Dieser Beitrag der Rechtsanwältin Nina Diercks erschien zuerst (und leicht gekürzt) in der Zeitschrift Arbeit und Arbeitsrecht (AuA) in Heft 12/18.

Vielen Dank an die Redaktion und damit natürlich an Volker Hassel!

Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG

Datenschutz ist naturgemäß ein Thema für die Personalabteilung. Schließlich arbeitet man dort mit nichts anderem als personenbezogenen Daten. Dennoch sahen lange recht wenige Personalabteilungen eine primäre Zuständigkeit für dieses Thema. Es hieß vielmehr, der Datenschutz liege in den Händen der Compliance-Abteilung. Dass sich diese zumeist mit den Spezifika der Datenverarbeitung im Bereich Personal nicht auskennen (nicht auskennen können), wurde sanft ignoriert. Auch von beratenden Arbeitsrechtskanzleien war oft kaum etwas zu vernehmen. Wenig verwunderlich, galt Datenschutz unter Fachanwälten für Arbeitsrecht doch als das „Orchideenfach“, das „einem als Arbeitsrechtler einfach nicht liege“ (so noch Dozenten beim Fachanwaltslehrgang Ende 2016). Dazu verstehen zu viele Arbeitsrechtler unter Personalauswahlverfahren immer noch ausschließlich das Lesen von Bewerbungsunterlagen nebst Interview. Die Folge? Vielmehr, als dass Fristen zur Aufbewahrung von Bewerber- wie auch Personalakten existieren, war nicht bekannt. Und selbst hier herrschte große Unsicherheit darüber, wie lang diese tatsächlich sind. Drei Monate für Bewerber? Oder doch sechs? Daneben tauchten zwar Fragen auf wie „Wie ist das eigentlich beim Sourcing?“, „Was ist mit Daten im Talent-Pool?“ „Video-Interviews dürfen wir doch nicht führen oder?“, jedoch wandte man sich diesen Themen nicht zu tief zu, das Tagesgeschäft rief schließlich.

Diese fürsorglich ignorierte Unsicherheit schlug mit der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 Geltung erlangte, vielerorts in Panik um. Mit einmal war Datenschutz keine jämmerliche Büropflanze mehr, der man einen Blick zuwerfen und sie wieder vergessen konnte, sondern wurde aufgrund der in Rede stehenden Sanktionsmöglichkeiten von bis zu 20 Millionen EUR bzw. bis zu 4% des weltweiten Jahresumsatzes und der Schadensersatzansprüche von Betroffenen als wesentlicher Teil der Unternehmensprozesse erkannt.

Die Panik flüsterte, man brauche für alles Rechtsgrundlagen und vor allem Einwilligungen, denn mit Einwilligungen sei wirklich immer alles sicher. Vor allem, wenn eine Einwilligung vom Bewerber zur Datenverarbeitung oder zum Einsatz von Online-Assessments vorliege. Der erleichterte Ausruf vieler Orten: „Ach, wie toll, das Bewerbermanagement-System bietet die Einwilligungsabfrage direkt an!“

Die Wahrheit ist, mit der DSGVO und dem angepassten Bundesdatenschutzgesetz (BDSG) hat sich die Rechtslage im Hinblick auf Recruiting- und Personalauswahlverfahren nur verhältnismäßig wenig geändert. Um der dennoch aufkeimenden Panik entgegenzutreten, werfen nun einen unaufgeregten Blick auf die Verfahren unter DSGVO und BDSG.

1. Der Anfang jeder Einstellung – Die Bewerbungsphase

Am Anfang jeder Einstellung steht entweder die klassische Bewerbung oder – o tempora, o mores! – die Suche nach geeigneten Kandidaten, die Identifikation und Ansprache derer (sog. Sourcing.)

Den ganzen Artikel lesen.

Treue Leser des Blogs wissen, dass wir uns schon seit dem 31. Mai 2016 hier intensiv mit der EU-Datenschutzgrundverordnung beschäftigen. Zum Zeitpunkt der Entstehung etlicher Artikel war das neue BDSG noch nicht verabschiedet und wir arbeiteten mit Entwürfen. So zum Beispiel in Teil 8 unserer Serie, die sich mit den Rechten und Pflichten des Datenschutzbeauftragten befasst. Diesen haben wir jetzt einmal entsprechend überarbeitet und auf den neuesten Stand gebracht:

Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO

Natürlich wollen wir Ihnen auch den Rest der der 11-teiligen Serie nicht vorenthalten, wenn Sie mögen, schauen Sie doch einmal rein:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I

Teil 10 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – II

Teil 11 – Fragenkatalog der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO

Uuund, ja, es ist – aufgrund der massiven Arbeitsüberlastung – immer noch sehr ruhig hier auf dem Blog. Aber wir arbeiten gerade an einem 12. Teil zur DSGVO. Und dieser wird sich explizit mit den Auswirkungen der DSGVO auf HR-Abteilungen befassen.

In diesem Sinne,

auf ganz bald!

Silo-Denken? Compliance-Probleme? Hat Nina Diercks die Branche gewechselt und macht jetzt Unternehmenskommunikation? – Nein, natürlich nicht! Die Expertin für interne Unternehmenskommunikation ist immer noch Jeanette Wygoda. Mit eben dieser hat die Rechtsanwältin zum Thema Compliance, Recht und ja, auch dem Silo-Denken ein Interview geführt.

Das Thema Compliance ist im Blog natürlich immer wieder ein Thema. Bedeutet Compliance doch nichts anderes als Rechtskonformität. (Während ersteres aber eher zum Wegdösen der Geschäftsführung führt, bedeutet letzteres regelmäßig sofort einen hellwachen Vorstand).

In letzter Zeit ist das Wort „Compliance“ hier sehr häufig im Zusammenhang mit der DSGVO (EU-Datenschutzgrundverordnung) gefallen, die ab Mai 2018 dafür sorgt, dass ein datenschutzrechtlicher Compliance-Verstoß wahrlich kein Kavaliersdelikt mehr ist.

[Wenn Sie mehr zur DSGVO und den Folgen für Unternehmen wissen möchten, dann werfen Sie doch einen Blick in unsere 9-teilige Serie dazu, die von einem Blick auf die grundlegenden datenschutzrechtlichen Rechten und Pflichten der Unternehmen bis hin zu konkreten Themen wie  Actice Sourcing und das Talent Relationship Management reicht].

Jeanette Wygoda und Rechtanwältin Nina Diercks beleuchten in dem Interview unter dem Titel „“Silo-Denken“ in Unternehmen ist auch ein Compliance-Problem“ einen weiteren Aspekt, nämlich den der internen Kommunikation. Dabei geht es vor allem darum, wie das klassische „Silo-Denken“ (also das Denken in rein bereichs- bzw. abteilungsbezogenen Verantwortlichkeiten) insbesondere in Bezug auf die Datenschutz-Compliance zu einer äußerst unangenehmen Falle werden kann.

Hier geht es zum vollständigen Artikel

“Silo-Denken“ in Unternehmen ist auch ein Compliance-Problem

Wir wünschen viel Spaß beim Lesen!

Ihre Kathrin Meyer

Nach einer Meldung vom gestrigen Tage (09.02.) (u.a. bei Heise, GoogleWatchBlog, ZDNet) verlangt Google Play nun, dass in den Store eingestellte Apps eine Datenschutzerklärung enthalten – und droht mit dem Entfernen der Apps aus dem Store, wenn nicht bis zum 15. März (!) Datenschutzrichtlinien vorliegen. Mhm, dachte ich, okay, der 15.03., das ist mal ein knackiger Zeithorizont für die App-Betreiber und wird bei dem einen oder anderen für Schweiß auf der Stirn sorgen. Aber sonst? Eigentlich ist das alles doch nichts Neues?

Nun aber von vorne und der Reihe nach: Wie ist die Rechtslage, was will Google und was müssen Sie als App-Betreiber tun?

Den ganzen Artikel lesen.

Welch unangenehme Frage. Eine, der sich kaum ein Unternehmen gerne stellen möchte. Und doch sollte das Unternehmen als Arbeitgeber auf eben eine solche vorbereitet sein. Denn natürlich lesen sich Sätze aus der Corporate Communications Strategy wie dieser

„Durch die Einbindung der Mitarbeiter in die Markenkommunkation können signifikante Steigerung der positiven Markenidentifikation erreicht werden.“

ganz hervorragend und wie der leichte Schlüssel zum Glück. Doch das Unglück beziehungsweise der kommunikative Alptraum liegt nicht fern, wenn die Beiträge von Mitarbeitern in sozialen Netzwerken keinen geschäftsfördernden, sondern geschäftsschädigenden Charakter annehmen.

An dieser Stelle muss sich ein Unternehmen die Frage nach der „richtigen“ Reaktion stellen und den „richtigen“ Weg gehen.

Den ganzen Artikel lesen.