Auch beim Personalrecruiting bringt die Datenschutzgrundverordnung strengere Datenschutzvorgaben Bild: MEV Verlag GmbH, Germany

Bei Neueinstellungen landen in den Unternehmen meist umfangreiche Datenmengen über Bewerber, die als personenbezogene Daten besonders schützenswert sind. Bereits jetzt müssen die Vorgaben des Bundesdatenschutzgesetzes beim Umgang mit diesen Daten beachtet werden, im Mai nächsten Jahr kommen durch die Datenschutzgrundverordnung noch weitere Vorgaben und Informationspflichten dazu.

Mit der im Mai nächsten Jahres endenden Übergangsfrist zur Umsetzung der Datenschutzgrundverordnung wird der Schutz für personenbezogene Daten europaweit auf eine einheitliche Grundlage gestellt und teilweise auch gestärkt.

  • Die Verordnung gilt dabei für alle ganz oder auch nur teilweise automatisierten Verarbeitungsvorgänge personenbezogener Daten.
  • Personenbezogene Daten sind dabei als solche Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Besonderer Schutz für Profiling

Ein nochmals deutlich höheres Schutzniveau gilt für personenbezogene Daten, wenn diese benutzt werden,

„um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.

Bei diesem sogenannten Profiling, das in Art. 4 Nr. 4 DSGVO definiert ist, müssen die Betroffenen umfassend über die angestrebten Auswirkungen und die Tragweite des Verfahrens informiert werden und es müssen auch weitergehende Informationen, etwa zu den verwenden Analyse-Algorithmen bereitgestellt werden. Werden etwa im Rahmen von Bewerbungsverfahren solche Daten zu Profiling-Zwecken erhoben, gelten künftig diese erweiterten Informationspflichten und es muss vor der Verarbeitung die Zustimmung eingeholt werden.

Recht auf Auskunft  und Löschung

Die Betroffenen haben aber auch schon bei der Verarbeitung allgemeiner personenbezogener Daten umfassende Auskunfts- und auch Löschungsrechte.

  • In Art. 15 DSGVO sind die Auskunftsrechte definiert, nach denen etwa Angaben zu Verarbeitungszweck, Kategorie der erhobenen Daten, Empfängern der Daten, oder geplanter Speicherungsdauer zu geben sind. Ebenso muss ein Hinweis auf das Recht zur Löschung oder Berichtigung der Daten erfolgen und auf das Beschwerderecht gegenüber der zuständigen Aufsichtsbehörde hingewiesen werden.
  • Art. 17 DSGVO beschreibt die Löschungsrechte, die etwa dann bestehen, wenn die mit der Verarbeitung der Daten verfolgten Zwecke erreicht sind oder ein Widerruf der erteilten Einwilligung vorgenommen wird. 

Active Sourcing

In Zeiten eines eher schrumpfenden Angebots an geeigneten Bewerbern, gehen immer mehr Unternehmen selber auf aktive Personalsuche bzw. lassen von Spezialisten suchen.

Auch bei diesem Active Sourcing werden üblicherweise umfangreiche personenbezogene Daten gesammelt, die größtenteils aus öffentlich zugänglichen Quellen wie Homepages, soziale Netzwerke, Unternehmens-Webseiten etc. stammen, etwa um einen Kandidatenpool anzulegen.

Nach dem alten BSDG (§ 28 I Nr. 3) ist nach allgemeiner Auffassung die Verarbeitung solcher Daten aus allgemein zugänglichen Quellen auch ohne explizite Zustimmung der Betroffenen dann erlaubt, wenn keine überwiegenden Interessen dieser potenziellen Kandidaten gegen diese Datenverarbeitung bestehen.

Informationspflichten gegenüber gegoogelten potentiellen Mitarbeitern?

In der DSGVO gibt es zwar keine derartige Regelung zum Beschäftigtendatenschutz, allerdings wird man hier auf die allgemeine Abwägungsklausel in Art. 6 Abs. 1 zurückgreifen können, nach der eine Datenverarbeitung ebenfalls zulässig ist,

„wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ ist, und „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Eine Änderung ergibt sich allerdings bei den Informationspflichten gegenüber den Betroffenen.

Click to tweet

Bislang gab es im Bundesdatenschutzgesetz eine Ausnahmeregelung,nach der bei Sammlung von Daten aus öffentlichen Quellen die Betroffenen nicht informiert werden müssen, wenn dies wegen der Vielzahl der Fälle unverhältnismäßig ist.

Eine solche Ausnahmeregelung gibt es in der DSGVO nicht, sodass hier nun eine Information erfolgen muss. Allerdings muss auch künftig nicht jeder einzelne Betroffene separat informiert werden, sondern eine allgemeine Information zum Active Sourcing, etwa über die Datenschutzerklärung auf der Unternehmens-Website, sollte ausreichend sein.

Was es beim Recruiting ab Mai 2018 zu beachten gilt

Wenn sich durch die neue Datenschutzgrundverordnung auch keine grundlegenden Veränderungen im Hinblick auf das Recruitment ergeben, sollten die Unternehmen die verschärften Auflagen und Informationspflichten in jedem Fall beherzigen, denn bei Verstößen drohen ab dem nächsten Jahr erhebliche Bußgelder. So sollten etwa folgende Punkte berücksichtigt werden:

  • Die Datenschutzinformationen sollten aktualisiert und an die neuen Begrifflichkeiten der DSGVO angepasst werden.
  • Die Informationen müssen gegebenenfalls erweitert werden. Sollen Daten etwa zu einem späteren Zeitpunkt für weitere Zwecke analysiert und ausgewertet werden, muss darüber ausreichend informiert werden, auf die Widerspruchs- und Beschwerdemöglichkeiten hingewiesen werden.
  • Die organisatorischen und technischen Voraussetzungen zur fristgerechten Löschung der Daten auf Verlangen der Betroffenen müssen getroffen werden, gleiches gilt für Datenauskünfte oder Datenextraktion, wenn Betroffene von ihren Rechten Gebrauch machen.

Weitere News zum Thema:

Informationen zur Datenschutz-Grundverordnung

Umsetzung der EU-Datenschutzreform durch die Unternehmen

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Hintergrund:

Umfrage zeigt Lethargie

Nach einer repräsentativen Umfrage des Branchenverbands Bitkom, für die knapp über 500 Datenschutzverantwortliche aus Unternehmen mit mehr als 20 Mitarbeitern im Oktober 2016 befragt wurden. hatte fast die Hälfte sich noch nicht mit der Reform beschäftigt.

Schlagworte zum Thema:  Datenschutz, Datenschutz-Grundverordnung, Sanktion, Geldbuße, Datenschutz-Management, Social Media, Recruiting

Aktuell
Meistgelesen