Mitautor: Tobias Hinderks*

Es ist schon ein paar Tage her, dass die Schlussanträge des EuGH Generalanwalt Bobek in der Rechtssache C-40/17 („Fashion ID“) veröffentlicht wurden. Doch neben der Tatsache, dass diese Schlussanträge im Hinblick auf die Frage, ob die DSGVO eine Sperrwirkung gegenüber dem UWG entfalten würden, erwartet wurden (so Härting, CR-online Blog, 18.10.2018) und die Schlussanträge somit grundsätzlich einen intensiveren Blick unter diesem Aspekt lohnen, gibt es nun noch einen weiteren aktuellen Grund, endlich auch hier im Blog auf diese zurück zukommen:

Mein diesbezüglicher Fachaufsatz „Verhältnis zwischen Datenschutzrecht und UWG aus europarechtlicher Sicht – Analyse der Schlussanträge in Sachen Fashion ID (EuGH – C-40/17) mit Blick auf Verbandsklagerecht und vermeintliche Sperrwirkung der DSGVO“ aus der CR 02/2019, 95 wurde in die Verfahrensdokumentation des EuGH aufgenommen. \o/.

Nun nachfolgend zu der Angelegenheit. Worum geht es überhaupt?

Den ganzen Artikel lesen.

Dieser Beitrag der Rechtsanwältin Nina Diercks erschien zuerst (und leicht gekürzt) in der Zeitschrift Arbeit und Arbeitsrecht (AuA) in Heft 12/18.

Vielen Dank an die Redaktion und damit natürlich an Volker Hassel!

Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG

Datenschutz ist naturgemäß ein Thema für die Personalabteilung. Schließlich arbeitet man dort mit nichts anderem als personenbezogenen Daten. Dennoch sahen lange recht wenige Personalabteilungen eine primäre Zuständigkeit für dieses Thema. Es hieß vielmehr, der Datenschutz liege in den Händen der Compliance-Abteilung. Dass sich diese zumeist mit den Spezifika der Datenverarbeitung im Bereich Personal nicht auskennen (nicht auskennen können), wurde sanft ignoriert. Auch von beratenden Arbeitsrechtskanzleien war oft kaum etwas zu vernehmen. Wenig verwunderlich, galt Datenschutz unter Fachanwälten für Arbeitsrecht doch als das „Orchideenfach“, das „einem als Arbeitsrechtler einfach nicht liege“ (so noch Dozenten beim Fachanwaltslehrgang Ende 2016). Dazu verstehen zu viele Arbeitsrechtler unter Personalauswahlverfahren immer noch ausschließlich das Lesen von Bewerbungsunterlagen nebst Interview. Die Folge? Vielmehr, als dass Fristen zur Aufbewahrung von Bewerber- wie auch Personalakten existieren, war nicht bekannt. Und selbst hier herrschte große Unsicherheit darüber, wie lang diese tatsächlich sind. Drei Monate für Bewerber? Oder doch sechs? Daneben tauchten zwar Fragen auf wie „Wie ist das eigentlich beim Sourcing?“, „Was ist mit Daten im Talent-Pool?“ „Video-Interviews dürfen wir doch nicht führen oder?“, jedoch wandte man sich diesen Themen nicht zu tief zu, das Tagesgeschäft rief schließlich.

Diese fürsorglich ignorierte Unsicherheit schlug mit der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 Geltung erlangte, vielerorts in Panik um. Mit einmal war Datenschutz keine jämmerliche Büropflanze mehr, der man einen Blick zuwerfen und sie wieder vergessen konnte, sondern wurde aufgrund der in Rede stehenden Sanktionsmöglichkeiten von bis zu 20 Millionen EUR bzw. bis zu 4% des weltweiten Jahresumsatzes und der Schadensersatzansprüche von Betroffenen als wesentlicher Teil der Unternehmensprozesse erkannt.

Die Panik flüsterte, man brauche für alles Rechtsgrundlagen und vor allem Einwilligungen, denn mit Einwilligungen sei wirklich immer alles sicher. Vor allem, wenn eine Einwilligung vom Bewerber zur Datenverarbeitung oder zum Einsatz von Online-Assessments vorliege. Der erleichterte Ausruf vieler Orten: „Ach, wie toll, das Bewerbermanagement-System bietet die Einwilligungsabfrage direkt an!“

Die Wahrheit ist, mit der DSGVO und dem angepassten Bundesdatenschutzgesetz (BDSG) hat sich die Rechtslage im Hinblick auf Recruiting- und Personalauswahlverfahren nur verhältnismäßig wenig geändert. Um der dennoch aufkeimenden Panik entgegenzutreten, werfen nun einen unaufgeregten Blick auf die Verfahren unter DSGVO und BDSG.

1. Der Anfang jeder Einstellung – Die Bewerbungsphase

Am Anfang jeder Einstellung steht entweder die klassische Bewerbung oder – o tempora, o mores! – die Suche nach geeigneten Kandidaten, die Identifikation und Ansprache derer (sog. Sourcing.)

Den ganzen Artikel lesen.

Um die Antworten gleich vorweg zu nehmen (Neudeutsch Spoiler): Nein. Nein. Ja.

Aber wenn das so klar wäre, wie ich das hier postuliere, dann würde ich dazu wohl kaum ein Wort verlieren. Also beginnen wir doch von vorne. Dabei können Sie sich jetzt aussuchen, ob Sie im Hinblick auf die vorgebliche Sperrwirkung der DSGVO diesen Blogartikel oder lieber den hier nachfolgend zitierten Fachaufsatz, ebenfalls aus meiner Feder, lesen möchten. Letzterer ist vor allem für die Kollegen interessant, für die geneigten juristischen Laien-Leser ist es möglicherweise etwas „schwere Kost“.

Zur Fragestellung, ob eine Sperrwirkung der DSGVO gegenüber dem UWG existiert, ist im Otto Schmidt Verlag in der CR (Computer und Recht) just der Aufsatz

Die DSGVO entfaltet keine Sperrwirkung gegenüber den Rechtsbehelfen aus dem UWG – Eine Replik auf den Ansatz von Köhler (WRP, 11/18, S. 1269)

erschienen. (Der Link führt zum Abstract des Aufsatzes sowie zur Datenbank des Otto Schmidt Verlages, ein kostenloser Probezugang ist möglich).

Ah. Sie lesen hier weiter. Sehr gut. Dann kommen Sie mit. Wir beginnen jetzt einmal ganz von vorne.

Den ganzen Artikel lesen.

Die Datenschutzbehörden kündigten schon länger an, dass die ersten Bußgelder nach der DSGVO im vierten Quartal verhängt werden würden. Nun ist es soweit:

Der Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) verhängte just das erste Bußgeld und zwar in Höhe von 20.000,00 EUR gegen den Anbieter einer Social Media Plattform.

Nur 20.000,00 EUR?! So eventuell die eine oder andere innere Reaktion der Leser*innen. Führt man sich jedoch zum einen die Hintergründe, die im konkreten Fall zu diesem Betrag führten und zum anderen die Höhe von Bußgeldern, die bis zur DSGVO verhängt wurden, vor Augen, sieht das Bild schon anders aus.

Den ganzen Artikel lesen.

Das Upload Magazin Nr. 64 trägt den Schwerpunkt Datenschutz. Zu dieser Ausgabe durfte ich zum einen mit einem Bericht zum Status Quo nach sechs Monaten DSGVO beitragen und zum anderen durfte ich einen Praxisleitfaden für KMU (kleine und mittelständische Unternehmen) zur Erreichung der DSGVO Compliance verfassen. Dabei erläutere ich nicht nur, was es mit

• dem Verzeichnis von Verarbeitungstätigkeiten
• den Informationen zur Datenverarbeitung
• den Vertraulichkeitsverpflichtungen
• den Technischen und organisatorischen Maßnahmen
• Auftragsverarbeitungsverträgen
• Privacy by Design & Default
• Datenschutzfolgeabschätzungen
• Meldepflichten und
• dem Datenschutzmanagement-Handbuch

jeweils auf sich hat, sondern vor allem, wie diese in Bezug zueinander stehen. Eine  eine systematische Herangehensweise an das Thema DSGVO-Compliance ist nämlich nicht nur sinnvoll, sondern spart am Ende Zeit und damit natürlich auch Geld.

Mitgeben möchte ich Ihnen als Geschäftsführer/in eines KMU vor allem, dass die Umsetzung der DSGVO  im Ergebnis natürlich machbar und gar nicht solch ein großer Schrecken ist. Sozusagen ein Scheinriese, der den Vorteil mit sich bringt, dass die Unternehmensprozesse einmal durchleuchtet werden – was man zumeist ohnehin schon lange vorhat, aber nun einen guten Grund hat, dies wirklich einmal zu tun.

Doch nun genug der Vorrede, hier können Sie den ganzen Artikel lesen (einfach auf den Screenshot klicken):

In diesem Sinne,

wir lesen uns drüben.