Die DSGVO steht an: Das solltest Du wissen

Bald ist es soweit, die DSGVO (Datenschutz-Grundverordnung) tritt am 25. Mai 2018 in Kraft. Für XING hat der Datenschutz seit jeher höchste Priorität. Nutzer- und Kundendaten werden stets im Einklang mit der aktuellen Rechtslage verarbeitet und gespeichert. Daher ist es selbstverständlich, dass wir alle rechtlichen Vorgaben der DSGVO fristgerecht zum Stichtag umsetzen. Du kannst unsere Produkte und Dienstleistungen weiterhin unbesorgt nutzen.

Was die DSGVO konkret ist und welche Bedeutung diese neue Grundverordnung insbesondere für Personalentscheider hat, erklärt Dr. Flemming Moos, Fachanwalt für IT-Recht und Partner in der Kanzlei Osborne Clarke. Der Datenschutzexperte hat diverse Bücher und Fachbeiträge verfasst; zuletzt u.a. ein Praxishandbuch zur DSGVO.

Anwalt und Datenschutzexperte Dr. Flemming Moos

Herr Dr. Moos, können Sie unseren Lesern bitte kurz erläutern, worum es bei der DSGVO geht und welche Ziele verfolgt werden?
Dr. Moos: Mit der DSGVO verfolgt der EU-Gesetzgeber im Wesentlichen zwei Ziele. Erstens eine noch stärkere Angleichung des Datenschutzrechts in den EU-Mitgliedstaaten und zweitens eine Modernisierung des bestehenden Rechtsrahmens. Das bedeutet nicht, dass das Datenschutzrecht vom Kopf auf die Füße gestellt wird: viele der DSGVO zugrundeliegenden Datenschutzprinzipien gelten bereits heute und auch die Regelungen dazu, welche Datenverarbeitungen zulässig sind, sind nahezu wortgleich aus der bisher geltenden Datenschutz-Richtlinie übernommen worden. Es ist aber auch richtig, dass die DSGVO in mehreren Bereichen bedeutsame Änderungen mit sich bringt, die zu einem stärkeren Schutz der Daten führen werden. Zwei prominente Beispiele hierfür sind die signifikant erhöhten Bußgelder bei Verstößen und die starke Ausprägung der Verpflichtungen zur Implementierung eines Datenschutz-Managementsystems, das in diesem Reifegrad bisher nur in wenigen Unternehmen konsequent umgesetzt war.

Für welche Unternehmen gilt diese Neuregelung?
Dr. Moos: Die DSGVO gilt im Prinzip für jedes Unternehmen, welches personenbezogene Daten über EU-Bürger verarbeitet. Zwei Feststellungen erscheinen mir in diesem Zusammenhang besonders wichtig, weil hier oft Fehlvorstellungen bestehen: Zum einen gilt die DSGVO nicht nur für Online-Unternehmen. Jedes Unternehmen, welches personenbezogene Daten (z.B. über Kunden, Lieferanten oder Mitarbeiter) verarbeitet, muss die Vorgaben beachten. Weder bedarf es einer bestimmten Branchenzugehörigkeit noch einer bestimmten Unternehmensgröße. Zum anderen entfaltet die DSGVO auch einen so genannten extraterritorialen Effekt. Das bedeutet, dass nicht nur in der EU ansässige Unternehmen an die Regeln gebunden sind. Auch Unternehmen in Drittländern wie beispielsweise den USA oder der Schweiz müssen die DSGVO beachten, soweit deren Datenverarbeitungen damit im Zusammenhang stehen, dass sie innerhalb der EU Produkte oder Leistungen anbieten.

Die Verarbeitung personenbezogener Daten ist naturgemäß ein essenzieller Bestandteil im Alltag jeder Personalabteilung – angefangen vom Recruiting über die Speicherung potenziell spannender Kandidaten bis hin zu deren Einstellung. Wie wirkt sich die DSGVO auf diese Prozesse aus?
Dr. Moos: Die DSGVO bringt wie erwähnt keine Revolution des Datenschutzrechts mit sich, so dass nicht jedes derzeit etablierte Datenverarbeitungsverfahren künftig potentiell unzulässig ist. Es liegt zwar in der Natur der Sache, dass ein neues Gesetz zunächst einmal eine gewisse Rechtsunsicherheit mit sich bringt, weil es zum Anfang noch keinerlei Rechtsprechung gibt, die dabei hilft, Inhalte und Bedeutung der neuen Regeln näher zu bestimmen. Gerade zu der Frage der Zulässigkeit bestimmter Datenverarbeitungen sind aber keine signifikanten Neubewertungen aufgrund der DSGVO zu erwarten. Das gilt in besonderem Maße für die Verarbeitung von Beschäftigtendaten, weil die DSGVO hier den Mitgliedstaaten sogar weiterhin Raum lässt für eine nähere Ausgestaltung im nationalen Recht. Hiervon hat der deutsche Gesetzgeber schon Gebrauch gemacht: er hat die bereits heute geltende Regelung zum Beschäftigtendatenschutz fast wortgleich in das neue Bundesdatenschutzgesetz 2018 übernommen. Für die Personalarbeit sind deshalb keine gravierenden Änderungen zu erwarten.

Macht es denn einen Unterschied, ob ein Kandidat sich aktiv auf eine Stelle beim Unternehmen bewirbt und seine Unterlagen einreicht oder ob das Unternehmen die Informationen eines potentiellen Kandidaten ablegt, ohne diesen vorher kontaktiert zu haben?
Die Vorgaben der DSGVO sind in beiden Szenarien zu beachten, weil das Unternehmen in beiden Fällen mit personenbezogenen Daten des Kandidaten umgeht. Im Ausgangspunkt benötigt das Unternehmen eine Rechtsgrundlage für die jeweilige Datenverarbeitung. Im Falle einer aktiven Bewerbung liegt diese zweifelsfrei vor, aber auch für den Fall des Active Recruiting enthält die DSGVO bzw. das BDSG 2018 Erlaubnisvorschriften, die die Datenverarbeitung rechtfertigen können. Die DSGVO erleichtert im Prinzip sogar die Verarbeitung von Daten aus Drittquellen (die also nicht unmittelbar vom Bewerber stammen), weil der bisher geltende Grundsatz der Direkterhebung entfällt. In beiden Fällen muss freilich sichergestellt werden, dass der Kandidat über die Verarbeitung seiner Daten durch das jeweilige Unternehmen hinreichend informiert ist. Hierbei muss diese Information aber nicht unbedingt von dem Unternehmen selbst kommen, es ist ausreichend, wenn der Kandidat über die Datenverarbeitung durch den Plattformanbieter informiert wird, z.B. im Rahmen seiner Datenschutzhinweise.

Im Zuge des Inkrafttretens der DGSVO hat jeder EU-Bürger das Recht, von Unternehmen zu erfahren, welche Daten zu seiner Person gespeichert werden. Wie sollen sich Personaler verhalten, wenn sie solche Anfragen erhalten?
Dieses Recht steht den betroffenen Personen auch nach aktuell geltendem Recht bereits zu – auch insoweit ändert sich also nicht sehr viel. Im Prinzip sollten Unternehmen hierfür einen geordneten Prozess eingerichtet haben, in dem solche Anfragen bearbeitet werden. Dies ist unter der DSGVO besonders relevant, weil für die Bearbeitung solcher Anfragen künftig enge Fristen gelten: Grundsätzlich muss ein Auskunftsersuchen innerhalb eines Monats bearbeitet werden, nur in Ausnahmefällen ist eine Verlängerung auf höchstens drei Monate zulässig. Bei Untätigkeit auf ein entsprechendes Ersuchen muss das Unternehmen die betroffene Person ggf. sogar über ihr Recht informieren, bei einer Aufsichtsbehörde Beschwerde einzulegen oder das Gericht einzuschalten. Für die Praxis ist zudem wichtig zu wissen, dass der Auskunftsanspruch nicht schrankenlos besteht sondern auch Ausnahmen möglich sind; z.B. bei geheimhaltungsbedürftigen Daten. Im Falle eines Auskunftsersuchens muss deshalb genau geprüft werden, ob und wenn ja, welche Daten herausgegeben werden müssen und dürfen.

Abschließend: Wie schätzen Sie die Situation ein? Sind Personalabteilungen ausreichend auf die DSGVO vorbereitet?
Wir sehen schon, dass die Einhaltung der DSGVO mittlerweile in sehr vielen Unternehmen ernst genommen wird und entsprechende Umsetzungsprojekte auf den Weg gebracht wurden. Die hohen Bußgelder von bis zu EUR 20 Mio. oder 4 Prozent des weltweiten Jahresumsatzes haben mit dazu beigetragen, dass der Datenschutz in vielen Unternehmen nun eine höhere Priorität erhalten hat. Nach unserer Wahrnehmung werden hier die Personalabteilungen auch nicht ausgespart – im Gegenteil: der Umgang mit Beschäftigtendaten bildet typischerweise einen wichtigen Baustein bei den DSGVO-Umsetzungsvorhaben.

Herr Dr. Moos, ich danke Ihnen für das Gespräch.

Dieser Beitrag erschien am 26. März 2018 im XING E-Recruiting Blog: https://recruiting.xing.com/blog