Datenschutz im Recruiting – das heikle und viel diskutierte Thema hat sich mit dem Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) der EU seit Mai 2018 noch weiter verschärft. Welche konkreten Anforderungen stellt das Gesetz an die Transparenz über die Datenverarbeitung und Kommunikation mit Bewerbern und wie können Recruiter die Einhaltung der Bestimmungen sicherstellen? Wir haben mit Katharina Schumann, Rechtsanwältin und Fachanwältin für Arbeitsrecht aus München, gesprochen.
Wann genau tritt die DSGVO in Kraft und was sind für HR-Abteilungen die wichtigsten Neuerungen – auch im Vergleich zu bisherigen Datenschutzrichtlinien?
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG), kurz „DSGVO“, ist am 25. Mai 2016 in Kraft getreten und gilt mit dem geänderten Bundesdatenschutzgesetz (BDSG) seit dem 25. Mai 2018.
Eine wesentliche Neuerung stellt die Erweiterung der Vorschriften des Datenschutzes auf nicht-automatisierte Datenverarbeitungen dar. Beschäftigtendaten sollen damit auch vor „analogen“ Beeinträchtigungen in Schutz genommen werden, gleich ob es sich z.B. um den Austausch zwischen altem und neuen Arbeitgeber über den Ex-Arbeitnehmer/Bewerber oder um die Frage des Vorgesetzten, wegen welcher Erkrankung der Mitarbeiter denn zuvor seine Fehlzeiten angehäuft habe oder die Taschenkontrolle ist.
Die Rechte, insbesondere der Arbeitnehmer, werden durch neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen gestärkt. Arbeitnehmer sollen leichter Zugang zu ihren Daten und der Information über deren Nutzung haben. Zudem wird das bislang lediglich durch Rechtsprechung konstruierte „Recht auf Vergessenwerden“, also der Anspruch auf Löschung personenbezogener Daten, nun Gesetz.
Die Betroffenen haben gem. Art. 15 DSGVO ein umfassendes Auskunftsrecht, das mit dem bisherigen § 34 BDSG vergleichbar ist. Neu ist allerdings, dass der Betroffene auch die Auskunft und die Übermittlung der Daten in elektronischer (gängiger) Form und auch eine Kopie der Daten verlangen kann.
Wenn das Unternehmen die personenbezogenen Daten verarbeitet, kann die betroffene Person über diese etwa Informationen verlangen wie: Woher stammen die Daten und an wen werden sie übermittelt? Zu welchen Zwecken werden die Daten verarbeitet? Wird daraus etwa ein Profiling erstellt? Und wie lange werden sie gespeichert?
Art. 17 DSGVO regelt das „Recht auf Vergessenwerden“, also ein Recht auf Löschung der eigenen Daten, wenn:
- die Speicherung der Daten nicht mehr notwendig ist
- der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
- die Daten unrechtmäßig verarbeitet wurden
- eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht
Das Recht auf Vergessenwerden findet allerdings keine Anwendung, wenn:
- die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen
- die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
- das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
- Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen
- die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist
Art. 16 regelt ein „Recht auf Berichtigung“. Danach können Betroffene verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden.
Art. 18 regelt, dass Daten nur aus eingeschränkten Gründen verarbeitet werden dürfen. Dies kommt etwa dann zur Anwendung, wenn der Betroffene die Richtigkeit der Daten bestritten hat oder wenn die Verarbeitung unrechtmäßig ist.
Art. 30 DSGVO regelt, dass der Verantwortliche bzw. der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen muss. Es handelt sich dabei um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Unter bestimmten Voraussetzungen können Unternehmen mit weniger als 250 Beschäftigten nach Art. 30 Abs. 5 DSGVO von dieser Pflicht ausgenommen sein.
Die neue Verordnung sieht im Vergleich zur bisherigen Rechtslage zusätzliche Angaben vor, wie z. B. Name und Kontaktdaten des ggf. bestellten Datenschutzbeauftragten, Löschfristen und die TOM. Unternehmen müssen dieses Verzeichnis außerdem auf Anfrage der Aufsichtsbehörde zur Verfügung stellen. Allerdings fällt die noch im BDSG geregelte Pflicht weg, das Verzeichnis jedermann auf Anforderung zur Verfügung zu stellen.
Was passiert bei Verletzungen des Schutzes personenbezogener Daten und wie kann ein Datenschutzbeauftragter helfen?
Völlig neu ist die Datenschutzfolgenabschätzung¸ Art. 35 DSGVO. Wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt, ist die Abschätzung durchzuführen. Insbesondere also bei der Verwendung neuer Technologien oder sonst aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.
Die Folgeschutzabschätzung erfolgt in 3 Stufen:
- 1. Es zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Abs. 3 als nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten.
- 2. Besteht ein solches Risiko, ist in einer 2. Stufe eine Bewertung dahingehend vorzunehmen, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehren ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.
- 3. Besteht trotz möglicher Maßnahmen ein hohes Risiko, muss in einer 3. Stufe die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese kann dann innerhalb von 8 Wochen Empfehlungen aussprechen. Zuständige Behörde ist in Deutschland der Bundesbeauftragte nach § 69 Abs. 1 DSAnpUG-EU.
Ist ein Datenschutzbeauftragter bestellt, muss er in die Datenschutz-Folgenabschätzung eingebunden werden. Die Datenschutzfolgenabschätzung ist schriftlich zu dokumentieren.
Für die Melde- und Informationspflichten bei Verletzungen des Schutzes personenbezogener Daten gelten zukünftig die Vorgaben des Art. 33 DSGVO. Danach müssen alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden, es sei denn, das Risiko für persönliche Rechte und Freiheiten ist unwahrscheinlich.
Unternehmen müssen solche Verletzungen der Aufsichtsbehörde unverzüglich, spätestens binnen 72 Stunden nach Bekanntwerden der Verletzung melden und folgende Informationen übermitteln:
- Beschreibung der Verletzung, Angabe der Kategorie der betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze,
- Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen informierten Ansprechpartners,
- Beschreibung der Folgen der Datenschutzverletzung,
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.
In Deutschland ist der Bundesbeauftragte für Datenschutz die zuständige Aufsichtsbehörde, § 65 DSAnpUG-EU.
Außerdem müssen die von einer Verletzung Betroffenen grds. selbst benachrichtigt werden, Art. 34 DSGVO und § 66 DSAnpUG-EU. Die Benachrichtigungspflicht entfällt, wenn:
- der Verantwortliche Vorkehrungen getroffen hat, die Daten Unbefugten unzugänglich zumachen, etwa durch Verschlüsselung,
- der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen,
- sie einen unverhältnismäßig hohen Aufwand erfordern würde – dann muss allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.
Nach Art. 37 DSGVO müssen Unternehmen immer dann einen betrieblichen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit bzw. die ihres Auftragsverarbeiters:
- aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern
- die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft
Auf die Anzahl der mit der automatisierten Datenverarbeitung befassten Personen kommt es nicht mehr an.
- 38 DSAnpUG-EU erweitert die Gründe für die Benennung eines Datenschutzbeauftragten. Sie ist danach auch dann erforderlich, wenn der Verantwortliche oder Auftragsverarbeiter:
- in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt
- Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen (dies ist insbesondere relevant bei Gesundheitsdaten)
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet
Der Datenschutzbeauftragte muss entsprechend beruflich und fachlich qualifiziert sein. Er kann Mitarbeiter des datenverarbeitenden Unternehmens sein oder aber auch ein Externer. Hat ein Konzern mehrere Gesellschaften, können diese auch einen gemeinsamen Beauftragten benennen (Konzerndatenschutzbeauftragter). Ohne wichtigen Grund gem. § 626 BGB darf er weder abberufen noch gekündigt werden, § 38 in Verbindung mit § 6 Abs. 4 DSAnpUG-EU.
Nach Art. 38 DSGVO ist der Datenschutzbeauftragte frühzeitig einzubinden, fachlich weisungsfrei und berichtet unmittelbar der höchsten Managementebene. Seine Aufgaben umfassen nach Art. 39 DSGVO die:
- Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters sowie deren Beschäftigten,
- Überwachung der Einhaltung der rechtlichen Regelungen sowie der Strategien des Verantwortlichen bzw. Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der relevanten Mitarbeiter
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung gem. Art. 35 DSGVO
- Zusammenarbeit mit der Aufsichtsbehörde
- Tätigkeit als Anlaufstelle der Aufsichtsbehörde
Er kann im Unternehmen auch zusätzlich andere Aufgaben wahrnehmen, sofern sichergestellt ist, dass daraus keine Interessenkonflikte erwachsen.
Mit welchen Sanktionen müssen Unternehmen bei Verstoß gegen das neue Gesetz rechnen?
Zum einen regelt Artikel 82 DSGVO die Haftung und das Recht auf Schadenersatz des Betroffenen. Demnach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung nur befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Darüber hinaus regelt § 83 DSGVO die zu verhängenden Geldbußen bei Verstößen gegen die DSGVO:
Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs werden verhängt für Verstöße gegen:
- die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
- die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
- die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs werden verhängt für Verstöße gegen:
- die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
- die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
- die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
- alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden.
Erfahren Sie mehr zum Thema DSGVO - in unserem zweiten Artikel "Datenschutzerklärung, Recruiting-Tools und Active Sourcing: Das sagt die DSGVO dazu".
Weitere Informationen: www.lehner-kollegen.de
Bildquelle: © Khakimullin Aleksandr - Shutterstock.com
Hinterlassen Sie einen Kommentar