Bei Neueinstellungen landen in den Unternehmen meist umfangreiche Datenmengen über Bewerber, die als personenbezogene Daten besonders schützenswert sind. Bereits jetzt müssen die Vorgaben des Bundesdatenschutzgesetzes beim Umgang mit diesen Daten beachtet werden, im Mai nächsten Jahr kommen durch die Datenschutzgrundverordnung noch weitere Vorgaben und Informationspflichten dazu.
Mit der im Mai nächsten Jahres endenden Übergangsfrist zur Umsetzung der Datenschutzgrundverordnung wird der Schutz für personenbezogene Daten europaweit auf eine einheitliche Grundlage gestellt und teilweise auch gestärkt.
- Die Verordnung gilt dabei für alle ganz oder auch nur teilweise automatisierten Verarbeitungsvorgänge personenbezogener Daten.
- Personenbezogene Daten sind dabei als solche Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Besonderer Schutz für Profiling
Ein nochmals deutlich höheres Schutzniveau gilt für personenbezogene Daten, wenn diese benutzt werden,
„um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.
Bei diesem sogenannten Profiling, das in Art. 4 Nr. 4 DSGVO definiert ist, müssen die Betroffenen umfassend über die angestrebten Auswirkungen und die Tragweite des Verfahrens informiert werden und es müssen auch weitergehende Informationen, etwa zu den verwenden Analyse-Algorithmen bereitgestellt werden. Werden etwa im Rahmen von Bewerbungsverfahren solche Daten zu Profiling-Zwecken erhoben, gelten künftig diese erweiterten Informationspflichten und es muss vor der Verarbeitung die Zustimmung eingeholt werden.
Recht auf Auskunft und Löschung
Die Betroffenen haben aber auch schon bei der Verarbeitung allgemeiner personenbezogener Daten umfassende Auskunfts- und auch Löschungsrechte.
- In Art. 15 DSGVO sind die Auskunftsrechte definiert, nach denen etwa Angaben zu Verarbeitungszweck, Kategorie der erhobenen Daten, Empfängern der Daten, oder geplanter Speicherungsdauer zu geben sind. Ebenso muss ein Hinweis auf das Recht zur Löschung oder Berichtigung der Daten erfolgen und auf das Beschwerderecht gegenüber der zuständigen Aufsichtsbehörde hingewiesen werden.
- Art. 17 DSGVO beschreibt die Löschungsrechte, die etwa dann bestehen, wenn die mit der Verarbeitung der Daten verfolgten Zwecke erreicht sind oder ein Widerruf der erteilten Einwilligung vorgenommen wird.
Active Sourcing
In Zeiten eines eher schrumpfenden Angebots an geeigneten Bewerbern, gehen immer mehr Unternehmen selber auf aktive Personalsuche bzw. lassen von Spezialisten suchen.
Auch bei diesem Active Sourcing werden üblicherweise umfangreiche personenbezogene Daten gesammelt, die größtenteils aus öffentlich zugänglichen Quellen wie Homepages, soziale Netzwerke, Unternehmens-Webseiten etc. stammen, etwa um einen Kandidatenpool anzulegen.
Nach dem alten BSDG (§ 28 I Nr. 3) ist nach allgemeiner Auffassung die Verarbeitung solcher Daten aus allgemein zugänglichen Quellen auch ohne explizite Zustimmung der Betroffenen dann erlaubt, wenn keine überwiegenden Interessen dieser potenziellen Kandidaten gegen diese Datenverarbeitung bestehen.
Informationspflichten gegenüber gegoogelten potentiellen Mitarbeitern?
In der DSGVO gibt es zwar keine derartige Regelung zum Beschäftigtendatenschutz, allerdings wird man hier auf die allgemeine Abwägungsklausel in Art. 6 Abs. 1 zurückgreifen können, nach der eine Datenverarbeitung ebenfalls zulässig ist,
„wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ ist, und „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
Eine Änderung ergibt sich allerdings bei den Informationspflichten gegenüber den Betroffenen.
Für das #Profiling, die #Bewertung personenbezogener Daten für Analysen, besteht gesonderter #Datenschutz.
Click to tweet
Bislang gab es im Bundesdatenschutzgesetz eine Ausnahmeregelung,nach der bei Sammlung von Daten aus öffentlichen Quellen die Betroffenen nicht informiert werden müssen, wenn dies wegen der Vielzahl der Fälle unverhältnismäßig ist.
Eine solche Ausnahmeregelung gibt es in der DSGVO nicht, sodass hier nun eine Information erfolgen muss. Allerdings muss auch künftig nicht jeder einzelne Betroffene separat informiert werden, sondern eine allgemeine Information zum Active Sourcing, etwa über die Datenschutzerklärung auf der Unternehmens-Website, sollte ausreichend sein.
Was es beim Recruiting ab Mai 2018 zu beachten gilt
Wenn sich durch die neue Datenschutzgrundverordnung auch keine grundlegenden Veränderungen im Hinblick auf das Recruitment ergeben, sollten die Unternehmen die verschärften Auflagen und Informationspflichten in jedem Fall beherzigen, denn bei Verstößen drohen ab dem nächsten Jahr erhebliche Bußgelder. So sollten etwa folgende Punkte berücksichtigt werden:
- Die Datenschutzinformationen sollten aktualisiert und an die neuen Begrifflichkeiten der DSGVO angepasst werden.
- Die Informationen müssen gegebenenfalls erweitert werden. Sollen Daten etwa zu einem späteren Zeitpunkt für weitere Zwecke analysiert und ausgewertet werden, muss darüber ausreichend informiert werden, auf die Widerspruchs- und Beschwerdemöglichkeiten hingewiesen werden.
- Die organisatorischen und technischen Voraussetzungen zur fristgerechten Löschung der Daten auf Verlangen der Betroffenen müssen getroffen werden, gleiches gilt für Datenauskünfte oder Datenextraktion, wenn Betroffene von ihren Rechten Gebrauch machen.
Hintergrund:
Umfrage zeigt Lethargie
Nach einer repräsentativen Umfrage des Branchenverbands Bitkom, für die knapp über 500 Datenschutzverantwortliche aus Unternehmen mit mehr als 20 Mitarbeitern im Oktober 2016 befragt wurden. hatte fast die Hälfte sich noch nicht mit der Reform beschäftigt.