[datensicherheit.de, 28.05.2020] Mit seinem heutigen Urteil zum Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und der Planet49 GmbH hat der Bundesgerichtshof (BGH) das Einwilligungserfordernis vor der Verarbeitung von personenbezogenen Daten klargestellt. Werbetreibende Unternehmen benötigen beim Setzen von personenbezogenen Cookies somit die freiwillige, explizite Einwilligung der Nutzer, wie es auch die Datenschutzgrundverordnung (DSGVO) und die europäische E-Privacy-Richtlinie vorschreiben.

Der Verband der Internetwirtschaft (eco) begrüßt, dass durch das Urteil heute Unklarheiten beim Setzen von personenbezogenen Cookies beseitigt wurden und der Umgang mit Daten europäisch einheitlich geregelt worden ist.

Dazu sagt eco-Geschäftsführer Alexander Rabe:

„In Deutschland wurde für das Setzen von Werbecookies lange das Opt-Out-Modell angewendet – Nutzer mussten informiert werden und konnten dann aktiv dem widersprechen. Die EU-Gesetzgebung sieht jedoch bereits seit 2009 eine Einwilligung vor. Seit dem Inkrafttreten der DSGVO haben sich die Anforderungen an eine Einwilligung nochmals verändert, die nun ,ausdrücklich´ lautet – es muss also eine eindeutige, bestätigende Handlung seitens der Nutzer geben. Somit gibt das heutige Urteil Unternehmen und Nutzern endlich Klarheit und Rechtssicherheit im Umgang mit Cookies.“

Mit der Datenschutzgrundverordnung hat Europa den Rahmen für die zukünftige Ausgestaltung des Schutzes von personenbezogenen Daten gesetzt. Zersplitterte Regulierung, die bislang in nationalen Datenschutzgesetzen unterschiedlich gehandhabt wurde, wurde in einer zentralen europäischen Verordnung gebündelt, systematisiert und nach denselben Prinzipien aufgestellt. Zur aktuellen Evaluierung der DSGVO hat der Verband der Internetwirtschaft eigene Eckpunkte entwickelt.

Weitere Informationen zum Thema:

datensicherheit.de, 01.10.2019
EuGH-Urteil: Werbe-Cookies nur bei Einwilligung

Auch im Bewerbungsverfahren gelten die Regelungen der Datenschutzgrundverordnung

Ein Beitrag von unseren Gastautoren Alexandra Hecht, Fachanwältin für Arbeitsrecht und Dr. Christian Lenz, Rechtsanwalt und Datenschutzbeauftragter

[datensicherheit.de, 11.12.2019] In Bewerbungsverfahren erhalten Personalabteilungen eine Vielzahl an sensiblen Informationen. Betrachtet man die Bewerbungsunterlagen, so ermöglichen schon alleine diese einen umfangreichen Überblick über das Persönlichkeitsprofil eines Jobinteressenten. Nicht nur, dass der Schutz dieser Daten Arbeitgeber vor große Herausforderungen stellt. Es ist damit zu rechnen, dass künftig das Prozedere rund um das Bewerbermanagement einen Prüfungsschwerpunkt der Datenschutzbehörden bilden wird. Denn: Bewerbungsprozesse sind über die Internetpräsenzen von Unternehmen leicht überprüfbar.

Was muss aus (datenschutz-)rechtlicher Sicht sichergestellt werden?

Lange war ein spezielles Gesetz für den Beschäftigtendatenschutz in Planung. Ein im Jahr 2010 beschlossener Gesetzesentwurf wurde allerdings nie verabschiedet. Daher gelten für die Verarbeitung von personenbezogenen Daten in der Arbeitswelt – und damit auch im Bewerbungsverfahren – seit dem 25.5.2018 die Regelungen der Datenschutzgrundverordnung (kurz „DSGVO“) und des Bundesdatenschutzgesetzes („BDSG“). Insbesondere § 26 BDSG ist wichtig. Danach dürfen potenzielle Arbeitgeber personenbezogenen Daten im Bewerbungsverfahren verarbeiten, die „für die Begründung, Durchführung und die Beendigung des Arbeitsverhältnisses erforderlich sind“.

Was ist in jedem Bewerbungsprozess zu beachten? Welche Maßnahmen sollten Sie ergreifen?

Im Bewerbungsverfahren sind die Daten eines Bewerbers abzufragen und zu verarbeiten, die tatsächlich für das jeweilige Verfahren und die Auswahlentscheidung zwingend notwendig sind. Selbstverständlich können Personalverantwortliche sämtliche Angaben über den schulischen und beruflichen Werdegang und entsprechende Qualifikationen, Zeugnisse und sonstige Nachweise verlangen. Umgekehrt sind Angaben zu Gesundheitsdaten, Partei- oder Gewerkschaftszugehörigkeiten oder zum Familienstand oder Freizeitaktivitäten für eine Einstellungsentscheidung nicht erforderlich und deren Abfrage daher grundsätzlich datenschutzrechtlich nicht erlaubt.

In den letzten Jahren haben sich die Auswahlverfahren geändert. So nutzen Unternehmen nicht nur diejenigen Informationen, die der Bewerber selbst liefert. Vielmehr durchforsten sie soziale Netzwerke oder befragen den vorherigen Arbeitgeber. Aber Achtung: nicht jede „Quelle“ ist erlaubt. So dürfen sie berufliche Netzwerke nutzen, Accounts im privaten Bereich jedoch nicht. Definitiv verboten ist es, sich aus den im Internet zugänglichen Daten ein umfassendes Bewerber-Persönlichkeitsprofil zu erstellen. Unabhängig von der Frage, welche Zweitquellen erlaubt sind, bedarf es immer der Information des Bewerbers.

Doch nicht nur die Daten eines Bewerbers, die verarbeitet werden können, sind eingeschränkt. Sondern auch die Zugriffsberechtigten auf die Bewerberdaten selbst. So dürfen nur Personen Zugriff auf die Bewerbungsunterlagen erhalten, die regelmäßig am Auswahlverfahren beteiligt und mitspracheberechtigt sind. Dieser Personenkreis ist grundsätzlich für jeden Bewerbungsverfahren im Einzelfall festzulegen. Beispielsweise ist der Leiter der Abteilung „Einkauf“ für Bewerbungsverfahren in „seiner“ Einkaufsabteilung mitsprache- und auf die eingehenden Unterlagen zugriffsberechtigt. Geht es um die Einstellung eines neuen Mitarbeiters für die IT-Abteilung, ist er das selbstredend nicht. Unseren Kunden empfehlen wir, ein internes Berechtigungskonzept zu erstellen, das eindeutig regelt, welche Personen für die im Unternehmen laufenden Bewerbungsprozesse zugriffsberechtigt sind. Sinnvoll ist in jedem Fall, einen Hauptverantwortlichen zu bestimmen, bei dem alle Unterlagen zusammenlaufen und der die Löschfristen überwacht.

Vor allem in größeren Unternehmen ist eine Compliance-Richtlinie mit verbindlichen Regelungen für den Umgang mit Bewerberdaten ein Muss. Regelungen zur Vertraulichkeit im Umgang mit den Daten sind sinnvoll, da viele Betriebe Bewerberunterlagen kopieren und im Unternehmen verteilen. Daher macht ein sogenanntes „Vervielfältigungsverbot“ für Bewerbungsunterlagen durchaus Sinn. Darüber hinaus kann eine Vereinbarung darüber Auskunft geben, welche Fragen beispielsweise im Bewerbungsgespräch erlaubt und welche Quellen Personalverantwortliche für die Recherche nutzen dürfen.

Bewerber müssen informiert werden

Unabhängig von den internen Vorgaben gelten unmittelbare Pflichten gegenüber den Bewerbern. Da in jedem Bewerbungsverfahren Daten des Bewerbers erhoben und verarbeitet werden, ist dieser nach den Artikeln 13, 14 DSGVO darüber zu informieren, in welcher Form und zu welchem Zweck Unternehmen ihre Daten verarbeiten. Nutzen Arbeitgeber „Zweitquellen“ (wie bspw. einen Anruf beim vorherigen Arbeitgeber oder ein Karriereportal im Internet) sind die Kandidaten hierüber zu unterrichten. Das Gesetz sieht einen besonderen Schutz des Bewerbers vor. Deshalb sind Jobinteressenten über den Schutz ihrer Daten und auf den datenschutzrechtlichen Verantwortlichen hinzuweisen. Unternehmen sind angehalten, eine gut sichtbare und auf das Unternehmen individuell angepasste Datenschutzerklärung für Bewerber auf ihrer Webseite zu veröffentlichen. Bei Bewerbungen über ein Portal kann man die Datenschutzerklärung entweder als Text veröffentlichen oder mit der Datenschutzerklärung verlinken. Bei Bewerbungen per E-Mail, und zur Sicherheit bei Bewerbungen über ein Bewerberportal, sollte in jedem Fall die Datenschutzerklärung oder der Link dorthin in die Eingangsbestätigung übernommen werden. Auch bei den in der Praxis inzwischen eher selteneren Fällen der postalischen Zusendung oder der persönlichen Abgabe der Unterlagen sind Bewerber selbstverständlich datenschutzrechtlich zu informieren. Bei der postalischen Bewerbung sollte die Datenschutzerklärung in jedem Fall per E-Mail oder Post übersandt; bei der persönlichen Abgabe kann diese dem Bewerber direkt übergeben werden. Für die Erfüllung der Informationspflichten ist die Einführung eines automatischen Prozesses sinnvoll, um Verstöße gegen diese Vorgaben zu vermeiden.

Unternehmer sollten sich immer den Zweck der Verarbeitung von Bewerberdaten vor Augen halten: die Besetzung einer freien Stelle. Entscheidet sich ein Unternehmen für einen anderen Bewerber, entfällt damit der Zweck zur Bewerberdatenspeicherung des abgelehnten Kandidaten. Dementsprechend sind grundsätzlich alle Daten des abgelehnten Bewerbers zu löschen und/oder Unterlagen vollständig an diesen zurückzugeben. Was aber, wenn ein abgelehnter Bewerber nach der Absage Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz gegen das Unternehmen geltend macht? In diesem Fall haben Unternehmen ein berechtigtes Interesse und damit das Recht, die Unterlagen noch kurzzeitig zu behalten. Leider gibt es bislang keine finale einheitliche Aussage der Datenschutzbehörden darüber, welche Frist angemessen ist. Die Aussagen reichen von drei bis sechs Monaten. Auf keinen Fall empfiehlt es sich, diese länger als sechs Monate aufzubewahren. Die Frist zur Löschung beginnt mit Abschluss des Bewerbungsverfahrens, also regelmäßig mit der Besetzung der Stelle. Da gerade die Löschung besonderer Beachtung bedarf, macht es Sinn, hier einen automatisierten internen Prozess einschließlich eines Löschkonzeptes aufzusetzen. Bitte achten Sie darauf, dass die Daten vollständig und nicht wiederherstellbar gelöscht bzw. vernichtet sind. Vorstehendes gilt natürlich nur bei einer Absage. Wird der Bewerber eingestellt, sind seine Daten aus der Bewerberdatenbank zu löschen und all diejenigen Daten, die für das Arbeitsverhältnis nötig sind, in die Personalakte zu überführen.

In vielen Unternehmen ist es bislang noch gängige Praxis, Unterlagen an andere Stellen im Unternehmen weiterzugeben oder trotz Absage aufzubewahren, da der Bewerber ggf. für eine andere Stelle in Frage kommen könnte. Oft werden Bewerber in ein Recruiting-Tool aufgenommen. Hier gilt grob zusammengefasst, dass eine Aufbewahrung und Verarbeitung im datenschutzrechtlichen Sinne nicht mehr von § 26 BDSG gedeckt sind. Für diese Fälle ist eine eindeutige und vor allem nachweisbare Einwilligung sowie eine ordnungsgemäße datenschutzrechtliche Information des Bewerbers erforderlich. Eine solche Einwilligung kann beispielsweise per E-Mail oder über ein Auswahlfeld im Bewerbungsportal erfolgen. Da eine solche Einwilligung stets freiwillig geschehen muss, gilt die Empfehlung, sich die Einwilligung erst nach Abschluss des Bewerbungsverfahrens einzuholen, um Diskussionen über eine mögliche „Zwangslage“ während des Bewerbungsverfahrens zu vermeiden. Laut den Aufsichtsbehörden darf dies keine endlose Speicherung nach sich ziehen, wobei hier ebenfalls klare Zeitvorgaben bisher fehlen. Als vertretbar werden Zeiträume zwischen 6 und 12 Monaten diskutiert. Dies gilt darüber hinaus für Initiativbewerbungen, die ebenfalls nur mit schriftlicher Einwilligung und datenschutzrechtlicher Information verarbeitet werden dürfen.

Zusammenfassend: Wer compliant handeln möchte, definiert die persönlichen Daten, die für ein gutes Bewerbermanagement eines Unternehmens erhoben werden, beschreibt den Erfassungs- und Löschungsprozess mit Verantwortlichkeiten und legt ein Berechtigungskonzept für deren Nutzung vor. Ist dies erfolgt und wird im Unternehmen gelebt, ist es um den Bewerberdatenschutz gut bestellt.

Foto: dhpg

Dr. Christian Lenz ist Rechtsanwalt bei der dhpg. Der Fokus seiner Tätigkeit liegt in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Als zertifizierter Datenschutzbeauftragter (TÜV®) ist sein Know-how in vielen Unternehmen als externer Datenschutzbeauftragter gefragt. Ein Fachgebiet, das er als Referent mit einem breiten Angebot an Schulungen und Vorträgen begleitet. Daneben unterstützt er Unternehmen beim Schutz ihrer Betriebs- und Geschäftsgeheimnisse entsprechend des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Weitere Informationen zum Thema:

datensicherheit.de, 14.10.2019
GeschGehG: Das neue Geschäftsgeheimnisgesetz

Monitoring und Dokumentation von Compliance-Prozessen / Reduzierung von Risiken für Unternehmen / Sozialwirtschaft und regulierte Branchen im Fokus

[datensicherheit.de, 14.06.2019] Die frühzeitige Identifizierung von relevanten Risiken kann Unternehmen vor großen Schäden bewahren. Doch noch immer findet professionelles Governance-, Risk- und Compliance-Management nur in wenigen deutschen Firmen statt. Die SAVISCON GmbH, ein IT-Dienstleistungsunternehmen mit Sitz in Hamburg, will hier nun Abhilfe schaffen. Mit dem neuen GRC-Cockpit können Unternehmen ab sofort selbstständig ihre individuellen Risiken festlegen, diese überwachen und abteilungsübergreifend Maßnahmen ableiten. Die browserbasierte Softwarelösung wurde vor kurzem von der Firma Contelligence erworben und wird kontinuierlich weiterentwickelt.

Bild: SAVISCON GmbH

Ingo Simon, Geschäftsführer der SAVISCON GmbH

„Leider unterschätzen viele Unternehmen in Deutschland immer noch die Bedeutung eines professionellen Compliance Managements. Häufig werden Firmen erst dann aktiv, wenn es bereits zu signifikanten Verstößen von Richtlinien und Gesetzen gekommen ist“, betont Ingo Simon, Geschäftsführer der SAVISCON GmbH. Mit einem institutionalisierten Frühwarnsystem von Risiken, einer transparenten Dokumentation und einer koordinierten Aufgabenverteilung über Abteilungen hinweg, können Unternehmen steigende Anforderungen, wie zum Beispiel die neue Datenschutzgrundverordnung (DSGVO) erfolgreich meistern.

Sozialwirtschaft mit einer Vielzahl an regulatorischen und gesetzlichen Verpflichtungen.

So gibt es insbesondere in der Sozialwirtschaft neben der DSGVO eine Vielzahl an regulatorischen und gesetzlichen Verpflichtungen. „Ob Pflegedokumentationen, die Einhaltung von Hygiene-Vorschriften oder der Umgang mit Geschenken von Angehörigen – es gibt eine große Bandbreite an compliancerelevanten Prozessen. Dank des GRC-Cockpits haben Firmen alle relevanten Risiken im Blick und können sich auf ihr Kerngeschäft konzentrieren“, sagt Simon. Die browserbasierte Softwarelösung ermöglicht über eine Schnittstelle die Integration von relevanten Gesetzen und Normen. Gleichzeitig lassen sich Risiken definieren und überwachen, standardisierte Reportings erstellen und automatische Maßnahmen bei Compliance-Verstößen festlegen.

Durchgehender Compliance-Workflow

Im Gegensatz zu vielen anderen Lösungen auf dem Markt ermöglicht das GRC-Cockpit nach Angaben des Unternehmens seinen Nutzern einen durchgängigen Compliance-Workflow mit Monitoring und Dokumentation innerhalb eines Systems. „Unsere Kunden profitieren von digitalisierten Abläufen, einer revisionssicheren und benutzerfreundlichen Softwarelösung sowie mehr Zeit für ihre Kernaufgaben“, betont Simon.

Bild: SAVISCON GmbH

Screenshot: GRC-Cockpit

Weitere Informationen zum Thema:

SAVISCON GmbH
Unternehmensberatung / Projektmanagement / Change Management

datensicherheit.de, 08.05.2019
Compliance in der Finanzbranche: Service zur Vereinfachung von Audits vorgestellt

datensicherheit.de, 21.11.2018
Studie: Nachholbedarf bei Datensicherung und Compliance in deutschen Unternehmen

datensicherheit.de, 09.08.2018
Echtzeit-Netzwerkanalysen: IT, Sicherheit und Compliance im Überblick

datensicherheit.de, 28.06.2018
IT-Sicherheit: Compliance nur Teilaspekt

[datensicherheit.de, 27.11.2018] Vor sechs Monaten ist unter großer öffentlicher Berichterstattung die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seither hat die Öffentlichkeit – abgesehen von vereinzelten dubiosen Anekdoten – nur recht wenig von der neuen Regelung gehört. War all die Aufregung nur ein Sturm im Wasserglas, oder kommt das dicke Ende noch?

Greg Day, VP und Chief Security Officer für die Region EMEA bei Palo Alto Networks, zieht eine erste Zwischenbilanz:

„Während viele Leute erwarteten, dass große Unternehmen schlagzeilenträchtig zur Zahlung hoher Geldbußen in Zusammenhang mit der DSGVO verklagt werden, sieht die Praxis anders aus. So dauert es eine Zeit, bis neue Gesetze eine Testphase durchlaufen. In den letzten sechs Monaten wurden jedoch bereits einige Vorteile der neuen Gesetzgebung sichtbar. In vielen Unternehmen hat die neue Gesetzlage das Bewusstsein auf Vorstandsebene geschärft und die Verantwortlichen haben eine Bestandsaufnahme des aktuellen Zustands der Cybersicherheit vorgenommen. Die Messlatte, wie unsere Daten und kritischen Prozesse in der Gesellschaft geschützt sind, wurde höher gelegt. Führungskräfte, die die Verordnung bisher nicht ernst genug genommen haben, sollte die Schonfrist hinsichtlich der Geldbußen in den letzten sechs Monaten nicht als Präzedenzfall betrachten. Ich erwarte, dass in den nächsten zwölf Monaten damit begonnen wird, Strafen zu verhängen und es diesbezüglich zu Schlagzeilen kommen wird.“

Weitere Informationen zum Thema:

datensicherheit.de, 20.10.2018
Datenschutz-Posse um Klingelschilder: DSGVO hat nichts verändert

datensicherheit.de, 18.09.2018
DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

datensicherheit.de, 31.08.2018
EU-DSGVO: Umsetzung an vielen Stellen weiterhin unklar

[datensicherheit.de, 03.09.2013] Dr. Viviane Reding, die EU-Kommissarin für Justiz und Vizepräsidentin der Europäischen Kommission, ist auf Einladung des Berliner Justiz- und Verbraucherschutzsenators Thomas Heilmann am 6. September 2013 in Berlin, um über die künftige EU-Datenschutzgrundverordnung zu diskutieren.
Im Rahmen ihres Besuchs wird es weitere Veranstaltungen zum Thema „Sicherheit im Netz“ geben:

„Datenskandale als Weckruf für den EU-Datenschutz“

Bundespressekonferenz mit EU-Kommissarin Dr. Viviane Reding und Justizsenator Thomas Heilmann
Freitag, den 6. September 2013, 10.00 bis 10.45 Uhr
Pressehaus/0103, Schiffbauerdamm 40 in 10117 Berlin
Teilnahme: Nur Mitglieder der Bundespressekonferenz bzw. des Vereins der Ausländischen Presse in Deutschland

„Im Namen der Sicherheit – Datenschutz?“
Vortrag und Diskussion mit Dr. Viviane Reding, Prof. Dr. Brigitta Schütt, Vizepräsidentin der FU Berlin, sowie Prof. Dr. Jochen Schiller, Forschungsforum Öffentliche Sicherheit der FU, Moderation: Thomas Heilmann
Freitag, den 6. September 2013, 11.15 bis 12.50 Uhr
Forschungsforum Öffentliche Sicherheit, „Senatssaal“, FU Berlin / Henry-Ford-Bau, Garystraße 35 in 14195 Dahlem
Teilnahme: Verbindliche Anmeldung bei der FU bis zum 4. September 2013

„Schutz vor Hackerangriffen in der Praxis: Cryptoparty/Workshop mit Sicherheitsexperten“
Internetnutzer erfahren, wie Hacker arbeiten und erhalten praktische Hilfestellung beim Sichern ihrer Computer
Sonnabend, den 7. September 2013, von 10.00 bis 12.00 Uhr
Seminaris Campus Hotel, Takustraße 39 in 14195 Berlin

Weitere Informationen zum Thema:

Freie Universität Berlin
Gespräch „Im Namen der Sicherheit – Datenschutz?“ / Das Forschungsforum Öffentliche Sicherheit lädt ein zum Gespräch mit EU-Kommissarin und Vizepräsidentin der Europäischen Kommission