. dauerhafte Speicherung von Daten für eine Profilbildung
- - Löschprozess von abgelehnten oder vermittelten Bewerbern
- - Prozesse zur Geltendmachung von Betroffenenrechten (z. B. Auskunft, Berichtigung oder Löschung)
Wenn Sie Dienstleister beauftragen und diese personenbezogenen Daten im Kern verarbeiten, dann müssen Sie diverse Punkte beachten. Neben dem Abschluss einer Auftragsverarbeitungsvereinbarung müssen Sie den Auftragsverarbeiter auf Eignung vorab und dann regelmäßig prüfen. Dies müssen Sie gegenüber den Aufsichtsbehörden auch nachweisen können. Dieses Thema ist recht umfangreich, wird aber gerne vernachlässigt. Typische Auftragsverarbeiter bei einem Personalberater sind:
- - Betreiber oder Lieferant von Personalsoftware (Fernwartung oder / und Hosting)
- - Externe Personalverwaltung oder Lohnbuchhaltung
- - IT-Support
- - Betrieb oder Support Telekommunikationsanlage
- - Betrieb von Online-Bewerbungssystemen
- - Hosting oder Betreuung der Online-Auftritte
- - E‑Mail-Newsletter-Service
- - Sonstige Cloud-Dienste (z. B. Office 365 von Microsoft)
- - Callcenter
- - Datensicherung / Archivierung
- - Papier- oder Datenträgerentsorgung
- - Consulting
- - E‑Mail- oder Spamdienst
- - Online-Dienste, z. B. Analysetools auf der Webseite oder in der App
Bewerberdaten sind grundsätzlich zu löschen, wenn der Zweck (“die Bewerbung”) erfüllt worden ist. Es gibt aber noch Möglichkeiten oder Pflichten, die Daten der Kandidaten weiterhin zu speichern. Einige davon werden hier aufgeführt:
- Die personenbezogenen Daten der Bewerber dürfen so lange gespeichert werden, wie sie für die Besetzung einer offenen Stelle mit einem passenden Bewerber durch ein entsprechendes Bewerbungsverfahren andauert. Nach einer Absage, weil z. B. die ausgeschriebene Stelle nicht mit einem anderen Kandidaten besetzt wurde, ist zwar der Zweck erfüllt, jedoch das Bewerbungsverfahren noch nicht abgeschlossen. Das ist erst dann der Fall, wenn gegen den Personalvermittler keine gesetzlichen Ansprüche gem. §15 Abs. 4 AGG (Allgemeines Gleichbehandlungsgesetz) mehr geltend gemacht werden können.
Dabei hat ein abgelehnter Bewerber zwei Monate nach Zugang der Absage Zeit, mögliche Entschädigungsansprüche anzuzeigen. Um die Vorwürfe nach AGG widerlegen zu können, ist es grundsätzlich zulässig, die Bewerbungsunterlagen und auch die Dokumentation des Bewerbungsverfahrens mindestens 2 Monate nach Zugang der Ablehnung an den Bewerber zu speichern.
Personalvermittler stärken ihre Rechtssicherheit, wenn sie auch das Anforderungsprofil der Stelle und die Kriterien der Einstellungsentscheidung dokumentieren und speichern. Um Verzögerungen in der Post- und Klagezustellung zu berücksichtigen, hat sich bei den Aufsichtsbehörden eine Speicherdauer von vier bis sechs Monaten etabliert.
- Unterlagen von Kandidaten, die beim Auftraggeber vorgestellt, aber nicht eingestellt wurden, können ebenfalls für drei Jahre (Verjährung) gespeichert werden. Denn für den Personalvermittler sind ggf. Ansprüche gegen den Auftraggeber denkbar. Das sind Fälle, in denen zwar vorgestellte Kandidaten nicht sofort eingestellt werden, sondern erst längere Zeit nach Abschluss des Mandats, sogar ohne Wissen des Personalberaters.
- Unterlagen mit steuerlicher Relevanz, z. B. Abschlussrechnungen, Gewährleistungsunterlagen, dürfen 10 bzw. 6 Jahre gespeichert werden (§§ 147 Abs. 3 AO, 257 Abs. 4 HGB).
- In Kandidaten- oder auch Talentpools können Bewerberdaten oftmals länger gespeichert werden, um mögliche spätere Bewerbungen aus dem internen Pool zu berücksichtigen. Für diese Speicherung ist aber die aktive und ausdrückliche Einwilligung des Betroffenen nötig, die auch nach Zugang der Absage aktiv erfragt werden kann. Die umfangreichen Vorgaben der Einwilligung sind zu berücksichtigen.
- Wird der Bewerber an einen Arbeitgeber vermittelt, werden alle mit der Bewerbung in Zusammenhang stehenden Daten Gegenstand der Personalakte des zukünftigen Arbeitgebers. Wurden Unterlagen durch den Bewerber aber gefälscht, kann es zu Rechtsansprüchen des Arbeitgebers kommen. Daher ist eine zivilrechtliche Verjährungsfrist zu beachten. Die Speicherung der Unterlagen der Kandidaten, die beim Auftraggeber vor- und eingestellt wurden, können regelmäßig für drei Jahre gespeichert werden, um Rechtsansprüche geltend machen, abwehren oder durchführen zu können.
- Besteht keine Rechtsgrundlage mehr zur weiteren Speicherung, müssen grundsätzlich alle Daten von allen IT-Systemen oder Akten gelöscht werden. Davon ausgenommen sind mindestens Vor- und Zuname, um eine erneute Ansprache zu vermeiden. Das wiederholte Ansprechen von Kandidaten, die nicht ihren Job wechseln wollen, kann eine wettbewerbswidrige Handlung darstellen.
Wenn Sie eine professionelle Unterstützung im Datenschutz für Ihr Unternehmen suchen, sollten wir uns kennenlernen!
Finden Sie hier eine Auswahl von Dienstleistungen. Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.
Datenschutzbeauftragter DSGVO
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?
Datenschutzkonforme Website
Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!
Videoüberwachung DSGVO
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.
Preise Datenschutz und Informationssicherheit
Ich biete individuelle Lösungen für Unternehmen, denen Datenschutz und Informationssicherheit wichtig sind. Gern nehme ich mir Zeit für eine persönliche Beratung und fertige Ihnen unverbindlich und kostenlos ein für Sie zugeschnittenes Angebot an. Ich bevorzuge Unternehmen, die den Datenschutz und die Informationssicherheit umsetzen wollen. Wenn Sie eine Beratung von der Stange zu geringen Kosten bevorzugen, passen wir nicht zusammen. Ich biete maßgeschneiderte Lösungen für Ihr Unternehmen.
Bestandsaufnahme
ab 1.680 €
Externer Berater
140 € / Stunde
Externer Beauftragter
ab 370 € / Monat
Audit Videoüberwachung
ab 800 €
Paket Website Audit DSGVO
ab 200 €
Schulungen
Auf Anfrage
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Kontakt
- Direkte Betreuung
- Beratung diverser Personaldienstleister im norddeutschen Bereich
- Zeitnah verfügbar
Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.
