2018 EU Datenschutz: Kostenlose Pizza gefällig?

In Kürze. Warum Datenschutz mehr wert ist als eine kostenloses Stück Teig.
Wie lösen wir das Problem, wenn Konsumenten willens sind die Privatsphäre für kostenlose Pizza zu verletzen.
Was sind die Herausforderungen für Employer Branding, Marketing und Recruiting mit der neuen DSGVO?
Der nachfolgende Beitrag aus unserer Reihe zum neuen Bundesdatenschutzgesetz zeigt auf, welche Dinge Marketing, Personalfachleute und Manager berücksichtigen müssen.

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten jeweils eine Reminder-Mail, sobald ein neues Thema zum EU Datenschutz, Marketing und Compliance veröffentlicht wird.
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz:  Marketing aufgepasst
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig? (sie sind hier)
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics 
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
Download White Paper:  Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2017-11). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf http://MCLago.com/download/13/
[/su_box]
Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.
Fragen unten einfach anklicken und Sie können sogleich die Antwort lesen.

Hier ist eine kurze Zusammenfassung der Dinge welche sie wissen sollten.
Die Verordnung ist in der deutschen Fassung 88 Seiten lang und hat 173 Erwägungsgründe und 99 Artikel.
Die potenziellen Bußgelder bei zuwider handeln können bis zu 20 Millionen Euro beziehungsweise vier Prozent des globalen Jahresumsatzes des vorangegangenen Geschäftsjahrs ausmachen.

Am 10 Januar, 2017 wurde die finale Version der geplanten ePrivacy-Verordnung als offizieller Vorschlag der EU Kommission veröffentlicht. Die neue e-Privacy-Verordnung soll die Datenschutz-Grundverordnung (DSGVO) flankieren, die zum 25. Mai 2018 in Kraft tritt.
Als EU Verordnung ist die DS-GVO wie auch die ePrivacy-Verordnung in jedem EU-Mitgliedstaat grundsätzlich unmittelbar anwendbar. Weil sie allerdings zahlreiche Öffnungsklauseln hat, ermöglicht z.B. die DS-GVO dem nationalen Gesetzgeber gewisse Spielräume.
Deshalb ist damit zu rechnen, dass es auch noch eine Änderung der nationalen Gesetze geben wird.Die Datenschutz-Grundverordnung (DS-GVO) muss bis zum 5 Mai 2018 in die jeweilige nationale Gesetzgebung einfliessen. Das DS-GVO tritt dann am 25. Mai 2018 in Kraft.

1. Recruiting mit Social Media: DSGVO Verletzung möglich

In den letzten Jahren sind Social Media immer mehr Werkzeuge des täglichen Lebens geworden.
Für jede Art von Nutzer gibt es etwas wie Twitter oder Snapchat, Instagram oder Pinterest, LinkedIn oder Xing, usw. wir alle, mit wenigen Ausnahmen, nutzen eind oder sogar gleich mehrere dieser Plattformen.
Mit der neuen DSGVO werden hier einige Meinung von Datenschutzbeauftragten der EU Mitgliedstaaten fast ein wenig klammheimlich dazu genutzt, Regeln zu machen.
Article 29 Working Party, unter Letters, Opinions and other documents ==> Opinion 2/2017 on data processing at work – wp249 cpdf Datei

Die Article 29 Working Party had in Sachen DSGVO angegangen die Dinge auszulegen. RIESENPROBLEM: Social Media Profiles von Bewerbern und Nutzung bei der Arbeit. AUFGEPASST.
Die Article 29 Working Party had in Sachen DSGVO angegangen die Dinge auszulegen.
RIESENPROBLEM: Social Media Profiles von Bewerbern und Nutzung bei der Arbeit. AUFGEPASST.

Siehe ganz unten das zur Einsicht angefügte Dokument, S. 11 …

2. Recruiting mit Hilfe von Social Media, aber dann richtig

Doch heute findet man fast alle Jobs Online, d.h. in Social Networks wie z.B. Xing – Diskussiongruppe Markenstärke und Markenimage.

Stelle frei, Eintrag in Social Network Gruppe auf Xing
Stelle frei, Eintrag in Social Network Gruppe auf Xing

Angestellte verteilen Informationen über offene Stellen über ihre privaten Social Media Konten. Das ist heute „normal.“
Interessant ist ebenfalls, dass dies fast unweigerlich dazu führt, dass ein Bewerber über die offene Stelle über eines der Social Networks wie Xing, Facebook oder Instagram erfährt.
Oft nimmt man dann auch über das Netzwerk Kontakt mit der Person auf, welche die Information gepostet hat.
Der unten aufgezeigte Beschrieb der offenen Stelle führt auf, dass ein Bewerber eine Social Media Affinität mitbringen muss. Doch das neue Datenschutz Regularium legt fest (wie oben aufgezeigt und mit Gelb markiert):

Only if it is necessary for the job to review information about a candidate on social media, for example, in order to be able to assess specific risks regarding candidates for a specified function, and the candidates are correctly informed (for example, in the text of the job advert) the employer may have a legal basis under Article 7(f) to review publicly-available information about candidates.
(Nur wenn notwendig für die Arbeit, kann Information über einen Bewerber auf Social Media eingesehen werden, zum Beispiel, für Kandidaten welche sich für eine Funktion mit speziellen Risiken bewerben, und die Kandidaten wurden korrekterweise informiert (z.B. in der Stellenausschreibung), dann könnte der Arbeitgeber eine Rechtsgrundlage haben unter Artikel 7(f) um frei zugängliche Informationen über Kandidaten zu evaluieren)

Die Stellenbeschreibung unten zeigt, dass dies nicht genau erklärt wird. Das heisst Gruner & Jahr und deren Firmen müssen sich hier noch verbessern um DSGVO konforme Stellenbeschriebe über Social Networks zu verteilen.
Der Screenshot macht keinen Hinweis, dass man Social Media bei der Arbeit nutzen muss in Zusammenhang mit seiner Arbeit.
Doch das Image unten zeigt sehr schön, dass eine Affinität mit Social Media Pflicht ist – hier die Anzeige Online.

Gruner + Jahr AG & Co KG ist Europa's grösstes Druck- und Verlaugshaus. Was der Bewerber haben muss: Affinität zu Social Media - ist das gemäss DSGVO compliant?
Gruner + Jahr AG & Co KG ist Europa’s grösstes Druck- und Verlaugshaus. Was der Bewerber haben muss:
Affinität zu Social Media – ist das gemäss DSGVO compliant?

Die Teilung oder das Sharing von solchen Stellen ist populär aber stösst oft auf wenig Gegenliebe wie diese Kennzahlen zeigen. Von 3000 Mitgliedern in der Xing Gruppe sind kaum 5 Clicks von diesen gekommen. Resonanz, obwohl die Ausschreibung relevant ist für das Thema der Gruppe ist = 0.
Trotzdem ist klar, dass das Unternehmen auch die Social Media Profile der Bewerber zu Rate ziehen wird. Doch dies müsste laut den neuen Regeln im Stelleninserat offen gelegt werden.

3. Folgeabschätzung

Die Datenschutz-Folgeabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG).
Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.
Wie die Vorabkontrolle dient die Datenschutz-Folgeabschätzung der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Nach Abschnitt 3, Artikel 35 ist das Unternehmen verpflichtet eine Folgeabschätzung zu machen.
Gemäss Art 35 Absatz 1 muss der Auftraggeber bei Formen der Verarbeitung von Personendaten vorab eine Abschätzung der Folgen einer Datenanwendung für den Schutz personenbezogener Daten durchführen.
Dies gilt dann, wenn die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten haben, insbesondere bei Verwendung von Technologien.

4. Tools und Ressourcen

Friedewald, Michael; Obersteller, Hanna; Nebel, Maxi; Bieker, Felix & Rost, Martin (Mai 2016). White Paper Datenschutz-Folgenabschätzung: Ein Werkzeug für einen besseren Datenschutz. Aufgerufen, Mai 10, 2017 auf https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf
Sievers, Jacqueline & Vasella, David (15. April 2017). Datenschutz-Folgenabschätzung: Leitlinien der Artikel-29-Arbeitsgruppe (Entwurf) Blogeintrag aufgerufen 2017-05-10  http://datenrecht.ch/datenschutz-folgenabschaetzung-leitlinien-der-artikel-29-arbeitsgruppe/
Article 29 Data Protection Working Party. 17/EN WP 248 (Arbeitspapier 248 zur DSFA). Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 Aufgerufen am 2017-05-10 auf http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 (PDF Datei).
Die neue E-Privacy-Verordnung ist als Ergänzung zur bereits beschlossenen EU-Datenschutz-Grundverordnung (EU-DS-GVO). Sie soll idealerweise ebenfalls am 25 Mai 2018 in Kraft treten.
Doch dabei braucht es systematische Werkzeuge um die Sache richtig aufzugleisen.
Dies um so mehr da die Sanktionen für das EU-DS-GVO wie auch der e-Privacy Regelung ähnlich ausgestaltet sind. Sie beinhalten Geldbussen von bis zu 20 Mio. EUR oder 4% des gesamten weltweiten Jahresumsatzes eines Unternehmens.
[su_box title=“Tools für die Folgeabschätzung“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
Die französische Commission Nationale de l’Informatique et des Libertés ( CNIL) hat Arbeitshilfen für eine Datenschutz-Folgeabschätzung gemacht.

Das ganze ist gut erklärt aber geht nicht ohne viel Arbeit um regelkonform zu sein. Die Compliance Abteilung wird sich über die Mehrarbeit freuen.
[/su_box]

5. Was ist wertvoller? Gratis-Pizza oder die Privatspähre der Freunde?

Schwierig wenn schon Studenten bereit sind, die Privatsphäre ihrer Freunde zu verletzen:

Wir halten unsere Privatsphäre für wichtig und geben auch immer an, dass wir willens sind diese zu verteidigen. Doch wir handeln so als wäre diese nicht viel wert. Die obige Studie zeigt, dass es Menschen oft wenig kümmert wie gut geschützt ihre persönlichen Daten sind, wenn sie durch deren Freigabe Vorteile erhalten.
Die Studie testete auch inwiefern die Studenten für Bitcoin eine sichere Verschlüsselung wählen um deren Daten besser zu schützen. Doch sie waren nicht bereit mehr Zeiteinbussen hinzunehmen, indem sie eine bessere Verschlüsselung wählten (siehe auch Metzler, Beat – 2017-08-17. Verraten für ein Stück Teig.Tabes-Anzeiger, Analyse & Debatte, S. 11 https://www.tagesanzeiger.ch/schweiz/standard/verraten-fuer-ein-stueck-teig/story/28941962.

5. Ihre Meinung? Diskutieren Sie mit

Quelle: 2018 EU Datenschutz: Kostenlose Pizza gefällig
Die obigen Ausführungen zeigen, dass auch bei der Personalrekrutierung und im Umgang mit Daten von Arbeitnehmern die neue EU Datenschutz Grundverordnung (EU DS-GVO or DSGVO) wie auch die ePrivacy-Verordnung neue Anforderungen an die Compliance stellen.
Wie Social Media Profile genutzt werden dürfen bei der Auswahl von Bewerbern ist stark limitiert, was nicht unbedingt den heutigen Realitäten entspricht. Ob sich der Ausschluss solcher Daten vom Bewerbungsprozess durchsetzen lässt erscheint mir fraglich.
Aber was uns natürlich brennend interessieren würde wäre Ihre Meinung:

  • Wie managen Sie Datenschutz im Employer Branding?
  • Wie haben Sie sich auf die neue Verordnung vorbereitet?
  • Welche Checklisten und Tools nutzen Sie bei dieser Arbeit?

Ich freue mich auf Ihren Kommentar, den ich natürlich beantworten werde.

Lesenswert

DOWNLOAD PDF Datei dieser Opinion der Article 29 Working Group – 850 KB

[embeddoc url=“http://blog.drkpi.de/wp-content/files/Artcile-29-Working-Party-WP-249-Opinion-2-2017-on-data-processing-at-work.pdf“ width=“100%“ height=“780px“ viewer=“google“]

Beitrag teilen

3 Antworten

  1. Ups..
    das Rekrutieren wird in Zukunft also nicht einfacher.. wie man angesichts der breiten Verfügbarkeit von Social Media glauben möchte.
    Dann würde ich doch mal einen Kurs besuchen oder den HR-Menschen hin schicken, damit es alles richtig läuft.
    Denn wer es gerne richtig macht, erwartet das auch von anderen. Und das ist ja nun auch fair.. denn wir alle sind ja Menschen.
    herzlich
    Frank

    1. Lieber Frank
      Herzlichen Dank für Dein Feedback.
      Du sprichst hier 2 Dinge an. Ich antworte Dir also mit zwei Kommentaren, macht das ganze einfacher
      TEIL 1 – RECRUITING UND SOCIAL MEDIA

      Wohl kaum wie du auch schreibst.
      Motivierte Mitarbeiter finden war noch nie einfach. Wenn dann noch unregelmässige Arbeitszeiten angeboten werden wie z.B. in Holland für Jobs im Einzelhandel, dann sind die Resultate nicht unbedingt gut.
      Das ist mir auch in Holland (The Netherlands) aufgefallen wo an vielen Orten motiviertes Teilzeitpersonal gesucht wird (siehe Foto unten). Dabei wird auf verschiedene Arten gesucht wie unten – im Schaufenster – aus Social Networks, usw.
      Enthusiastische Mitarbeiter wollen wir alle, doch sind diese dann auch motiviert und bieten Kunden Mehrwert dank sachkundigem Service? Oft eben NICHT.
      Leider sind jedoch die Resultate oft diese, dass die Läden Mitarbeiter einstellen, welche:
      – die Kunden kaum ansprechen und
      – selten dem Kunden gleich auch Hilfe anbieten (der Kunde sucht nach der fachkundigen Verkäuferin – manchmal ein Spiessruten laufen).
      Wenn ich dann diese Leute angehe um was zu Fragen – was ist das Material dieses Produktes – kann es passieren, dass diese noch weniger wissen als ich.
      Der Kunde sucht dann auf dem Internet beim Hersteller und findet vielleicht diese Information. Doch wenn ich die Arbeit selber machen muss, warum im Laden einkaufen und nicht gleich über das Internet?
      Enthusiastische Mitarbeiter suchen und finden ist wichtig. Doch sicherstellen, dass diese nach Einstellung auch motiviert bleiben und ihre Arbeit sehr gut machen, ist die nächste Herausforderung.
      Viele Läden bieten Ware feil.
      Doch der Service, Beratung und Kenntnisse über das Produkt (z.B. Materialien) der Mitarbeiter ist für den möglichen Kunden oft ernüchternd.
      Von Einkaufserlebnis kann man reden doch sollte dies gut sein und nicht frustrierdend.
      Herzlichst
      Urs

      1. Frank
        Hier der zweite Teil meiner Antwort:
        TEIL 2 – HR MITARBEITER SOLLTEN EINEN KURS BESUCHEN
        Da tut sicherlich Hilfe not. Doch der #MCLago hat hier am 19. Januar 2018 in Kreuzlingen/Konstanz einen Workshop auf deren Veranstaltungskalender.
        5. Event: #CCDigitalM 2018 EU Datenschutz, Folgen für Marketing, HR und Compliance<
        Dort werden diese Herausforderungen anhand von Fallbeispielen besprochen und Lösungsansätze werden aufgezeigt. Das wird ein Full House, gleich jetzt hier anmelden
        5 Veranstaltung des Jahres 2017-2018 vom Marketing Club Lago. EU Datenschutz Grundverordnung kurz EU DSGVO genannt. Was bedeutet es für unsere Firma - HR, Recruiting, Sales, Marketing.... letzte Vorbereitungen.

Überblick

Erhalten Sie jetzt unseren Newsletter!