DSGVO ist die Apokalypse des Recruitings?
Wir werden alle sterben! Denn die Apokalypse des Personalwesens steht direkt vor der Tür in Form der Datenschutzgrundverordnung. So fühlt man sich, wenn man als Personaler oder Recruiter mit anderen über die Datenschutzgrundverordnung (DSGVO) oder die noch nicht in Kraft getretene, aber gerne gemeinsam diskutierte E-Privacy-Verordnung (ePrivacyVO) spricht. Alles wird nicht so heiß gegessen, wie es gekocht wird. Sterben werden wir alle, aber mit Sicherheit nicht an der DSGVO.
Beschäftigen wir uns mal mit dem Thema. Die Datenschutzgrundverordnung regelt nichts wesentlich anderes als das Bundesdatenschutzgesetz. Eine der markanten Neuerungen sind die Sanktionsmöglichkeiten und die Beweislastumkehr sowie einige Fristen und Verpflichtungen zur Datenverarbeitung, Löschung von Daten sowie Information der Dateninhaber. Gerade die Sanktionen von bis zu 4 % des weltweiten Jahresumsatzes bzw. bis zu 20 Mio. Euro Geldbuße, je nachdem was höher ausfällt, bei Verstößen sorgen doch für eine deutlich erhöhte Aufmerksamkeit und Betriebsamkeit!
Die DSGVO trat zum 24.05.2016 in Kraft und erlangt zum 25.05.2018 Geltung. Dabei regelt die Datenschutzgrundverordnung allgemein den Datenschutz in der EU, die E-Privacy-Verordnung regelt als spezielle Grundlage die elektronische Kommunikation. Sie ist noch nicht in Kraft gesetzt, die Trilogverhandlungen sind auf Ende 2018 angedacht. Kurzum: an der Datenschutzgrundverordnung wird nichts mehr geändert werden, an der ePrivacyVO kann mittels Erwägungsgründe noch mehr Klarheit und Auslegung des Gesetzes erreicht werden.
Nichts wird so heiß gegessen, wie es gekocht wird. Allerdings sind die Risiken aus den Strafen innerhalb der DSGVO so exorbitant hoch, dass ein Vertrauen auf die Lethargie der Behörden unangebracht ist. Aber aussitzen? Nein! Ein Aussitzen des Themas ist nicht empfohlen!
Entmystifizieren wir die DSGVO
Durch die von der Europäischen Union in Kraft gesetzte Datenschutzgrundverordnung werden die Rechte der betroffenen Personen nachhaltig gestärkt. Für uns Personaler sind dies im Wesentlichen Mitarbeiter, ehemalige Mitarbeiter, Bewerber und Talente (Pre-Bewerber/Kandidaten). Anforderungen an Unternehmen können wir mit dem Einsatz einer datenschutzkonformen Software für das Bewerbermanagement und Personalwesen nachkommen. Die hohen Bußgelder bei Verstößen gegen die datenschutzkonforme Umsetzung von Prozessen sowie auf deren Nachweis ist eminent und es ist unsere Aufgabe, die Auswirkungen der DSGVO und ePrivacyVO auf die Agenda unserer Vorstände und Geschäftsführungen zu bringen. Denn gerade bei der Personalbeschaffung werden sensible personenbezogene Daten verarbeitet. Bewerbern kommen besondere Rechte zu, da es um ihre Daten geht. Beim Einsatz von Recruiting-Software kommt neben dem rekrutierenden Unternehmen zusätzlich auch noch ein Auftragsverarbeiter ins Spiel – die Zusammenarbeit muss vertraglich geregelt und nachvollziehbar sein.
Geiler Witz zum Umgang mit DSGVO:
„Hey du kennst doch einen guten Datenschutzbeauftragten, oder?“
„Ja.“
„Kannst du mir bitte mal seine E-Mail-Adresse geben?“
„Nein.“
Datenschutzverletzungen müssen binnen drei Tagen an die Datenschutzaufsichtsbehörde gemeldet werden. Dabei ist die Beweislast umgekehrt. Unternehmen müssen ihre Einhaltung des Datenschutzes beweisen und technische und organisatorischeMaßnahmen treffen, um diesen Beweis auch erbringen zu können. Auskunftsbegehren von Personen an ein Unternehmen müssen binnen eines Monats vom Unternehmen beantwortet werden. Verfügen wir bereits über die erforderlichen Fähigkeiten und technologischen Lösungen, um diesen Wandel zu stemmen? Und folgen wir in allen Fällen diesen Datenschutzprinzipien? Beginnend bereits bei der Konzeption von Systemen und Abläufen nach dem Prinzip “Privacy by design”?
Titel der Anzeige (m/w/d)?
Ernsthaft? “d” für divers, “x” als Platzhalter oder “t” für transgender? Müssen wir auf jeden Quatsch gleich völlig überzogen reagieren? Ja, offensichtlich. Schauen Sie mal auf Stepstone oder Monster und suchen Sie nach “(m/w/d)”. Heute am 26. April verzeichnet Stepstone genau 717 Treffer bei der Suche. Im Nachgang zu der Entscheidung des Bundesverfassungsgerichts finden sich in jüngster Zeit zunehmend Stellenanzeigen, die den üblichen Klammerzusatz (m/w) auf (m/w/d), (w/m/x) oder (m/w/t) erweitern. Wesentlicher rechtlicher Hintergrund hierfür ist, Indizien zu vermeiden, die für eine Verletzung des Benachteiligungsverbots im Sinne des AGG sprechen können (vgl. die Beweiserleichterung des § 22 AGG). Da das Bundesverfassungsgericht eine Häufigkeit von 1:500 intersexuellen Menschen angenommen hat, erscheint das nicht als völlig übertriebene Vorsichtsmaßnahme. Ich zweifle allerdings.
Download Einwilligung
Sie müssen für die Datenverarbeitung individuelle und konkrete Einwilligungen für jeden Fall beim Inhaber der Daten einholen. Das ist eine umfangreiche und wichtige Aufgabe. Schauen Sie sich mal auf der nachfolgenden Seite um.
Das ist ein super Service der Plattform Datenschutz.org. Wie immer im Leben sollte man sich nicht auf Downloads aus dem Internet pauschal verlassen. Deshalb Achtung! Übernehmen Sie diese Vorlage nicht ungeprüft! Die Einwilligungserklärung muss je nach Einsatz angepasst und ggf. erweitert werden. Wenden Sie sich zur Prüfung an einen erfahrenen Datenschutzbeauftragten!
Quelle: Einwilligungserklärung im Datenschutz: Freiwilligkeit, Eindeutigkeit und Widerrufbarkeit
Profiling
Recruiter sind verpflichtet, die Datenerhebung mitzuteilen. Das ist einer der wesentlichen Unterschiede zwischen BDSG und DSGVO! Die Nutzung der Daten und deren Verarbeitung stehen im Zentrum der Datenschutzgrundverordnung. Dabei sind die Informationspflichten bei zeitgleicher Beweislastumkehr und hoher Sanktionen prägende Elemente. Dabei spielen die Information über den konkreten Nutzungszweck der Datenverarbeitung eine wichtige Rolle, ebenso der offene Umgang der Recruiter mit der Datenerhebung und deren Verwendung.
Datenerhebung: Die Datenerhebung aus einem Research erfordert keine Mitbestimmung. Doch die anschl. Verarbeitung erfordert, einige Schritte zu beachten!
Datenverarbeitung: Personen müssen vor der Datenverarbeitung darüber informiert werden, dass ihre Daten genutzt werden. Was wird mit den Daten getan, wozu werden diese verwendet, wo werden sie gespeichert, wer arbeitet damit und wann werden sie gelöscht.
Widerspruch: Die Einwilligung kann zu jedem Zeitpunkt entzogen werden. Nach Information läuft eine Frist von 72 Stunden für Herausgabe oder Löschung der Daten. Längerfristige Speicherung erfordert zusätzliche Einwilligung.
Umgang mit Daten
Nachfolgend die wesentlichen Artikel aus der DSGVO, die den Umgang mit Daten regeln.
Artikel 5, Verarbeitung personenbezogener Daten: Alle personenbezogenen Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte Zwecke erhoben werden. Die Daten dürfen dabei in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die Daten müssen dabei in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet – einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen.
Artikel 6, 7 & 8, Zustimmung: Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Das bedeutet im Klartext, dass jedes Individuum der Nutzung seiner persönlichen Daten ausdrücklich zustimmen muss. Die gesammelten Daten müssen außerdem nötig sein, um eine Aufgabe oder Transaktion abschließen zu können, die von der betreffenden Person veranlasst wurde. Ausgenommen sind hier nur Behörden.
Artikel 15, Auskunftsrecht: EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt.
Artikel 17, Recht auf Löschung: Unternehmen müssen auf Verlangen eines EU-Bürgers dessen persönliche Daten löschen.
Artikel 20, Recht auf Datenübertragbarkeit: Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen.
Artikel 25 & 32, Datenschutz: Unternehmen müssen geeignete technische Maßnahmen treffen, um den Anforderungen zu genügen. Was genau “angemessen” im Sinne der DSGVO/GDPR bedeutet, ist in Artikel 32 näher ausgeführt.
Artikel 33 & 34, Meldepflicht: Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.
Artikel 35, Folgenabschätzung: Firmen sind dazu verpflichtet, eine Datenschutz-Folgeabschätzung vorzunehmen, um die Risiken für EU-Bürger einschätzen zu können. Die Abschätzung muss auch darüber informieren, welche Maßnahmen das Unternehmen trifft, um die entstandenen Risiken zu minimieren.
Artikel 37, 38 & 39, Datenschutzbeauftragter: Einige Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der sowohl die Datenschutzstrategie als auch die DSGVO/GDPR-Konformität überwacht und sicherstellt. Einen Datenschutzbeauftragten brauchen diejenigen Unternehmen, die große Mengen persönlicher Daten von EU-Bürgern speichern oder verarbeiten und regelmäßige Datenprüfungen durchführen. Auch staatliche Behörden müssen einen Datenschutzbeauftragten einsetzen. Die International Association for Privacy Professionals (IAPP) geht davon aus, dass derzeit rund 28.000 Stellen für Datenschutzbeauftragte zu besetzen sind.
Das wäre eine typische Reaktion, aber auch eine zynische. Sie finden auch unter der DSGVO und der ePrivacyVO genügend Möglichkeiten, die richtigen Mitarbeiter für Ihr Unternehmen zu gewinnen und sich dabei völlig datenschutzkonform zu verhalten. Reden Sie mit Ihrem Datenschutzbeauftragten!
Der DSGVO-Albtraumbrief
Reißerischer geht es nicht, aber wenn Sie einen Blick auf den Entwurf unter dem nachfolgenden Link geworfen haben, verstehen Sie das. Ein solcher Brief kursiert bereits in der HR-Familie und wird sicherlich von dem einen oder anderen Bewerber genutzt werden. Die dort enthaltenen Fragen entsprechen allen der derzeitigen Rechtsauffassung. Mein dringender Rat: nehmen Sie diesen Brief, beteiligen Sie alle Fachbereiche in Ihrer Firma und beantworten Sie einmal den ganzen Brief in einer professionellen und transparenten Art. Damit ist eine wichtige Vorarbeit bereits erledigt und Sie können bei Anfragen, die allesamt innerhalb zwei Monate zu beantworten sind, auf Ihre vorformulierten Antworten zurückgreifen. Das spart Zeit und sichert Qualität Ihrer Antwort.
Link: Der DSGVO-Horror-Brief: Ein Kunde will seine Daten
Hinweis: Das hier ist keine Rechtsberatung!
Und zu guter Letzt: Die DSGVO und die ePrivacyVO sind äußerst komplexe und mit Neigung zur pauschalen Regelung erstellte Gesetze. Dieser Blog-Beitrag ersetzt keine individuelle Rechtsberatung für Ihre ganz individuellen Gegebenheiten. Wenden Sie sich bitte an die Rechtsabteilung Ihres Hauses!
Beste Grüße
Ihr Marcus Reif
Quelle des Bildes: Tweet unter https://twitter.com/lorber_claudia/status/989487033923055616