Menu

EU-DSVGo bzw. GDPR-Effekte auf die Personalberatungsbranche

Mit der neuen Datenschutzverordnung, die am 25. Mai 2018 in Kraft tritt, können wir davon ausgehen, dass Regulierung enorm auf die Personalberatungsbranche einwirken wird. Im Moment ist nicht absehbar inwieweit die Bestimmungen sowohl beflügelnd als auch hemmend auf die Prozesse der Branche sein werden. Sicher bringt die EU-DSGVo keine Revolution des Datenschutzrechts mit sich, doch in einem Punkt kann man schon eine Erleichterung erkennen. Um eine Rechtsgrundlage für die Datenverarbeitung bei Kandidaten zu schaffen, ist im Grunde eine direkte Bewerbung notwendig. Mit der modernen Verordnung entfällt der Grundsatz der Direkterhebung. In solchen Fällen, wo der Kandidat seine Daten über eine Plattform, wie XING, anbietet bzw. veröffentlicht, wird er oder sie über die Datenverarbeitung bereits durch den Plattformanbieter informiert. Darüber hinaus gibt es eine Reihe an Neuregelungen oder Erweiterungen, die die Personalberatungsbranche umsetzen sollte: 1. Einsatz datenschutzfreundlicher Technologien (Datenschutz als Standarteinstellung, (Datenschutz durch Technik)) Dem Bewerber oder Kunden muss bspw. eine sichere Übertragung seiner personenbezogenen Daten gewährleistet werden, z.B. SSL-Verschlüsselung, um Vertrauen zu schaffen und auch vor dem Gesetz alle notwendigen Maßnahmen zu deren Schutz vorgenommen zu haben. Darüber hinaus stehen dem Bewerber oder Kunden alle Betroffenenrechte zu wie: das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschen/ Vergessenwerden, das Recht auf Einschränkung der Verarbeitung das Recht auf Widerspruch und das Recht auf Datenübertragbarkeit des BDSG bzw. zukünftigem DSGVO/ GDPR zu. Digitale Bewerbungsunterlagen erhalten den gleichen Schutz wie klassische, papiergebundene Bewerbungen. 2. Datenminimierung / Zweckbindung / Datenschutz-Information Bei Webbasierten verfahren im E-Recruiting sind die Verantwortlichen verpflichtet nur Daten zu erfassen, die erforderlich sind um die Eignung, Befähigung und Leistung des Bewerbers festzustellen und seine Beweggründe zu verstehen. Bei umfangreichen Fragenkatalogen muss der Bewerber den Zweck verstehen. 3. Löschung und Aufbewahrung Die Daten des Bewerbers nach dem Auswahlverfahren sind – unter Beachtung des Allgemeinen Gleichbehandlungsgesetzes (AGG) – nach den anerkannten Löschungspflichten zu vernichten oder dem Bewerber zurückzugeben, aber nicht länger als 6 bis 12 Monate aufzubewahren. Neu ist die Informationspflicht bezüglich der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Wenn z.B. Daten in einer Cloud außerhalb der EU gespeichert werden, muss die betroffene Person darüber informiert werden, dass es sich um ein ‚unsicheres‘ Drittland handelt. Darüber hinaus ist darzustellen, auf welche Maßnahmen die Übermittlung gestützt wird (z.B. Europäischen Standardvertragsklauseln, Binding Corporate Rules). 4. Auskunftspflicht Jedem EU-Bürger steht eine Auskunftspflicht zu, welche Daten über ihn gespeichert wurden. Diese Regelung ist nicht neu, wir aber an engere Fristen gebunden. Ab Mai tritt dann eine einmonatige Frist in Kraft, die bis auf maximal drei Monate erweitert werden kann. In solchen Fällen stehen dem Auskunftsuchenden Informationen auf bestehendes Recht zu. Es gelten aber auch Ausnahmeregelungen, wie z.B. die Geheimhaltungspflicht. Im Falle eines Auskunftsersuchens muss deshalb genau geprüft werden, ob und wenn ja, welche Daten herausgegeben werden müssen und dürfen. Insgesamt macht es Sinn ab einer Größe von fünf Mitarbeitern einen Datenschutzbeauftragten zu ernennen, der sich um die zentralen Fragen bei der EU-DSVGo bzw. GDPR kümmert und die in- und externen Prozesse begleitet.

Sind Sie interessiert? Melden Sie sich bei uns, wir sind offen für ein Gespräch.