Aus Sicht der Datenschutz- und Arbeitsrechtlerin wahrlich nichts Neues: Bewerbungsmanagement- und Personalmanagement- sowie Personalentwicklungssoftware sind vor der Implementierung und dem Einsatz im Unternehmen nicht nur von der Fachabteilung auf Anwenderfreundlichkeit und Effektivität zu bewerten, sondern auch von der IT-Abteilung auf Datensicherheit sowie wie dem Legal Department oder den entsprechend spezialisierten Anwälten auf datenschutz- und arbeitsrechtliche Fallstricke zu prüfen. Hierauf weise ich nicht nur im Rahmen meiner Beratungen stets hin, sondern schrieb dazu bereits unter anderem hier (DSGVO-Praxisleitfaden für KMU: In acht Schritten zur Compliance) und hier (Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG) sowie hier (Datenschutz im Beschäftigtenverhältnis–Teil 2).

Und doch, oh weh, oh ach, dieser Datenschutz. Da wird doch der Anbieter des Systems schon drauf geachtet haben. Und überhaupt, es passiert ja doch nichts.

Tja. In diesem Glauben kann man bleiben, sollte man jedoch aus purem Eigeninteresse im Hinblick auf die Firmenbilanz wie auch die Integrität vielleicht besser doch nicht.

Nicht nur, dass die recht langsamen Mühlen der Behörden inzwischen mit all ihrer Gründlichkeit den einen oder anderen Sack Mehl fertig gemahlen, vielmehr Bußgeldbescheide versendet haben. So wie beispielsweise

• die Berliner Beauftragte für Datenschutz und Informationssicherheit mit dem Bußgeldbescheid über 14,5 Millionen Euro gegenüber der Deutschen Wohnen SE
• der Bundesdatenschutzbeauftragte mit dem Bußgeldbescheid über 9,5 Millionen Euro gegenüber der 1&1 GmbH
• der Landesbeauftragte Rheinland-Pfalz mit dem Bußgeldbescheid über 105.000 EUR gegenüber der Universitätsklinik Mainz
• der Bundesdatenschutzbeauftragte mit einem Bußgeld in Höhe von 10.000 EUR gegenüber der Rapidate GmbH.

Die Verhängung von Bußgeldern durch eine Behörde bedeutet dabei selbstverständlich nicht, dass diese Bescheide rechtskräftig sind. Gegen diese kann Einspruch erhoben werden. Und sowohl von der Deutsche Wohnen SE als auch der 1&1 GmbH heißt es, dass diese Einsprüche getätigt haben oder tätigen wollen. Die Frage, ob man aber überhaupt erst einmal auf diese Art und Weise mit einer Datenschutzbehörde in Kontakt kommen möchte und dann vor einem Amtsrichter am Strafgericht (bei Geldbußen bis zu 100.000 EUR) oder vor der Kammer am Landgericht für Strafsachen (bei Geldbußen ab 100.000 EUR) Fragen der DSGVO erörtern möchte, wenn doch die Richter sich bisher mit Verkehrsordnungswidrigkeiten bzw. Raub und Totschlag befassten, das würde ich als Geschäftsführer wohl mit „Nein“ beantworten. (Also als Anwältin mit jubelndem Herzen mit „JA!“… aber das ist wohl eine andere Perspektive 😉 ).

Sondern inzwischen ist auch die erste Personalsoftware fest im Blick einer Behörde. Genau genommen steht die die von Zalando zur Mitarbeiterbewertung eingesetzte Software Zonar im Blick der Berliner Beauftragten für Datenschutz und Informationssicherheit.

Grund genug einmal einen Blick auf den Fall Zonar sowie  auf die grundsätzlichen datenschutz- und arbeitsrechtlichen Anforderungen an Personalsoftware zu werfen.

Den ganzen Artikel lesen.

Heute übernehme ich, Tobias Hinderks, den Rechtsüberblick. Denn das Datenschutzrecht und die IT-Welt ist bekannterweise voll von Themen und neuen Entwicklungen. Heute geht es um ein Urteil des EuGH, dass bei Google bestimmt mit großer Begeisterung aufgenommen wurde, einen Ausflug in den 27. Tätigkeitsbericht des Bundesdatenschutzbeauftragten und einen weiteren (lohnenswerten) Ausflug in das Thüringische Personalvertretungsgesetz (nein, der Autor hat nicht den Verstand verloren…). Danach wenden wir uns der technischen Welt und einem Sicherheitsproblem mit – man kann es erraten – dem beA zu, um mit einem Beschluss des Europäischen Datenschutzausschusses zur Datenverarbeitung im Vertragskontext zu enden.

Viel Spaß beim Lesen!

Den ganzen Artikel lesen.

Treue Leser des Blogs wissen, dass wir uns schon seit dem 31. Mai 2016 hier intensiv mit der EU-Datenschutzgrundverordnung beschäftigen. Zum Zeitpunkt der Entstehung etlicher Artikel war das neue BDSG noch nicht verabschiedet und wir arbeiteten mit Entwürfen. So zum Beispiel in Teil 8 unserer Serie, die sich mit den Rechten und Pflichten des Datenschutzbeauftragten befasst. Diesen haben wir jetzt einmal entsprechend überarbeitet und auf den neuesten Stand gebracht:

Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO

Natürlich wollen wir Ihnen auch den Rest der der 11-teiligen Serie nicht vorenthalten, wenn Sie mögen, schauen Sie doch einmal rein:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I

Teil 10 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – II

Teil 11 – Fragenkatalog der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO

Uuund, ja, es ist – aufgrund der massiven Arbeitsüberlastung – immer noch sehr ruhig hier auf dem Blog. Aber wir arbeiten gerade an einem 12. Teil zur DSGVO. Und dieser wird sich explizit mit den Auswirkungen der DSGVO auf HR-Abteilungen befassen.

In diesem Sinne,

auf ganz bald!

Als ich sah, dass das #EFAR (Expertenforum Arbeitsrecht) zu einer Blogparade zum Thema „Umgang mit sozialen Medien am Arbeitsplatz“ aufrief habe ich mich sehr gefreut und sofort gedacht „Da mach ich mit!“. Dann verzweifelte ich aber etwas, raufte mir die Haare und dachte „Ja, aber wie denn!? Soll ich denen meinen Blog schicken?!“. Denn es ist zwar richtig, dass Fragen wie unter anderem

„Ist eine Social-Media-Nutzung eigentlich stets zulässig oder nur, wenn sie zu beruflichen Zwecken erfolgt? Und wann ist sie „privat“, wann „beruflich“? Welche Kriterien können gegebenenfalls für eine solche Unterscheidung herangezogen werden? Und wie sieht es eigentlich aus, wenn neueste Pressemitteilungen oder sonstige Informationen des Unternehmens auf eigenen Seiten der Arbeitnehmer gepostet werden? [Quelle: #EFAR]“

in der arbeitsrechtlichen Literatur dem Grunde nach immer noch ein Schattendasein fristen und darüber hinaus allenfalls stiefmütterlich behandelt werden. Aber in meiner täglichen Arbeit in der Kanzlei, auf diesem Blog sowie und in den von mir regelmäßig unregelmäßig veröffentlichen Gastbeiträgen und Fachartikeln andernorts spielen alle diese Fragen – seit inzwischen sieben Jahren – eine tragende Rolle. [SPOILER: Eine Unterscheidung zwischen dienstlicher und privater Nutzung ist ganz theoretisch immer noch möglich, praktisch jedoch weder umsetzbar noch sinnvoll.].

Den ganzen Artikel lesen.

Fast zwei Monate ist es her, dass hier der Artikel Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO I erschien. Dort erläuterten wir, wie sich die Rechtslage hinsichtlich der Kandidatensuche und der Anlage eines Kandidatenpools ab 2018 gestaltet und welchen (erweiterten) Dokumentations- und Informationspflichten Unternehmen spätestens dann nachkommen müssen.

Nun, ein paar sehr arbeitsintensive Wochen und einen phantastischen – natürlich 😉 viel zu kurzen – Urlaub später geht es heute um die rechtlichen Fragen der Kandidatenansprache im Hinblick auf die Änderungen, die uns 2018 erwarten. Das sind – leider – weder kleine Änderungen noch sehr angenehme und das hat vor allem mit der schon im Titel genannten ePrivacyVO zu tun. Man könnte sagen, es wird eher dunkel.

Doch der Reihe nach.

Den ganzen Artikel lesen.