EU-Datenschutz-Grundverordnung: Was ändert sich dadurch 2018 im Recruiting?

EU-Datenschutz-Grundverordnung: Was ändert sich dadurch 2018 im Recruiting?

Big Data erfordert den verantwortungsvollen Umgang mit sensiblen Daten

Bewerberdaten, inklusive des Bewerbungsfotos, sind personenbezogene Daten und deshalb besonders schützenswert. Dies gilt schon heute und nicht erst mit Inkrafttreten der Europäischen Datenschutzverordnung (DS-GVO). Sie wird Ende Mai 2018 als Mindeststandard in allen EU-Staaten wirksam und einen klaren einheitlichen Rechtsrahmen schaffen, um uns alle zu schützen – aber wovor eigentlich?

Datenmissbrauch – ohne Wissen des Betroffenen

Datenerhebung sollte grundsätzlich zu einem bestimmten Zweck erfolgen. Ist dieser erfüllt, müssen auch die Daten gelöscht werden, damit eben KEIN MISSBRAUCH mit ihnen geschieht. Dieser läge beispielsweise vor, wenn ohne Wissen die eigenen personenbezogenen Daten zu einem anderen als dem ursprünglich erhobenen Zweck verwendet werden und sich daraus ein persönlicher Nachteil für den Betreffenden ergibt. Neu ist diese erforderliche Zweckbindung nicht, aber sie wird immer wichtiger.

Man stelle sich zum Beispiel vor, jemand nutzt das Angebot seiner Krankenkasse und lässt seine Vitalwerte permanent aufzeichnen, um die eigene Fitness und Ausdauer zu überprüfen. Wenn diese Daten dann ein Recruiter – ohne Absprache – erhält, könnte folgendes geschehen: Er entscheidet sich gegen diesen Bewerber, weil er einen kausalen Zusammenhang zwischen den Vitalwerten und der möglichen Leistungsfähigkeit des Kandidaten im Job sieht – ein eindeutiger persönlicher Nachteil für den Jobsuchenden, der nicht einmal weiß, dass dem Recruiter diese Angaben vorlagen.

Big Data gilt als Stein der Weisen

Das beschriebene Beispiel ist nicht unrealistisch. Die technischen Entwicklungen und die Globalisierung schreiten massiv voran. In einem bisher nicht gekannten Ausmaß werden heutzutage bereits personenbezogene Daten erhoben, weiterverarbeitet und ausgetauscht. Ein Ende dieser Entwicklung ist nicht in Sicht. Das Buzzword an dieser Stelle lautet Big Data.

Kennzeichen von Big Data sind riesige Datenmengen, die maschinell erhoben und analysiert werden, um Gemeinsamkeiten zu erkennen, aus denen Rückschlüsse gezogen und Prognosen für die Zukunft aufgestellt werden: So wie in dem oben aufgeführten Beispiel. Und deshalb bedarf es gesetzlicher Beschränkungen, die jeden schützen, indem sie einen umfassenden Datenabgleich beschränken. Dies betrifft insbesondere die unstrukturierten Daten der öffentlich zugänglichen sozialen Netzwerke, Blogs, Fotodatenbanken, etc.

Diese beschriebene und erwünschte Mustererkennung erfordert möglichst viele Daten zur Analyse – deshalb ja BIG Data. Das heißt: Jeder sammelt alle möglichen Daten, weiß aber zum Zeitpunkt der Erhebung oft nicht genau, wozu er diese verwenden wird. Man hat lediglich erkannt, dass Daten und das Wissen, das sie enthalten, extrem wertvoll sind. Dies widerspricht aber der Zweckbindung. Der Gesetzgeber erlaubt Big Data künftig nur zu statistischen Zwecken unter strengen Auflagen wie Anonymisierungen und Pseudonymisierungen.

Jeglicher Umgang mit Daten heißt künftig „Verarbeitung“

Während bisher zwischen Datenerhebung, -verarbeitung und -löschung unterschieden wird, fasst die neue DS-GVO sämtliche Schritte als Verarbeitung zusammen. Damit ist auch schon das Erheben eine Verarbeitung und bedarf der Einwilligung der betroffenen Person. Bisher gingen viele davon aus, dass der Datenschutz nicht greift, wenn eine zugesandte Bewerbung ausgedruckt und nur offline im Unternehmen damit gearbeitet wurde.

Davon kann ab 2018 nicht mehr ausgegangen werden. Für Recruiter ist jedoch wichtig zu wissen, dass die Bewerbererhebung an sich noch keine gesonderte Zustimmung des sich Bewerbenden benötigt. Dies würde auch wenig Sinn machen, da eine Bewerbung ja bereits eine aktive Ansprache an das Unternehmen darstellt und somit eine Einwilligung in die Datenerhebung impliziert.

Bewerberdaten nicht sorgfältig unternehmensweit zu löschen nach Abschluss eines Bewerbungsprozesses oder andere Rechtsverletzungen „des Grundsatzes der Verarbeitung personenbezogener Daten“  können und werden zukünftig Bußgelder nach sich ziehen. Und diese haben sich deutlich gegenüber dem jetzigen Datenschutzgesetzen erhöht und werden sich darüber hinaus noch nach dem weltweiten Umsatz des Konzerns richten.

Rechte an den eigenen Daten

Um den Schutz der personenbezogenen Daten zu gewährleisten, muss sichergestellt werden, dass man einer personenbezogenen Datenerhebung und -verarbeitung zustimmen muss. Dies ist nur möglich, wenn der Zweck eindeutig kommuniziert wird und auch im eignen Interesse liegt. Die Folge ist, dass man weiß, wer die eigenen personenbezogenen Daten besitzt.

Nach der neuen DS-GVO kann jeder sowohl die Herausgabe als auch das Löschen dieser Daten verlangen. Dies bedeutet, dass in Zukunft jeder seine personenbezogenen Daten, zum Beispiel  auch von sozialen Netzwerken, anfordern und extrahieren darf, um diese möglicherweise auf einer anderen Plattform einzuspielen oder um sich einen Überblick über die vorhandenen Daten zu verschaffen. Der Gesetzgeber spricht hier vom Recht auf Datenübertragbarkeit. Dies soll die Wahlfreiheit des Nutzers sichern, zwischen verschiedenen Anbietern wählen zu können.

Wie sollen personenbezogene Daten geschützt werden?

Personenbezogene Daten sind schutzbedürftig, das ist unstrittig. Es fragt sich nur, wie man in Zeiten der grenzenlosen Datensammlungen einen Missbrauch verhindert? Das neue Gesetz sieht unter anderem vor, dass künftig bei der Softwareentwicklung von Anfang an die Privatsphäre gesichert werden muss: privacy by design.

Datenerhebende Firmen müssen zudem wie beschrieben über erhobene Daten informieren, diese auf Wunsch herausgeben oder sogar löschen. Für diejenigen, die Daten erheben, stellt die neue Verordnung eine große Herausforderung dar, denn es werden mit den geplanten 72 Stunden sehr knappe Fristen für die Herausgabe oder das Löschen gesetzt. So kann man künftig beispielsweise seine Personalakte einfordern. Aber was, wenn diese auch unternehmensinterne Informationen enthält?

Müssen Daten in Zukunft anonymisiert werden? Experten sagen, dass sich diese Daten jedoch auch entschlüsseln lassen. Die technische Umsetzung, wie erhobene Daten schnell wieder an den Nutzer zurückgegeben werden können oder der Nachweis einer Löschung, wird für Unternehmen in der Praxis nicht einfach. Dies gilt insbesondere hinsichtlich der kurzen Fristen, die Unternehmen einzuhalten haben. Die geforderte Transparenz wird hohe Kosten verursachen. Noch gibt es viele Unklarheiten, wie die gesetzlichen Bestimmungen realisierbar sind.

Neuerungen, die das Recruiting ab 2018 betreffen:

  • Die Betriebsvereinbarungen und Datenschutzinformationen müssen überprüft und auf die neuen Begrifflichkeiten der DS-GVO angepasst werden.
  • Sofern man die erfassten Daten zu einem späteren Zeitpunkt unter anderen Gesichtspunkten analysieren will, muss der Analysezweck in die Nutzungsbedingungen der Daten mit aufgenommen werden.
  • Bußgelder bei Nichteinhaltung der gesetzlichen Bestimmungen werden steigen und sind umsatzabhängig.
  • Angeforderte Datenauskünfte, Datenextraktion und Datenlöschung müssen innerhalb bestimmter Fristen erfolgen. Dies erfordert künftig automatisierte Verfahren (z. B. Opt-Out).
  • Arbeiten mit anonymisierten und pseudonymisierten Daten erlaubt mehr Spielraum, aber auch der Schritt des unkenntlich Machens muss rechtlich abgesichert werden.

Fazit

Es gibt neue Techniken, die versuchen die digitalen Spuren potentieller Kandidaten in die Entscheidung der Recruiter einfließen zu lassen. Der Gesetzgeber will die Bürger deshalb schützen, damit im Zuge von Big Data-Erhebungen keine Kausalitäten entscheidungsrelevant werden, derer sich der Betroffene nicht bewusst ist. Aus diesem Grund sollen „natürliche Personen“ die Möglichkeit haben ihre eigenen Daten kontrollieren zu können.

Die neue EU-weite Verordnung ist sehr allgemein gehalten. Die Umsetzung der Vorschriften auf das Recruiting ist nun in der Findungsphase und es bleibt auch die Rechtsprechung abzuwarten, die die Grenzen im Einzelfall genauer abstecken wird. Zudem dürfen die EU-Mitgliedsstaaten noch jeweils nationale Sonderregelungen festlegen. Es ist jedoch nur möglich die Standardverordnungen strenger zu fassen. So müssen derzeit in Deutschland bereits Unternehmen ab 25 Mitarbeitern einen Datenschutzbeauftragten benennen. Die DS-GVO hat die Grenze dagegen bei 250 Mitarbeitern festgesetzt.

Insgesamt wird sich das Recruiting ab 2018 NICHT grundlegend ändern, aber die Recruitingprozesse müssen dennoch optimiert und automatisiert werden. Der Gesetzgeber fordert in Zukunft, dass datenverarbeitende Unternehmen vor der Datenverarbeitung – und dies impliziert nun auch die Datenerhebung – den Zweck eindeutig benennen und die Zustimmung der betroffenen Person einholen müssen (Bewerberdatenerhebung ist hiervon jedoch ausgenommen). Jeder kann in Zukunft über seine personenbezogenen Daten Auskünfte einholen, sie extrahieren oder auch die Löschung fordern, denn jeder hat das „Recht auf Vergessen werden“. Hier müssen nun technische Lösungen für die Realisierung gefunden werden.

Ein Verstoß der datenverarbeitenden Unternehmen gegen die DS-GVO wird schmerzhafte Bußgelder nach sich ziehen. Zudem müssen die Verantwortlichen für Datenverarbeitung in den Unternehmen die Einhaltung des Gesetzes nachweisen. Die Beweislast liegt bei ihnen. Bis zum Inkrafttreten Ende Mai 2018 dauert es zwar noch, doch die Unternehmen sollten sich frühzeitig mit den neuen Bestimmungen vertraut machen und diese sukzessive umsetzen.

Quelle

EUROFORUM-Konferenz: 17. Datenschutzkongress 2016.

Friederike von Hundelshausen betreut Marcos Recruiting Blog von GermanPersonnel seit Februar 2016 und unterstützt das Social Media Team. Neben dem Schreiben eigener und dem Redigieren fremder Texte plant die Geisteswissenschaftlerin auch die Blog-Themen und organisiert Beiträge von Gastautoren.

3 Kommentare

  1. Sehr geehrte Frau von Hundelshausen,

    sehr gut geschrieben und für die Branche wichtige Informationen. So kann jeder absehen, was er bis 2018 noch zu erledigen hat. Herzlichen Dank dafür.

    Beste Grüße
    Georg Jansen
    GJC – Georg Jansen Consulting

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.