Veröffentlicht von CareerBuilder Germany am 26 Februar 2018
Themen: Arbeitsrecht - Big Data - Recruiting-Prozess | Keine Kommentare

Die DSGVO – Was Personaler wissen müssenDatenschutz im Recruiting – das heikle und viel diskutierte Thema dürfte sich mit dem Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) der EU im Mai 2018 noch weiter verschärfen. Wie laut neuem Gesetz die Datenschutzerklärung aussehen sollte, unter welchen Voraussetzungen Bewerberdaten gespeichert und ob Kandidaten gegooglet werden dürfen, erklärt Katharina Schumann, Rechtsanwältin und Fachanwältin für Arbeitsrecht aus München.

icon_question_73px-2.jpg

Was muss die (neue) Datenschutzerklärung laut DSGVO enthalten und wie kann ich eine sehr ausführliche Erklärung sinnvoll strukturieren?

Art. 13 Abs. 1 DSGVO schreibt vor, welche Informationen die Datenschutzerklärung enthalten muss. Anhand dieser Vorgaben lässt sich auch die Erklärung transparent strukturieren:

  • den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen
  • ggf. die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand), wobei zwischen verschiedenen Zwecken deutlich zu differenzieren ist
  • wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe)
  • ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind

Zusätzlich zu den Informationen gemäß Absatz 1 hat der Verantwortlicher nach Art. 13 Abs. 2 der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung zu stellen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen der Betroffenenrechte, also des Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
  • wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Zudem regelt Art. 13 Abs.3 DSGVO, dass, soweit der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung stellt.

Die relevante Neuerung liegt also darin, dass künftig nicht nur die Zwecke der Datenverarbeitung zu nennen sind, sondern auch eine klare Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten.

Nach dem Wortlaut des Art. 13 DSGVO besteht aber keine Pflicht, über die Arten und den Umfang der Datenverarbeitungsvorgänge so zu informieren, wie es derzeit noch § 13 Abs. 1 TMG vorsieht.

icon_question_73px-2.jpg

Wann dürfen personenbezogene Daten verarbeitet werden?

Nach Art. 4 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (= „betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Verarbeitung” ist gem. Art 4 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Personenbezogene Daten dürfen gem. Art. 6 DSGVO verarbeitet werden, wenn

  • die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat;
  • die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen;
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt;
  • die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Wie bereits in der ersten Frage ausgeführt, regelt § 26 Abs. 1 S. 1 BDSG nF, dass „personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“

Nach § 26 Abs. 1 S. 2 BDSG nF ist die Erhebung und Verarbeitung von Daten auch zur Aufdeckung von Straftaten möglich, nicht jedoch von untergesetzlichen Regelverstößen.

icon_question_73px-2.jpg

Und wie lange dürfen Bewerberdaten gespeichert werden? Was ändert sich durch die DSGVO im Hinblick auf den Einsatz von Bewerbermanagement-Systemen oder Talent-Pools?

Die Speicherung personenbezogener Daten darf nach altem wie auch neuem Recht nur zweckgebunden erfolgen. Ist die Stelle einmal besetzt oder wird sie definitiv nicht besetzt oder ist der betroffene Bewerber ungeeignet, besteht also kein Grund mehr, die Informationen bzw. Bewerbungsunterlagen aufzubewahren.

Der abgelehnte Bewerber könnte theoretisch nach dem Allgemeinen Gleichbehandlungsgesetzes (AGG) wegen einer angeblichen Benachteiligung klagen. Daher dürfen Unternehmen die Bewerberdaten aufbewahren, solange sie mit Auseinandersetzungen mit nicht berücksichtigten Bewerbern rechnen müssen. Eine gerechtfertigte Aufbewahrungsfrist liegt wohl bei ca. 3 Monaten, da die Klagefrist 2 Monate beträgt.

Ist die Frist abgelaufen, sind alle Bewerberdaten zu löschen, d. h. die Daten müssen unkenntlich gemacht werden und dürfen nach ihrer Löschung nicht mehr existieren. Anschreiben, Lebenslauf, Zeugnisse etc. sind aus den E-Mail-Verwaltungsprogrammen zu löschen bzw. Papierunterlagen zu schreddern.

Will der Arbeitgeber die Bewerbungsunterlagen hingegen länger aufbewahren, um auf den Bewerber ggf. bei der nächsten freien Stelle noch einmal zu berücksichtigen und zu kontaktieren, muss der Bewerber seine schriftliche Einwilligung dazu geben. Dies kann beispielsweise dadurch erfolgen, dass ein Bewerber in seinem Anschreiben mitteilt, dass seine Daten für einen möglichen späteren Kontakt gespeichert werden dürfen.

Gemäß Artikel 15 DSGVO haben Bewerber künftig das Recht, von den Arbeitgebern umfangreiche Auskunft über die über sie gespeicherten Daten zu verlangen. Die Zweckgebundenheit sollte daher bei der Speicherung der Daten dokumentiert werden. So können in Bewerbermanagement-Systemen Kommentare zum Aufbewahrungsgrund angelegt werden, wie zum Beispiel „Zustimmung zum Verbleib im Bewerberpool“.

Was ebenfalls neu zu beachten ist gemäß Art. 13 Abs. 1 und Abs. 2 DSGVO: Arbeitgeber müssen Bewerber bei Eingang der Unterlagen über die Art der Datenerhebung informieren. Das beinhaltet unter anderem Angaben zum Verarbeitungszweck sowie zur Dauer des Aufbewahrungszeitraums. Dies kann z.B. per E-Mail über eine automatische Eingangsbestätigung erfolgen, die die erforderlichen Informationen gem. Art. 13 DSGVO enthält. Die Art der nach Art. 13 DSGVO mitzuteilenden Daten wurden bereits oben dargelegt.

icon_question_73px-2.jpg

Wie sieht es mit Active Sourcing aus – ist das nach Inkrafttreten der DSGVO überhaupt noch möglich? Und darf ich als Personaler potentielle neue Mitarbeiter googlen?

Nach altem Datenschutzrecht konnte für die Kandidatensuche auf § 28 I Nr.3 BDSG  zurückgegriffen werden, demnach die Verarbeitung von personenbezogenen Daten zu eigenen Zwecken (also der Personalbeschaffung) zulässig war, wenn es sich um allgemein zugängliche Daten handelte und keine überwiegenden Interessen des Kandidaten gegen diese Datenverarbeitung sprachen. Denn unter allgemein zugängliche Daten fallen auch Daten aus sozialen Netzwerken, Suchmaschinen oder von Homepages, so dass das Active Sourcing sowie die daraus folgende Anlage eines Kandidaten-Pools unter diesen Voraussetzungen grundsätzlich möglich war.

Nach neuem Recht gibt eine spezielle Regelung wie § 28 BDSG nicht. Es ist daher auf die allgemeine Regelung des Art. 6 Abs. 1 S. 1 f) DSGVO zurückzugreifen, demnach die Datenverarbeitung zulässig ist, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Da auch wirtschaftliche Interessen grundsätzlich geeignet sind, eine Datenverarbeitung zu rechtfertigen, könnte das Active Sourcing also insoweit gerechtfertigt sein, als die Notwendigkeit der Personalbeschaffung ein wirtschaftliches Interesse ist.

An der grundsätzlichen Zulässigkeit einer Verarbeitung von im Internet öffentlich gemachten Daten eines potentiellen Kandidaten zu Sourcing-Zwecken ändert sich also insoweit nichts gravierend.

icon_question_73px-2.jpg

Welche Auswirkungen hat die neue Grundverordnung auf kleinere Unternehmen, die keine automatisierten Prozesse nutzen?

Nach § 26 Abs. 7 BDSG n.F. sind die Absätze 1 bis 6 auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Insbesondere bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht zudem in Textform aufzuklären.

Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Also auch wenn z.B. per E-Mail eingegangene Bewerbungsunterlagen EDV-mäßig verarbeitet, also z.B. weitergeleitet und gespeichert werden, finden die Grundsätze der DSGVO Anwendung.

 

Erfahren Sie mehr zum Thema DSGVO - in unserem Artikel "Die DSGVO - Was Personaler wissen müssen".

 

Weitere Informationen: www.lehner-kollegen.de

DSGVO - Woran CareerBuilder aktuell arbeitet und was Sie als Kunde von CareerBuilder beachten sollten

Bildquelle: © Khakimullin Aleksandr - Shutterstock.com 

Hinterlassen Sie einen Kommentar