Datenschutz - DSGVO 2018

Allgemeine Informationen zur DSGVO 2018

Ab wann gilt die Datenschutznovelle?

Die DSGVO wurde im April 2016 vom Europäischen Parlament beschlossen und ersetzt ab dem 25. Mai 2018 die nationalen Gesetze in den einzelnen EU-Mitgliedstaaten. Bis zu diesem Zeitpunkt müssen Unternehmen also darauf achten, dass sie die entsprechenden Vorgaben einhalten.

Welche Daten sind von der Datenschutznovelle betroffen?

Die Datenschutznovelle betrifft vor allem "personenbezogene Daten", wie etwa

  • Informationen, die sich auf eine identifzierte oder identifzierbare natürliche Person, beziehen (Vor- und Nachname, Geburtsdatum, Adresse, Hobbies, Telefonnummer, Lebensläufe)
  • Zuordnung zu einer Kennung, wie Name, Kennnummer, Online-Kennungen oder einem oder mehreren besonderen Merkmalen (Religion, politische Einstellungen, Mitgliedschaften, Ehrenamtliche Tätigkeiten ...)
  • Pseudonymisierung -  wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination) ersetzt oder weggelassen, um die Feststellung der Identität des Betroffenen auszuschließen oder wesentlich zu erschweren

Ab wann sind Daten anonymisiert und unterliegen damit nicht mehr dem DSGVO?

Wenn die Daten

  • keinen Bezug zu einer natürlichen Person haben
  • keinen Rückschluss auf eine natürliche Person ermöglichen

Wie dürfen personenbezogene Daten nach dem neuen DSGVO verarbeitet werden?

Folgende Grundsätze müssen dabei eingehalten werden:

"Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz"

Beispiel: Ein Kandidat gibt seine Daten in Ihre Datenbank ein um sich für einen Job zu bewerben - Sie dürfen die Daten im Zuge der Bewerbung bearbeiten - aber ihn nicht bei einer Partnerbörse anmelden

"Zweckbindung"

Beispiel: "Daten auf Vorrat zu unbestimmten Zwecken" zu speichern. So muss schon vor dem Erheben von personenbezogenen Daten ein zweckdienlicher Nutzen festgelegt werden

"Datenminimierung"

Beispiel: Es dürfen nur jene Daten verarbeitet werden, welche für die Bewerbung wirklich notwendig sind - also zum Beispiel keine Shopping-Gewohnheiten

"Richtigkeit"

Beispiel: Ein Bewerber heiratet und hat das Recht, dass Sie den Namen in der Datenbank ändern

"Speicherbegrenzung"

Beispiel: Bewerbungen vor 10 Jahren in einem nicht laufenden Bewerbungsprozess

"Integrität und Vertraulichkeit"

Beispiel: Es darf kein Algorithmus hinterlegt sein, der Bewerber nach bestimmten Kriterien absagt - es muss eine menschliche Bewertung dahinter stecken

Was muss besonders beachtet werden?

Betroffenenrecht

Der Bewerber hat

  • Recht auf Auskunft, ob personenbezogene Daten verarbeitet werden und welche Daten verarbeitet werden mit den folgenden Informationen
    • Verarbeitungszweck
    • Datenkategorie
    • Empfänger oder Kategorien von Empfängern
    • Speicherdauer
    • Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung und Widerspruch
    • Bestehen eines Beschwerderechts an die Aufsichtsbehörde
    • Herkunft der personenbezogenen Daten
    • Information über automatisierte Entscheidungsfindung, die involvierte Logik und die Auswirkung der Entscheidung
  • Recht auf Kopie der personenbezogenen Daten


Recht auf Löschung
  • Personenbezogene Daten müssen selbst, spätestens auf Antrag der betroffenen Person gelöscht werden - zum Beispiel bei
    • Wegfall der Notwendigkeit für die Verarbeitung
    • Wiederruf der Einwilligung
    • Unrechtmäßiger Verarbeitung
    • Löschbegehren, wenn die betroffene Person bei Abgabe der Einwilligung minderjährig war
  • Alle Datenempfänger müssen über Löschbegehren informiert werden
  • Löschung muss in sämtlichen Systemen erfolgen; inklusive Backups, ausgelagerte Server, ...
  • Pflicht zur Löschung entfällt, wenn zum Beispiel eine gesetzliche Pflicht zur Verarbeitung besteht oder die Verarbeitung aufgrund von Rechtsverfolgung/ -verteidigung erforderlich ist


Was ist nach der DSGVO 2018 nicht länger zulässig?

  • Versenden von personenbezogenen Daten - wie etwa Reports, Lebensläufe, Bewerberprofile, E-Mails welche personenbezogene Daten enthalten
  • Bewerberprofile ohne Zustimmung des Bewerbers zusammenzulegen
  • Personenbezogene Daten in ausgedruckter oder elektronischer Form ohne Verarbeitungsgrundlage zu sammeln -  wie etwa ausgedruckte Lebensläufe, Bewerberprofile, E-Mails mit personenbezogenen Daten, alle Kopien der verbreiteten Daten müssen dabei gelöscht werden - "Recht auf Vergessenwerden"
  • "Profiling" - die automatisierte Verarbeitung von personenbezogenen Daten - nicht verboten, unterliegt aber strenger Informationspflicht - dem Bewerber muss zum Zeitpunkt der Erhebung Information über Tragweite und Auswirkung der Datenverarbeitung gegeben werden
  • Bewerberdaten müssen bei Aufforderung gelöscht werden - außer es liegt eine explizite Begründung vor, warum die Daten weiterhin verarbeitet werden müssen, der Bewerber muss darüber informiert werden

Was passiert bei Nicht- Einhaltung der DSGVO?


Es können Geldbußen von bis zu EUR 20.000.000 oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres eingeholt werden - dabei haftend sind die Vertretungsorgane


Wo liegt der eRecruiter Server und wie sind meine Daten geschützt?

Unsere Server liegen bei der Firma „next layer“ in Wien. Sie finden anbei die Zertifizierung ISO/IEC 27001 des Unternehmens. Weiters darf „next layer“  gemäß §68 GewO 1994 die Auszeichnung, im geschäftlichen Verkehr das Wappen der Republik Österreich führen. Zusätzlich, können wir Ihnen bestätigen, dass Ihre Datenbank und Fileserver mittels Microsoft BitLocker verschlüsselt werden und auch die Übertragung der Daten ebenfalls verschlüsselt mittels https passiert. 


Was besagt ISO/IEC 27001?

Die international anerkannte Norm ISO/IEC 27001 gibt an, welche Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation berücksichtigt sein müssen.

Sowie, welche  Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation angepasst sein müssen.

Wie geht eRecruiter mit der möglichen Gefahr von Cyber-Attacken um?

eRecruiter ergreift bereits im Rechenzentrum technische Maßnahmen (Firewall, Virenscanner,...) um Gefahren vorab auszufiltern. Weiters hält eRecruiter das System immer auf dem aktuellsten Stand. Da Ransomware aber im Normalfall auf das Verhalten von Benutzern ausgerichtet ist  - zum Beispiel

  • unachtsame Klicks auf Links
  • öffnen von Dialoge (z.B. Makros in Word) ist es auch notwendig Benutzer zu sensibilisieren.


Wir empfehlen auch einen lokalen Virenscanner und die Systeme der Recruiter immer aktuell zu halten (Windows Updates, Updates für Office, Acrobat Reader,...)


Wie geht eRecruiter mit der DSGVO um?


Sie finden alle Details zum Thema Datenschutz auf unserer Homepage

  • Personenbezogene Daten werden Verschlüsselungen und/ oder Pseudonymisierungen unterzogen
  • Daten können bei technischen oder physischen Zwischenfällen wiederhergestellt werden
  • Double - OptIn Option
  • Self - Service Zone für Bewerber mit der Möglichkeit die eigenen Daten zu löschen, zu bearbeiten oder zu verwalten
  • Bewerbern muss bei Aufforderung, einmal jährlich eine Kopie der gespeicherten Daten übergeben werden - dabei müssen nur jene Daten übergeben werden, welcher der Bewerber selbst bearbeiten kann (keine Klassifizierungen, Internen Bewertungen, etc.)