Art. 13 Abs. 1 DSGVO schreibt vor, welche Informationen die Datenschutzerklärung enthalten muss. Anhand dieser Vorgaben lässt sich auch die Erklärung transparent strukturieren:
Zusätzlich zu den Informationen gemäß Absatz 1 hat der Verantwortlicher nach Art. 13 Abs. 2 der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung zu stellen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
Zudem regelt Art. 13 Abs.3 DSGVO, dass, soweit der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung stellt.
Die relevante Neuerung liegt also darin, dass künftig nicht nur die Zwecke der Datenverarbeitung zu nennen sind, sondern auch eine klare Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten.
Nach dem Wortlaut des Art. 13 DSGVO besteht aber keine Pflicht, über die Arten und den Umfang der Datenverarbeitungsvorgänge so zu informieren, wie es derzeit noch § 13 Abs. 1 TMG vorsieht.
Nach Art. 4 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (= „betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
„Verarbeitung” ist gem. Art 4 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Personenbezogene Daten dürfen gem. Art. 6 DSGVO verarbeitet werden, wenn
Wie bereits in der ersten Frage ausgeführt, regelt § 26 Abs. 1 S. 1 BDSG nF, dass „personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Nach § 26 Abs. 1 S. 2 BDSG nF ist die Erhebung und Verarbeitung von Daten auch zur Aufdeckung von Straftaten möglich, nicht jedoch von untergesetzlichen Regelverstößen.
Die Speicherung personenbezogener Daten darf nach altem wie auch neuem Recht nur zweckgebunden erfolgen. Ist die Stelle einmal besetzt oder wird sie definitiv nicht besetzt oder ist der betroffene Bewerber ungeeignet, besteht also kein Grund mehr, die Informationen bzw. Bewerbungsunterlagen aufzubewahren.
Der abgelehnte Bewerber könnte theoretisch nach dem Allgemeinen Gleichbehandlungsgesetzes (AGG) wegen einer angeblichen Benachteiligung klagen. Daher dürfen Unternehmen die Bewerberdaten aufbewahren, solange sie mit Auseinandersetzungen mit nicht berücksichtigten Bewerbern rechnen müssen. Eine gerechtfertigte Aufbewahrungsfrist liegt wohl bei ca. 3 Monaten, da die Klagefrist 2 Monate beträgt.
Ist die Frist abgelaufen, sind alle Bewerberdaten zu löschen, d. h. die Daten müssen unkenntlich gemacht werden und dürfen nach ihrer Löschung nicht mehr existieren. Anschreiben, Lebenslauf, Zeugnisse etc. sind aus den E-Mail-Verwaltungsprogrammen zu löschen bzw. Papierunterlagen zu schreddern.
Will der Arbeitgeber die Bewerbungsunterlagen hingegen länger aufbewahren, um auf den Bewerber ggf. bei der nächsten freien Stelle noch einmal zu berücksichtigen und zu kontaktieren, muss der Bewerber seine schriftliche Einwilligung dazu geben. Dies kann beispielsweise dadurch erfolgen, dass ein Bewerber in seinem Anschreiben mitteilt, dass seine Daten für einen möglichen späteren Kontakt gespeichert werden dürfen.
Gemäß Artikel 15 DSGVO haben Bewerber künftig das Recht, von den Arbeitgebern umfangreiche Auskunft über die über sie gespeicherten Daten zu verlangen. Die Zweckgebundenheit sollte daher bei der Speicherung der Daten dokumentiert werden. So können in Bewerbermanagement-Systemen Kommentare zum Aufbewahrungsgrund angelegt werden, wie zum Beispiel „Zustimmung zum Verbleib im Bewerberpool“.
Was ebenfalls neu zu beachten ist gemäß Art. 13 Abs. 1 und Abs. 2 DSGVO: Arbeitgeber müssen Bewerber bei Eingang der Unterlagen über die Art der Datenerhebung informieren. Das beinhaltet unter anderem Angaben zum Verarbeitungszweck sowie zur Dauer des Aufbewahrungszeitraums. Dies kann z.B. per E-Mail über eine automatische Eingangsbestätigung erfolgen, die die erforderlichen Informationen gem. Art. 13 DSGVO enthält. Die Art der nach Art. 13 DSGVO mitzuteilenden Daten wurden bereits oben dargelegt.
Nach altem Datenschutzrecht konnte für die Kandidatensuche auf § 28 I Nr.3 BDSG zurückgegriffen werden, demnach die Verarbeitung von personenbezogenen Daten zu eigenen Zwecken (also der Personalbeschaffung) zulässig war, wenn es sich um allgemein zugängliche Daten handelte und keine überwiegenden Interessen des Kandidaten gegen diese Datenverarbeitung sprachen. Denn unter allgemein zugängliche Daten fallen auch Daten aus sozialen Netzwerken, Suchmaschinen oder von Homepages, so dass das Active Sourcing sowie die daraus folgende Anlage eines Kandidaten-Pools unter diesen Voraussetzungen grundsätzlich möglich war.
Nach neuem Recht gibt eine spezielle Regelung wie § 28 BDSG nicht. Es ist daher auf die allgemeine Regelung des Art. 6 Abs. 1 S. 1 f) DSGVO zurückzugreifen, demnach die Datenverarbeitung zulässig ist, „wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
Da auch wirtschaftliche Interessen grundsätzlich geeignet sind, eine Datenverarbeitung zu rechtfertigen, könnte das Active Sourcing also insoweit gerechtfertigt sein, als die Notwendigkeit der Personalbeschaffung ein wirtschaftliches Interesse ist.
An der grundsätzlichen Zulässigkeit einer Verarbeitung von im Internet öffentlich gemachten Daten eines potentiellen Kandidaten zu Sourcing-Zwecken ändert sich also insoweit nichts gravierend.
Nach § 26 Abs. 7 BDSG n.F. sind die Absätze 1 bis 6 auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Insbesondere bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht zudem in Textform aufzuklären.
Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Also auch wenn z.B. per E-Mail eingegangene Bewerbungsunterlagen EDV-mäßig verarbeitet, also z.B. weitergeleitet und gespeichert werden, finden die Grundsätze der DSGVO Anwendung.
Erfahren Sie mehr zum Thema DSGVO - in unserem Artikel "Die DSGVO - Was Personaler wissen müssen".
Weitere Informationen: www.lehner-kollegen.de