22
Datenschutzgrundverordnung (DSGVO)
Wir werden alle sterben!
Queb | Bundesverband – 06.06.18 – Seite 1
DSGVO
ePrivacyVO
Die Datenschutzgrundverordnung regelt allgemein den Datenschutz in der EU
Die E-Privacy-Verordnung regelt als spezielle Grundlage die elektronische Kommunikation. Sie ist noch nicht in Kraft gesetzt (Trilogverhandlungen –Gespräche zwischen EU-Parlament, Rat und Kommission zur Gesetzgebung)
#DSGVO trat zum 24.05.2016 in KraftUnd erlangt zum 25.05.2018 Geltung!
20Mio. Euro
Bis zu 4 % des weltweitenJahresumsatzes bzw. Bis zu
Geldbuße, je nachdem was höher ausfällt, drohen bei Verstößen!
“
Die Datenschutzgrundverordnung regelt inhaltlich nichts wesentlich anders, als das bisherige Bundesdatenschutzgesetz.
Die verhängbaren Strafen sind allerdings drakonisch. Und die E-Privacy-Ver-ordnung macht vieles erheblich schlimmer!
Nein!
DSGVO ist die Apokalypsedes Recruitings?
D S G V O
Kann ich das einfach aussitzen?
Nichts wird so heiß gegessen, wie es gekocht wird. Allerdings sind die Risiken aus den Strafen innerhalb der DSGVO so exorbitant hoch, dass
ein Vertrauen auf die Lethargie der Behörden unangebracht ist.
Also nein. Ein Aussitzen des Themas ist nicht
empfohlen!
Entmystifizieren wir die DSGVODie DSGVO regelt nichts wesentlich Neues!
§ Durch die von der Europäischen Union in Kraft gesetzte Datenschutzgrundverordnung werden die Rechte der betroffenen Personen nachhaltig gestärkt
§ Für uns Personaler sind dies im Wesentlichen Mitarbeiter, ehemalige Mitarbeiter, Bewerber und Talente (Pre-Bewerber/Kandidaten)
§ Anforderungen an Unternehmen können mit dem Einsatz einer datenschutzkonformen Software für das Bewerbermanagement und Personalwesen nachgekommen werden
§ hohe Bußgelder bei Verstößen gegen die datenschutzkonforme Umsetzung von Prozessen sowie auf deren Nachweis
§ es ist unsere Aufgabe, die Auswirkungen der DSGVO und ePrivacyVO auf die Agenda unserer Vorstände und Geschäftsführungen zu bringen
§ bei der Personalbeschaffung werden sensible personenbezogene Daten verarbeitet
§ Bewerbern kommen besondere Rechte zu, da es um ihre Daten geht
§ Beim Einsatz von Recruiting-Software kommt neben dem rekrutierenden Unternehmen zusätzlich auch noch ein Auftragsverarbeiter ins Spiel – mit jedem Anbieter sind zwingend Auftragsverarbeitungsverträge zu schließen
DSGVO im RecruitingWas müssen wir alles beachten?
Dokumentation: bedarf der Schriftform und ist auf Verlangen vorzuzeigen. Bewerber haben das Recht, von den Unternehmen umfangreiche Auskunft über die gespeicherten Daten zu verlangen. Daher muss die Zweckge-bundenheit bei Speicherung der Daten jederzeit dokumentiert werden (bspw. im System Kommentare zum Aufbewahrungsgrund hinterlegen „Zustimmung zum Verbleib im Bewerberpool“)
Verschlüsselung: Jedem Kandidaten sollte die Möglichkeit gegeben werden, seine Unterlagen verschlüsselt zu versenden. Bei ungesichertem elektronischen Versand von Dritten könnten diese mitgelesen werden
Bewerbung: Unternehmen müssen Bewerber bei Eingang der Unterlagen über die Art der Datenerhebung informieren. Das beinhaltet u. a. Angaben zum Verarbeitungszweck sowie zur Dauer des Aufbewahrungszeitraums, Art. 13 DSGVO listet die Informationen auf, die darin enthalten sein müssen
Speicherung personenbezogener Daten darf nur zweckgebunden erfolgen (Bewerbung). Dies bedeutet, ist bspw. die Stelle einmal besetzt, besteht kein Grund mehr, die Informationen der abgelehnten Kandidaten aufzubewahren. Löschpflicht nach Konzept
Sanktionen: Bußgelder von bis zu 20 Millionen Euro bzw. 4 % des globalen Umsatzes können unter anderem für fehlende Dokumentation, unterlassene Information der Bewerber oder unterlassene regelmäßige Überprüfung der Sicherheit von HR-Systemen verhängt werden
DSGVOUmgang mit Daten und Datenverarbeitungsprozesse
Privacy by DesignDatenschutzprinzipien bereits
bei der Konzeption von Systemen und Abläufen
berücksichtigen
Auskunft Auskunftsbegehren von Personen an ein Unternehmen müssen binnen eines Monats vom Unternehmen beantwortet werden
BußgelderRisikoverwirklichung strikt
geregelt mit Strafen mit bis zu 2 % bzw. 4 % vom
Umsatz
BeweislastBeweislast ist umgekehrt. Unternehmen müssen Einhaltung des Datenschutzes beweisen und technische und organisatorische Maßnahmen treffen, um diesen Beweis auch erbringen zu können
Fristen im ProzessDatenschutzverletzungen binnen
drei Tagen an die Datenschutzaufsichtsbehörde
melden
KomplexitätVerfügen wir bereits über die erforderlichen Fähigkeiten und technologischen Lösungen, um Wandel zu stemmen?
DatenschutzgrundverordnungUmgang mit Daten
Artikel 5, Verarbeitung personenbezogener Daten:Alle personenbezogenen Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte Zwecke erhoben werden. Die Daten dürfen dabei in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die Daten müssen dabei in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet - einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen.
Artikel 6, 7 & 8, Zustimmung:Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Das bedeutet im Klartext, dass jedes Individuum der Nutzung seiner persönlichen Daten ausdrücklich zustimmen muss. Die gesammelten Daten müssen außerdem nötig sein, um eine Aufgabe oder Transaktion abschließen zu können, die von der betreffenden Person veranlasst wurde. Ausgenommen sind hier nur Behörden.
Artikel 35, Folgenabschätzung:Firmen sind dazu verpflichtet, eine Datenschutz-Folgeabschätzung vorzunehmen, um die Risiken für EU-Bürger einschätzen zu können. Die Abschätzung muss auch darüber informieren, welche Maßnahmen das Unternehmen trifft, um die entstandenen Risiken zu minimieren.
Artikel 37, 38 & 39, Datenschutzbeauftragter:Einige Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der sowohl die Datenschutzstrategie als auch die DSGVO/GDPR-Konformität überwacht und sicherstellt. Einen Datenschutzbeauftragten brauchen diejenigen Unternehmen, die große Mengen persönlicher Daten von EU-Bürgern speichern oder verarbeiten und regelmäßige Datenprüfungen durchführen. Auch staatliche Behörden müssen einen Datenschutzbeauftragten einsetzen. Die International Association for Privacy Professionals (IAPP) geht davon aus, dass derzeit rund 28.000 Stellen für Datenschutzbeauftragte zu besetzen sind.
Artikel 15, Auskunftsrecht:EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt.
Artikel 17, Recht auf Löschung:Unternehmen müssen auf Verlangen eines EU-Bürgers dessen persönliche Daten löschen.
Artikel 20, Recht auf Datenübertragbarkeit:Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen.
Artikel 25 & 32, Datenschutz:Unternehmen müssen geeignete technische Maßnahmen treffen, um den Anforderungen zu genügen. Was genau "angemessen" im Sinne der DSGVO/GDPR bedeutet, ist in Artikel 32 näher ausgeführt.
Artikel 33 & 34, Meldepflicht:Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.
Information Datenverarbeitung
öffentlich darüber aufklären, dass diese Daten verarbeitet werden
Keine Bewerberdaten in die Termineinladung der Hiring-Manager aufnehmen
Keine Bewerberdaten per Whatsapp auf den dienstlichen Smartphones teilen
Ihre Webseite hat sehr kritische Elemente: SSL, Social-Media-Plugins, Kontaktformulare, Bewerbungsformulare, Newsletter etc.
Identifizierung von Kandidaten weiterhin möglich. Aber „Verarbeitung“ nur mit Einwilligung
Seniorität!Die Regelung ist
nichts fürPraktikanten!
DSGVO2,62 Mio.
Suchergebnissebei Google
Divers?Wir überreagieren.
AufgrundHörensagen neigenwir dazu, jegliches
Risiko zuminimieren.
Kein X vorein U
Im Nachgang zu der Entscheidung des Bundesverfassungsgerichts finden sich in jüngster Zeit zunehmend Stellenanzeigen, die den üblichen Klammerzusatz (m/w) auf (m/w/d), (w/m/x) oder (m/w/t) erweitern. Wesentlicher rechtlicher Hintergrund hierfür ist, Indizien zu vermeiden, die für eine Verletzung des Benachteiligungsverbots im Sinne des AGG sprechen können (vgl. die Beweiserleichterung des § 22 AGG). Da das Bundesverfassungsgericht eine Häufigkeit von 1:500 intersexuellen Menschen angenommen hat, erscheint das nicht als völlig übertriebene Vorsichtsmaßnahme.
DSGVO-Albtraumbrief
E-Privacy-Verordnung
“ Wir müssen unsere Systeme überprüfen, die Abläufe und Prozesse anpassen, einen Datenschutzbeauftragten mit den Themen betrauen und alle Mitarbeiter auf die Neuerungen hin unterweisen.
Die DSGVO und die noch ausstehende ePrivacyVO sind keine Projekte, sie sind Prozesse und immanent!
Marcus K. Reif
der
Stellenanzeige
Renaissanceführt zur
ePrivacyVO
Active SourcingSämtliche Kontaktkanäle, wie E-Mail, SMS, WhatsApp oder Plattformen, wie bspw. Linkedin, Xing usw., sind über die ePrivacyVO unter dem “Double-opt-in”-Verfahren reglementiert. Ohne, dass die zu kontaktierende
Person im Vorfeld der Kontaktaufnahme nicht ihre Einwilligung für die konkrete Kontaktierung erteilt hat, ist diese Form der Ansprache untersagt.
Viele Rechtsexperten halten die ausdrückliche Einwilligung durch bloße Annahme der AGBs für nicht erfüllt.
Allerdings glauben andere Rechtsexperten, dass das wirtschaftliche Interesse an der Personalgewinnung und das Interesse, die bestmöglichen Jobangebote zu bekommen, in Einklang mit Active Sourcing zu bringen sind!
Recruiter sind verpflichtet, die Datenerhebung mitzuteilen. Das ist einer der wesentlichen Unterschiede zwischen BDSG und DSGVO!
Xing & LinkedinSehen das anders
Sollen die Nutzer des Xing-Talentmanagers sein, sagt eine von Xing beauftragte Rechtsberatung.
Datenschutzverantwortlich
Personen müssen vor der Datenverarbeitung darüber informiert werden, dass ihre Daten genutzt werden. Was wird mit den Daten getan, wozu werden diese verwendet, wo werden sie gespeichert, wer arbeitet damit und wann werden sie gelöscht.
Datenverarbeitung
Recruiter sind verpflichtet, die Datenerhebung mitzuteilen. Das ist einer der wesentlichen Unterschiede zwischen BDSG und DSGVO!
Profiling & IdentArbeit im Active Sourcing
Die Datenerhebung aus einem Research erfordert keine Mitbestimmung. Doch die anschl. Verarbeitung erfordert, einige Schritte zu beachten!
Datenerhebung
Personen müssen vor der Datenverarbeitung darüber informiert werden, dass ihre Daten genutzt werden. Was wird mit den Daten getan, wozu werden diese verwendet, wo werden sie gespeichert, wer arbeitet damit und wann werden sie gelöscht.
Datenverarbeitung
Die Einwilligung kann zu jedem Zeitpunkt entzogen werden. Nach Information läuft eine Frist von 72 Stunden für Herausgabe oder Löschung der Daten. Längerfristige Speicherung erfordert zusätzliche Einwilligung.
Widerspruch
Active SourcingDie Nutzung der Daten und deren Verarbeitung stehen im Zentrum der Datenschutzgrundverordnung. Dabei sind die Informationspflichten bei
zeitgleicher Beweislastumkehr und hoher Sanktionen prägende Elemente. Dabei spielen die Information über den konkreten
Nutzungszweck der Datenverarbeitung eine wichtige Rolle, ebenso der offene Umgang der Recruiter mit der Datenerhebung und deren
Verwendung.
Let’s Talk
Initiativabout
In diesem Fall deutlich längere Aufbewahrungsfristen möglich. Informationspflicht und Zweckbindung der Datenverarbeitung!
KONTAKTQueb – Bundesverband für Employer Branding, Personalmarketing und Recruiting e.V.
Postfach 4161131 Schöneck
Telefon: 06187 9020766E-Mail: [email protected]: www.queb.orgBlog: www.queb.org/blog
Vertretungsberechtigter Vorstand:Tim Ackermann (stellv. Vorstandssprecher)Helge KrollChristina Marpe (Vorstandssprecherin)Prof. Dr. Alfred QuenzlerBernd Schmitz (Finanzvorstand)
Susanne Hüsemann(Geschäftsführerin)
facebook.com/Queb.e.Vtwitter.com/queb_ev
Vernetzen Sie sich mit uns!
Ansprechpartner
