DJW-Karriereforum Japan"Internationalisierung und Karriereplanung mit Japanbezug"

Karriereplanung und Talentsuche verbinden!

Düsseldorf, den 08.05.2018

„Datenschutz im Bewerbungsprozess –Was ändert sich für Stellenanbieter?"

Gunnar KrügerRechtsanwalt/Fachanwalt für Steuerrecht

„Datenschutz im Bewerbungsprozess –Was ändert sich für Stellenanbieter?"

„Datenschutz im Beschäftigtenverhältnis –Was ändert sich für Arbeitgeber durch die EU-Datenschutzgrundverordnung?"

Blitzumfrage

Wo sehen Sie Ihr Unternehmen?

1. Sämtliche Prozesse einschließlich das Beschäftigtendatenschutzrecht im Unternehmen sind entsprechend der neuen Datenschutzregeln überprüft und angepasst.

2. Wir beschäftigen uns zurzeit noch mit der Umsetzung der DSGVO.

3. Wir haben uns mit der Umsetzung der Datenschutzgrundverordnung bislang überhaupt noch nicht beschäftigt.

Nach einer aktuellen Umfrage des Eco-Verbandes der Internetwirtschaft e.V. und AbsolitConsulting unter rund 600 Marketing-Entscheidern, die repräsentativ für größere Unternehmen in Deutschland stehen, - haben 10% alle Unternehmensprozesse überprüft und der DSGVO angepasst- sind 56% zur noch mit der Umsetzung der DSGVO beschäftigt- haben sich 27 % mit der Umsetzung der DSGVO überhaupt noch nicht beschäftigt

(weitere 7% ohne Angaben)

Kurzübersicht über die Datenschutzgrundverordnung der EU

• „Die Verordnung soll das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten umsetzen und vereinheitlichen, ohne dabei den freien Verkehr personenbezogener Daten in der EU übermäßig einzuschränken “

• Die DSGVO tritt zum 25.05.20108 ohne Übergangsfrist in Kraft

• Sie ist unmittelbar EU-weit geltendes und zwingendes Recht zum Zweck der Harmonisierung und EU-weiten Vereinheitlichung des Datenschutzrechts und hat Anwendungsvorrang vor nationalem Recht

• Das bisher geltende nationale Bundesdatenschutzgesetz fällt weg und wird am 25.05.2018 aufgrund sog. Öffnungsklauseln durch das BDSG-neu ersetzt

• DSGVO ist Höhepunkt der europäischen Datenschutzentwicklung und läutet eine neuen Phase des Datenschutzrechts ein

• Dem Schutz persönlicher Daten kommt im Wirtschaftsleben in rund zwei Wochen eine überragende Bedeutung zu

Kurzübersicht über die Datenschutzgrundverordnung der EU

Die DSGVO gilt,

• im Fall einer direkten oder noch zu erfolgenden automatisierten Verarbeitung (= jede Nutzung oder Verwendung) von personenbezogenen Daten von natürlichen Personen (= sachlicher Anwendungsbereich)

• im Rahmen der Tätigkeit einer Niederlassung (= feste Einrichtung unabhängig von der Rechtsform) eines Verantwortlichen oder eines Auftragsverarbeiters in der EU (auch wenn die Datenverarbeitung außerhalb der EU stattfindet) (= „Niederlassungsprinzip“)

• oder im Rahmen von Tätigkeiten von Verantwortlichen oder Auftragsverarbeiter außerhalb der EU, die Waren oder Dienstleistungen Personen in der EU anbieten und hierfür Daten verarbeiten (=„Marktortprinzip“) (= räumlicher Anwendungsbereich)

• ACHTUNG: DSGVO ist unabhängig von dem Einsatz technischer Mittel (Computer)! Jede strukturierte Papier-Sammlung von personenbezogenen Daten gilt als Dateisystem

Kurzübersicht über die Datenschutzgrundverordnung der EU

Grundsätze der DSGVO für die Verarbeitung personenbezogener Daten

• Rechtmäßigkeit (= Verbot der Erhebung von Daten mit Erlaubnisvorbehalt)• Verarbeitung nach Treu und Glauben (= Wahrung der Verhältnismäßigkeit)• Transparenz und Nachvollziehbarkeit der Datenverarbeitung• Zweckbindung der erhobenen Daten• Datensparsamkeit/Datenminimierung• Richtigkeit• Löschungspflicht bei Zweckerreichung (= begrenzte Speicherung und „Recht auf Vergessenwerden“)• Vertraulichkeit• Rechenschaftspflichten (= die Einhaltung der Grundsätze der DSGVO muss jederzeit nachweisbar sein!!!!)

Kurzübersicht über die Datenschutzgrundverordnung der EU

Rechte der Betroffenen wie z.B.

• Recht auf transparente Information und Kommunikation• Recht auf Information bei Datenerhebung• Recht auf Auskunftserteilung• Recht auf Berichtigung• Recht auf Löschung• Recht auf Einschränkung der Verarbeitung• Recht auf Datenübertragbarkeit• Widerspruchsrecht

Kurzübersicht über die Datenschutzgrundverordnung der EU

Übermittlung personenbezogener Daten in ein Drittland

• Zweistufige Legitimationsprüfung• 1. Stufe: Liegt eine Einwilligung oder ein gesetzlicher Erlaubnistatbestand vor• 2. Stufe: Ist nach Art. 45 ff DSGVO sichergestellt, dass ein angemessenes Datenschutzniveau im

Empfängerland existiert?• Ist der Fall, wenn ein sog. Angemessenheitsbeschluss der EU-Kommission existiert• Sofern kein Angemessenheitsbeschluss existiert, ist zu prüfen, ob „geeignete Garantien“ (wie u.a.

„Binding Corporate Rules“, „Standarddatenschutzklausel“) vorliegen

Was gilt bei Datentransfer nach Japan?

Ein Angemessenheitsbeschluss der EU-Kommission liegt derzeit noch nicht vor, wird aber erwartet!Momentan sind Datentransfers von der EU nach Japan aber nur auf Basis sog. „geeigneter Garantien“ zulässig!Es ist zwingend zu prüfen, ob „geeignete Garantien“ vorliegen!!!!

Kurzübersicht über die Datenschutzgrundverordnung der EU

WAS IST NEU – auf einen Blick:

• Vorrang und unmittelbare Wirkung der DSGVO• Globale Anwendung der DSGVO („Marktortprinzip)• Erweiterte Dokumentations- und Nachweispflichten („Verzeichnis von Verarbeitungstätigkeiten“)• Neuregelung zu Bestellung eines Datenschutzbeauftragten• Pflicht zur Durchführung von Datenschutz-Folgeabschätzungen• Melde- und Benachrichtigungspflichten• Datenschutz durch technische und organisatorische Maßnahmen• Ausweitung der Betroffenenrechte• Neureglung von Auftragsverarbeitungsverhältnissen• Einrichtung von Aufsichtsbehörden• Datentransfer in Drittländer

Grundsätzlich gilt aber: Wer unter dem alten BDSG

gut aufgestellt war, wird es auch nach neuem Recht sein.

Trotzdem gibt es Handlungsbedarf!Trotzdem gibt es Handlungsbedarf!

Unternehmen müssen sich bis zum 24.05.2018, 23:59 Uhr auf die neue strukturelle, prozessuale und rechtliche Anforderungen eingestellt haben und ab

dann bei Datenerhebungen ausschließlich nach neuem Recht vorgehen

Schritte zur Umsetzung des neuen Datenschutzrechts

DSGVO ist Chefsache - Klärung von Zuständigkeit Prüfung, ob Datenschutzbeauftragter zu benennen ist1.

Bestandsaufnahme („Daten-Audit“) durchführen2.

Rechtsgrundlagen der Verarbeitung überprüfen3.

Festlegung des Dokumentationsumfangs zur Erfüllung der Rechenschaftspflichten4.

Verzeichnis der Verarbeitungstätigkeiten erstellen5.

Umsetzung der Informationspflichten6.

Auftragsverarbeitung überprüfen, Verträge abschließen und Verzeichnis erstellen7.

Überprüfung der technisch-organisatorischen Maßnahmen8.

Mitarbeiter nach dem neuen Recht und seiner Umsetzung schulen9.

Datenschutz-Management-System aufbauen10.

Es ist spät, aber noch nicht zu spät,die Vorgaben der DSGVO umzusetzen.

Konsequenzen aus der Nichtbefolgung der EU-DSGVO

• Bußgelder (Art. 83 Abs. 4–6 DS-GVO, wirksam, verhältnismäßig, abschreckend):

• Recht auf Schadenersatz von materiellem oder immateriellem Schaden (Art. 82 Abs. 1 DS-GVO)• gesamtschuldnerische Haftung von Verantwortlichen und Auftragsverarbeitern gegenüber den Betroffenen (Art. 82

Abs. 4 DS-GVO), Ausgleich im Innenverhältnis möglich (Art. 82 Abs. 5 DS-GVO)• Beschwerdeverfahren durch Aufsichtsbehörden• Abhilfe durch die Aufsichtsbehörde (u. a. Verwarnung, Anordnung von Maßnahmen, Verbot der Verarbeitung (!),

Art. 58 Abs. 2 DS-GVO)

bis 10 Mio. Euro oder bis 2% des weltweiten Jahresumsatzes

bei Verstößen gegen die Pflichten als Verantwortlicher

bis 10 Mio. Euro oder bis 2% des weltweiten Jahresumsatzes

bei Verstößen gegen die Pflichten als Verantwortlicher

bis 20 Mio. Euro oder bis 4% des weltweiten Jahresumsatzes

bei Verstößen gegen die Rechte Betroffener oder Anordnungen der

Aufsichtsbehörden

bis 20 Mio. Euro oder bis 4% des weltweiten Jahresumsatzes

bei Verstößen gegen die Rechte Betroffener oder Anordnungen der

Aufsichtsbehörden

Auswirkungen der DSGVO auf das Beschäftigtendatenschutzrecht

• DSGVO selber regelt explizit den Beschäftigtendatenschutz nicht

• Art. 88 DSGVO enthält eine Öffnungsklausel, die es dem nationalen Gesetzgeber und Partner von Kollektivvereinbarungen erlaubt, den Beschäftigtendatenschutz zu regeln

Der nationale Gesetzgeber hat hiervon Gebrauch gemacht und in § 26 BDSG-neu das nationale Beschäftigtendatenschutz neu geregelt aber an § 32 BDSG-alt angelehnt

MERKE:

Grundsätzlich gelten alle Regelungen der DSGVO, sofern nicht spezifischere Regelungen in § 26 BDSG-neu bestehen

§ 26 BDSG-neu als zentrale Norm im Beschäftigtendatenschutz

§ 26 BDSG-neu als zentrale Norm im Beschäftigtendatenschutz

§ 26 BDSG-neu als zentrale Norm im Beschäftigtendatenschutz

§ 26 BDSG-neu als zentrale Norm im Beschäftigtendatenschutz

• § 26 BDSG-neu ist an den § 32 BDSG-alt angelehnt (d.h. im Bereich des Beschäftigtendatenschutzes kommt es nicht zu einer „Reform“)

• Die Verarbeitung personenbezogener Daten in Beschäftigtenverhältnis kann erfolgen• aufgrund gesetzlicher Grundlage des § 26 BDSG• aufgrund Betriebsvereinbarung• aufgrund Einwilligung (PRÜFUNG BESTEHENDER EINWILLIGUNGEN!)

• Die Verarbeitung personenbezogener Daten ist relevant • im Bewerbungsverfahren• im bestehenden Anstellungsverhältnis• nach Beendigung des Anstellungsverhältnisses

Beschäftigtendatenschutz im Bewerbungsverfahren

Ein alltäglicher (Daten Un-)Fall

Unter der allgemeinen Adresse „info@xy-gmbh.de“ der deutschen Tochtergesellschaft einer japanischen Muttergesellschaft geht eine Email der Bewerberin A ein, die eine Bewerbung einschließlich Lebenslauf enthält, und auf den Websiten-Aufruf „Wir suchen…“ Bezug nimmt.

Das Sekretariat öffnet die Mail und leitet Sie an Frau Meier aus der Personalabteilung weiter. Da diese im Urlaub ist, erfolgt eine automatische Weiterleitung an Frau Schmitz, die die Mail öffnet, liest, auf dem Laufwerk L ihres Rechners speichert und für den Personalverantwortlichen ausdruckt. Zudem leitet sie die Bewerbung an den zuständigen Personalbearbeiter in der japanischen Muttergesellschaft weiter. Eine Mitteilung über den Eingang der Bewerbung an die Bewerberin erfolgt nicht.

Der Personalverantwortliche nimmt die Unterlage an sich, recherchiert über die Bewerberin in den sozialen Netzwerken und bei xing und speichert – da er am nächsten Tag die Bewerberin vom Auto aus anrufen will – Name und Telefonnummer in sein Privathandy. Im Anschluss an das Telefon am nächsten Tag fertigt er Notizen über die Bewerberin an.

Schlussendlich kommt ein Arbeitsverhältnis nicht zustande und die Bewerberin erhält ein förmliches Absageschreiben.

Die Email bleibt auf dem Laufwerk von Frau Schmitz und in Japan gespeichert, ebenso Name und Telefonnummer der Bewerberin in denKontakten im Handy des Personalverantwortlichen, die Notizen des Personalverantwortlichen entsorgt er im Müll, der Ausdruck der Bewerbung bleibt auf seinem Schreibtisch liegen. Nach Rückkehr von Frau Meier aus dem Urlaub unterrichtet sie Frau Schmitz, dass die Bewerberin nicht genommen wurde und macht Bemerkungen über den Werdegang der Bewerberin.

Was ist im Bewerbungsverfahren zu beachten?

• Datenschutzvorschriften der DSGVO greifen bei allen elektronisch und nicht elektronisch übermittelten Informationen (Bewerbungsmappen/CV) des Bewerbers ein (m.M. auch bei „aufgedrängten und anlasslosen Bewerbungen“)

• Einrichtung einer besonderen Email-Adresse (bewerbung@...de), die nur von den Beteiligten des Bewerbungsprozesses einsehbar ist

• Weitergabe von Bewerberdaten muss streng begrenzt sein, auf die Personen, die am Bewerbungsprozess beteiligt sind

• Alle beteiligten Personen müssen zur Verschwiegenheit verpflichtet sein und die Bedeutung des Datenschutzes kennen

• Bewerber ist umfassend unverzüglich nach Eingang der Unterlagen über den Umgang mit Bewerberdaten zu informieren

• Die Datenschutzerklärung sollte Hinweise zur Verarbeitung von Bewerberdaten enthalten• Die Speicherung der Daten ist genau festzulegen und strengstens einzuhalten• Recherche in sozialen Netzwerken und Erhebung von zusätzlichen Daten hierüber sollte unterbleiben

Was ist im Bewerbungsverfahren zu beachten?

• Auch Notizen aus Bewerbungsgesprächen unterfallen dem Datenschutz, wenn diese personenbezogene Daten enthalten

• Nach Zweckerfüllung (Abschluss des Bewerbungsverfahrens = Stellenbesetzung) dürfen die Daten nicht mehr zugänglich sein, d.h. sie müssen gelöscht bzw. ordnungsgemäß (keine Entsorgung im Müll) vernichtet werden

• Löschungs- bzw. Vernichtungspflicht bezieht sich auf alle Daten (einschließlich Kopien, Notizen, Ausdrucke)• Wahrung von Meldepflichten bei Datenpannen binnen 72 Stunden• Prüfung, ob Datentransfer in Drittstaat zulässig ist

Muster eines elektronischen Antwortschreibens

Noch ein Hinweis

Welche Speicherfristen gelten für Bewerbungsdaten?

Nach einer Absage besteht keine rechtliche Grundlage für eine weitere Speicherung, sobald die Frist zur Geltendmachung von Ansprüchen aus dem AGG abgelaufen ist.

Soll eine Speicherung darüber hinaus in einem „Bewerberpool“ erfolgen, ist eine ausdrückliche Einwilligung des Bewerbers hierzu einzuhalten. ACHTUNG: Bei Einwilligungen sind DSGVO und § 26 BDSG zu beachten.

Noch ein Hinweis

Welche Folgen hätte es, wenn die japanischen Muttergesellschaft die Email-Adresse der Bewerberin für die Zusendung von Newsletter nutzen würde?

Die japanische Muttergesellschaft wäre „Verantwortlicher“ i.S.d. DSGVO und die Regelung der DSGVO mit allen Rechten und Pflichten wären auf die japanische Muttergesellschaft wegen des Marktortprinzips anwendbar. Ohne vorherige Einwilligung besteht das Risiko von Sanktionen und Ansprüchen der Betroffenen.

Ansprech-partner

Anschrift

Telefon, Fax, E-Mail, Web

Gunnar KrügerRechtsanwalt, Fachanwalt für Steuerrecht

Anwaltskanzlei KrügerGraf-Recke-Str. 3740239 Düsseldorf

T +49 211 542537-0F +49 211 542537-4011E info@anwaltskanzlei-krueger.deW www.anwaltskanzlei-krueger.de

Vielen Dank für Ihre Aufmerksamkeit!