Was die Datenschutzerklärung laut DSGVO/GDPR enthalten sollte

Blog General Data Protection Regulation

Ist Ihre Datenschutzpolitik schon in Ordnung? Mit dem Inkrafttreten der GDPR (General Data Protection Regulation) oder deutsch auch DSGVO (Datenschutz-Grundverordnung) sind die Regeln maßgeblich strenger und es drohen Bußgelder in Millionenhöhe. Es ist für Organisationen wichtig zu kommunizieren, warum und auf welche Weise personenbezogene Daten verarbeitet werden. Die DSGVO stellt einige Anforderungen an die Transparenz über die Verarbeitung und Kommunikation mit der betroffenen Person (in unserem Fall der Kandidat). Dies kann man mit Hilfe einer Datenschutzerklärung tun. Was ist eine Datenschutzerklärung und wie gestaltet man diese?

Welche Anforderungen muss eine Datenschutzerklärung erfüllen?

Eine Datenschutzerklärung sollte die folgenden Merkmale aufweisen:

  • prägnant
  • transparent
  • einfach verständlich
  • einfach zugänglich

Diese Anforderungen sollen dazu führen, dass ein Kandidat weiß, woran er im Bereich des Datenschutzes ist. Abhängig von der Art und Weise, wie die Daten gesammelt wurden, können noch einige spezifische Anforderungen an die Datenschutzerklärung gestellt werden. Daten können auf direkte oder indirekte Weise gesammelt werden. Bei direkter Datensammlung gibt der Kandidat selbst seine Daten ab, beispielsweise über ein Bewerbungsformular. Werden die Daten über eine externe Quelle gesammelt, dann handelt es sich um indirekte Datensammlung. Dies passiert beispielsweise, wenn ein Recruiter Daten aus dem LinkedIn- oder Xing-Profil des Kandidaten übernimmt.

Direkte Verarbeitung von personenbezogenen Daten

Wenn die Daten direkt vom Kandidaten stammen, dann muss die Datenschutzerklärung in dem Moment, in dem die Daten übermittelt werden, zur Verfügung gestellt werden. Dies erreicht man beispielsweise, indem ein Link zu der Datenschutzerklärung in das Bewerbungsformular aufgenommen wird. Die Datenschutzerklärung sollte mindestens die folgenden Informationen enthalten:

  • Identität und Kontaktinformation des Datenverarbeiters;
  • Ziel und rechtliche Grundlage für die Verarbeitung;
  • Das legitime Interesse des Datenverarbeiters (wenn dies zutreffend ist);
  • Eventuelle Empfänger (oder Kategorien von Empfängern) der personengebundenen Daten (beispielsweise Datenverarbeiter);
  • Informationen zur Weiterleitung der personenbezogene Daten an ein drittes Land (außerhalb der EU), wenn dies zutreffend ist;
  • Den Speicherzeitraum oder die Kriterien, anhand deren der Speicherzeitraum bestimmt wird;
  • Die betroffene Person muss auf ihre Rechte aufmerksam gemacht werden;
  • Die betroffene Person muss darauf aufmerksam gemacht werden, dass er/sie das Recht hat, die Zustimmung zur Verarbeitung seiner/ihrer Daten wieder einzuziehen;
  • Die betroffene Person muss darauf aufmerksam gemacht werden, dass er das Recht hat, eine Beschwerde bei der Aufsichtsbehörde einzureichen;
  • Wenn automatische Entscheidungen getroffen werden, muss dies bekannt gemacht werden;

Indirekte Verarbeitung von personenbezogenen Daten

Wenn Daten auf indirekte Weise gesammelt werden, beispielsweise über LinkedIn, dann gelten dieselben Anforderungen wie oben beschrieben. Zudem muss deutlich angedeutet werden, welche Art von Daten (Kategorie) verarbeitet wurden und welche Quelle hierfür verwendet wurde.

Die betroffene Person muss innerhalb eines angemessenen Zeitraums (auf jeden Fall innerhalb eines Monats nach Verarbeitung) über die obenstehenden Punkte informiert werden. Wenn die personenbezogenen Daten mit dem Ziel verarbeitet werden, mit der betroffenen Person zu kommunizieren, dann muss diese Information spätestens beim ersten Kontakt bereitgestellt werden.

Auch wenn die personenbezogenen Daten an Dritte weitergeleitet werden, dann muss die betroffene Person hierüber informiert werden und zwar spätestens zu dem Moment, in dem Daten mit diesem Dritten geteilt werden.

Identität und Kontaktinformationen

in der Datenschutzerklärung müssen die Identität und die Kontaktinformationen des für die Datenverarbeitung Verantwortlichen genannt werden. Wenn bei der verantwortlichen Organisation ein Datenschutzbeauftragter (Data Protection Officer) tätig ist, dann müssen auch dessen Kontaktinformationen in die Datenschutzerklärung aufgenommen werden.

Rechtliche Basis für die Verarbeitung

Um personenbezogene Daten verarbeiten zu können, muss eine rechtliche Basis für die Verarbeitung vorliegen. Die folgenden Punkte sollten auf jeden Fall erfüllt sein:

  • Die betroffene Person hat seine/ihr Zustimmung zur Datenverarbeitung abgegeben;
  • Die Verarbeitung ist notwendig für die Ausführung eines Vertrags oder geschieht auf ausdrückliche Anfrage der betroffenen Person zum Abschluss eines Vertrags;
  • Die Verarbeitung ist zur Einhaltung von rechtlichen Pflichten des Datenverarbeiters notwendig;
  • Die Verarbeitung ist für den Schutz der vitalen Interessen der betroffenen Personen notwendig;
  • Die Verarbeitung ist für die Ausführung einer Aufgabe von allgemeinem Nutzen notwendig;
  • Die Verarbeitung ist für die Beherzigung der legitimen Interessen des Verarbeitungsverantwortlichen notwendig.

Speicherzeitraum

Personenbezogene Daten dürfen nicht länger als strikt notwendig, also für das Ziel wofür sie ursprünglich erhoben wurden, gespeichert werden. Wenn kein ‘harter’ Speicherzeitraum zu bestimmen ist, dann müssen in der Datenschutzerklärung Kriterien bestimmt werden, auf Basis derer der Speicherzeitraum bestimmt wird. So könnte zum Beispiel die Abweisung eines Kandidaten ein Kriterium für die Löschung von dessen Daten darstellen. Mit einem Anonymisierungsskript können automatische Prozesse eingerichtet werden, die die Speicherung und rechtzeitige Lösung von Daten konform Ihrer eigenen internen Richtlinien regelt.

Bemerkung:

In den kürzlich publizierten Richtlinien von der Artikel-29-Datenschutzgruppe (einem Beratungsorgan der Europäischen Kommission, in dem die nationalen Aufsichtsbehörden repräsentiert sind) ist unter anderem die Rede vom Speicherzeitraum von Daten, die im Recruitingprozess erhoben wurden. Diese müssen im Allgemeinen gelöscht werden, sobald deutlich wird, dass der Kandidat nicht eingestellt wird. (Siehe: http://ec.europa.eu/newsroom/document.cfm?doc_id=45631, Paragraf 5.1)

Wenn Sie die Daten der Kandidaten für zukünftige Angebote erhalten möchten, müssen Sie den Kandidaten hierüber informieren. Dem Kandidaten muss hierbei die Möglichkeit geboten werden, die Zustimmung zu widerrufen, wonach die Daten dennoch gelöscht werden müssen.

Layered Privacy Statement

Wenn Sie besonders viele Informationen in Ihre Datenschutzerklärung aufnehmen möchten, können Sie ein sogenanntes ‘layered Privacy Statement’ nutzen, um es übersichtlich zu halten. Auf der ersten Ebene platzieren Sie die Hauptpunkte und fügen Links auf der zweiten Ebene hinzu. Auf diese Weise können Sie eine kurze und bündige Datenschutzerklärung erstellen und dennoch alle Informationen für den Besucher zur Verfügung stellen.

Beispiele von Datenschutzerklärungen

Wenn Sie sich ein Beispiel eines ‘layered Privacy Statement’ ansehen möchten, dann können Sie sich die Datenschutzerklärungen von IBM oder Microsoft ansehen.

Bleiben Sie auf dem Laufenden

Bleiben Sie als Organisation immer auf dem neuesten Stand aller relevanten Entwicklungen. In unserem Blog werden wir Sie so gut wie möglich informieren.

Erhalten Sie die neuesten Updates direkt in Ihr Postfach.

Füllen Sie dieses Formular aus, um unsere Bloginhalte, Recruiting-Tipps und Best-Practices zu abonnieren.