Datenschutz FOKUS-THEMA

Transkript

1 Die großen datenschutzrechtlichen Problemfelder in Unternehmen sind in aller Regel der Umgang mit Kundendaten sowie der Umgang mit den persönlichen Daten von Arbeitnehmern und Bewerbern. Als Personaldisponent sind Sie täglich mit Fragen des es konfrontiert. Dazu gehört nicht nur der im eigenen Unternehmen, sondern vor allem auch der Umgang mit personenbezogenen Daten von Bewerbern, Zeitarbeitnehmern und Kundenunternehmen. Für die Praxis stellen sich hier zahlreiche Fragen, die bei diesem sensiblen Thema zu beachten sind: Wann dürfen Sie personenbezogene Daten erheben und verarbeiten, welche Daten sind schützenswert, welche Informationen über Bewerber dürfen Sie sich auch über Social Media und Internetrecherche verschaffen und was müssen Sie speziell bei Kundenunternehmen beachten? Der im Allgemeinen ist in letzter Zeit ein allseits präsentes Thema in den Medien und sorgt für reichlich Gesprächsund Diskussionsstoff. In Deutschland richtet sich der nach dem Bundesdatenschutzgesetz (BDSG). Das Thema betrifft nicht nur die Big-Player, Staaten und weltweite Konzerne, sondern auch jedes Unternehmen muss sich in der heutigen Zeit intensiv damit auseinandersetzen. Nicht ohne Grund 1

2 bestimmt z. B. der im Jahr 2009 neu eingeführte 4f Abs. 1 Satz 4 BDSG die Notwendigkeiten, wann ein Betrieblicher beauftragter durch öffentliche Stellen und Unternehmen bestellt werden muss. Wichtig Dieser Paragraph besagt z. B., dass Unternehmen, die 10 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, einen solchen Betrieblichen beauftragten benötigen. Auch wenn mehr als 20 Beschäftigte im Unternehmen mit nicht automatisiertem Datenumgang befasst werden, ist ein Betrieblicher beauftragter zu bestellen. Die großen datenschutzrechtlichen Problemfelder in Unternehmen sind in aller Regel der Umgang mit Kundendaten sowie der Umgang mit den persönlichen Daten von Arbeitnehmern und Bewerbern. Dadurch, dass die Abwicklung von Geschäftsprozessen heute nur noch mithilfe von modernsten EDV- Anlagen und Kommunikationswegen möglich ist, werden Daten nicht mehr, wie noch vor einigen Jahren in Papierform abgelegt, sondern auf elektronischen Speichermedien gesichert, verarbeitet und übermittelt. Der technische Fortschritt auf diesem Sektor in den letzten Jahren macht es heute kaum mehr überschaubar, geschweige denn kontrollierbar, wo welche Daten gespeichert sind, wer Zugriff darauf hat und wohin die Daten weitergeleitet werden. Grundregeln im Allgemein kann man sich an diese 7 Regeln des es halten 1. Die Verarbeitung und Nutzung von personenbezogenen Daten ist nur zulässig, wenn eine Rechtsvorschrift dies gestattet oder der Betroffene zugestimmt hat (Verbot mit Erlaubnisvorbehalt). 2. Der Betroffene soll grundsätzlich aufgrund von Anzeige-, Informations- und Benachrichtigungspflichten bzw. Registereinsichtsrechten Informationen dazu erhalten, wer welche Art von Daten für welche Zwecke über ihn verarbeitet. 3. Dem Betroffenen ist auf Antrag Auskunft über die zu seiner Person gespeicherten Daten sowie über die Stellen, an die seine Daten übermittelt werden, zu geben. 4. Unrichtige Daten müssen berichtigt, unzulässig gespeicherte, nicht mehr benötigte oder bestrittene Daten gelöscht oder gesperrt werden. 5. Die Daten müssen vor Missbrauch Dritter sowie vor Verlust oder Zerstörung gesichert werden. 6. Hinsichtlich der Einhaltung dieser Gebote muss die datenverarbeitende Stelle gegenüber internen und externen Kontrollinstanzen Nachweise liefern. 7. Der Verstoß gegen diese Gebote kann Strafe, Bußgeld, Schadenersatzansprüche des Betroffenen oder sogar eine Betriebsstilllegung zur Folge haben. Diese Regeln sind vom Arbeitgeber nicht nur beim Bewerbungsverfahren, sondern bei allen Vorgängen, bei denen die Daten Dritter erhoben, verarbeitet oder weitergeleitet werden, dringlichst zu beachten. 2

3 Welche datenschutzrechtlichen Bestimmungen müssen im Bewerbungsverfahren beachten werden? Gerade im laufenden Bewerbungsverfahren will der zukünftige Arbeitgeber möglichst gut über die Bewerber informiert sein, um seine Entscheidung zu treffen. Hierfür sind möglichst viele Informationen über die Bewerber notwendig. Grundsätzlich ist eine Datenerhebung gem. 32 Abs. 1 Satz 1 BDSG zulässig, wenn sie für die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Erforderlichkeit Als erforderliche Datenerhebung im Rahmen von 32 BDSG nennt der Gesetzgeber z. B. Fragen im Bewerbungsgespräch nach fachlichen Fähigkeiten, Kenntnissen und Erfahrungen. Zudem dürfen Arbeitgeber alle Daten verwenden, die zur Erfüllung ihrer arbeitsvertraglichen Pflichten erforderlich sind, wie z. B. bei Personalverwaltung, Gehaltsabrechnung, zur Führung von Personalakten oder für die Überweisung von Gehaltszahlungen. Der beim Bewerbungsverfahren beginnt bereits mit der Frage, wer überhaupt berechtigt ist, die Bewerbung einzusehen. Zum Kreis der Berechtigten gehören grundsätzlich all diejenigen, die mit dem Einstellungsvorgang befasst sind. Hierzu zählen die Personalsachbearbeiter sowie die Führungskräfte, die über eine Einstellung mit- entscheiden. Auch alle Personen, die (berechtigterweise) an einem Vorstellungsgespräch mit dem Bewerber teilnehmen, dürfen selbstverständlich die Bewerbung einsehen. Darüber hinaus muss der Arbeitgeber auch dem Betriebsrat die Bewerbung zur Kenntnis bringen. Nach einer erfolglosen Bewerbung müssen die Bewerbungsunterlagen grundsätzlich gelöscht bzw. an den Bewerber zurückgegeben werden. Für einen gewissen Zeitraum steht dem Arbeitgeber jedoch das Recht zu, die Unterlagen aufzubewahren. Dies dient vorwiegend dazu, dass der Arbeitgeber die Möglichkeit behält, sich beim Vorwurf eines abgelehnten Bewerbers verteidigen zu können, wenn dieser einen Verstoß gegen das Benachteiligungsverbot nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) rügt. Checkliste Dokumentation und Aufbewahrung von Bewerbungsunterlagen auf dem Online-Portal Da die Ansprüche wegen Benachteiligung nach dem AGG innerhalb von 2 Monaten schriftlich geltend zu machen sind, sollte der Aufbewahrungszeitraum entsprechend ausgerichtet werden. Dabei sollte man allerdings bedenken, dass bei einer gerichtlichen Geltendmachung der Ansprüche durch den abgelehnten Bewerber, der Eingang bei Gericht maßgeblich ist. Daher sollte auf die 2 Monate noch ein Aufschlag von einigen Wochen dazugerechnet werden, die es braucht, bis der Arbeitgeber u. U. Kenntnis von der Geltendmachung der Ansprüche durch den abgelehnten Bewerber erlangt. Nach Ablauf dieser Zeit sollten die Unterlagen zurückgeschickt oder vernichtet werden und die dazugehörigen Daten gelöscht werden. Auch das Bewerbungsschreiben enthält häufig personenbezogene und durchaus sensible Daten, wie z. B. über Ausbildung, Werdegang, familiäre Verhältnisse, und gehört damit ebenso zu den Bewerbungsunterlagen. 3

4 Was ist bei der Online-Recherche von Bewerbern zulässig? Ein weiteres Problemfeld stellt die durchaus übliche Online-Recherche über Bewerber dar. Oftmals werden die Bewerber einfach gegoogelt und im Anschluss Informationen in sozialen Netzwerken gesucht. Hier stellen sich die Frage der Zulässigkeit und die Frage nach rechtlichen Grenzen. Maßgeblich ist auch hier v. a., ob die so erhaltenen Informationen für die Einstellungsentscheidung erforderlich sind. Hier spielt der datenschutzrechtliche Grundsatz der Direkterhebung eine tragende Rolle. Die Daten sind grundsätzlich beim Bewerber selbst zu erheben und sollen gerade nicht ohne sein Wissen oder Mitwirken erhoben werden. Allerdings ist auch anerkannt, dass die Erhebung von Daten aus allgemein zugänglichen Quellen grundsätzlich erlaubt ist. Dies gilt insbesondere dann, wenn diese Daten über Suchmaschinen ermittelt werden können. Handelt es sich dagegen um Daten, die in soziale Netzwerke eingestellt wurden und deren Zugang nur bestimmten Nutzerkreisen zugänglich sind, muss der Arbeitgeberzugriff grundsätzlich unterbleiben. Somit ist der Recherche im Internet über Bewerber, aber auch über Mitarbeiter nur eingeschränkt zulässig. Gegen eine reine Google-Suche allgemein zugänglicher Daten nichts einzuwenden. Schwieriger hingegen ist schon die Frage zu beantworten, ob Daten in allgemeinen Netzwerken allgemein zugänglich i. S. d. BDSG sind. Als allgemein zugänglich wird man wohl die Daten bezeichnen können, die auch ohne Anmeldung in dem betroffenen Netzwerk einsehbar sind. Umstritten hingegen ist, wie es mit den Daten aussieht, die erst nach einer Anmeldung in dem betreffenden Netzwerk zugänglich sind. Die zurzeit herrschende Meinung vertritt die Auffassung, dass zwischen berufsorientierten und freizeitorientierten Netzwerken zu unterscheiden ist. So sind demnach Recherchen in Netzwerken wie XING oder inkedin zulässig, was auch konsequent ist, da diese Netzwerke gerade auch dazu dienen, für potenzielle Arbeitgeber Informationen bereitzustellen. Bezüglich der Recherche in freizeitorientierten Netzwerken wie Facebook etc. herrscht nur insoweit Einigkeit, dass der potenzielle Arbeitgeber sich zumindest keine Informationen erschleichen darf. Daten, die nur einem eingeschränkten Personenkreis wie z. B. Freunden zugänglich sind, gehören eindeutig nicht zu den allgemein zugänglichen Daten. Ebenso ist eine gezielte Recherche nach dem Privatleben der Bewerber wie z. B. Hobbys, Interessen, Meinungsäußerungen, privaten Vorlieben u. s. w. unzulässig. Dabei ist zudem zu bedenken, dass gerade die in sozialen Netzwerken gewonnenen Informationen eine Grundlage dafür bieten können, dem Arbeitgeber später eine unzulässige Benachteiligung nach dem AGG vorzuwerfen, da gerade hier Daten über Rasse oder ethnische Herkunft, Religion oder Weltanschauung, eine Behinderung oder die sexuelle Identität erlangt werden können. Zudem handelt es sich hierbei auch noch um 4

5 die Erhebung besonders sensibler Daten i. S. d. 3 Abs. 9 BDSG (Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben), deren Erhebung einer besonderen Rechtfertigung bedarf und nur ausnahmsweise erlaubt ist. Darüber hinaus findet sich in einigen AGB der sozialen Netzwerke ein Verbot, die dort zur Verfügung gestellten und gespeicherten Informationen für die Datenerhebung durch Arbeitgeber zu verwenden. Wichtig Eine diesbezüglich klare Regelung existiert leider nicht, sodass Arbeitgeber ihre Recherche auf das unproblematisch Zulässige beschränken sollten. Worauf muss beim Umgang mit Daten der Kundenunternehmen/ Entleiher geachtet werden? Bei der Erhebung und Verarbeitung von Daten der Kundenunternehmen müssen Sie vor allem Den vollständigen Artikel finden Sie in der Juli- Ausgabe von Der Personaldisponent. 5