2018 EU Datenschutz: Kostenlose Pizza gefällig?

In Kürze. Warum Datenschutz mehr wert ist als eine kostenloses Stück Teig.
Wie lösen wir das Problem, wenn Konsumenten willens sind die Privatsphäre für kostenlose Pizza zu verletzen.
Was sind die Herausforderungen für Employer Branding, Marketing und Recruiting mit der neuen DSGVO?
Der nachfolgende Beitrag aus unserer Reihe zum neuen Bundesdatenschutzgesetz zeigt auf, welche Dinge Marketing, Personalfachleute und Manager berücksichtigen müssen.

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten jeweils eine Reminder-Mail, sobald ein neues Thema zum EU Datenschutz, Marketing und Compliance veröffentlicht wird.
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz:  Marketing aufgepasst
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig? (sie sind hier)
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics 
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
Download White Paper:  Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2017-11). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf http://MCLago.com/download/13/
[/su_box]
Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.
Fragen unten einfach anklicken und Sie können sogleich die Antwort lesen.

• 1. EU Datenschutz Grundverordnung (EU DSGVO): Nein zu Social Media?
• 2. Recruiting ohne Social Media gefällig?
• 3. Folgeabschätzung: Wie machen wir es richtig?
• 4. Werkzeuge: Gibt es Tools?
• 5. Verraten wir Datenschutz für ein Stück Pizza?

Hier ist eine kurze Zusammenfassung der Dinge welche sie wissen sollten.
Die Verordnung ist in der deutschen Fassung 88 Seiten lang und hat 173 Erwägungsgründe und 99 Artikel.
Die potenziellen Bußgelder bei zuwider handeln können bis zu 20 Millionen Euro beziehungsweise vier Prozent des globalen Jahresumsatzes des vorangegangenen Geschäftsjahrs ausmachen.

• Grundsätzliches in der EU Datenschutz Grundverordnung (EU DS-GVO or DSGVO)

Am 10 Januar, 2017 wurde die finale Version der geplanten ePrivacy-Verordnung als offizieller Vorschlag der EU Kommission veröffentlicht. Die neue e-Privacy-Verordnung soll die Datenschutz-Grundverordnung (DSGVO) flankieren, die zum 25. Mai 2018 in Kraft tritt.
Als EU Verordnung ist die DS-GVO wie auch die ePrivacy-Verordnung in jedem EU-Mitgliedstaat grundsätzlich unmittelbar anwendbar. Weil sie allerdings zahlreiche Öffnungsklauseln hat, ermöglicht z.B. die DS-GVO dem nationalen Gesetzgeber gewisse Spielräume.
Deshalb ist damit zu rechnen, dass es auch noch eine Änderung der nationalen Gesetze geben wird.Die Datenschutz-Grundverordnung (DS-GVO) muss bis zum 5 Mai 2018 in die jeweilige nationale Gesetzgebung einfliessen. Das DS-GVO tritt dann am 25. Mai 2018 in Kraft.

1. Recruiting mit Social Media: DSGVO Verletzung möglich

In den letzten Jahren sind Social Media immer mehr Werkzeuge des täglichen Lebens geworden.
Für jede Art von Nutzer gibt es etwas wie Twitter oder Snapchat, Instagram oder Pinterest, LinkedIn oder Xing, usw. wir alle, mit wenigen Ausnahmen, nutzen eind oder sogar gleich mehrere dieser Plattformen.
Mit der neuen DSGVO werden hier einige Meinung von Datenschutzbeauftragten der EU Mitgliedstaaten fast ein wenig klammheimlich dazu genutzt, Regeln zu machen.
Article 29 Working Party, unter Letters, Opinions and other documents ==> Opinion 2/2017 on data processing at work – wp249 cpdf Datei

Siehe ganz unten das zur Einsicht angefügte Dokument, S. 11 …

2. Recruiting mit Hilfe von Social Media, aber dann richtig

Doch heute findet man fast alle Jobs Online, d.h. in Social Networks wie z.B. Xing – Diskussiongruppe Markenstärke und Markenimage.

Angestellte verteilen Informationen über offene Stellen über ihre privaten Social Media Konten. Das ist heute „normal.“
Interessant ist ebenfalls, dass dies fast unweigerlich dazu führt, dass ein Bewerber über die offene Stelle über eines der Social Networks wie Xing, Facebook oder Instagram erfährt.
Oft nimmt man dann auch über das Netzwerk Kontakt mit der Person auf, welche die Information gepostet hat.
Der unten aufgezeigte Beschrieb der offenen Stelle führt auf, dass ein Bewerber eine Social Media Affinität mitbringen muss. Doch das neue Datenschutz Regularium legt fest (wie oben aufgezeigt und mit Gelb markiert):

Only if it is necessary for the job to review information about a candidate on social media, for example, in order to be able to assess specific risks regarding candidates for a specified function, and the candidates are correctly informed (for example, in the text of the job advert) the employer may have a legal basis under Article 7(f) to review publicly-available information about candidates.
(Nur wenn notwendig für die Arbeit, kann Information über einen Bewerber auf Social Media eingesehen werden, zum Beispiel, für Kandidaten welche sich für eine Funktion mit speziellen Risiken bewerben, und die Kandidaten wurden korrekterweise informiert (z.B. in der Stellenausschreibung), dann könnte der Arbeitgeber eine Rechtsgrundlage haben unter Artikel 7(f) um frei zugängliche Informationen über Kandidaten zu evaluieren)

Die Stellenbeschreibung unten zeigt, dass dies nicht genau erklärt wird. Das heisst Gruner & Jahr und deren Firmen müssen sich hier noch verbessern um DSGVO konforme Stellenbeschriebe über Social Networks zu verteilen.
Der Screenshot macht keinen Hinweis, dass man Social Media bei der Arbeit nutzen muss in Zusammenhang mit seiner Arbeit.
Doch das Image unten zeigt sehr schön, dass eine Affinität mit Social Media Pflicht ist – hier die Anzeige Online.

Die Teilung oder das Sharing von solchen Stellen ist populär aber stösst oft auf wenig Gegenliebe wie diese Kennzahlen zeigen. Von 3000 Mitgliedern in der Xing Gruppe sind kaum 5 Clicks von diesen gekommen. Resonanz, obwohl die Ausschreibung relevant ist für das Thema der Gruppe ist = 0.
Trotzdem ist klar, dass das Unternehmen auch die Social Media Profile der Bewerber zu Rate ziehen wird. Doch dies müsste laut den neuen Regeln im Stelleninserat offen gelegt werden.

3. Folgeabschätzung

Die Datenschutz-Folgeabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG).
Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.
Wie die Vorabkontrolle dient die Datenschutz-Folgeabschätzung der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Nach Abschnitt 3, Artikel 35 ist das Unternehmen verpflichtet eine Folgeabschätzung zu machen.
Gemäss Art 35 Absatz 1 muss der Auftraggeber bei Formen der Verarbeitung von Personendaten vorab eine Abschätzung der Folgen einer Datenanwendung für den Schutz personenbezogener Daten durchführen.
Dies gilt dann, wenn die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten haben, insbesondere bei Verwendung von Technologien.

4. Tools und Ressourcen

Friedewald, Michael; Obersteller, Hanna; Nebel, Maxi; Bieker, Felix & Rost, Martin (Mai 2016). White Paper Datenschutz-Folgenabschätzung: Ein Werkzeug für einen besseren Datenschutz. Aufgerufen, Mai 10, 2017 auf https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf
Sievers, Jacqueline & Vasella, David (15. April 2017). Datenschutz-Folgenabschätzung: Leitlinien der Artikel-29-Arbeitsgruppe (Entwurf) Blogeintrag aufgerufen 2017-05-10  http://datenrecht.ch/datenschutz-folgenabschaetzung-leitlinien-der-artikel-29-arbeitsgruppe/
Article 29 Data Protection Working Party. 17/EN WP 248 (Arbeitspapier 248 zur DSFA). Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 Aufgerufen am 2017-05-10 auf http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 (PDF Datei).
Die neue E-Privacy-Verordnung ist als Ergänzung zur bereits beschlossenen EU-Datenschutz-Grundverordnung (EU-DS-GVO). Sie soll idealerweise ebenfalls am 25 Mai 2018 in Kraft treten.
Doch dabei braucht es systematische Werkzeuge um die Sache richtig aufzugleisen.
Dies um so mehr da die Sanktionen für das EU-DS-GVO wie auch der e-Privacy Regelung ähnlich ausgestaltet sind. Sie beinhalten Geldbussen von bis zu 20 Mio. EUR oder 4% des gesamten weltweiten Jahresumsatzes eines Unternehmens.
[su_box title=“Tools für die Folgeabschätzung“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
Die französische Commission Nationale de l’Informatique et des Libertés ( CNIL) hat Arbeitshilfen für eine Datenschutz-Folgeabschätzung gemacht.

• 6 Schritt Methode zur Vorbereitung für die Datenschutz Grundverordnung (DSGV) mit Checklisten und Guides – Übersichtsseite März 2017  – Französisch
• Zusammenfassung dieser Werkzeuge auf Englisch hier = General Data Protection Regulation oder GDPR.

Das ganze ist gut erklärt aber geht nicht ohne viel Arbeit um regelkonform zu sein. Die Compliance Abteilung wird sich über die Mehrarbeit freuen.
[/su_box]

5. Was ist wertvoller? Gratis-Pizza oder die Privatspähre der Freunde?

Schwierig wenn schon Studenten bereit sind, die Privatsphäre ihrer Freunde zu verletzen:

• Zusammenfassung: Pizza over privacy? A paradox of the digital age.
• Athey, Susan, Catalini, Christian, & Tucker, Catherine, E. (June 2017). The digital privacy paradox: Small money, small costs, small talk. Stanford University: Working Paper No. 3498. Retrieved August 10, 2017 from https://www.gsb.stanford.edu/faculty-research/working-papers/digital-privacy-paradox-small-money-small-costs-small-talk

Wir halten unsere Privatsphäre für wichtig und geben auch immer an, dass wir willens sind diese zu verteidigen. Doch wir handeln so als wäre diese nicht viel wert. Die obige Studie zeigt, dass es Menschen oft wenig kümmert wie gut geschützt ihre persönlichen Daten sind, wenn sie durch deren Freigabe Vorteile erhalten.
Die Studie testete auch inwiefern die Studenten für Bitcoin eine sichere Verschlüsselung wählen um deren Daten besser zu schützen. Doch sie waren nicht bereit mehr Zeiteinbussen hinzunehmen, indem sie eine bessere Verschlüsselung wählten (siehe auch Metzler, Beat – 2017-08-17. Verraten für ein Stück Teig.Tabes-Anzeiger, Analyse & Debatte, S. 11 https://www.tagesanzeiger.ch/schweiz/standard/verraten-fuer-ein-stueck-teig/story/28941962.

5. Ihre Meinung? Diskutieren Sie mit

Quelle: 2018 EU Datenschutz: Kostenlose Pizza gefällig
Die obigen Ausführungen zeigen, dass auch bei der Personalrekrutierung und im Umgang mit Daten von Arbeitnehmern die neue EU Datenschutz Grundverordnung (EU DS-GVO or DSGVO) wie auch die ePrivacy-Verordnung neue Anforderungen an die Compliance stellen.
Wie Social Media Profile genutzt werden dürfen bei der Auswahl von Bewerbern ist stark limitiert, was nicht unbedingt den heutigen Realitäten entspricht. Ob sich der Ausschluss solcher Daten vom Bewerbungsprozess durchsetzen lässt erscheint mir fraglich.
Aber was uns natürlich brennend interessieren würde wäre Ihre Meinung:

• Wie managen Sie Datenschutz im Employer Branding?
• Wie haben Sie sich auf die neue Verordnung vorbereitet?
• Welche Checklisten und Tools nutzen Sie bei dieser Arbeit?

Ich freue mich auf Ihren Kommentar, den ich natürlich beantworten werde.

Lesenswert

• Direkt zum Richtlinientext 2016/680
• Direkt zum Text der Verordnung 2016/679

DOWNLOAD PDF Datei dieser Opinion der Article 29 Working Group – 850 KB

[embeddoc url=“http://blog.drkpi.de/wp-content/files/Artcile-29-Working-Party-WP-249-Opinion-2-2017-on-data-processing-at-work.pdf“ width=“100%“ height=“780px“ viewer=“google“]