GDPR-Kopfschmerzen bei der Personalbeschaffung im Jahr 2018 - gelöst von Krzysztof Dzioba von EY LAW

Veröffentlicht: Zuletzt aktualisiert:

Das Internet hat die Art und Weise verändert, wie Menschen nach Jobs suchen und wie Unternehmen Fachkräfte rekrutieren. Bewerber füllen entweder Formulare aus und geben bereitwillig ihre persönlichen Daten an oder werden von Personalvermittlern anhand der Informationen, die sie online freigeben, identifiziert. In einigen Fällen werden die Daten von Kandidaten, die am Einstellungsprozess beteiligt sind, falsch gehandhabt.

Am 25. Mai 2018 tritt eine neue Datenschutzverordnung in Kraft, die sich mit diesem Thema befasst. Sie heißt "General Data Protection Regulation" (GDPR).

Auch wenn der Mai 2018 noch weit weg zu sein scheint, gibt es viel zu tun, sodass Sie sofort damit beginnen müssen. Die Uhr tickt, aber Organisationen sind noch lange nicht bereit. Laut einer Studie von TrustArc aus dem Jahr 2017 mit dem Titel "Datenschutz und die EU GDPR", gaben 61% der Umfrageteilnehmer an, dass sie noch nicht mit der Umsetzung der DSGVO begonnen haben. Um Ihnen ein besseres Verständnis der GDPR und ihrer Auswirkungen auf den Einstellungsprozess zu vermitteln, sprechen wir mit Krzysztof Dzioba von Ernst & Young Recht Tałasiewicz, Zakrzewska i Wspólnicy sp.k.

Inhaltsverzeichnis

1. Was ist die General Data Protection Regulation (GDPR) und für wen gilt sie?

Am 4. Mai 2016, nach vier Jahren zäher Verhandlungen, wurde die DSGVO im Amtsblatt veröffentlicht. Die Verordnung ist ein Game Changer für alle Arten von Organisationen. Der endgültige Entwurf führt strengere und präskriptive Datenschutz-Compliance-Herausforderungen ein, die mit Geldbußen von bis zu 4% des globalen Jahresumsatzes belegt werden. Die Verordnung wird die Richtlinie 95/46/EG ersetzen, die seit ihrer Einführung im Jahr 1995 die Grundlage des europäischen Datenschutzrechts bildete. Die GDPR wird am 25. Mai 2018 in der gesamten EU in Kraft treten, ohne dass eine Umsetzung durch die Mitgliedsstaaten erforderlich ist.

Die Verordnung wird erhebliche Auswirkungen auf Unternehmen in allen Branchen haben und sowohl positive als auch negative Veränderungen für Unternehmen in Bezug auf Kosten und Aufwand mit sich bringen. Organisationen werden wahrscheinlich die Harmonisierung der Gesetze in allen Mitgliedsstaaten begrüßen, die die komplexe Datenschutzlandschaft für multinationale Organisationen einfacher zu navigieren machen wird. Die Einführung neuer Rechte für Einzelpersonen, wie z. B. das Recht auf Vergessenwerden und das Recht auf Übertragbarkeit, sowie die Einführung einer verpflichtenden Benachrichtigung bei Datenschutzverletzungen werden wahrscheinlich die regulatorische Belastung für Organisationen erhöhen.

Jedes Unternehmen und einige öffentliche Einrichtungen, die personenbezogene Daten (von Kunden, Mitarbeitern oder Auftragnehmern) verarbeiten, sind verpflichtet, die DSGVO umzusetzen.

Das Wichtigste ist, dass die DSGVO keine spezifischen technischen Lösungen für den Datenschutz vorschreibt. Sie besagt, dass solche Lösungen an die spezifischen Daten und das Risiko in Bezug auf die Verletzung des Schutzes personenbezogener Daten angepasst werden sollten. Unternehmen, die Daten verarbeiten, müssen nun nachweisen, dass sie das Risiko bewertet und angemessene Maßnahmen ergriffen haben.

Der Datenschutz wurde viel komplizierter und wurde zu einem lebendigen Prozess, der ständig überwacht und weiterentwickelt werden muss.

2. Wie wirkt sich die DSGVO auf den Einstellungsprozess und die Arbeit von Personalvermittlern im Vergleich zu früheren Regelungen zum Schutz personenbezogener Daten aus?

In den meisten Fällen werden personenbezogene Daten von Bewerbern und Arbeitnehmern auf der Grundlage von separaten Gesetzen der einzelnen Mitgliedsstaaten geschützt.

Aufgrund von Artikel 88 der DSGVO gilt diese Regel seit Mai 2018. Den Mitgliedstaaten wurde das Recht eingeräumt, spezifischere Regeln zum Schutz vorzusehen der Rechte und Freiheiten in Bezug auf die Verarbeitung personenbezogener Daten von Mitarbeitern im Beschäftigungskontext. Daher müssen die diesbezüglichen Regeln in jedem Land erst noch festgelegt werden. Es ist zu erwarten, dass die Unterschiede recht groß sein könnten, z. B. in Bezug auf biometrische Daten oder bestimmte Kategorien personenbezogener Daten.

Die GDPR wird am Ende mehrere neue Privilegien für Mitarbeiter und Bewerber hinzufügen, die zusätzlich durch nationale Vorschriften angepasst werden können.

Auch in Bezug auf die Einwilligung in die Datenverarbeitung gibt es einige neue Regeln, auf die im Folgenden eingegangen wird.

3. Wie wirkt sich die DSGVO auf den ersten Kontakt mit dem Kandidaten aus? Welche Arten von Einwilligungen sind gesetzlich vorgeschrieben?

Aufgrund von Motiv 32 der DSGVO sollte die Einwilligung durch eine klare bestätigende Handlung gegeben werden, die eine frei gegebene, spezifische, informierte und unmissverständliche Angabe der Zustimmung der betroffenen Person zur Verarbeitung der sie betreffenden personenbezogenen Daten darstellt, z. B. durch eine schriftliche Erklärung, auch auf elektronischem Wege, oder eine mündliche Erklärung. Schweigen, angekreuzte Kästchen oder Untätigkeit sollten keine Einwilligung darstellen.

Infolgedessen sollte der Arbeitgeber den Kandidaten im Einstellungsprozess u. a. über Folgendes informieren

  • die Zwecke der Verarbeitung personenbezogener Daten,
  • den Zeitraum, in dem sie gespeichert werden,
  • Empfängern von Daten,
  • das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen.

Formal sollten alle Bewerber vom Arbeitgeber über die Regeln der Datenverarbeitung informiert werden, entweder durch ein Dokument (beigefügt oder im Stellenangebot genannt) oder durch Angabe der erforderlichen Informationen beim ersten Kontakt.

4. Gibt es Unterschiede zwischen der Verarbeitung personenbezogener Daten eines aktiven Bewerbers (der seinen Lebenslauf geschickt hat) und eines passiven Bewerbers (dessen Daten auf LinkedIn, GitHub, Twitter oder Facebook gefunden wurden)?

Der Arbeitgeber sollte die personenbezogenen Daten potenzieller Mitarbeiter in Übereinstimmung mit den Prinzipien der Zuverlässigkeit, Zweckmäßigkeit, Angemessenheit und Zeitlichkeit verarbeiten.

Der Arbeitgeber sollte die Notwendigkeit berücksichtigen, die Informationspflicht gegenüber dem aktiven Bewerber zu erfüllen. Der Umfang der Informationen kann variieren, je nachdem, ob der Lebenslauf vom Arbeitgeber von einem Dritten oder direkt vom Bewerber bezogen wird.

Die Verarbeitung von Daten passiver Bewerber benötigt eine bestimmte Rechtsgrundlage - wie z. B. ein berechtigtes Interesse. Das Sammeln von Informationen in sozialen Medien darf nur im Zusammenhang mit Geschäftszwecken erfolgen. Mit anderen Worten: Arbeitgeber dürfen personenbezogene Daten von Bewerbern nur so lange sammeln und verarbeiten, wie diese Daten für die Ausführung des Jobs notwendig und relevant sind.

Grundsätzlich ergibt sich der Unterschied in der Behandlung der personenbezogenen Daten von Kandidaten aus der Rechtsgrundlage der Verarbeitung. Ein aktiver Kandidat gibt seine Einwilligung, während die Daten passiver Kandidaten auf der Grundlage des berechtigten Interesses des Arbeitgebers verarbeitet werden. Der Erstkontakt mit einem solchen Kandidaten sollte jedoch die Informationspflichten des Arbeitgebers umfassen.

5. Was zählt als personenbezogene Daten nach der DSGVO?

Gemäß der DSGVO sind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Grundsätzlich sind alle Informationen, die eine bestimmte Person identifizieren können, personenbezogene Daten.

Während eine bestimmte Information für eine bestimmte Entität als personenbezogene Daten fungieren wird, wird sie das bei einer anderen nicht tun. Übermäßige Kosten oder Zeit, um eine bestimmte Person zu identifizieren, bedeutet, dass diese Informationen möglicherweise nicht als personenbezogene Daten betrachtet werden.

6. Erhalten die Bewerber Rechte zum Schutz ihrer im Rahmen des Einstellungsverfahrens erhobenen Daten? Was sind ihre Rechte?

Unter der GDPR haben Bewerber mehr Rechte im Bereich der Verarbeitung ihrer Daten in der Einstellungsphase und der Arbeitgeber muss deren Umsetzung sicherstellen. Zum Beispiel können die Daten eines Bewerbers auf der Grundlage seiner freiwilligen und bewussten Willensäußerung verarbeitet werden. Die Zustimmung kann nicht vorausgesetzt werden, und die Nutzer werden das Recht haben, sie zu widerrufen, aber dies muss ein ebenso einfacher Prozess sein wie die Zustimmung.

Die GDPR, wie oben erwähnt, implementiert Rechte, die nicht vom Einstellungsprozess ausgeschlossen sind, zum Beispiel:

  • das Recht, darüber informiert zu werden, wie personenbezogene Daten verwendet werden,
  • das Recht auf Zugang,
  • das Recht auf Berichtigung von Daten, die unrichtig oder unvollständig sind,
  • das Recht, unter bestimmten Umständen vergessen zu werden,
  • das Recht auf Sperrung oder Unterdrückung der Verarbeitung personenbezogener Daten,
  • das neue Recht auf Datenportabilität.

Die Mitgliedstaaten könnten klarstellen, wie diese Rechte von den Arbeitnehmern während des Einstellungsverfahrens wahrgenommen werden können.

7. Wie wirkt sich die DSGVO auf Kandidaten aus, die teilnehmen, aber nicht ausgewählt werden? Können ihre Daten rechtmäßig gespeichert werden und wenn ja, in welchem Umfang?

Arbeitgeber sollten die Daten von Bewerbern (einschließlich Lebenslauf) nicht länger als für die Dauer eines bestimmten Einstellungsverfahrens speichern.

Wie das europäische Beratungsgremium zum Schutz personenbezogener Daten - die Arbeitsgruppe Art. 29 - in der Stellungnahme 2/2017 zur Datenverarbeitung am Arbeitsplatz fest, dass "data, die während des Rekrutierungsprozesses gesammelt wurden, sollten generell gelöscht werden, sobald klar ist, dass ein Beschäftigungsangebot nicht gemacht wird oder von der betroffenen Person nicht angenommen wird. Die betroffene Person muss außerdem korrekt über eine solche Verarbeitung informiert werden, bevor sie sich auf den Einstellungsprozess einlässt."

Denken Sie daran, dass sich personenbezogene Daten nicht nur auf Lebensläufe beziehen. Auch Informationen, die über Kandidaten im Interviewprozess gespeichert wurden, müssen entsorgt werden.

Wenn Arbeitgeber solche Daten für einen längeren Zeitraum verarbeiten möchten, z. B. zum Zweck der späteren Rekrutierung, sollten sie eine entsprechende Rechtsgrundlage haben - wie die Zustimmung des Kandidaten.

Die Verarbeitung von Daten, die im Rahmen des Einstellungsprozesses erhoben wurden, kann jedoch länger dauern - im Falle eines berechtigten Interesses (z. B. zur Abwehr von Ansprüchen in Bezug auf Diskriminierung). Es sollte streng überwacht werden, dass in einem solchen Fall die Daten nicht für andere Einstellungsprozesse oder andere Zwecke verwendet werden.

8. Können Bewerber rechtmäßig verlangen, dass ihre im Zuge der Einstellung erhaltenen Daten gelöscht werden? Haben sie das Recht, ihre persönlichen Daten zu erhalten?

Nach dem GDPR-Recht auf Vergessenwerden hat der Bewerber das Recht, vom Arbeitgeber zu verlangen, dass er unter bestimmten Umständen personenbezogene Daten über ihn löscht. Dies kann der Fall sein, wenn der Arbeitnehmer seine Zustimmung widerrufen hat.

Die GDPR schloss das Recht auf Erhalt ihrer persönlichen Daten aus dem Einstellungsprozess nicht aus.

Zusätzliche Regeln oder Anforderungen in dieser Hinsicht können sich aus den Rechtsakten der einzelnen Mitgliedstaaten ergeben.

9. Wie gilt die DSGVO für die Verwendung eines externen Tools (z. B. eines ATS) im Einstellungsprozess? Welche Partei wird wie der Datenverwalter und der Datenverarbeiter behandelt?

Je nach Art der erbrachten Dienstleistungen kann der Datenaustausch zwischen dem Arbeitgeber und dem Personaldienstleister in Form einer Beziehung zwischen zwei Administratoren oder einem Administrator und einer Person, die personenbezogene Daten auf Anfrage verarbeitet, erfolgen.

Die Antwort auf die Frage, welches Modell im Einzelfall gilt, erfordert eine Analyse der mit solchen Partnern geschlossenen Verträge. Beispielsweise könnte eine Personalvermittlungsagentur nur grundlegende Informationen über den Bewerber an den Arbeitgeber übermitteln (z. B. Erfahrung und Ausbildung und keine Identifikationsdaten) und daher keine personenbezogenen Daten übertragen. In einem solchen Fall wird der Arbeitgeber meiner Meinung nach nicht als Datenverantwortlicher oder sogar als Auftragsverarbeiter betrachtet.

10. Sind nach der Einstellung des Kandidaten weitere Zustimmungen gesetzlich erforderlich? Benötigen neu eingestellte Mitarbeiter eine Schulung bezüglich der im Unternehmen verwendeten Systeme und des Datenschutzes in diesen Systemen?

In den meisten Fällen wird der genaue Katalog der personenbezogenen Daten, die für einen Arbeitsvertrag erforderlich sind, durch Gesetze der einzelnen Mitgliedsstaaten geregelt. Keine Zustimmung ist erforderlich, wenn das Arbeitsrecht, das Steuerrecht oder andere allgemeine Vorschriften die Verarbeitung bestimmter personenbezogener Daten erfordern.

Es wird empfohlen, dass Arbeitgeber nur Daten verarbeiten sollten, die keine Einwilligung der Mitarbeiter erfordern. Warum?

Erstens sollte aufgrund der GDPR, wie oben erwähnt, jede Zustimmung frei und ohne Zwang erteilt werden. In jeder Beziehung spricht der Arbeitgeber den Arbeitnehmer aus einer Position der Stärke an. Daher ist es wesentlich schwieriger nachzuweisen, dass der Arbeitnehmer seine Einwilligung zur Verarbeitung personenbezogener Daten, z. B. seines Bildes für Marketing- oder Integrationszwecke, einfach verweigern oder widerrufen könnte.

Natürlich können einige der Mitarbeitervorteile (z. B. Firmenwagen, Gesundheitsfürsorge) in Zusammenhang mit der Datenverarbeitung stehen. Eine solche Einwilligung kann jedoch jederzeit widerrufen werden, und die Daten sollten nur für einen Zeitraum verarbeitet werden, der für diesen Zweck erforderlich ist.

11. Wie gilt die DSGVO für die Entlassung von Mitarbeitern? Haben Arbeitgeber irgendwelche Verpflichtungen, die erfüllt werden müssen?

Erstens, wie oben erwähnt, wenn die Zustimmung des Mitarbeiters die einzige Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist - der Mitarbeiter könnte die Zustimmung im Moment der Entlassung widerrufen. Infolgedessen sollten alle solchen Daten aus den Systemen des Arbeitgebers gelöscht werden.

Wenn die Grundlage für die Datenverarbeitung in einem bestimmten Gesetz definiert ist (in Bezug auf Arbeitsrecht, Sozialversicherung, Steuern), muss der Arbeitgeber diese Daten auch nach Beendigung des Arbeitsverhältnisses speichern.

Weitere Regelungen und Anforderungen können den Arbeitgebern in Gesetzen der einzelnen Mitgliedsstaaten auferlegt werden.

12. Wer ist im Falle von Datenübertragungen außerhalb der EU gesetzlich verpflichtet, die Daten zu schützen und sicherzustellen, dass alle Verfahren mit der DSGVO übereinstimmen?

Der Arbeitgeber bestimmt die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Mitarbeiter. Daher sollte er als Verantwortlicher im Sinne von Artikel 4.7 der DSGVO betrachtet werden. Der für die Verarbeitung Verantwortliche wird im Falle eines Verstoßes gegen den Datenschutz zur Rechenschaft gezogen.

Aufgrund der Verantwortlichkeitsregel geht das Versäumnis, die Sorgfaltspflicht einer Drittstaatseinrichtung zu erfüllen, zu Lasten des Arbeitgebers. Infolgedessen muss der Arbeitgeber sicherstellen, dass die Drittstaatseinrichtung angemessene Garantien bietet, und zwar unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffenen Personen verfügbar sind - aufgrund von Artikel 46.1 der DSGVO.

Natürlich kann der Arbeitgeber - wenn er aufgrund des Vertragsverstoßes der Drittlandfirma finanzielle Konsequenzen erleidet - seine Rechte vor Gericht geltend machen und Schadensersatz verlangen.

13. Was sind die Folgen der Nichteinhaltung der DSGVO?

Erstens die offensichtlichen und bekannten finanziellen Konsequenzen (Strafen bis zu 20.000.000 EUR oder 4% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist). Zweitens, zivilrechtliche Ansprüche von betroffenen Personen. Und schließlich - ein erheblicher Marketing-Schaden.

Beitrag teilen

Erfahren Sie mehr über die Einstellung von Technikern

Abonnieren Sie unseren Learning Hub, um nützliche Einblicke direkt in Ihren Posteingang zu erhalten.

Kodierfähigkeiten nahtlos verifizieren & entwickeln.

Sehen Sie DevSkiller-Produkte in Aktion.

Sicherheitszertifizierungen & Konformität. Wir sorgen dafür, dass Ihre Daten sicher und geschützt sind.

DevSkiller-Logo TalentBoost-Logo TalentScore Logo