Archiv der Kategorie: Datenschutzrecht

Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung I – Teil 9 zur EU-DSGVO

Mitarbeit: Christian Frerix*

Wie auch hier in diesem Blog schon des öfteren beschrieben, gestaltet sich die Besetzung freier Stellen für Unternehmen zunehmend schwieriger. Abhängig von Region und/oder Branche bewerben sich auf offene Stellen entweder keine oder keine im Ansatz geeigneten Kandidaten. Von daher gehen viele Unternehmen (zwangsweise) inzwischen andere Wege. Sie machen sich auf und suchen selbst aktiv nach neuem Personal oder lassen suchen („sourcen“).

Ob mit der Aufgabe des „Active Sourcing“, der nachfolgenden Kandidatenansprache oder des Talent Relationship Managements nun Recruiter, Personalberater oder Headhunter betraut sind, ist in einer Hinsicht gleichgültig:  Es gilt, aus rechtlicher Sicht einige Spielregeln einzuhalten, wie ich bereits vor geraumer Zeit hier im Blog ausführlich dargelegt habe.

Warum nun dieser Artikel? Nun der Titel lässt es ahnen: Die Geltung der EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018, eine bevorstehende Neufassung des Bundesdatenschutzgesetzes (BDSG-E) durch den deutschen Gesetzgeber sowie der geplante Erlass einer E-Privacy-Verordnung durch den EU-Verordnungsgeber sind Grund genug, sich erneut mit der Regulierung des Active Sourcing zu beschäftigen und einen Ausblick auf die ab 2018 geltenden Vorgaben zu wagen.

Sie sind Personaler? Sie langweilt der Datenschutz? Vielleicht langweilt es Sie nicht mehr so sehr, wenn Sie wissen, dass jeder Verstoß gegen die Regelungen der DSGVO mit Bußgeldern von bis zu 10 Millionen EUR oder 2% des weltweiten Jahresumsatzes oder 20 Millionen EUR oder 4% des weltweiten Jahresumsatz – je nach Art des Verstoßes – bedroht ist.

Sie sind Geschäftsführer oder Vorstand und wollen, dass die Personalleitung einfach mal Personal ranschafft ohne „kompliziert“ zu sein? (Also, dass diese Sie bitte nicht zu sehr mit diesem Compliance-Tinnef nervt?) Nun, dann interessiert Sie als geschäftsführendes Organ vielleicht, dass die für die Datenverarbeitung Verantwortlichen (ja, das sind Sie als Geschäftsführer oder Vorstand) für Schäden haften, die durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurden. (Sic! Siehe dazu Artikel 82 DSGVO).

Nach dem ich nun ihr Interesse geweckt habe, wie immer, der Reihe nach:

Weiterlesen

Datenschutzbehörden bewerten Einsatz von Skype und zeitversetzten Video-Interviews in Personalauswahlverfahren grundsätzlich als unzulässig

Ja, Sie haben leider richtig gelesen. Doch bei allem Schrecken, ich verspreche Ihnen, am Ende des Tunnels ist noch Licht. Oder vielmehr leuchtet in diesem Artikel zuweilen (etwas mehr als) der Silberstreif am Horizont.

Nun aber von vorne und der Reihe nach:

Die Datenschutzbehörden NRW und die Datenschutzbehörde Berlin haben ihre sogenannten „Tätigkeitsberichte“ für 2016 veröffentlicht. In diesen Tätigkeitsberichten berichten die Behörden, nicht sehr überraschend, über ihre Tätigkeit im vergangenen Jahr. Etwa wie sie bestimmte Verhaltensweisen, Arbeitsprozesse oder eingesetzte Tools im öffentlichen Bereich (Behörden) oder nicht-öffentlichen Bereich (Unternehmen) geprüft und beurteilt haben.

In beiden Tätigkeitsberichten wird auch zum Thema Beschäftigtendatenschutz Stellung genommen, dabei unter anderem zu den Themen „Bewerbungsgespräche über Skype“ und „videobasierte zeitversetzte Interviews„. Darum soll es dann auch hier im Folgenden gehen. Weiterlesen

Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO

Mitautor: Christian Frerix

Viele Unternehmensverantwortliche wissen um die Pflicht zur Bestellung einer/s Datenschutzbeauftragten (DSB; die im Folgenden verwendete männliche Form gilt für Personen beiderlei Geschlechts gleichermaßen). Dennoch führt die „Spezies“ der Datenschutzbeauftragten in der unternehmerischen Wahrnehmung oftmals noch ein Schattendasein. Und ebenso so oft scheint es so zu sein, als habe derjenige den Hut des internen DSB auf, der schlicht den Kopf nicht schnell genug weggezogen hat. Ein Grund dafür mag darin liegen, dass die Beschäftigung mit diesem Thema häufig mehr Fragen aufwirft, als sie beantwortet. Brauche ich einen DSB? Was macht dieser überhaupt? Wer darf es überhaupt sein sein? Und ist dieser dann echt unkündbar? Und überhaupt, was muss denn noch alles beachtet werden?

Sollten auch Sie zu denjenigen gehören, die sich Tag und Nacht  (okay, okay, hin und wieder, eben wenn Sie denken „Da war doch noch was….?“) mit diesen Fragen beschäftigen, dann sollten Sie mit den folgenden Zeilen Ihre Antworten finden.

Und auch wenn Sie bereits einen DSB beschäftigen oder selbst einer sind,  lohnt sich das Weiterlesen. Als datenverarbeitende Stelle kommen Sie nämlich gerade in Zeiten der Anpassung interner Betriebsabläufe an die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) bis 2018 nicht um dieses Thema herum. Weiterlesen

Der Entwurf zur E-Privacy-Verordnung, das Verhältnis zur DSGVO und seine Bedeutung für die Praxis

Mitautor: Christian Frerix

Es dürfte sich mittlerweile herumgesprochen haben, dass die EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018 für die Regelung des Datenschutzes in ganz Europa maßgeblich sein wird. Unternehmen beschäftigen sich daher intensiv mit den bevorstehenden Änderungen und Neuerungen, die diese mit sich bringt. Oder sollten sich zumindest damit beschäftigen, da es ja nun nicht mehr lange hin ist, bis diese gelten. Aber das wissen unsere treuen Blogleser(innen) ja alles schon aus der – bereits siebenteiligen – Beitragsserie zur DSGVO hier im Blog. Als wäre diese Umstellung nicht schon herausfordernd genug, hat die EU-Kommission im Januar 2017 den Entwurf einer weiteren Verordnung zur Regelung des Datenschutzes in Europa veröffentlicht. Konkret geht es dabei um die „Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG“ (kurz: E-Privacy-Verordnung oder hier einfach nur „Entwurf“). Was es damit auf sich hat und wie Unternehmen damit umgehen sollten, erläutern wir in den folgenden Zeilen.

Oh je…noch eine EU-Verordnung zum Thema Datenschutz!?

Weiterlesen

Google Play verlangt jetzt Datenschutzerklärung für Apps bis zum 15.03! (was nach dem Gesetz und den bestehenden Entwicklerrichtlinien an sich keine neue Anforderung ist)

Nach einer Meldung vom gestrigen Tage (09.02.) (u.a. bei Heise, GoogleWatchBlog, ZDNet) verlangt Google Play nun, dass in den Store eingestellte Apps eine Datenschutzerklärung enthalten – und droht mit dem Entfernen der Apps aus dem Store, wenn nicht bis zum 15. März (!) Datenschutzrichtlinien vorliegen. Mhm, dachte ich, okay, der 15.03., das ist mal ein knackiger Zeithorizont für die App-Betreiber und wird bei dem einen oder anderen für Schweiß auf der Stirn sorgen. Aber sonst? Eigentlich ist das alles doch nichts Neues?

Nun aber von vorne und der Reihe nach: Wie ist die Rechtslage, was will Google und was müssen Sie als App-Betreiber tun?

Weiterlesen

Die Datenschutzgrundverordnung macht IT-Richtlinien Feuer unter dem Hintern! (Teil 7) – Oder: Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

In diesem Blog haben wir uns in jüngerer Zeit schon viel mit der DSGVO und der Frage, worauf sich Unternehmen jetzt im Hinblick auf Mai 2018 einstellen müssen, befasst. Daneben ist natürlich das Datenschutzrecht in verschiedensten Konstellationen immer wieder Gegenstand unserer Beiträge. Mindestens genaus so häufig sind Social Media bzw. IT-Richtlinien in diesem Blog ein Thema. Von dort ist es dann natürlich nicht weit zu all den arbeitsrechtlichen Aspekten, die sich aus der Nutzung digitaler Arbeitsprozesse ergeben.

Symbolbild für: Orr. Diese DSGVO!

Wer sich nun die Mühe gemacht und vielleicht auf die vorstehenden Links geklickt hat, wird erkennen, dass in den verschiedenen Blogkategorien (EU-DSGVO, Datenschutzrecht, Social Media Guidelines, Arbeitsrecht) durchaus dieselben Artikel auftauchen. Es gibt also Überschneidungen. Das ist zumindest in Teilen schon auf praktischer Ebene logisch. Schließlich drängt es sich auf, dass (verbindliche) IT-Richtlinien einen Einfluss auf das Arbeitsverhältnis haben. Und wenn wir die IT-Sicherheit als die Kehrseite der Medaille zum Datenschutz begreifen, wird auch deutlich, dass es hier eine Verbindung geben muss. Und Compliance… tja, Compliance könnte ich auf jeden meiner Blogposts als Kategorie kleben – schließlich geht es bei dem Thema „Compliance“ um nichts anderes als die Einhaltung von Regeln. An sich eine Selbstverständlichkeit. Aber so ganz eben doch nicht – wie die zunehmende Anzahl an Compliance-Officers und Compliance-Abteilungen in den Unternehmen anzeigt.

Heute will ich einmal erläutern, was schon immer irgendwie an der einen oder anderen Stelle in meinen Artikeln durchschimmerte, ich aber doch noch nicht so klar erklärt habe: Nämlich, dass es zwischen den genannten Bereichen, also vom Datenschutzrecht über die IT-Richtlinien und Compliance bis hin zum Arbeitsrecht nicht nur eine ideelle, sondern auch eine juristische Klammer gibt. Diese juristische Klammer nennt sich „technisch und organisatorische Maßnahmen“, kurz TOM und ist schon lange im Bundesdatenschutzgesetz verankert. Doch wie so vieles, was dort steht und bereits „State of the Art“ im Unternehmen sein sollte, bekommt auch diese Vorschrift und alles, was damit zu tun hat, mit der EU-Datenschutzgrundverordnung „Feuer unter dem Hintern“ – um es mal ganz nonchalant auszudrücken.

Weiterlesen

Wie läuft das jetzt mit dem Datenschutz ab 2018 in Deutschland? – Oder: DSAnpUG-EU (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU)

Das neue Jahr ist da. Hurra! Und wir wenden uns trotzdem gleich wieder einem alten Bekannten zu: dem Datenschutz. Schließlich schreiben wir jetzt 2017 und damit ist es auch auf dem Kalenderblatt nicht mehr weit bis zu 2018. Der geneigte Leser des Blogs weiß, worauf ich hinaus möchte. Ab Mai 2018 wird der Datenschutz in Deutschland und Europa durch die EU-Datenschutzgrundverordnung (DSGVO) geregelt. Mit den Änderungen, die damit und insbesondere für Unternehmen einhergehen, haben wir uns hier schon eingehend mit unserer – inzwischen sechsteiligen! – Blog-Serie zur DSGVO befasst. (Wenn Sie noch nichts von einer ominösen Datenschutzgrundverordnung gehört haben sollten, aber in Ihrem Unternehmen Verantwortung tragen, dann kann ich Ihnen nur dringend raten einmal einen Blick in die Blog-Serie zuwerfen).

Sinn und Zweck oder Idee der DSGVO ist bekanntermaßen eine europaweite, einheitliche und verbindliche Regelung des Datenschutzes zu schaffen, um den momentan bestehenden „datenschutzrechtlichen Flickenteppich“ eben dort zu beseitigen. Das ist gut.

Doch gemeinhin ist nichts so einfach, wie es auf den ersten Blick scheint. Und so dürfen wir uns hier im Zusammenhang mit der DSGVO – als wäre das nicht alles kompliziert genug –  mit dem nationalen Entwurf des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 beschäftigen. Dieses Gesetz wird auch Datenschutz-Anpassungs- und -Umsetzungsgesetz EU oder DSAnpUG-EU genannt. Ich gestehe, auch mit den Abkürzungen wird es nicht besser, es bleibt ein Wortungeheuer. Doch es nützt nichts, wer DSGVO sagt, der wird auch DSAnpUG-EU sagen müssen. Was es aber mit diesem Entwurf „Datenschutz-Anpassungsgesetz“ auf sich hat und warum es sich auch für Unternehmen lohnt, diese zugegebenermaßen erst ganz am Anfang stehende Gesetzesentwicklung schon jetzt zu verfolgen, zeigen wir nachfolgend auf. Damit Sie aber nach dieser trockenen Einleitung überhaupt einen Grund haben, weiterzulesen, (Ha! Erwischt! Sie wollten gerade wegklicken!), spoiler ich hier ein wenig und verrate Ihnen, dass es um eine neuen Entwurf eines nationalen Bundesdatenschutzgesetz (Hä? Sollte das nicht gerade durch die DSGVO abgelöst werden? – Ja, das erkläre ich Ihnen gleich!) und unter anderem um diese Themen gehen wird:

  • Grundsatz der Zweckbindung, Verarbeitung über die Zweckbindung hinaus, Verarbeitung von allgemein zugänglichen Daten
  • Beschäftigendatenschutz
  • Videoüberwachungen
  • Big Data, Scoring und Verbraucherkredite
  • Die automatisierte Entscheidung im Einzelfall
  • Informationsrechte und Pflichten (Datenschutzerklärungen…)
  • Bestellung eines Datenschutzbeauftragten
  • Besondere personenbezogene Daten (sensible Daten zur Gesundheit, Sexualität oder Gewerkschaftszugehörigkeit).

Weiterlesen

Von Big Data Analysen, der Charta für digitale Grundrechte, dem (europäischen) Datenschutz – und was das alles miteinander zu tun zu hat.

Am Wochenende ging in zweierlei Hinsicht eine Art digitaler Aufschrei durch Twitter, dessen Nachhall noch immer durch die Timelines vibriert. Genau genommen geht es um Big Data Analysen, die (möglicherweise) Präsidenten hervor oder zu Fall bringen können und um den Entwurf einer Charta der digitalen Grundrechte, welche mit Verve und prominenter Unterstützung bereits den ersten Schritt in die europäische Gesetzgebung gegangen ist. In dem Zusammenhang geht es dann natürlich auch um die bestehenden wie kommenden (europäischen) Datenschutzregelungen und vor allem darum, was das eine mit dem anderen zu tun hat sowie warum möglicherweise hier eine ganze Menge zu tun ist, dort aber vielleicht doch besser gar nichts getan werden sollte.

Doch der Reihe nach. Von vorne. Und im Einzelnen.

Weiterlesen

Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO) – Teil 6 zur EU-DSGVO

Ab Mai 2018 wird der Datenschutz in Deutschland und Europa überwiegend durch die EU-Datenschutzgrundverordnung (DSGVO) geregelt. Was die DSGVO eigentlich ist (Teil 1), welche neuen Begriffe verwendet werden (Teil 2), wann eine Datenverarbeitung künftig zulässig sein wird (Teil 3) und welche Pflichten mit der DSGVO auf Unternehmen zukommen (Teil 4 und Teil 5), haben wir bereits in einer mehrteiligen Beitragsreihe erörtert. Was fehlt – und das holen wir nun nach – sind einige Worte zu den Fragen, welche Änderungen die DSGVO im Bereich „Big Data“ mit sich bringt und was das für die tägliche Arbeit der Unternehmen bedeutet.

Nachfolgend gehen wir dazu einmal kurz auf die Frage ein, was Big Data denn im vorliegenden Kontext nun eigentlich heißen soll, wie sich das Ganze unter dem BDSG „gestaltete“ (*hust – eigentlich gar nicht) und ob es die DSGVO denn nun besser macht, für all die Geschäftsmodelle, die eben auf solchen Data-Analysen basieren (Spoiler: Leider nicht so sehr).

Weiterlesen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 5

Mitautor: Christian Frerix*

Die Informationspflichten und Auskunftspflichten der Unternehmen

Das letzte Mal, dass die Datenschutzgrundverordnung, kurz DSGVO, hier Thema war, war Ende August. Mehr als ein Monat ist seit dem vergangen. Ein Monat weniger, der Ihnen als Unternehmen zur Verfügung steht, um sich auf die DSGVO mit allen Neuerungen vorzubereiten.

Im August hatten wir die Dokumentations-, Datensicherungs- und Meldepflichten der Unternehmen im Blick. Heute soll es vor allem um die Informationspflichten und Auskunftspflichten der Unternehmen gehen. Ergo, wann und wie sind die Betroffenen (also diejenigen, deren Daten erhoben werden) zu informieren und wie sieht es mit den Auskunftsrechten bzw. -pflichten aus. Auch hier gibt es einige Änderungen, die Sie als Unternehmen unbedingt kennen und bis 2018 umsetzen müssen.

Weiterlesen