Bewerbungen datenschutzkonform zu handhaben ist über ein Jahr nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) noch immer eine Herausforderung. Das Karlsruher FZI Forschungszentrum Informatik hat jetzt eine benutzerfreundliche, DSGVO-konforme Lösung entwickelt.
Im Rahmen des Projektes „EDV – Einfaches Digitales Vergessen“ hat das FZI eine Plattform für sicheren, verschlüsselten und selbstbestimmten Datenaustausch entwickelt. Anlässlich des Projektabschlusses werden die Ergebnisse aktuell im Innotec Pforzheim öffentlich vorgestellt.
Die Anforderungen waren keineswegs trivial, denn die Übermittlung von Daten an Unternehmen und der Austausch von Daten innerhalb von Unternehmen geschieht heute vornehmlich per E-Mail. Gerade, wenn es sich dabei um sensible Angaben handelt, wie es etwa beim Bewerbermanagement der Fall ist, birgt das jedoch signifikante Gefahren: Absender haben keine Möglichkeit zu kontrollieren, an welche Empfängerkreise ihre E-Mail weitergeleitet wird, und in der Regel auch keinen Einfluss darauf, wie lange und wo ihre Daten gespeichert werden.
Ende-zu-Ende verschlüsselter Datenaustausch
Ein Problem, weiß Jochen Rill, Diplom-Informatiker am FZI in Karlsruhe: „Auch wenn ein Unternehmen redlich versucht, die Anforderungen der DSGVO umzusetzen – sobald personenbezogene Daten per E-Mail geteilt werden, ist das Bemühen dahin. Hier setzt das Projekt EDV an: Zusammen mit verschiedenen Partnern haben wir eine neue Plattform für Ende-zu-Ende verschlüsselten Datenaustausch entwickelt. Das heißt, dass die übertragenen Informationen über alle Stationen hinweg ein kryptografisches Verfahren durchlaufen. Außerdem hat derjenige, der die sensiblen Daten freigibt, jederzeit die Kontrolle darüber, wer seine Angaben sehen darf. Im Bewerbungsprozess wären das zum Beispiel die Bewerber selbst.“
Bewerber muss Datenweitergabe bestätigen
Über zwei Jahre lang hat das FZI das Sicherheitskonzept für die EDV-Plattform entworfen, evaluiert und auf Schwachstellen getestet. Das daraus entstandene System gewährleistet sowohl dem Datenurheber als auch dem Empfänger, dass das ausgetauschte Wissen gemäß einheitlicher und transparenter Regeln und Richtlinien behandelt wird. Insbesondere datenschutzrechtliche Anforderungen lassen sich damit einfach realisieren. Auf das Bewerbermanagement angewandt bedeutet das: Sobald die Daten weitergegeben werden sollen, ist eine Bestätigung des Bewerbers erforderlich. Durch diese erweiterte Kontrolle ist zu jeder Zeit klar, wer Zugriff auf die Daten hat. Außerdem werden Daten zentral gespeichert und verwaltet; so können datenschutzrechtlich geforderte Löschpflichten kontrolliert und automatisch umgesetzt werden. Damit stärkt die Plattform EDV das Recht auf informationelle Selbstbestimmung im Bewerbungsprozess. Aber auch in anderen Branchen und Bereichen kann die Lösung genutzt werden, etwa im Projektmanagement oder dem Vertragswesen.
Das Projekt „EDV – Einfaches Digitales vergessen“ wurde gefördert vom Bundesministerium für Wirtschaft und Energie (BMWi). Unter der Leitung der Essentri AG bildeten zusammen mit dem FZI Forschungszentrum Informatik, die CAS Software AG und die Hochschule Pforzheim das Projektkonsortium. (Weitere Informationen / externer Link).