7. Oktober 2017

Neue Richtlinien für Bewerberdaten: Das müssen Unternehmen ab 2018 beachten

Im Zeitalter von Online-Bewerbungen und digitalen Talentpools rückt die klassische Bewerbungsmappe in den Hintergrund. Laut einer BITKOM-Umfrage bevorzugen es 58 Prozent der Personalchefs, wenn die Bewerbungsunterlagen in digitaler Form eingehen. Ein verantwortungsbewusster Umgang mit sensiblen Daten wird wichtiger denn je. Ab 25. Mai 2018 löst die neue Datenschutz-Grundverordnung die aus dem Jahr 1995 stammende deutsche Richtlinie ab und gibt EU-weit neue Verhaltensregeln vor.

Die wichtigsten Inhalte im Überblick

• Bußgelder ohne Obergrenze
• Unschuldsbeweis seitens der Unternehmen
• Geltungsbereich der Richtlinie über EU-Grenzen hinaus
• Detailliertere Auskunftspflichten
• Erhöhte Informationspflicht zum Schutz von Einzelpersonen
• Herausgabe und Löschung von Daten als „Recht auf Vergessenwerden“
• Aufbewahrungserlaubnis bis zur Zweckerfüllung
• Schriftliche Einwilligung erlaubt längere Aufbewahrung

Bußgelder ohne Obergrenze

Die neue Verordnung zielt vor allem auf den Schutz von Privatpersonen. Insbesondere Verstöße von Unternehmen werden schärfer verfolgt und mit deutlich höheren Bußgeldern bestraft. Hierbei ist nicht wie bislang eine Obergrenze festgelegt, die Höhe der Strafe kann künftig bis zu 4 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen. Dies schließt auch unwissentliche Verstöße und “Datenpannen” mit ein, denn die Beweislast liegt ab dem Stichtag bei dem Unternehmen und nicht länger bei den zuständigen Behörden. Höchste Zeit, sich mit den neuen Bestimmungen vertraut zu machen und diese bereits frühzeitig in firmeninterne Prozesse einzubinden.

Auskunftspflicht

Ab dem Stichtag müssen Bewerber in Bezug auf die Verarbeitung ihrer Daten noch detaillierter informiert werden können. Jeder hat in Zukunft das Recht zu erfahren, welche personenbezogenen Daten gesammelt werden und wer diese zu welchem Zweck verarbeitet.

Löschung

Auch das Recht auf Herausgabe oder Löschung von Daten können Einzelpersonen jederzeit einfordern. Diese Bestimmung spielt auf das sogenannte “Recht auf Vergessenwerden” an.

Speicherung und Fristen

Bei Anfragen auf Auskunft, Herausgabe oder Löschung von Daten dürfen Firmen bestimmte Fristen nicht überschreiten. Die Dauer der Aufbewahrung ist jedoch nicht gesetzlich festgelegt. Grundsätzlich sollten Daten nur so lange aufbewahrt werden, bis der Zweck für die Datennutzung im Bewerbungsprozess abgeschlossen ist. Die Aufbewahrungsdauer von Informationen müssen Unternehmen begründet definieren können. Eine Löschung nach einer Ablehnung eines Kandidaten sollte beispielsweise nicht unmittelbar durchgeführt werden. Im Zusammenhang mit AGG-Klagen wegen Diskriminierung wird beispielsweise eine Speicherung von 6 Monaten als angemessen betrachtet.

Verlängerung der Aufbewahrung

Zum Zweck der Wiederverwendung der Daten, beispielsweise für die Verwendung eines Kandidatenprofils für andere Abteilungen oder Tochterunternehmen, muss eine schriftliche Einwilligung erfolgen. Hierfür reicht schon ein selbstständiger Vermerk von Seiten des Bewerbers in seinem Anschreiben. Andernfalls ist das Unternehmen gezwungen, eine schriftliche Einwilligung einzuholen.

Active Sourcing

Laut der Studie Recruiting Trends 2017 von Staufenbiel wird der Kanal Active Sourcing, die aktive Suche potentieller Kandidaten im Internet, bereits von 35% der befragten Unternehmen bei der Personalsuche verwendet. Auch hier gilt es, datenschutzkonform zu arbeiten. In diesem besonderen Fall muss unterschieden werden, in welchem Zusammenhang personenbezogene Daten erzeugt werden. Zu Recherchen auf berufsorientierten Plattformen wie LinkedIn sind Unternehmen berechtigt. Eine Suche nach Bewerbern in freizeitorientierten Netzwerken wie Facebook oder Twitter sei hingegen nicht erlaubt. Auch in diesem Bereich gelten Aufnahme und Speicherung von Bewerberdaten im Talent-Pool nur als zulässig, wenn eine schriftliche Einwilligung des Kandidaten vorliegt.

Geltungsbereich

Die Verordnung schließt auch Unternehmen ein, welche Ihren Sitz außerhalb von Europa haben, wenn sie EU-Bürgern Dienste anbieten und damit im europäischen Markt agieren. An welchem Standort die Daten verarbeitet werden, ist in diesem Fall nicht ausschlaggebend.

Folgen für Unternehmen

Aufgrund unpräziser Angaben in der Verordnung hält der Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.) eine anfängliche Rechtsunsicherheit seitens der Unternehmen für wahrscheinlich. „Viele Regelungen der neuen Datenschutzverordnung sind so allgemein formuliert, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen.“ Die verbleibenden Monate bis zum Stichtag sollten Unternehmen daher unbedingt für eine Neubewertung vorhandener Datenverarbeitungsmechanismen nutzen.

5 goldene Regeln zur Vorbereitung des Unternehmens

• Evaluierung interner Datenverarbeitungsprozesse
• Verfeinerung der elektronischen Dokumentation
• Weiterbildung für interne Datenschutzbeauftragte
• Update eigener Datenschutzbestimmungen
• Aufbau geeigneter Kommunikationsstrukturen für Anfragen

Weiterführende Links zu den Neuerungen der Verordnung:

• ifm-business.de/aktuelles/pressemitteilungen/die-datenschutz-grundverordnung-rueckt-naeher-hoechste-zeit-fuer-unternehmen-aufzuwachen.html
• www.datenschutzbeauftragter-info.de/eu-datenschutzgrundverordnung-das-sind-die-neuerungen/
• www.datenschutzbeauftragter-info.de/active-sourcing-datenschutz-beim-e-recruiting/
• www.haufe.de/compliance/recht-politik/eu-datenschutz-grundverordnung-die-10-wichtigsten-regeln_230132_402196.html
• www.haufe.de/recht/arbeits-sozialrecht/zulaessige-dauer-der-speicherung-aufbewahrung-von-bewerberdaten_218_365202.html
• www.absatzwirtschaft.de/eu-datenschutzgrundverordnung-folgen-fuer-unternehmen-80477/

Die Datenschutz-Grundverordnung:

• Als Website: dsgvo-gesetz.de
• Verordnung auf Deutsch: eur-lex.europa.eu/legal-content/DE/TXT/PDF/
• Verordnung auf Englisch: eur-lex.europa.eu/legal-content/EN/TXT/PDF/