Was Sie im Umgang mit E-Mail-Bewerbungen unbedingt beachten müssen
In der Regel archivieren Unternehmen E-Mails lückenlos und revisionssicher, weil es aus Gründen der Compliance oder aufgrund der Branchenzugehörigkeit erforderlich ist. Allerdings gibt es bestimmte E-Mails, die besser nicht dauerhaft archiviert werden sollten. Eine davon ist die E-Mail-Bewerbung. Wie Unternehmen damit umgehen sollten und wie Ihnen eine E-Mail Archivierung dabei helfen kann, erfahren Sie in unserem heutigen Blog Beitrag.
Die E-Mail-Bewerbung hat längt die klassische Bewerbungsmappe abgelöst. In einem Großteil der Stellenanzeigen in Zeitungen und auf Online-Stellenbörsen setzen Unternehmen bevorzugt auf die Bewerbung per E-Mail oder verlangen dies sogar. Der Vorteil liegt auf der Hand: kein lästiges Sortieren der Bewerbungen, kein Entsorgen der Briefumschläge und kein aufwendiger Rückversand von Bewerbungsmappen an die Bewerber. Allerdings steht die E-Mail-Bewerbung auch unter besonderem (Daten)Schutz, den viele Unternehmen sicherlich nicht auf dem Schirm haben.
Länger als drei Monate speichern ist nur mit Zustimmung der Bewerber erlaubt
E-Mail-Bewerbungen dürfen allein schon von Gesetzes wegen nicht genauso behandelt werden wie andere geschäftliche E-Mails. Das Bundesdatenschutzgesetz (§ 35 Abs. 2 Nr. 3) verlangt, dass E-Mails mit personenbezogenen Daten, die Bewerbungen zweifelsohne enthalten, zu löschen sind sobald der Zweck erfüllt ist. Im Allgemeinen gestattet das Bundesdatenschutzgesetz die Aufbewahrung von bis zu drei Monaten. Alles was darüber hinausgeht, bedarf der ausdrücklichen Zustimmung der Bewerberin oder des Bewerbers. Aber wie können Unternehmen sicherstellen, dass nicht doch aus Versehen E-Mail-Bewerbungen länger gespeichert werden?
Spezielle Postfächer für Bewerbungen anlegen
In der Praxis werden häufig persönliche Postfächer für den Empfang von E-Mail Bewerbungen genutzt. In kleinen Unternehmen gehen dann die Bewerbungen an den Geschäftsführer oder zuständigen Abteilungsleiter. Bei mittelgroßen Unternehmen ist der Leiter der Personalabteilung der direkte Adressat der Bewerbung. Der Vorteil ist naheliegend, die Bewerbung erreicht direkt den richtigen Ansprechpartner. Aber kann so garantiert werden, dass die E-Mail auf keinen Fall länger als drei Monate aufgehoben wird? Wohl kaum! Deshalb ist es im ersten Schritt ratsam spezielle Postfächer anzulegen wie jobs@company.de oder karriere@firmaXY.de. Denkbar ist natürlich auch eine positionspezifische Bezeichnung wie salesprofi@firma.de oder azubi@arbeitgeber.com.
E-Mail Archivierung mit Löschmanagement
Die Bewerbungsfächer sind nun angelegt. Dies verbessert schon mal die Übersicht über die eingegangenen Bewerbungen, aber die rechtzeitige Löschung der Daten muss immer noch manuell erledigt werden. Abhilfe schaffen kann hier eine E-Mail Archivierung mit einem anpassbaren Löschmanagement. Im Prinzip unterscheidet sich die Konfiguration von Bewerbungspostfächern zu persönlichen Postfächern nur in einem Punkt: der Archivierungsdauer. Bei Mitarbeiter-Postfächern sollte die Archivdauer lt. HGB (§ 257 HGB Absatz 4) auf mindestens 6 Jahre festgelegt werden, wenn E-Mails Handelsbriefe enthalten. Sind in E-Mails Buchungsbelege oder Rechnungen enthalten, dann verlangt der Gesetzgeber sogar eine Aufbewahrung von 10 Jahren. Bei Bewerbungspostfächern sollte das Löschmanagement dann auf drei Monate eingestellt werden. So ist sichergestellt, dass kein Verstoß gegen das Datenschutzgesetz vorliegt.
Datenschutzkonform archivieren mit Retain
Wenn Sie zurzeit noch keine E-Mail Archivierung einsetzen, aber planen dies zu tun, sollten Sie darauf achten, dass Sie sich für eine Lösung entscheiden, die Ihnen ein umfangreiches Löschmanagement bietet wie z.B. Retain von GWAVA. Unter dem Namen Deletion Management stellt Retain individuelle Konfigurationsmöglichkeiten für das automatische Löschen und Archivieren von E-Mails bereit. Interessiert? Dann fordern Sie noch heute Ihre Retain Produkt Demo an!
Effektive Umsetzung der EU-Datenschutz-Grundverordnung – worauf Unternehmen achten sollten
Wie in unserem letzten Blog „Ignorieren die Unternehmen die GDPR“ berichtet, stellen die umfangreichen Vorschriften der Datenschutzgrundverordnung (DSGVO, engl. GDPR) immer noch viele Unternehmen vor große Herausforderungen. Wo fängt man am besten mit der Umsetzung an, welche Prozesse muss man im Unternehmen in Gang setzen und wie sieht ein DSGVO-konformes Datenschutzmanagement letztendlich aus? Das sind nur einige Fragen, die vielen IT-Verantwortlichen derzeit Kopfzerbrechen bereiten, doch trotz vieler Fragezeichen ist dennoch keine Panik angesagt. Viele der datenschutzrechtlichen Konzepte und Prinzipien der neuen Datenschutz-Grundverordnung sind im Großen und Ganzen nicht viel anders als die, die bislang schon mit dem in Deutschland gültigen Bundesdatenschutzgesetz (BDSG) umgesetzt wurden.
Dennoch ist es unumgänglich, dass Unternehmen ihre Datenschutzpraxis überprüfen und das Datenschutzmanagement bis zum 25. Mai 2018 nach den Vorgaben der DSGVO anpassen und weiterentwickeln. Unternehmen sollten hierfür einen systematischen Fahrplan zur Umsetzung entwickeln. Wie ist der Stand der Technik? Wie verschaffen wir uns einen Überblick über sämtliche IT-Assets? Das sind Fragen, die es am Anfang zu beantworten gilt. Unternehmen die bereits über ein Informationssicherheits-Management System (ISMS) beispielsweise nach der internationalen Norm ISO/IEC 27001 verfügen, können bei den Vorbereitungen auf den EU-gerechten Datenschutz den Aufwand erheblich reduzieren. Doch auch hier gilt es zu prüfen, welche Anforderungen bereits durch ein zertifiziertes ISMS im Unternehmen erfüllt werden und welche Lücken im Kontext der neuen DSGVO bestehen. Wichtig zu verstehen ist, dass Unternehmen, die eine ISO-Zertifizierung besitzen, nicht automatisch nach der Datenschutzgrundverordnung zertifiziert sind. Denn bei einer ISO-Zertifizierung kann der Rahmen der Zertifizierung frei gewählt werden, so dass nicht zwangsläufig das gesamte Unternehmen oder gar personenbezogene Daten von der Zertifizierung erfasst werden. Es gilt also zu analysieren, welche Vorgaben aus der DSGVO von einer ISO-Zertifizierung erfasst werden und welche zusätzlich hinzuzuziehen sind.
EU-DSGVO ohne komplettes ISMS möglich
Da die Einführung eines ISMS immer mit Aufwand und Kosten verbunden ist, stellt sich insbesondere bei kleineren und mittleren Unternehmen die Frage, ob die Einführung eines solchen Systems mit entsprechender Zertifizierung für die rechtskonforme Umsetzung der Anforderungen der DSGVO zwangsläufig notwendig ist. Die Antwort lautet hier ganz eindeutig: Nein!
Anstatt direkt ein vollständiges und dadurch recht komplexes ISMS-Projekt zu realisieren ist es auch möglich, sich zunächst einmal nur auf die seitens der DSGVO erforderlichen Komponenten zu beschränken. Eine Musterlösung hierfür existiert dabei leider nicht, denn verschiedene Geschäftsmodelle erfordern unterschiedliche Datenverarbeitungsvorgänge. Jedoch gibt es Handlungsempfehlungen und Tipps, wie Sie die neuen An- und Herausforderungen sicher angehen. Drei Tipps, um sich für die neue Datenschutzverordnung zu rüsten: