Zum Inhalt springen

Datenschutz

Grund­satz­fra­ge geklärt, Pro­blem gelöst oder gar der Todes­stoß? — Der EuGH zu Coo­kies und dem Datenschutz

So oder so ähn­lich wird das aktu­el­le EuGH-Urteil (Az. C‑604/​22 IAB Euro­pe) zum The­ma Daten­ver­ar­bei­tung bei per­so­na­li­sier­ter Wer­bung in der hie­si­gen Pres­se kommentiert.

Die Ver­qui­ckung von Coo­kies und Daten­schutz ist oft ein Grund dafür, dass noch immer gebets­müh­len­ar­tig wie­der­holt wird, der Daten­schutz trägt Schuld an die­sen ner­vi­gen Coo­kie-Ban­nern. Doch dazu spä­ter mehr…

Um was geht’s bei dem Urteil genau?

Schon 2022 kam die bel­gi­sche Daten­schutz­be­hör­de zu dem Schluss, dass das Sys­tem des Trans­pa­ren­cy and Con­sent frame­work (TCF), mit dem der Wer­be­ver­band Inter­ac­ti­ve Adver­ti­sing Bureau Euro­pe (IAB), bzw. Wer­be­trei­ben­de im Inter­net Ein­wil­li­gun­gen von Nutzer:innen für ihre per­so­na­li­sier­te Wer­bung sam­melt, gegen die Daten­schutz­grund­ver­ord­nung verstößt.

Ein Bestand­teil der per­so­na­li­sier­ten Wer­bung im Inter­net ist das Real Time Bid­ding. Dazu wer­den in Echt­zeit Gebo­te für Wer­be­plät­ze auf Web­sites oder Anwen­dun­gen von Wer­be­trei­ben­den abge­ge­ben. Die­se Wer­be­plät­ze wer­den ver­stei­gert, um dort Wer­bung anzu­zei­gen, die genau auf die jewei­li­gen Nutzer:innen und deren Vor­lie­ben zuge­schnit­ten sind.

Damit dies funk­tio­nie­ren kann, müs­sen die Prä­fe­ren­zen der jewei­li­gen Nutzer:innen irgend­wo hin­ter­legt wer­den. Hier kommt das oben erwähn­te TCF, kon­kret der soge­nann­te TC-String ins Spiel. Das TC steht auch hier für „Trans­pa­ren­cy and Con­sent“. Eine Kom­bi­na­ti­on aus Zah­len und Buch­sta­ben in denen „gespei­chert“ wird, in wel­che Daten­ver­ar­bei­tung ihrer spe­zi­fi­schen per­so­nen­be­zo­ge­nen Daten die Nutzer:innen ein­ge­wil­ligt haben und in wel­che nicht. Das IAB Euro­pe teilt die­sen TC-String mit sei­nen Part­nern, damit die­se auch wis­sen wel­che Wer­bung sie ziel­ge­recht aus­spie­len kön­nen. Auf den Gerä­ten der Nutzer:innen wird für die­sen Zweck ein Coo­kie gespei­chert, damit die Zuord­nung erfol­gen kann wel­cher TC-String zu wel­chen Nutzer:innen gehört.

Bel­gi­en ver­häng­te Buß­geld gegen IAB Europe

Die bel­gi­sche Daten­schutz­be­hör­de kam zu dem Schluss, dass die­ser ver­wen­de­te TC-String in Kom­bi­na­ti­on mit dem Coo­kie der IP-Adres­se der Nutzer:innen zuge­ord­net wer­den kann und somit ein per­so­nen­be­zo­ge­nes Datum dar­stellt. Des Wei­te­ren befand die Behör­de, dass das IAB Euro­pe als Ver­ant­wort­li­cher auf­tritt, jedoch die DSGVO-Rege­lun­gen nicht voll­stän­dig ein­hält. Im Zuge des­sen ver­häng­te die Behör­de diver­se Maß­nah­men und eine Geld­bu­ße in Höhe von 250.000 Euro.

IAB Euro­pe wehrt sich, der EuGH ist am Zug

Das IAB Euro­pe wehr­te sich natür­lich dage­gen, doch nun urteil­te der Euro­päi­sche Gerichts­hof und bestä­tig­te die Ent­schei­dun­gen der bel­gi­schen Auf­sichts­be­hör­de. Der TC-String ist als per­so­nen­be­zo­ge­nes Datum und das IAB Euro­pe als gemein­sa­mer Ver­ant­wort­li­cher anzu­se­hen, so die Pres­se­mit­tei­lung des EuGH.

Es bleibt also span­nend, vor allem wie nun die Wer­be­wirt­schaft im Inter­net damit umge­hen wird. Bis­her wie­gelt das IAB Euro­pe das Urteil als tech­ni­sche For­ma­lie ab, jedoch bedeu­tet die Ein­stu­fung als gemein­sa­mer Ver­ant­wort­li­cher eine Haft­bar­keit für das IAB Euro­pe, die emp­find­li­che Stra­fen nach sich zie­hen kann.

Der Daten­schutz ist schuld, wie immer

Aber wie war das denn nun mit der Schuld des Daten­schut­zes an unleid­li­chen Coo­kie-Ban­nern? Wie so oft, wenn es heißt der Daten­schutz ist schuld, liegt es nicht am Datenschutz. 😉

Die „Schuld“ liegt doch in ers­ter Linie in der ePri­va­cy-Richt­li­nie, der Richt­li­nie 2002/​58/​EG des Euro­päi­schen Par­la­ments und des Rates vom 12. Juli 2002 über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und den Schutz der Pri­vat­sphä­re in der elek­tro­ni­schen Kom­mu­ni­ka­ti­on, die­se wur­de nicht umsonst mehr oder weni­ger lie­be­voll Coo­kie-Richt­li­nie genannt.

Do you like Cookies?

Und wer mehr über das The­ma Coo­kies auf unse­rer Web­site erfah­ren möch­te, hier ent­lang!

BayL­DA: Wie rechts­kon­form ist Ihr Coo­kie-Ban­ner? Ein­wil­li­gungs­ma­nage­ment auf Web­sei­ten auf dem Prüfstand

BayL­DA (Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht) star­tet Prüf­ak­ti­on für Coo­kie-Ban­ner und Consent-Management

Das eine oder ande­re Unter­neh­men mit Sitz in Bay­ern hat bereits Post vom BayL­DA erhal­ten. Hin­ter­grund: In einem ers­ten Durch­lauf zur Prü­fung der Rechts­kon­for­mi­tät von Coo­kie-Ban­nern und dem Con­sent-Manage­ment hat das BayL­DA im ers­ten Schwung bei 350 Unter­neh­men kon­kre­te Grün­de gefun­den, deren Umset­zung zu bean­stan­den. Dem BayL­DA miß­fiel dabei unter ande­ren, dass

  • bereits Pro­zes­se rund um Coo­kies und Daten­über­tra­gun­gen in Gang gesetzt wer­den, sobald die Web­sei­te auf­ge­ru­fen wird, noch bevor mit dem Besu­cher im Hin­blick auf not­wen­di­ge Ein­wil­li­gun­gen (Con­sent-Manage­ment) inter­agiert wird (§ 25 TTDSG) und
  • es auf der ers­ten Ebe­ne im Con­sent-Manage­ment sel­ten eine ein­fa­che Opti­on zur Ableh­nung (Nicht-Ein­wil­li­gung) für den Besu­cher zur Ver­fü­gung steht bzw. durch des­sen Feh­len nach Sicht­wei­se des BayL­DA kei­ne rechts­wirk­sa­me Ein­wil­li­gung im Sin­ne von 25 Abs. 1 S. 2 TTDSG wie auch Art. 6 Abs. 1 lit. a DSGVO vorliegt.

“Trotz der nun gesetz­lich klar fest­ge­schrie­be­nen Ein­wil­li­gungs­pflicht für Zugrif­fe auf End­ein­rich­tun­gen, also bei­spiels­wei­se das Set­zen von Coo­kies oder das Aus­le­sen von Wer­be-IDs und ande­ren Iden­ti­fi­ern, erhal­ten wir wei­ter­hin eine sehr hohe Anzahl an Beschwer­den und Kon­troll­an­re­gun­gen in die­sem Bereich”, so das BayL­DA zur Moti­va­ti­on für die­se anlass­los Prüfaktion.

Im Zuge des­sen wur­den auch Apps und deren Ver­hal­ten im og. Kon­text geprüft. Im Gegen­zug zur auto­ma­ti­sier­ten Prü­fung der Umset­zung auf Web­sei­ten, gestal­tet sich die App-Prü­fung lt. BayL­DA deut­lich aufwendiger.

“Die Prü­fung knüpft zunächst am Ein­satz einer sehr ver­brei­te­ten Con­sent-Manage­ment-Platt­form (CMP) an, soll in wei­te­ren Durch­läu­fen aber auf wei­te­re CMP-Anbie­ter und damit eine noch grö­ße­re Zahl von Web­sei­ten aus­ge­dehnt wer­den”, schreibt das BayL­DA in sei­ner Pres­se­mit­tei­lung vom 09.02.2024. Wer also als Unter­neh­men, Frei­be­ruf­ler oder Ver­ein mit Sitz in Bay­ern bei den bis­her 350 Bean­stan­dun­gen noch nicht dabei war, hat gute Chan­cen, zukünf­tig doch noch Post vom BayL­DA zu erhalten.

Anfor­de­run­gen an ver­ant­wort­li­che Stel­len sowie Ergeb­nis­se aus die­ser Prüf­ak­ti­on wer­den suk­zes­si­ve im Abschnitt “Daten­schutz­prü­fun­gen” auf der Web­sei­te des BayL­DA ver­öf­fent­licht. Rein­schau­en lohnt sich.

Wer übri­gens etwas zum The­ma Coo­kies auf unse­rer Web­sei­te erfah­ren möch­te, bit­te hier ent­lang.

Das Finanz­amt darf Dei­ne per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten — trotz DSGVO :-)

Etwas Kurio­ses zum Jah­res­en­de gefäl­lig? Dann haben wir hier was für Dich. In unse­ren Web­i­na­ren und Grund­schu­lun­gen zum The­ma Daten­schutz wei­sen wir im Kon­text der Betrof­fe­nen­rech­te scherz­haft immer wie­der dar­auf hin, dass die­se nicht unein­ge­schränkt gel­ten. Ein Wider­ruf der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gegen­über dem Finanz­amt wird nicht dazu füh­ren, kei­ne Steu­ern mehr bezah­len zu müs­sen 🙂 Eigent­lich logisch. Dach­ten wir.

Ent­schei­dung des Bun­des­fi­nanz­hofs, Urteil vom 05. Sep­tem­ber 2023, IX R 32/​21

Gegen­stand: Zuläs­sig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Besteue­rungs­ver­fah­ren gemäß § 29b AO

Ein Finanz­amt (FA) ord­ne­te bei einem Rechts­an­walt eine Außen­prü­fung zur Ein­kom­men- und Umsatz­steu­er an. Zugleich for­der­te das FA den Klä­ger auf, bis zum Prü­fungs­be­ginn die Aus­zü­ge sei­nes betrieb­li­chen Bank­kon­tos zu über­sen­den. Nach­dem der Anwalt die­ser Auf­for­de­rung nicht nach­ge­kom­men war, ersuch­te das FA unter Hin­weis auf die Abga­ben­ord­nung (AO) die kon­to­füh­ren­de Bank um Vor­la­ge der Kon­to­aus­zü­ge. Die­sem Ersu­chen kam die Bank nach. Der Anwalt war damit nicht ein­ver­stan­den und begrün­de­te dies mit der Aus­sa­ge, die Rege­lun­gen der AO genü­gen sei­ner Mei­nung nach nicht den Anfor­de­run­gen des Art. 6 Abs. 3 der Daten­schutz-Grund­ver­ord­nung (DSGVO). Es feh­le daher an einer recht­mä­ßi­gen Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Daten durch das Finanz­amt. Es kam zur Abwei­sung des Lösch­be­geh­rens des Anwalts durch das Finanz­amt. Begrün­dung: Die Ver­ar­bei­tung die­ne der Ermitt­lung der Besteue­rungs­grund­la­gen im Rah­men einer Außen­prü­fung. Das dar­auf­hin vom Anwalt ange­ru­fe­ne Finanz­ge­richt zwecks Durch­set­zung sei­nes Rechts auf Löschung sei­ner per­so­nen­be­zo­ge­nen Daten gemäß Art. 17 Abs. 1 Buchst. d DSGVO hat­te kei­nen Erfolg. Das Finanz­ge­richt wies die Kla­ge ab. Dies führ­te zur Revi­si­on am Bun­des­fi­nanz­hof (BFH).

Das kam jetzt über­ra­schend, oder doch nicht?

Der Anwalt bean­trag­te beim BFH, das ange­foch­te­ne Urteil auf­zu­he­ben und alle sei­ne im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten zu löschen. Behelfs­wei­se sol­le das ange­foch­te­ne Urteil auf­ge­ho­ben wer­den und alle im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten des Anwalts soll­ten nicht mehr durch das Finanz­amt ver­ar­bei­tet wer­den dür­fen. Der Bun­des­fi­nanz­hof wies die Revi­si­on als unbe­grün­det ab. “Nein” — “Doch” — “Oh”

Wer mehr über den genau­en Ablauf und die Hin­ter­grün­de erfah­ren möch­te, hier geht es zur Ent­schei­dung des BFH.

Mit die­sem Schman­kerl ver­ab­schie­den wir uns in die Win­ter­pau­se und wün­schen allen Lesern und Emp­fän­gern sowie deren Lie­ben schö­ne Fei­er­ta­ge und einen guten Rutsch ins Jahr 2024. Wir lesen uns.

Out­look (mal wie­der) neu­gie­ri­ger als notwendig

Der eine oder ande­re Leser wird ein klei­nes Aha-Erleb­nis haben. Da war doch was? Genau. Im Zusam­men­hang mit den Out­look-Apps für Smart­phones wur­de Kri­tik an Micro­soft laut, weil Zugangs­da­ten auch von Nicht-Micro­soft-Mail-Kon­ten zu Micro­soft abge­flos­sen sind. Nun ist die neue Out­look for Desk­top Ver­si­on am Start und das Pro­blem scheint sich zu wiederholen.

Daten­schüt­zer schla­gen Alarm

Sobald die neue Ver­si­on von Out­look instal­liert und kon­fi­gu­riert bzw. in der bis­he­ri­gen Ver­si­on der Switch “Neue Ver­si­on nut­zen” akti­viert wird, flie­ßen die Zugangs­da­ten aller ein­ge­rich­te­ten Mail­kon­ten zu Micro­soft in die Cloud ab. Und das eben nicht nur für Mail­kon­ten, die bei Micro­soft gehos­tet wer­den, son­dern auch die von allen ande­ren Anbie­tern. Die sei­tens Micro­soft nur vage umris­se­nen Grün­de für die­ses Ver­hal­ten sind nicht sehr auf­schluß­reich, war­um dies so sein muss bzw. wel­chen Zweck das haben soll. So moniert der frü­he­re Lan­des­da­ten­schutz­be­auf­trag­te Baden-Würt­tem­berg, Brink gegen­über Hei­se die man­geln­de Transparenz.

Am 17.11.2023 ver­öf­fent­lich­te der Lan­des­da­ten­schutz­be­auf­trag­te Thü­rin­gen eine Pres­se­mel­dung und warn­te offi­zi­ell vor der Nut­zung des neu­en Out­look: “Momen­tan rät der TLf­DI daher drin­gend dazu, sich die Geneh­mi­gung für die­sen tief­grei­fen­den Ein­griff in die Pri­vat­sphä­re durch die App „Neu­es Out­look“ bes­tens zu über­le­gen.” Die Emp­feh­lung lau­tet deut­lich, wei­ter­hin die bis­he­ri­ge (“klas­si­sche”) Ver­si­on von Out­look zu nut­zen bzw. sich der Fol­gen der Nut­zung des neu­en Out­look bewusst zu sein.

Da Micro­soft nicht nur die Zugangs­da­ten abzieht, son­dern auch die Inhal­te der Post­fä­cher in sei­ne Cloud “spie­gelt” warnt Brink vor mög­li­chen Risi­ken im Hin­blick auf unbe­ab­sich­ti­ge Ver­öf­fent­li­chung von Geschäfts- /​ Dienst­ge­heim­nis­sen.

Wer “Do not track” (DNT) im Brow­ser igno­riert, muss fühlen

Do-Not-Track igno­rie­ren — Kei­ne gute Idee

Das Busi­ness-Netz­werk Lin­ke­dIn hat nach dem Abstieg von X (ehe­mals Twit­ter) wei­te­ren Zulauf zu ver­zeich­nen, wie eini­ge ande­re Alter­na­ti­ven (Mast­o­don, Blues­ky) auch. Umso inter­es­san­ter ist das durch die Bun­des­ver­brau­cher­zen­tra­le vor dem Land­ge­richt erstrit­te­ne Urteil gegen die Betrei­be­rin des Netz­werks, die Lin­ke­dIn Ire­land Unli­mi­t­ed Company.

Lin­ke­dIn weist auf sei­ner Web­sei­te (dem Netz­werk) dar­auf hin, dass es die Vor­ein­stel­lung Do-Not-Track (DNT) im Brow­ser eines Besu­chers igno­rie­ren wird. DNT wur­de vor Jah­ren als Kon­fi­gu­ra­ti­ons­mög­lich­keit in den meis­ten gän­gi­gen Brow­sern ein­ge­führt, um dem Betrei­ber einer Web­sei­te von vorn­her­ein zu signa­li­sie­ren, dass man nicht “getrackt” wer­den möch­te, das Surf­ver­hal­ten also nicht auf­ge­zeich­net und ana­ly­siert wer­den soll. Der Web­sei­ten­be­su­cher wider­spricht qua­si per Brow­ser-Vor­ein­stel­lung dem Web­track­ing. Wenig ver­wun­der­lich, dass die­ser Umstand dem einen oder ande­ren Web­sei­ten­be­trei­ber nicht in den Kram passt.

Lin­ke­dIn hat­te auf sei­ner Inter­net­sei­te mit­ge­teilt, dass es die­se DNT-Ein­stel­lung bewußt igno­riert und somit  gegen den Wil­len der Nut­zer per­so­nen­be­zo­ge­ne Daten wie die IP-Adres­se und Infor­ma­tio­nen über die Nut­zung der Web­sei­te etwa für Ana­ly­se- und Mar­ke­ting­zwe­cke aus­wer­tet und auch an Dritt­an­bie­ter wei­ter­ge­ben wird.

Das Land­ge­richt Ber­lin ent­schied im Sin­ne der Ver­brau­cher­zen­tra­le. Der Wider­spruch gegen eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kann auch auto­ma­ti­siert (also durch Vor­ein­stel­lung) aus­ge­spro­chen wer­den und muss vom ver­ant­wort­li­chen Web­sei­ten­be­trei­ber beach­tet wer­den. Der Wider­spruch sei wirksam.

Das Urteil mit dem Akten­zei­chen 16 O 420/​19 ist noch nicht rechts­kräf­tig, hat aber Signalwirkung.

Sie betrei­ben eine Web­sei­te mit Web­track­ing? Schau­en Sie sicher­heits­hal­ber mal nach, ob die Opti­on “DNT igno­rie­ren” akti­viert ist. Wenn ja … sie­he oben 🙂

Do-Not-Track im Brow­ser akti­vie­ren — wie geht das?

In den meis­ten Brow­sern hat die­se Funk­ti­on ohne viel Tam­tam Ein­zug gehal­ten. Oft­mals gut ver­steckt in den Ein­stel­lungs­me­nüs und lei­der nicht immer vor­ein­ge­stellt aktiv. Hier erfah­ren Sie mehr über die Akti­vie­rung und Einstellmöglichkeiten:

In der Such­ma­schi­ne Ihrer Wahl fin­den Sie mit­tels Anga­be des Brow­ser­na­mens und des Begriffs “do not track” auch die Ein­stell­mög­lich­kei­ten für Brow­ser ande­rer Hersteller.

New work und der Datenschutz

Die Coro­na-Pan­de­mie hat der Arbeits­welt gezeigt, dass es auch anders gehen kann bezie­hungs­wei­se anders gehen muss. Die Lern­kur­ve in Bezug auf mobi­les Arbei­ten, Arbei­ten aus dem Home Office und der dazu­ge­hö­ri­gen Nut­zung digi­ta­ler Tools wie Video­kon­fe­ren­zen war für zahl­rei­che Orga­ni­sa­tio­nen beacht­lich steil. Und als net­ten Neben­ef­fekt haben sich die Her­stel­ler von Head­sets und Web­cam dar­über auch sehr gefreut. Weni­ger erfreut sind die Ver­mie­ter von Büro­flä­chen, was auch nach­voll­zieh­bar ist. In der Fol­ge muss­ten sich auch Füh­rungs­kräf­te zwangs­läu­fig umstel­len. Denn die anver­trau­ten Mit­ar­bei­ter waren nun nicht mehr von “9 to 5” (Grü­ße an Dol­ly Par­ton) im Büro anwe­send und damit qua­si ihrer Auf­sicht ent­zo­gen. Und da gin­gen für die eine oder ande­re Füh­rungs­kraft die Pro­ble­me und Sor­gen los. 🙂

“Kon­trol­le von Beschäf­tig­ten im Home­of­fice” (Kapi­tel 11.2)

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) — zustän­dig für nicht-öffent­li­che Stel­len, also Unter­neh­men in Bay­ern hat dazu einen inter­es­san­ten Arti­kel im 12. Tätig­keits­be­richt 2022 (Sei­te 54) geschrie­ben. Und die behan­del­ten Anfra­gen rund um das The­ma Mit­ar­bei­ter­über­wa­chung im Home Office hal­ten wir für erschre­ckend. Eigent­lich waren wir aber dann doch nicht wirk­lich über­rascht, da uns selbst zu Beginn von Coro­na eine Anfra­ge einer kom­mu­na­len Füh­rungs­kraft erreich­te: “Dür­fen wir unse­re Mit­ar­bei­ter im Home Office dazu ver­pflich­ten, sich zu Dienst­be­ginn in einem Video­ka­nal anzu­mel­den, in dem alle Mit­ar­bei­ter im Home Office auf­ge­schal­tet sind, und die Video­ka­me­ra den gan­zen Tag anzu­las­sen? Nur so kön­nen wir fest­stel­len, ob sich der Mit­ar­bei­ter wäh­rend der vor­ge­schrie­be­nen Arbeits­zeit am Schreib­tisch auf­hält. Die fort­lau­fen­de Sicht­kon­trol­le den Tag über wür­de ich als Füh­rungs­kraft von mei­nem PC aus durch­füh­ren.” Und damit ist eigent­lich auch schon viel zum The­ma Füh­rungs­kraft, aber auch der Akzep­tanz von new work gesagt 🙂

Doch schau­en wir mal in den Arti­kel des BayL­DA. Kern­the­ma der Anfra­gen war die daten­schutz­recht­li­che Zuläs­sig­keit einer Über­wa­chung der Mit­ar­bei­ter im Home Office. Und hier wur­den teil­wei­se wirk­lich schwe­re Geschüt­ze aufgefahren.

New work und GPS-Überwachung

Ein Arbeit­ge­ber woll­te die phy­si­ka­li­sche Anwe­sen­heit des Mit­ar­bei­ter im Home Office mit­tels GPS-Ortung sicher­stel­len. Beim Lesen des Tätig­keits­be­richts hat­ten wir bild­lich einen Mit­ar­bei­ter mit ange­leg­ter elek­tro­ni­scher GPS-Fuß­fes­sel vor Augen. Auf­grund des erheb­li­chen Miß­brauch­po­ten­ti­als die­ser Tech­no­lo­gie emp­fahl das BayL­DA auf mil­de­re Mit­tel wie z.B. einen Kon­troll­an­ruf per Tele­fon aus­zu­wei­chen. Die Nut­zung einer hier­für genutz­ten pri­va­ten Ruf­num­mer des Mit­ar­bei­ters wäre über die Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO zu beschrei­ben und — sofern schon in den Stamm­da­ten vor­han­den — eine nach­träg­li­che Zweck­än­de­rung durch­zu­füh­ren und zu doku­men­tie­ren. Das BayL­DA schreibt im Zusam­men­hang mit die­sen Anru­fen zu Kon­troll­zwe­cken von Stich­pro­ben­an­ru­fen. Eine Stich­pro­be defi­niert sich dadurch, dass nicht alle Mit­ar­bei­ter im Home Office ange­ru­fen wer­den und auch nicht alle 30 Minu­ten das Tele­fon klin­gelt 🙂 Oder wie es das BayL­DA for­mu­liert: “Die Häu­fig­keit der Stich­pro­ben­kon­trol­len muss sich dabei an der Erfor­der­lich­keit und Ver­hält­nis­mä­ßig­keit mes­sen las­sen.” Als Rechts­grund­la­ge kann sich das BayL­DA Art. 6 Abs. 1 lit. b DSGVO vorstellen.

New work und Kon­trol­le (in) der Wohnung

Wie schreibt es das BayL­DA: “…, kri­tisch zu sehen.” Stich­wort: Unver­letz­lich­keit der Wohnung.

New work und Keylogger

Den Ein­satz von Key­log­gern (also das auto­ma­ti­sier­te und fort­lau­fen­de Auf­zeich­nen der gedrück­ten Tas­ten im Hin­ter­grund) stuft das BayL­DA als nicht zuläs­sig ein. Aus­nah­me: Einen auf kon­kre­te Tat­sa­chen gegrün­de­ten Ver­dacht zumin­dest einer schwer­wie­gen­den Pflicht­ver­let­zung oder Straf­tat. Gute Füh­rungs­kräf­te wis­sen, dass eine Über­wa­chungs­pa­ra­noia auf Ver­dacht damit nicht zu legi­ti­mie­ren ist.

Fazit

New work ist natür­lich mehr als das Arbei­ten im Home Office. Für vie­le Orga­ni­sa­tio­nen war durch Coro­na das Home Office jedoch ein ers­ter Kon­takt mit die­sem wirk­lich span­nen­den und zukunfts­träch­ti­gen The­ma. Das sich die Arbeits­welt und auch die Art, wie Arbeit geleis­tet wird, in einer umfas­sen­den Pha­se der Ver­än­de­rung sind, ist nicht zu bestrei­ten. Die Fra­ge ist, wie geht man als Orga­ni­sa­ti­on und als Füh­rungs­kraft damit um? Das der Daten­schutz einem über­bor­den­den Kon­troll­zwang einen Rie­gel vor­schiebt, mag die eine oder ande­re Füh­rungs­kraft nega­tiv emp­fin­den. Dazu soll­te man sich aber, mit einem Augen­zwin­kern, vor Augen hal­ten, dass die Leib­ei­gen­schaft dann doch schon vor eini­gen Jah­ren abge­schafft wur­de. 🙂 Ob der Auf­wand für die­se zuvor skiz­zier­ten Bei­spie­le inner­li­cher Kon­troll­zwän­ge im Ver­hält­nis zu dem mög­li­cher­wei­se ver­mut­lich fest­ge­stell­ten Arbeits­zeit­ver­lust besteht, darf man ruhig in Zwei­fel ziehen.

New work defi­niert unter dem Begriff new lea­der­ship: “Eine Ver­trau­ens­kul­tur und Empa­thie erset­zen streng hier­ar­chi­sche Füh­rungs­sti­le. Haupt­auf­ga­be der neu­en Füh­rungs­kräf­te ist es, die Mit­ar­bei­ter­zur Eigen­ver­ant­wor­tung zu befä­hi­gen und ihre Stär­ken zu för­dern.” Und dem steht der Daten­schutz mit Sicher­heit nicht im Weg 😉

 

 

 

 

Umgang mit Bewer­ber­da­ten aus Datenschutz-Sicht

Wer mit Bewer­bun­gen zu tun hat, der weiß, dar­in sind sehr vie­le per­so­nen­be­zo­ge­ne Daten ent­hal­ten. Und nicht nur die Men­ge ist beacht­lich, auch die Sen­si­bi­li­tät der Daten muss berück­sich­tigt wer­den. Fal­len doch eini­ge der Anga­ben unter die sog. Arti­kel-9-Daten (die beson­de­ren Kate­go­rien per­so­nen­be­zo­ge­ner Daten). Grund genug, für die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit in ihrem Tätig­keits­be­richt 2022 unter 8.2 Löschung von Bewer­ber­da­ten etwas über den Umgang mit Bewer­ber­da­ten zu schreiben.

Umgang mit Bewerberdaten

Irgend­wann ist die Aus­wahl geeig­ne­ter Beset­zun­gen für die aus­ge­schrie­be­nen Posi­tio­nen been­det. Doch was tun mit den ange­fal­le­nen Daten von Bewer­bern? Die­ser Fra­ge geht die Ber­li­ner Lan­des­da­ten­schutz­be­auf­trag­te in ihrem Tätig­keits­be­richt 2022 nach. Kur­ze Zusammenfassung:

  1. Wird die Bewer­bung zurück­ge­zo­gen, sind die Daten unver­züg­lich zu löschen.
  2. Lehnt man einen Bewer­ber ab, kön­nen die Unter­la­gen bis zu sechs Mona­te auf­be­wahrt wer­den zwecks Abwehr mög­li­cher Rechts­an­sprü­che (Rechts­mit­tel­fris­ten des All­ge­mei­nen Gleich­be­hand­lungs­ge­set­zes AGG und des Arbeits­ge­richts­ge­set­zes ArbGG).
  3. Beauf­tra­gung eines Dienst­leis­ters zur Per­so­nal­ge­win­nung zuläs­sig, aber im Zwei­fel eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO.
  4. Wird man ein­ge­stellt, sind alle für das Arbeits­ver­hält­nis nicht not­wen­di­gen Unter­la­gen aus der Bewer­bung zurück­zu­ge­ben bzw. zu löschen.
  5. Eine unbe­grenz­te Spei­che­rung der Bewer­bungs­un­ter­la­gen ist nicht zuläs­sig. Sie wol­len poolen? -> Akti­ve, frei­wil­li­ge und infor­mier­te Einwilligung
  6. Lösch­kon­zept für ana­lo­ge und digi­ta­le Bewer­ber­da­ten mehr als hilfreich.

Sie suchen Unter­stüt­zung im Umgang mit Bewer­ber­da­ten aus Daten­schutz-Sicht für Ihre Orga­ni­sa­ti­on? Spre­chen Sie uns doch ein­fach an. Seit 2007 ste­hen wir Unter­neh­men und Behör­den rund um die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit zur Seite.

Mal eben kurz das Social Net­work scannen

Der Hes­si­sche Daten­schutz- und Infor­ma­ti­ons­frei­heits­be­auf­trag­te (HBDI) hat in sei­nem 51. Tätig­keits­be­richt für das Jahr 2022 ein inter­es­san­tes und auch bei unse­ren Kun­den wie­der­keh­ren­des The­ma auf­ge­grif­fen. Unter der etwas sper­ri­gen Über­schrift “Acti­ve Sourcing zur Gewin­nung von Bewer­be­rin­nen und Bewer­bern” befasst sich der HBDI auf den Sei­ten 156 bis 161 recht aus­führ­lich mit der Fra­ge­stel­lung, ob und inwie­weit Sozia­le Netz­wer­ke wie Lin­ke­dIn oder XING, aber auch das Inter­net an sich zur akti­ven Gewin­nung neu­er Mit­ar­bei­ter durch die Per­so­nal­ab­tei­lung oder Per­so­nal­dienst­leis­ter genutzt wer­den dürfen.

Der Stein des Anstoßes

Eine Beschwer­de­füh­re­rin wand­te sich an den HBDI, da sie ein Schrei­ben eines Per­so­nal­dienst­leis­ters erhielt, in dem sie gemäß Art. 14 DSGVO über die Auf­nah­me ihrer per­so­nen­be­zo­ge­nen Daten in eine Recrui­ting-Daten­bank infor­miert wur­de. Der Dienst­leis­ter stieß über eine Such­ma­schi­ne anhand von Qua­li­fi­ka­ti­ons­kri­te­ri­en und Tätig­keits­an­ga­ben auf die im beruf­li­chen Kon­text betrie­be­ne Web­sei­te der Beschwer­de­füh­re­rin und ent­nahm die­ser die Kon­takt­da­ten (per­so­nen­be­zo­ge­ne Daten). Über die­se Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten infor­mier­te der Dienst­leis­ter mit sei­nem Schrei­ben die Betrof­fe­ne u.a. zu Auf­nah­me ihrer per­so­nen­be­zo­ge­nen Daten zum Zwe­cke der Per­so­nal­ver­mitt­lung in die Daten­bank des Dienst­leis­ters,  die Kon­takt­da­ten des Ver­ant­wort­li­chen sowie des Daten­schutz­be­auf­trag­ten und der Hin­weis auf das mög­li­che Wider­spruchs­recht. Der HBDI prüf­te im Fol­gen­den die Recht­mä­ßig­keit der Ver­ar­bei­tung (Rechts­grund­la­ge) sowie die trans­pa­ren­te und voll­stän­di­ge Ertei­lung der Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO.

Um es kurz zu machen: Alles roger! In die­sem kon­kre­ten Fall

Als Rechts­grund­la­ge sieht der HBDI Art. 6. Abs. 1 Buch­sta­be f DSGVO, das sog. “berech­tig­te Inter­es­se” des Per­so­nal­dienst­leis­ters. Bei Gel­tend­ma­chung des berech­tig­ten Inter­es­ses gilt es, durch den Ver­ant­wort­li­chen zu prü­fen, ob nicht die Inter­es­sen des Betrof­fe­nen an einer Nicht-Ver­ar­bei­tung höher wie­gen als die eige­nen Inter­es­sen (sog. Inter­es­sens­ab­wä­gung, die auch zu doku­men­tie­ren ist). Das wirt­schaft­li­che Inter­es­se des Dienst­leis­ters wird in die­sem kon­kre­ten Fall sei­tens des HBDI als höher­wer­tig ange­se­hen. Dies ist jedoch an die Vor­aus­set­zun­gen geknüpft, dass die per­so­nen­be­zo­ge­nen Daten in berufs­be­zo­ge­nen Netz­wer­ken oder auf im beruf­li­chen Kon­text betrie­be­nen Web­sei­ten all­ge­mein zugäng­lich sind, d.h. es kei­ner­lei Zugriffs­be­schrän­kun­gen gibt. Dabei wäre nach unse­rem Dafür­hal­ten auch zu berück­sich­ti­gen, ob bei den Kon­takt­da­ten kei­ne ent­ge­gen­ste­hen­de Aus­sa­gen getrof­fen wer­den wie “Hier­mit wider­spre­che ich der Auf­nah­me mei­ner Kon­takt­da­ten in Recrui­ting-Daten­ban­ken” (oder sinn­ge­mäß ähnlich).

Als Beson­der­heit führt der HBDI den mög­li­chen Fall der Ein­schrän­kung von Nut­zer­pro­fi­len in Netz­wer­ken an. Hier­bei sind die Kon­takt­da­ten des Nut­zers erst nach einer sog. “Ver­net­zung” bzw. Kon­takt­an­fra­ge für den Anfra­gen­den sicht­bar. Der HBDI stellt klar, dass die rei­ne Akzep­tanz einer sol­chen Ver­net­zungs­an­fra­ge noch kei­ne Ein­wil­li­gung in die Auf­nah­me in eine Daten­bank durch den betrof­fe­nen Nut­zer dar­stellt. Viel­mehr muss der Anfra­gen­de in sei­ner Ver­net­zungs­an­fra­ge kon­kret auf den ange­dach­ten Zweck, näm­lich der Kon­takt­auf­nah­me zwecks Erfas­sung der Daten für die Recrui­ting-Daten­bank hin­wei­sen. Eigent­lich logisch, aber sehr gut, dass die­ser Sach­ver­halt noch­mals betont wird.

Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO nicht vergessen

Sind auf die­sem Wege per­so­nen­be­zo­ge­ne Daten für die eige­ne Recrui­ting-Daten­bank gewon­nen, gilt es nun, die Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO umfäng­lich gegen­über dem Betrof­fe­nen zu ertei­len. Dabei darf das Wider­spruchs­recht nach Art. 14 Abs. 2 Buch­sta­be c DSGVO nicht ver­ges­sen wer­den. Denn nur dann gilt in Ver­bin­dung mit der zuvor genann­ten Vor­ge­hens­wei­se lt. HDBI, “dass Acti­ve Sourcing in Über­ein­stim­mung mit den Bestim­mun­gen des Daten­schut­zes erfol­gen kann.”

Hap­py recruiting!

Früh­jahrs­putz für das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten (VVT)

Unter dem Titel “Früh­jahrs­putz im Ver­ar­bei­tungs­ver­zeich­nis” hat der Der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz (kurz BayLfD) eine “Aktu­el­le Kurz­in­for­ma­ti­on” mit der Num­mer 47 in der Rei­he sei­ner Kurz­in­for­ma­tio­nen ver­öf­fent­licht. Auch wenn man mit den inhalt­li­chen Anfor­de­run­gen an ein VVT sei­tens des BayLfD nicht unbe­dingt ein­ver­stan­den sein muss (sie­he auch unse­ren Bei­trag unter https://​bdsg​-exter​ner​-daten​schutz​be​auf​trag​ter​.de/​d​a​t​e​n​s​c​h​u​t​z​/​v​e​r​z​e​i​c​h​n​i​s​-​v​o​n​-​v​e​r​a​r​b​e​i​t​u​n​g​s​t​a​e​t​i​g​k​e​i​t​e​n​-​v​v​t​-​s​i​n​n​v​o​l​l​-​u​n​d​-​p​r​a​k​t​i​s​c​h​-​e​r​s​t​e​l​l​e​n​-​u​n​d​-​e​i​n​s​e​t​z​en/, was man in die­sem Punkt bes­ser machen kann), so ist die Idee den­noch mehr als gut, Pro­zes­se zur Pfle­ge und die Aktua­li­tät des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten einer Früh­jahrs­kur zu unterziehen.

Die Abschnit­te der Kurz­in­for­ma­ti­on glie­dern sich wie folgt:

  1. Orga­ni­sa­ti­on: Prü­fen und bei Bedarf Fest­zur­ren von Ver­ant­wort­lich­kei­ten und Pro­zes­sen zum Erstel­len des VVT, Pfle­gen bzw. aktu­ell hal­ten des VVT, Mel­den von Ände­run­gen an bestehen­den Ver­ar­bei­tun­gen aber auch von nicht mehr vor­han­de­nen Ver­ar­bei­tun­gen: Hier­bei soll­te jedoch nicht nur auf die schrift­li­che Rege­lung hier­zu geach­tet wer­den. Die­se muss zwar auch aktu­ell sein, womit der BayLfD voll­kom­men rich­tig liegt. Aber noch viel wich­ti­ger ist, dass die­se Rege­lun­gen dann auch nicht nur auf dem Papier exis­tie­ren, son­dern mit Leben erfüllt wer­den. Fra­ge daher also: “Wer­den die doku­men­tier­ten Pro­zes­se auch tat­säch­lich ange­sto­ßen und durchlaufen?”
  2. Die Ver­zeich­nis­ein­trä­ge an sich prü­fen: Sind die­se aktu­ell? Sind alle neu­en Ver­ar­bei­tun­gen ent­hal­ten? Wur­den bis­he­ri­ge Ver­än­de­run­gen gemel­det und ein­ge­pflegt? Wur­den been­de­te Ver­ar­bei­tun­gen gemel­det und ent­fernt? Im Zwei­fel ist seit der erst­ma­li­gen Erstel­lung im Rah­men der DSGVO etwas Zeit ver­gan­gen und die Ein­trä­ge sind etwas ange­staubt. Prü­fen ist bes­ser als dar­auf ver­trau­en, dass Ver­än­de­run­gen schon irgend­wie an den DSB gemel­det wurden.
  3. Syn­er­gien heben: Scha­de, dass der BayLfD hier die Syn­er­gien z.B. zur Infor­ma­ti­ons­si­cher­heit nicht damit gemeint bzw. die­se nicht inklu­diert hat. Aber auch so ist der Punkt sehr wich­tig, denn zahl­rei­che wei­te­re Auf­ga­ben im Daten­schutz für die ver­ant­wort­li­che Stel­len sind nur mit einem aktu­el­len VVT zu bewäl­ti­gen. Das beginnt mit der rich­ti­gen und voll­stän­di­gen Bear­bei­tung von Betrof­fe­nen­rech­ten, geht über eine Lis­te aktu­el­ler Auf­trags­ver­ar­bei­ter wei­ter und hört mit den Anga­ben zu den Infor­ma­ti­ons­pflich­ten aus Art. 13, 14 DSGVO noch lan­ge nicht auf.

Iro­ni­scher­wei­se gibt es noch einen vier­ten Abschnitt “Fol­gen feh­len­der Aktua­li­tät”.  Bekann­ter­ma­ßen sind öffent­li­che Stel­len im Rah­men der Lan­des­da­ten­schutz­ge­set­ze von spür­ba­ren, sprich schmerz­haf­ten Kon­se­quen­zen bei Miß­ach­tung der Daten­schutz­rechts­vor­schrif­ten aus­ge­nom­men. Aber viel­leicht hilft ja auch der Hin­weis auf den erho­be­nen Zei­ge­fin­ger aus Mün­chen “Du, Du, Du! Du sollst Dich doch an die DSGVO und das BayDSG halten” 🙂

Aber ganz unge­ach­tet des­sen, ob es sich bei der eige­nen Orga­ni­sa­ti­on um eine öffent­li­che oder nicht-öffent­li­che Stel­le han­delt: Wie aktu­ell ist ihr VVT?

Kalen­der-Ein­la­dun­gen zu Bewer­bungs­ge­sprä­chen z.B. in Outloook

Im Tätig­keits­be­richt für das Jahr 2021 hat das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) — exter­ner Link: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​b​a​y​l​d​a​_​r​e​p​o​r​t​_​1​1​.​pdf — ein inter­es­san­tes The­ma aus dem Arbeits­all­tag einer jeden Orga­ni­sa­ti­on beleuch­tet. Näm­lich den Umgang mit Bewer­ber­da­ten im Rah­men der Orga­ni­sa­ti­on von Bewer­bungs­ge­sprä­chen. An Bewer­ber­ge­sprä­chen neh­men in den meis­ten Orga­ni­sa­tio­nen nor­ma­ler­wei­se meh­re­re Per­so­nen teil. Eine Ter­min­ein­la­dung über Out­look oder ver­gleich­ba­re Tools bringt die not­wen­di­gen inter­nen Per­so­nen und den /​ die Bewer­ber zum rich­ti­gen Zeit­punkt an den Tisch. Was dabei aus Sicht des BayL­DA so alles aus Sicht des Daten­schut­zes schief­ge­hen kann, fin­det sich ab Sei­te 50 des TB 2021 (oben verlinkt).

Ter­min­ver­ein­ba­run­gen mit Bewer­bern via (Out­look-) Kalendereinladung

Bewer­ber­ma­nage­ment benö­tigt unter ande­rem Ter­mi­ne für die Vor­stel­lungs­ge­sprä­che. Aktu­el­le Kol­la­bo­ra­ti­ons­tools wie z.B. Out­look ver­wal­ten die Ter­mi­ne für die nöti­gen Bewer­bungs­ge­sprä­che samt der dazu­ge­hö­ri­gen Ein­la­dun­gen an die dafür not­wen­di­gen Per­so­nen im Kalen­der der orga­ni­sie­ren­den Per­so­nal­ab­tei­lung aber auch der Teil­neh­mer. Die Ein­tra­gun­gen ent­hal­ten für gewöhn­lich den Namen des Bewer­bers oder der Bewer­be­rin und zumeist Anga­ben zu der Stel­le, auf die sich das Bewer­bungs­ge­spräch bezieht. In man­chen Fäl­len kom­men noch wei­te­re Infor­ma­tio­nen hin­zu. Gele­gent­lich sind zur Infor­ma­ti­ons­ver­tei­lung sogar noch­mals die Bewer­bungs­un­ter­la­gen beigefügt.

Kalen­der-Ein­tra­gun­gen gera­ten schnell zum Datenschutz-Problem

Das BayL­DA hat kei­ne Pro­ble­me damit, dass der Name des Bewer­bers im Kalen­der und in der Ein­la­dung ste­hen. Es hat auch nichts dage­gen, dass das Stich­wort „Bewer­bungs­ge­spräch“ ent­hal­ten ist. Bei allem, was dar­über hin­aus­geht, sieht das BayL­DA jedoch fol­gen­de daten­schutz­recht­li­che Pro­ble­me bzw. Anforderungen

Ein­ge­schränk­ter Zugriff auf die Daten des Bewer­bers (Ver­trau­lich­keit) und Ein­hal­tung eines geeig­ne­ten Lösch­kon­zepts müs­sen sicher­ge­stellt sein

Orga­ni­sa­tio­nen dür­fen Daten von Per­so­nen, die sich bewer­ben, nur an einem Spei­cher­ort spei­chern, der dazu aus der Sicht des Daten­schut­zes geeig­net ist. Dafür muss die­ser Spei­cher­ort zumin­dest zwei Kri­te­ri­en genügen:

  • Es muss ein Zugriffs­kon­zept vor­han­den sein. Es muss also genau defi­niert sein, wer auf die Daten zugrei­fen kann. Der Kreis der Zugriffs­be­rech­tig­ten muss auf ein Min­dest­maß beschränkt sein.
  • Es muss fest­ste­hen, wann und wie gespei­cher­te Daten des Bewer­bers wie­der gelöscht wer­den. Sie dür­fen nur so lan­ge gespei­chert wer­den, wie das erfor­der­lich ist. Auch die­ses Prin­zip ist im Daten­schutz nicht neu.

Bei Kalen­der-Ein­trä­gen und geteil­ten Kalen­ders ist bei­des oft schwierig

Wich­tig dabei: Die­se Kon­zep­te soll­ten nicht nur auf dem Papier vor­han­den sein, son­dern auch — beleg- und nach­voll­zieh­bar — gelebt wer­den. Nicht ganz zu Unrecht kom­men­tiert das BayL­DA dazu, dass “die bei­den zuvor genann­ten Kri­te­ri­en bei Kalen­der­nut­zun­gen in den meis­ten Anwendungsfällen der Pra­xis nicht erfüllt wer­den.” Dies schei­tert zumeist schon an den übli­chen Ver­tre­tungs­re­ge­lun­gen für Mail-Post­fä­cher und Kalen­der. Sie füh­ren dazu, dass immer wie­der auch sol­che Mit­ar­bei­ter  auf Daten Zugriff haben, die über­haupt nicht an Bewer­bungs­ge­sprä­chen betei­ligt sind.

Out­look und ande­re Tools ver­lei­ten zu groß­zü­gi­gen Zugriffsregelungen

Sol­che Kalen­der­frei­ga­ben sind viel­fach sehr groß­zü­gig aus­ge­stal­tet. Das soll Ter­min­pla­nun­gen unter meh­re­ren Betei­lig­ten erleich­tern, was ja durch­aus prak­tisch ist. Es kann aber auch dazu füh­ren, dass Mit­ar­bei­ter Zugriff auf Kalen­der­da­ten haben, obwohl es nicht erfor­der­lich wäre. Das­sel­be gilt bei Grup­pen­post­fä­chern, auf die meh­re­re Per­so­nen Zugriff haben.

Kon­se­quenz des BayL­DA: Ergän­zen­de Unter­la­gen gehö­ren nicht in Outlook-Kalender

Vor die­sem Hin­ter­grund sieht es das BayL­DA sehr kri­tisch, wenn Bewer­bungs­un­ter­la­gen, Gesprächs­no­ti­zen und Vor­be­rei­tungs­ver­mer­ke für ein Bewer­bungs­ge­spräch im Out­look-Kalen­der gespei­chert wer­den. Sie gehö­ren dort nicht hin, son­dern viel­mehr in die Obhut der Stel­le, die für Per­so­nal­an­ge­le­gen­hei­ten der Orga­ni­sa­ti­on zustän­dig ist. Die­se kann bei kon­kre­tem Bedarf den Per­so­nen einen Zugriff ein­räu­men, die am Bewer­bungs­ver­fah­ren mit­wir­ken müssen.

Die Löschung aller Daten muss sicher­ge­stellt sein (Lösch­kon­zept)

Beson­de­ren Wert legt das BayL­DA auf die ord­nungs­ge­mä­ße Löschung der Daten nach dem Abschluss eines Bewer­bungs­ver­fah­rens. Dabei sieht es durch­aus, dass auch dann noch ein Zugriff auf Bewer­ber­da­ten erfor­der­lich sein kann. Das gilt etwa, wenn Berichts­pflich­ten der Orga­ni­sa­ti­on z.B. gegen­über der Agen­tur für Arbeit bestehen.

Vor­sicht Fal­le: Der Aus­kunfts­an­spruch von Bewer­bern geht sehr weit

In der Pra­xis soll­te man sich die Fra­ge stel­len, ob man nicht sogar auf den Namen des Bewer­bers im Out­look-Kalen­der ver­zich­ten soll­te. Denn es kommt immer wie­der vor, dass ein Bewer­ber Aus­kunfts­an­sprü­che nach Art. 15 DSGVO gel­tend macht. Dies ist beson­ders häu­fig, wenn jemand die Stel­le nicht bekom­men hat und bei­spiels­wei­se behaup­tet, das lie­ge an einer Dis­kri­mi­nie­rung sei­ner Per­son. Vie­le Juris­ten sind der Auf­fas­sung, dass sich der Aus­kunfts­an­spruch dann auch auf die Ein­tra­gun­gen im Out­look-Kalen­der erstreckt.

Der Auf­wand, der dadurch ent­steht, ist erheb­lich. Die Orga­ni­sa­ti­on muss näm­lich den gesam­ten Out­look-Kalen­der durch­su­chen las­sen. Außer­dem ist unter Umstän­den eine Abfra­ge dazu erfor­der­lich, wel­che Mit­ar­bei­ter Ein­tra­gun­gen dar­aus über­nom­men und lokal abge­spei­chert haben. Dies alles lässt sich ver­mei­den, wenn der Name des Bewer­bers nicht in den Out­look-Kalen­der auf­ge­nom­men wird.

Fazit: Struk­tur und orga­ni­sa­ti­ons­wei­te Rege­lung notwendig

Im Rah­men eines struk­tu­rier­ten Bewer­bungs­pro­zes­ses soll­te jede Orga­ni­sa­ti­on die­se Aspek­te bereits berück­sich­ti­gen und ver­bind­li­che Vor­ge­hens­wei­sen fest­schrei­ben. Das erleich­tert eine ein­heit­li­che und ver­ein­fach­te Vor­ge­hens­wei­se gegen­über der Metho­de “Jeder macht, was er will” 🙂

Die mobile Version verlassen