[datensicherheit.de, 02.02.2020] Der eco – Verband der Internetwirtschaft e.V. kritisiert die aktuellen Plänen des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) für ein neues Leistungsschutzrecht. Diese Neuregelung sei praxisfern, bleibe hinter dem aktuellen Status quo zurück und verhindere jede Weiterentwicklung technischer Innovation. Mit seiner Stellungnahme hat sich der eco-Verband der Internetwirtschaft nach eigenen Angaben am 31. Januar 2020 zur nationalen Umsetzung der Urheberrecht-Richtlinie im Digitalen Binnenmarkt in Deutschland geäußert und dabei nochmals die für die Internetwirtschaft zentralen Kritikpunkte am Leistungsschutzrecht für Presseverleger adressiert.

Leistungsschutzrecht als Bremse für Innovation und Kreativität

„Unglücklicher hätte der Start für die Umsetzung der EU-Urheberrechtsreform nicht ausfallen können“, kommentiert der eco-Vorstandsvorsitzende, Oliver J. Süme. Eine deutliche Anhebung der zulässigen und damit ausgenommenen Nutzungsmöglichkeiten sei notwendig, anderenfalls werde das neue Leistungsschutzrecht zur „Bremse für Innovation und Kreativität“.
Dürfen Onlinedienste Bilder nur noch in Miniaturgröße darstellen und Video- oder Audioausschnitte von nicht länger als höchstens drei Sekunden veröffentlichen, „schrumpft das Internet auf ein Minimum zusammen“.
Süme betont: „Dieser Vorschlag ist weltfremd und muss unbedingt geändert werden, andernfalls wird das Internet seine Identität als Informationsmedium verlieren.“

Bisher nichts als Ärger, Unmut und Frustration bei allen Betroffenen

Laut Süme hat die Einführung des Leistungsschutzrechts in Deutschland bereits sämtliche Schwächen des Gesetzes aufgezeigt: „Das Leistungsschutzrecht einzuführen war von Anfang an ein Fiasko und hat zu nichts als Ärger, Unmut und Frustration bei allen Betroffenen auf beiden Seiten geführt.“
Es sei nicht nachvollziehbar, warum deshalb ausgerechnet das Leistungsschutzrecht übereilt umgesetzt werden solle, aber andere Teile der Richtlinie, wie die umstrittenen Upload-Filter, erst nachträglich geregelt würden. Damit sei „das Chaos inklusive europäischem Flickenteppich“ programmiert.
Auf die mit dem Leistungsschutzrecht verbundenen negativen Auswirkungen sei in den vergangenen Jahren von zahlreichen Experten aus der Wirtschaft und der Wissenschaft hingewiesen worden. Dass das Leistungsschutzrecht grundsätzlich der falsche Ansatz sei und bleibe, vermöge auch die europäische Urheberrecht-Richtlinie nicht zu ändern.

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2019
Leistungsschutzrecht: Piratenpartei fordert Experiment zu stoppen

datensicherheit.de, 12.09.2019
Deutsches Leistungsschutzrecht: Bitkom zur EuGH-Entscheidung

datensicherheit.de, 12.09.2019
EuGH: Deutschem Leistungsschutzrecht Abfuhr erteilt / eco-Vorstandsvorsitzender Oliver J. Süme kommentiert Entscheidung vom 12. September 2019

datensicherheit.de, 09.09.2019
eco kritisiert: Urheberrecht-Richtlinie wird Internet für immer verändern / Polen hat vor dem Europäischen Gerichtshof Klage eingereicht

Ein Beitrag von unseren Gastautoren Alexandra Hecht, Fachanwältin für Arbeitsrecht und Dr. Christian Lenz, Rechtsanwalt und Datenschutzbeauftragter

[datensicherheit.de, 11.12.2019] In Bewerbungsverfahren erhalten Personalabteilungen eine Vielzahl an sensiblen Informationen. Betrachtet man die Bewerbungsunterlagen, so ermöglichen schon alleine diese einen umfangreichen Überblick über das Persönlichkeitsprofil eines Jobinteressenten. Nicht nur, dass der Schutz dieser Daten Arbeitgeber vor große Herausforderungen stellt. Es ist damit zu rechnen, dass künftig das Prozedere rund um das Bewerbermanagement einen Prüfungsschwerpunkt der Datenschutzbehörden bilden wird. Denn: Bewerbungsprozesse sind über die Internetpräsenzen von Unternehmen leicht überprüfbar.

Was muss aus (datenschutz-)rechtlicher Sicht sichergestellt werden?

Lange war ein spezielles Gesetz für den Beschäftigtendatenschutz in Planung. Ein im Jahr 2010 beschlossener Gesetzesentwurf wurde allerdings nie verabschiedet. Daher gelten für die Verarbeitung von personenbezogenen Daten in der Arbeitswelt – und damit auch im Bewerbungsverfahren – seit dem 25.5.2018 die Regelungen der Datenschutzgrundverordnung (kurz „DSGVO“) und des Bundesdatenschutzgesetzes („BDSG“). Insbesondere § 26 BDSG ist wichtig. Danach dürfen potenzielle Arbeitgeber personenbezogenen Daten im Bewerbungsverfahren verarbeiten, die „für die Begründung, Durchführung und die Beendigung des Arbeitsverhältnisses erforderlich sind“.

Was ist in jedem Bewerbungsprozess zu beachten? Welche Maßnahmen sollten Sie ergreifen?

Im Bewerbungsverfahren sind die Daten eines Bewerbers abzufragen und zu verarbeiten, die tatsächlich für das jeweilige Verfahren und die Auswahlentscheidung zwingend notwendig sind. Selbstverständlich können Personalverantwortliche sämtliche Angaben über den schulischen und beruflichen Werdegang und entsprechende Qualifikationen, Zeugnisse und sonstige Nachweise verlangen. Umgekehrt sind Angaben zu Gesundheitsdaten, Partei- oder Gewerkschaftszugehörigkeiten oder zum Familienstand oder Freizeitaktivitäten für eine Einstellungsentscheidung nicht erforderlich und deren Abfrage daher grundsätzlich datenschutzrechtlich nicht erlaubt.

In den letzten Jahren haben sich die Auswahlverfahren geändert. So nutzen Unternehmen nicht nur diejenigen Informationen, die der Bewerber selbst liefert. Vielmehr durchforsten sie soziale Netzwerke oder befragen den vorherigen Arbeitgeber. Aber Achtung: nicht jede „Quelle“ ist erlaubt. So dürfen sie berufliche Netzwerke nutzen, Accounts im privaten Bereich jedoch nicht. Definitiv verboten ist es, sich aus den im Internet zugänglichen Daten ein umfassendes Bewerber-Persönlichkeitsprofil zu erstellen. Unabhängig von der Frage, welche Zweitquellen erlaubt sind, bedarf es immer der Information des Bewerbers.

Doch nicht nur die Daten eines Bewerbers, die verarbeitet werden können, sind eingeschränkt. Sondern auch die Zugriffsberechtigten auf die Bewerberdaten selbst. So dürfen nur Personen Zugriff auf die Bewerbungsunterlagen erhalten, die regelmäßig am Auswahlverfahren beteiligt und mitspracheberechtigt sind. Dieser Personenkreis ist grundsätzlich für jeden Bewerbungsverfahren im Einzelfall festzulegen. Beispielsweise ist der Leiter der Abteilung „Einkauf“ für Bewerbungsverfahren in „seiner“ Einkaufsabteilung mitsprache- und auf die eingehenden Unterlagen zugriffsberechtigt. Geht es um die Einstellung eines neuen Mitarbeiters für die IT-Abteilung, ist er das selbstredend nicht. Unseren Kunden empfehlen wir, ein internes Berechtigungskonzept zu erstellen, das eindeutig regelt, welche Personen für die im Unternehmen laufenden Bewerbungsprozesse zugriffsberechtigt sind. Sinnvoll ist in jedem Fall, einen Hauptverantwortlichen zu bestimmen, bei dem alle Unterlagen zusammenlaufen und der die Löschfristen überwacht.

Vor allem in größeren Unternehmen ist eine Compliance-Richtlinie mit verbindlichen Regelungen für den Umgang mit Bewerberdaten ein Muss. Regelungen zur Vertraulichkeit im Umgang mit den Daten sind sinnvoll, da viele Betriebe Bewerberunterlagen kopieren und im Unternehmen verteilen. Daher macht ein sogenanntes „Vervielfältigungsverbot“ für Bewerbungsunterlagen durchaus Sinn. Darüber hinaus kann eine Vereinbarung darüber Auskunft geben, welche Fragen beispielsweise im Bewerbungsgespräch erlaubt und welche Quellen Personalverantwortliche für die Recherche nutzen dürfen.

Bewerber müssen informiert werden

Unabhängig von den internen Vorgaben gelten unmittelbare Pflichten gegenüber den Bewerbern. Da in jedem Bewerbungsverfahren Daten des Bewerbers erhoben und verarbeitet werden, ist dieser nach den Artikeln 13, 14 DSGVO darüber zu informieren, in welcher Form und zu welchem Zweck Unternehmen ihre Daten verarbeiten. Nutzen Arbeitgeber „Zweitquellen“ (wie bspw. einen Anruf beim vorherigen Arbeitgeber oder ein Karriereportal im Internet) sind die Kandidaten hierüber zu unterrichten. Das Gesetz sieht einen besonderen Schutz des Bewerbers vor. Deshalb sind Jobinteressenten über den Schutz ihrer Daten und auf den datenschutzrechtlichen Verantwortlichen hinzuweisen. Unternehmen sind angehalten, eine gut sichtbare und auf das Unternehmen individuell angepasste Datenschutzerklärung für Bewerber auf ihrer Webseite zu veröffentlichen. Bei Bewerbungen über ein Portal kann man die Datenschutzerklärung entweder als Text veröffentlichen oder mit der Datenschutzerklärung verlinken. Bei Bewerbungen per E-Mail, und zur Sicherheit bei Bewerbungen über ein Bewerberportal, sollte in jedem Fall die Datenschutzerklärung oder der Link dorthin in die Eingangsbestätigung übernommen werden. Auch bei den in der Praxis inzwischen eher selteneren Fällen der postalischen Zusendung oder der persönlichen Abgabe der Unterlagen sind Bewerber selbstverständlich datenschutzrechtlich zu informieren. Bei der postalischen Bewerbung sollte die Datenschutzerklärung in jedem Fall per E-Mail oder Post übersandt; bei der persönlichen Abgabe kann diese dem Bewerber direkt übergeben werden. Für die Erfüllung der Informationspflichten ist die Einführung eines automatischen Prozesses sinnvoll, um Verstöße gegen diese Vorgaben zu vermeiden.

Unternehmer sollten sich immer den Zweck der Verarbeitung von Bewerberdaten vor Augen halten: die Besetzung einer freien Stelle. Entscheidet sich ein Unternehmen für einen anderen Bewerber, entfällt damit der Zweck zur Bewerberdatenspeicherung des abgelehnten Kandidaten. Dementsprechend sind grundsätzlich alle Daten des abgelehnten Bewerbers zu löschen und/oder Unterlagen vollständig an diesen zurückzugeben. Was aber, wenn ein abgelehnter Bewerber nach der Absage Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz gegen das Unternehmen geltend macht? In diesem Fall haben Unternehmen ein berechtigtes Interesse und damit das Recht, die Unterlagen noch kurzzeitig zu behalten. Leider gibt es bislang keine finale einheitliche Aussage der Datenschutzbehörden darüber, welche Frist angemessen ist. Die Aussagen reichen von drei bis sechs Monaten. Auf keinen Fall empfiehlt es sich, diese länger als sechs Monate aufzubewahren. Die Frist zur Löschung beginnt mit Abschluss des Bewerbungsverfahrens, also regelmäßig mit der Besetzung der Stelle. Da gerade die Löschung besonderer Beachtung bedarf, macht es Sinn, hier einen automatisierten internen Prozess einschließlich eines Löschkonzeptes aufzusetzen. Bitte achten Sie darauf, dass die Daten vollständig und nicht wiederherstellbar gelöscht bzw. vernichtet sind. Vorstehendes gilt natürlich nur bei einer Absage. Wird der Bewerber eingestellt, sind seine Daten aus der Bewerberdatenbank zu löschen und all diejenigen Daten, die für das Arbeitsverhältnis nötig sind, in die Personalakte zu überführen.

In vielen Unternehmen ist es bislang noch gängige Praxis, Unterlagen an andere Stellen im Unternehmen weiterzugeben oder trotz Absage aufzubewahren, da der Bewerber ggf. für eine andere Stelle in Frage kommen könnte. Oft werden Bewerber in ein Recruiting-Tool aufgenommen. Hier gilt grob zusammengefasst, dass eine Aufbewahrung und Verarbeitung im datenschutzrechtlichen Sinne nicht mehr von § 26 BDSG gedeckt sind. Für diese Fälle ist eine eindeutige und vor allem nachweisbare Einwilligung sowie eine ordnungsgemäße datenschutzrechtliche Information des Bewerbers erforderlich. Eine solche Einwilligung kann beispielsweise per E-Mail oder über ein Auswahlfeld im Bewerbungsportal erfolgen. Da eine solche Einwilligung stets freiwillig geschehen muss, gilt die Empfehlung, sich die Einwilligung erst nach Abschluss des Bewerbungsverfahrens einzuholen, um Diskussionen über eine mögliche „Zwangslage“ während des Bewerbungsverfahrens zu vermeiden. Laut den Aufsichtsbehörden darf dies keine endlose Speicherung nach sich ziehen, wobei hier ebenfalls klare Zeitvorgaben bisher fehlen. Als vertretbar werden Zeiträume zwischen 6 und 12 Monaten diskutiert. Dies gilt darüber hinaus für Initiativbewerbungen, die ebenfalls nur mit schriftlicher Einwilligung und datenschutzrechtlicher Information verarbeitet werden dürfen.

Zusammenfassend: Wer compliant handeln möchte, definiert die persönlichen Daten, die für ein gutes Bewerbermanagement eines Unternehmens erhoben werden, beschreibt den Erfassungs- und Löschungsprozess mit Verantwortlichkeiten und legt ein Berechtigungskonzept für deren Nutzung vor. Ist dies erfolgt und wird im Unternehmen gelebt, ist es um den Bewerberdatenschutz gut bestellt.

Foto: dhpg

Dr. Christian Lenz ist Rechtsanwalt bei der dhpg. Der Fokus seiner Tätigkeit liegt in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Als zertifizierter Datenschutzbeauftragter (TÜV®) ist sein Know-how in vielen Unternehmen als externer Datenschutzbeauftragter gefragt. Ein Fachgebiet, das er als Referent mit einem breiten Angebot an Schulungen und Vorträgen begleitet. Daneben unterstützt er Unternehmen beim Schutz ihrer Betriebs- und Geschäftsgeheimnisse entsprechend des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Weitere Informationen zum Thema:

datensicherheit.de, 14.10.2019
GeschGehG: Das neue Geschäftsgeheimnisgesetz

[datensicherheit.de, 27.03.2017] Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) möchte mit einem neuen Faltblatt Informationen zu den Fragen „Welche Daten von Ihnen stehen im Melderegister? Und welchen Datenübermittlungen können Sie widersprechen?“ geben.

Weitergabe von Meldedaten

Das Melderegister betrifft alle Bürger, es wird bei den Meldebehörden in den Städten, Ämtern und Gemeinden geführt. Man sollte wissen, dass die Meldebehörden nach den melderechtlichen Vorschriften bestimmte Datensätze zu Bürgern an Adressbuchverlage, die Presse, den Rundfunk, Wählergruppen, die Wehrverwaltung und an andere Empfänger übermitteln dürfen.
Zu den Datensätzen zählen laut ULD insbesondere der Familienname, der Vorname und die Anschrift. Die Weitergabe der Datensätze erfolge für gesetzlich geregelte Zwecke. So dürfe beispielsweise der Rundfunk eine Auskunft aus dem Melderegister über Alters- oder Ehejubiläen von Einwohnern erhalten. Diejenigen, die dies nicht wollen, könnten solchen Datenübermittlungen widersprechen.
Die Meldebehörden sollen über die Widerspruchsrechte, z.B. bei der Anmeldung nach einem Adresswechsel informieren. Viele Meldebehörden in Schleswig-Holstein legen demnach auch das Info-Faltblatt des ULD aus, das nach der Neufassung melderechtlicher Vorschriften aktualisiert worden sei und nun in einer neuen Auflage vorliege.

Umfassender Überblick über Widerspruchsmöglichkeiten

Unabhängig von der Aufklärungsarbeit der Meldebehörden erhalte das ULD fortlaufend Anfragen zur Zulässigkeit von Datenübermittlungen aus den Melderegistern an bestimmte Empfänger. Dabei würden auch die bestehenden Ausnahmen erörtert, in denen ein Widerspruch gegen die Datenweitergabe möglich sei.
Die Hinweise in der neuen Auflage des Faltblatts zum Datenschutz im Melderecht sollen einen „umfassenden Überblick über die vorhandenen Widerspruchsmöglichkeiten“ geben. Wer möchte, könne für den Widerspruch gegenüber seiner Meldebehörde die Karte auf der letzten Seite des Faltblatts mit vorformulierten Widerspruchsoptionen nutzen.
„Für die moderne und serviceorientierte Verwaltung ist Kundenfreundlichkeit ein wichtiger Grundsatz. Unser Info-Faltblatt soll ein Beitrag dazu sein: Bürgerinnen und Bürgern bekommen Informationen dazu, wie sie ihre Rechte nach dem Bundes- und Landesmeldegesetz in der Praxis wahrnehmen können“, erläutert Marit Hansen, Leiterin des ULD.

Weitere Informationen zum Thema:

ULD
„Datenschutz im Melderecht“

datensicherheit.de, 09.03.2017
Neues Bundesdatenschutzgesetz: Entwurf mit drohenden Verschlechterungen

[datensicherheit.de, 26.08.2009] Bundesverbraucherschutzministerin Aigner hat die neuen Portale „Verbraucher sicher online“ und „Surfer haben Rechte“ in Berlin der Öffentlichkeit vorgestellt:
Sie wolle die Verbraucher in die Lage versetzen, dass sie „das Internet kompetent nutzen und Verantwortung für ihren eigenen Schutz übernehmen“ könnten.
Das „Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz“ hat die Kompetenzoffensive „Digitale Welt“ gestartet. Mit dieser Offensive sollen alle Verbraucher zielgruppengerecht über den sicheren und verantwortungsvollen Umgang mit dem Netz informiert werden. Die vom Verbraucherschutzministerium geförderten Informationsportale „Verbraucher sicher online“ und „Surfer haben Rechte“ sind Teile dieser Kompetenzoffensive.

Weitere Informationen zum Thema:

Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz, 26.08.2009
Aigner schaltet Verbraucherinformationsportale „Verbraucher sicher online“ und „Surfer haben Rechte“ frei

netzpolitik.org, 26.08.2009
Surfer haben Rechte

Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz
Kompetenzoffensive digitale Welt

Surfer haben Rechte
Rechte der Verbraucher in der digitalen Welt

VERBRAUCHER SICHER ONLINE
Willkommen bei Verbraucher sicher online!

WATCH YOUR WEB
Willkommen bei watch your web!

Das DIMDI bietet über das Internet fundiertes Medizinwissen, betreut wichtige medizinische Klassifikationen und Terminologien, die für die Gesundheitstelematik von Bedeutung sind, und verantwortet ein Programm zur Bewertung gesundheitsrelevanter Verfahren („Health Technology Assessment“). In allen Aufgabenbereichen arbeitet das DIMDI eng mit nationalen und internationalen Institutionen zusammen, u. a. mit der Weltgesundheitsorganisation und EU-Behörden.
Für den Betrieb und den Zugriff auf die Informationssysteme und die ergänzenden Datenbanken entwickelt das DIMDI moderne Software- Anwendungen und betreibt ein eigenes Rechenzentrum. Als IT-Plattform unterstützt das DIMDI das gesamte Ressort des Bundesministeriums für Gesundheit und leitet ressortübergreifende IT-Projekte.