Der EuGH hat das Privacy Shield für ungültig erklärt! Gut, das kam nicht überraschend. Interessanter sind daher die Ausführungen zu den Standardvertragsklauseln. Diese sind grundsätzlich abstrakt wirksam, es ist aber im Einzelfall zu prüfen, ob die konkrete Übermittlung von personenbezogenen Daten in ein bestimmtes Drittland damit gerechtfertigt werden kann (Urteil des EuGH vom 16.07.2020, C-311/18, Schrems II).

Aha. Ist das wichtig?

Ja! Die Entscheidung schafft Klarheit im Bezug auf den Transfer von personenbezogen Daten in ein Drittland (alles außerhalb des EWR, also außerhalb von EU, Norwegen, Island und Liechtenstein). Reine Absichtsbekundungen dahingehend, personenbezogene Daten schützen zu wollen, reichen nicht aus, daher wurde das Privacy Shield gekippt. Aber auch ein „Weiter so“ mit den Standarddatenschutzklauseln wird es nicht geben.

Den ganzen Artikel lesen.

Dieser Beitrag der Rechtsanwältin Nina Diercks erschien zuerst (und leicht gekürzt) in der Zeitschrift Arbeit und Arbeitsrecht (AuA) in Heft 12/18.

Vielen Dank an die Redaktion und damit natürlich an Volker Hassel!

Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG

Datenschutz ist naturgemäß ein Thema für die Personalabteilung. Schließlich arbeitet man dort mit nichts anderem als personenbezogenen Daten. Dennoch sahen lange recht wenige Personalabteilungen eine primäre Zuständigkeit für dieses Thema. Es hieß vielmehr, der Datenschutz liege in den Händen der Compliance-Abteilung. Dass sich diese zumeist mit den Spezifika der Datenverarbeitung im Bereich Personal nicht auskennen (nicht auskennen können), wurde sanft ignoriert. Auch von beratenden Arbeitsrechtskanzleien war oft kaum etwas zu vernehmen. Wenig verwunderlich, galt Datenschutz unter Fachanwälten für Arbeitsrecht doch als das „Orchideenfach“, das „einem als Arbeitsrechtler einfach nicht liege“ (so noch Dozenten beim Fachanwaltslehrgang Ende 2016). Dazu verstehen zu viele Arbeitsrechtler unter Personalauswahlverfahren immer noch ausschließlich das Lesen von Bewerbungsunterlagen nebst Interview. Die Folge? Vielmehr, als dass Fristen zur Aufbewahrung von Bewerber- wie auch Personalakten existieren, war nicht bekannt. Und selbst hier herrschte große Unsicherheit darüber, wie lang diese tatsächlich sind. Drei Monate für Bewerber? Oder doch sechs? Daneben tauchten zwar Fragen auf wie „Wie ist das eigentlich beim Sourcing?“, „Was ist mit Daten im Talent-Pool?“ „Video-Interviews dürfen wir doch nicht führen oder?“, jedoch wandte man sich diesen Themen nicht zu tief zu, das Tagesgeschäft rief schließlich.

Diese fürsorglich ignorierte Unsicherheit schlug mit der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 Geltung erlangte, vielerorts in Panik um. Mit einmal war Datenschutz keine jämmerliche Büropflanze mehr, der man einen Blick zuwerfen und sie wieder vergessen konnte, sondern wurde aufgrund der in Rede stehenden Sanktionsmöglichkeiten von bis zu 20 Millionen EUR bzw. bis zu 4% des weltweiten Jahresumsatzes und der Schadensersatzansprüche von Betroffenen als wesentlicher Teil der Unternehmensprozesse erkannt.

Die Panik flüsterte, man brauche für alles Rechtsgrundlagen und vor allem Einwilligungen, denn mit Einwilligungen sei wirklich immer alles sicher. Vor allem, wenn eine Einwilligung vom Bewerber zur Datenverarbeitung oder zum Einsatz von Online-Assessments vorliege. Der erleichterte Ausruf vieler Orten: „Ach, wie toll, das Bewerbermanagement-System bietet die Einwilligungsabfrage direkt an!“

Die Wahrheit ist, mit der DSGVO und dem angepassten Bundesdatenschutzgesetz (BDSG) hat sich die Rechtslage im Hinblick auf Recruiting- und Personalauswahlverfahren nur verhältnismäßig wenig geändert. Um der dennoch aufkeimenden Panik entgegenzutreten, werfen nun einen unaufgeregten Blick auf die Verfahren unter DSGVO und BDSG.

1. Der Anfang jeder Einstellung – Die Bewerbungsphase

Am Anfang jeder Einstellung steht entweder die klassische Bewerbung oder – o tempora, o mores! – die Suche nach geeigneten Kandidaten, die Identifikation und Ansprache derer (sog. Sourcing.)

Den ganzen Artikel lesen.

Der (virtuelle) Schreibtisch ist mehr als voll mit Arbeit. Das liegt unter anderem daran, dass die Datenschutzgrundverordnung (DSGVO) vor der Tür steht. In knapp sechs Monaten, genau genommen am 25. Mai 2018, ist es soweit. Dies ist den treuen Lesern dieses Blogs ebenso bekannt, wie die Tatsache, dass auf Unternehmen erhebliche Arbeit zukommt, um die eigenen Geschäftsprozesse den Anforderungen der DSGVO anzupassen.

Nun verhält es sich aber auch so, dass viele Unternehmen – wenn überhaupt – gerade erst anfangen, sich näher mit dem Thema DSGVO und deren Umsetzung zu beschäftigen. Sollten Sie an dieser Stelle stehen, dann können Sie natürlich sehr gerne einen Blick in unsere Beitragsreihe „Die EU-Datenschutzgrundverordnung ist da! – Worauf müssen sich Unternehmen einstellen?„. Allerdings sind wir hier, einschließlich dieses Beitrags, bei inzwischen 10 Artikeln und das ist dann doch eine ganze Menge Stoff auf einmal und Sie fühlen sich vielleicht als würden Sie den Wald vor lauter Bäumen gar nicht mehr sehen können…

Den ganzen Artikel lesen.

Als ich sah, dass das #EFAR (Expertenforum Arbeitsrecht) zu einer Blogparade zum Thema „Umgang mit sozialen Medien am Arbeitsplatz“ aufrief habe ich mich sehr gefreut und sofort gedacht „Da mach ich mit!“. Dann verzweifelte ich aber etwas, raufte mir die Haare und dachte „Ja, aber wie denn!? Soll ich denen meinen Blog schicken?!“. Denn es ist zwar richtig, dass Fragen wie unter anderem

„Ist eine Social-Media-Nutzung eigentlich stets zulässig oder nur, wenn sie zu beruflichen Zwecken erfolgt? Und wann ist sie „privat“, wann „beruflich“? Welche Kriterien können gegebenenfalls für eine solche Unterscheidung herangezogen werden? Und wie sieht es eigentlich aus, wenn neueste Pressemitteilungen oder sonstige Informationen des Unternehmens auf eigenen Seiten der Arbeitnehmer gepostet werden? [Quelle: #EFAR]“

in der arbeitsrechtlichen Literatur dem Grunde nach immer noch ein Schattendasein fristen und darüber hinaus allenfalls stiefmütterlich behandelt werden. Aber in meiner täglichen Arbeit in der Kanzlei, auf diesem Blog sowie und in den von mir regelmäßig unregelmäßig veröffentlichen Gastbeiträgen und Fachartikeln andernorts spielen alle diese Fragen – seit inzwischen sieben Jahren – eine tragende Rolle. [SPOILER: Eine Unterscheidung zwischen dienstlicher und privater Nutzung ist ganz theoretisch immer noch möglich, praktisch jedoch weder umsetzbar noch sinnvoll.].

Den ganzen Artikel lesen.

Mitautor: Christian Frerix*

Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt

Wie wir in der letzten Woche in Teil 1 dieser Serie erläuterten, ist die EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2016 in Kraft getreten und wird ihre Wirkungen im Mai 2018 in aller Pracht entfalten.

Bis dahin sollten sich Unternehmen mit den damit für sie einhergehenden Änderungen tunlichst auseinandersetzen. Warum? Warum nicht wie bisher ignorieren? Nun, der alte Tiger Datenschutz hat – wie wir bislang nur zaghaft andeuteten – neue Zähne bekommen. Das bedeutet unter anderem, dass Verstöße gegen die Verordnung – je nach dem gegen welche Norm Sie verstoßen haben – mit Bußgeldern in Höhe von bis zu 10 000 000 Euro bzw. bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres  oder in Höhe von bis zu 20 000 000 Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres mit Geldbußen  geahndet werden können (vgl. Art. 83 Abs. 4 u 5 DSGVO). Daneben sind nun auch klar Schadensersatzansprüche in der DSGVO verankert (vgl. Art. 82 DSGVO). Tja, bei diesen Beträgen fällt es schon schwer, eine „Rückstellung“ zu budgetieren geschweige denn tatsächlich einzukalkulieren. Dazu ein anderes Mal mehr; aber dies vielleicht als kleinen Anreiz, mit einem wachen Auge auf die anstehenden Änderungen zu schauen.

Den ganzen Artikel lesen.