Die EU-DSGVO hat zum Ziel, die Datenschutzrechte in den EU-Mitgliedsstaaten zu vereinheitlichen. Sie ersetzt die jeweiligen bisher national gültigen Datenschutzgesetze der Mitgliedsländer. Sie schützt die Rechte natürlicher Personen, wenn es um die Verarbeitung personenbezogener Daten geht. Gleichzeitig erhöht sie die Verantwortung der verarbeitenden Unternehmen erheblich. In manchen Bereichen lässt die DSGVO Interpretationsspielraum. In diesen stoßen wieder nationale Regelungen. Also ist es (noch) nichts mit der von der EU angestrebten juristischen Harmonisierung. Die DSGVO ist trotzdem ein entscheidender Schritt auf dem Weg dorthin. Gleichzeitig ist sie ein einschneidender Schritt für viele Unternehmen.
… und welche Auswirkungen hat sie auf Nutzer und Unternehmen?
Es handelt sich im Folgenden nicht um Rechtsempfehlungen, sondern um einen redaktionellen Text. Fünf Jahre lang hat die Entwicklung gedauert, bis das EU-Parlament die Datenschutz-Grundverordnung am 14. April 2016 beschlossen hatte. Nach einer zweijährigen Umsetzungsphase muss sie ab dem 25. Mai 2018 angewendet werden.
Die größte Auswirkung der DSGVO ist die gewaltige Stärkung der Nutzerrechte. Das Beste für Nutzer: Sie müssen nicht aktiv werden, sondern werden über die Verwendung ihrer Daten laufend aufgeklärt. Wird das die Nutzer beruhigen? Ja. Immerhin wissen sie in Zukunft, wie ihre Daten verwendet werden. Wird das die Nutzer nerven? Na klar. Jetzt schon gehen ihnen die ewigen Cookie-Pop-Ups gehörig auf den Keks, keine Frage. Zumal sie ohnehin das Häkchen setzen müssen, wenn sie Dienste nutzen wollen. Kein Häkchen zu setzen bedeutet in den meisten Fällen ein schultergezucktes „Tschüss“.
Nutzer können sich also zurücklehnen und dürfen damit rechnen, über die Verwendung ihrer Daten stets aufgeklärt zu werden. Damit wächst die Unternehmens-Verantwortung und mit ihr die juristische Relevanz. Halten sich Unternehmen nicht an die Auflagen, kann es für sie sehr unangenehm werden.
Nach der DSGVO trifft Sie eine verschärfte Auskunfts- und Informationspflicht. Auskünfte müssen gemäß der neuen Bestimmungen proaktiv, zeitnah und umfangreich erfolgen. Wenn also eine Aufsichtsbehörde nachhakt, werden Sie keine Zeit haben, sich eine Strategie zu überlegen. Sie sollten Sie bereits entwickelt haben. Die zuständigen Behörden wurden personell erheblich verstärkt, um die Umsetzung der DSGVO zu prüfen. Damit steigt auch die Überprüfungs-Wahrscheinlichkeit. Neben der Auskunfts- und Informationspflicht gilt auch der Grundsatz der Datensparsamkeit und Datenvermeidung. Sie sollten also auch als Personaldienstleister/-in nicht mehr Daten erheben und vorhalten, als diejenigen, die Sie benötigen, um den Bewerberauftrag zu erfüllen: Einen Job für ihn zu suchen.
Die Bußgelder für Verstöße sind empfindlich angestiegen. Die bisherigen Summen von 50.000 Euro würden einen angesichts der neuen Zahlen schmunzeln lassen, trieben einem diese nicht faustgroße Schweißperlen auf die Stirn.
Satte vier Prozent des Jahresumsatzes stehen bei Verstößen auf dem Spiel, bis zu 20 Millionen Euro in Summe. Im Übrigen betreffen die Regelungen auch Unternehmen, die ihren Sitz nicht in der EU haben, ihre Dienste aber in EU-Mitgliedsländern anbieten. Auch IT-Giganten wie zum Beispiel Facebook lächeln solche Summen nicht mehr einfach weg.
Die Aufsichtsbehörde wird Ihnen nichts Böses wollen. Wir gehen davon aus, dass Ihnen Reaktionsmöglichkeiten eingeräumt werden, bevor es empfindlich wird. Als bedrohlicher empfinden wir die erwartete Abmahnwelle.
Daher lautet unsere dringende Empfehlung: Keine Panik, Sie bekommen das schon hin, aber nehmen Sie das Thema bitte ernst und packen Sie es an. Bereiten Sie sich gut vor, entwickeln Sie eine Strategie mit ihrem Datenschutzbeauftragten. Sollte dieser kein Jurist sein, raten wir Ihnen dazu, Ihr Maßnahmenpaket mit einem Anwalt abzusprechen.
Auf genuin datenverarbeitende Unternehmen, zu denen Personaldienstleister, Zeitarbeits- und andere HR-Unternehmen gehören, kommen große Interessenskonflikte zu. Einerseits steht außer Frage, dass man sich an geltende Gesetze halten möchte und muss. Andererseits wird die tägliche Arbeit dadurch sehr kompliziert. Zum Beispiel fällt der Einverständnisvorbehalt weg. Sie dürfen als Recruiter also nicht mehr automatisch davon ausgehen, dass ein Bewerber damit einverstanden ist, dass Sie seine Daten über einen längeren Zeitraum behalten, um einen Job für ihn zu finden. Selbstverständlich ist das paradox, natürlich ist er daran in hohem Maße interessiert. Schließlich hat er Ihnen seine Daten aktiv und explizit zu diesem Zweck übermittelt. Die rechtliche Bewertung ist nicht uneingeschränkt logisch.
Rechtssichere Verwaltung Ihres Talent-Pools mit compleet recruiting!
Finden Sie nicht sofort einen passenden Job für den Bewerber, müssen Sie in festen Abständen immer wieder nachfragen, ob Sie die Daten weiterhin verwenden dürfen. Dies muss der Bewerber jedes Mal aktiv bestätigen. Erhalten Sie innerhalb von zehn Tagen eine negative Antwort oder bleibt diese aus, sind Sie verpflichtet, den Datensatz zu entfernen (einige Rumpfdaten dürfen Sie wegen der Nachweispflicht behalten). Das bedeutet ziemlich viel Arbeit für ein und denselben Bewerbenden, denn selbstverständlich sind Sie daran interessiert, ihn nicht aus dem Talentpool zu verlieren.
Es hilft nichts, um die administrativen Schritte kommen Sie nicht herum. Um den Aufwand aber schon. Denn genau an dieser Stelle nimmt Ihnen die Deeplinkfunktion unseres BMS (Bewerbermanagementsystems) von compleet die Arbeit ab. Unser BMS versendet Ihre individuellen Textbausteine in definierten Abständen an die noch nicht vermittelten Bewerber/-innen per Mail. Diese bestätigen oder verneinen per Klick-/Touch-Schaltfläche die Weiternutzung ihrer Daten. Oder sie reagieren nicht. In jedem Fall aktualisiert das BMS von compleet den Status automatisch. Er löscht bei negativer oder ausbleibender Antwort Daten, verschiebt Datensätze in passende Ordner, bestätigt den Status und informiert Sie. Selbst wenn Sie im Urlaub sind und Ihre Vertretung krank wird, bleiben Ihre Daten DSGVO-konform und die Arbeit nicht liegen.
Das bisher gültige BDSG wird durch die EU-DSGVO größtenteils obsolet. Mit deren Gültigkeit tritt allerdings ebenfalls ein neues Bundesdatenschutzgesetz in Kraft, das die Umsetzung des DSGVO regelt, besonders dort, wo die europäische Variante nicht eindeutig ist.
Zum vollständigen Text der Datenschutzgrundverordnung geht’s hier.
Fordern Sie als compleet Kunde unser kostenloses Whitepaper mit Handlungsempfehlungen an. Zusätzlich haben Sie die Möglichkeit, einen Workshop zum Selbstkostenpreis zu buchen. Sie können darüber hinaus ein Einrichtungspaket über unseren Support buchen. Bei beidem richten wir unsere softwaretechnisch auf DSGVO-Konformität ein. Melden Sie sich bei uns. Unser Angebot beschränkt sich auf technische Unterstützung und ersetzt in keinem Fall die juristische Abstimmung mit Ihrem Datenschutzbeauftragten oder Anwalt.
compleet GmbH
Hermann-Weinhauser-Straße 73
81673 München