2018 EU Datenschutz: Kostenlose Pizza gefällig?

In Kürze. Warum Datenschutz mehr wert ist als eine kostenloses Stück Teig.
Wie lösen wir das Problem, wenn Konsumenten willens sind die Privatsphäre für kostenlose Pizza zu verletzen.
Was sind die Herausforderungen für Employer Branding, Marketing und Recruiting mit der neuen DSGVO?

Der nachfolgende Beitrag aus unserer Reihe zum neuen Bundesdatenschutzgesetz zeigt auf, welche Dinge Marketing, Personalfachleute und Manager berücksichtigen müssen.

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten jeweils eine Reminder-Mail, sobald ein neues Thema zum EU Datenschutz, Marketing und Compliance veröffentlicht wird.

Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.

Fragen unten einfach anklicken und Sie können sogleich die Antwort lesen.

Hier ist eine kurze Zusammenfassung der Dinge welche sie wissen sollten.

Die Verordnung ist in der deutschen Fassung 88 Seiten lang und hat 173 Erwägungsgründe und 99 Artikel.

Die potenziellen Bußgelder bei zuwider handeln können bis zu 20 Millionen Euro beziehungsweise vier Prozent des globalen Jahresumsatzes des vorangegangenen Geschäftsjahrs ausmachen.

Am 10 Januar, 2017 wurde die finale Version der geplanten ePrivacy-Verordnung als offizieller Vorschlag der EU Kommission veröffentlicht. Die neue e-Privacy-Verordnung soll die Datenschutz-Grundverordnung (DSGVO) flankieren, die zum 25. Mai 2018 in Kraft tritt.

Als EU Verordnung ist die DS-GVO wie auch die ePrivacy-Verordnung in jedem EU-Mitgliedstaat grundsätzlich unmittelbar anwendbar. Weil sie allerdings zahlreiche Öffnungsklauseln hat, ermöglicht z.B. die DS-GVO dem nationalen Gesetzgeber gewisse Spielräume.

Deshalb ist damit zu rechnen, dass es auch noch eine Änderung der nationalen Gesetze geben wird.Die Datenschutz-Grundverordnung (DS-GVO) muss bis zum 5 Mai 2018 in die jeweilige nationale Gesetzgebung einfliessen. Das DS-GVO tritt dann am 25. Mai 2018 in Kraft.

1. Recruiting mit Social Media: DSGVO Verletzung möglich

In den letzten Jahren sind Social Media immer mehr Werkzeuge des täglichen Lebens geworden.

Für jede Art von Nutzer gibt es etwas wie Twitter oder Snapchat, Instagram oder Pinterest, LinkedIn oder Xing, usw. wir alle, mit wenigen Ausnahmen, nutzen eind oder sogar gleich mehrere dieser Plattformen.

Mit der neuen DSGVO werden hier einige Meinung von Datenschutzbeauftragten der EU Mitgliedstaaten fast ein wenig klammheimlich dazu genutzt, Regeln zu machen.

Article 29 Working Party, unter Letters, Opinions and other documents ==> Opinion 2/2017 on data processing at work – wp249 cpdf Datei

Die Article 29 Working Party had in Sachen DSGVO angegangen die Dinge auszulegen. RIESENPROBLEM: Social Media Profiles von Bewerbern und Nutzung bei der Arbeit. AUFGEPASST.
Die Article 29 Working Party had in Sachen DSGVO angegangen die Dinge auszulegen.
RIESENPROBLEM: Social Media Profiles von Bewerbern und Nutzung bei der Arbeit. AUFGEPASST.

Siehe ganz unten das zur Einsicht angefügte Dokument, S. 11 …

2. Recruiting mit Hilfe von Social Media, aber dann richtig

Doch heute findet man fast alle Jobs Online, d.h. in Social Networks wie z.B. Xing – Diskussiongruppe Markenstärke und Markenimage.

Stelle frei, Eintrag in Social Network Gruppe auf Xing
Stelle frei, Eintrag in Social Network Gruppe auf Xing

Angestellte verteilen Informationen über offene Stellen über ihre privaten Social Media Konten. Das ist heute „normal.“

Interessant ist ebenfalls, dass dies fast unweigerlich dazu führt, dass ein Bewerber über die offene Stelle über eines der Social Networks wie Xing, Facebook oder Instagram erfährt.

Oft nimmt man dann auch über das Netzwerk Kontakt mit der Person auf, welche die Information gepostet hat.

Der unten aufgezeigte Beschrieb der offenen Stelle führt auf, dass ein Bewerber eine Social Media Affinität mitbringen muss. Doch das neue Datenschutz Regularium legt fest (wie oben aufgezeigt und mit Gelb markiert):

Only if it is necessary for the job to review information about a candidate on social media, for example, in order to be able to assess specific risks regarding candidates for a specified function, and the candidates are correctly informed (for example, in the text of the job advert) the employer may have a legal basis under Article 7(f) to review publicly-available information about candidates.
(Nur wenn notwendig für die Arbeit, kann Information über einen Bewerber auf Social Media eingesehen werden, zum Beispiel, für Kandidaten welche sich für eine Funktion mit speziellen Risiken bewerben, und die Kandidaten wurden korrekterweise informiert (z.B. in der Stellenausschreibung), dann könnte der Arbeitgeber eine Rechtsgrundlage haben unter Artikel 7(f) um frei zugängliche Informationen über Kandidaten zu evaluieren)

Die Stellenbeschreibung unten zeigt, dass dies nicht genau erklärt wird. Das heisst Gruner & Jahr und deren Firmen müssen sich hier noch verbessern um DSGVO konforme Stellenbeschriebe über Social Networks zu verteilen.

Der Screenshot macht keinen Hinweis, dass man Social Media bei der Arbeit nutzen muss in Zusammenhang mit seiner Arbeit.

Doch das Image unten zeigt sehr schön, dass eine Affinität mit Social Media Pflicht ist – hier die Anzeige Online.

Gruner + Jahr AG & Co KG ist Europa's grösstes Druck- und Verlaugshaus. Was der Bewerber haben muss: Affinität zu Social Media - ist das gemäss DSGVO compliant?
Gruner + Jahr AG & Co KG ist Europa’s grösstes Druck- und Verlaugshaus. Was der Bewerber haben muss:
Affinität zu Social Media – ist das gemäss DSGVO compliant?

Die Teilung oder das Sharing von solchen Stellen ist populär aber stösst oft auf wenig Gegenliebe wie diese Kennzahlen zeigen. Von 3000 Mitgliedern in der Xing Gruppe sind kaum 5 Clicks von diesen gekommen. Resonanz, obwohl die Ausschreibung relevant ist für das Thema der Gruppe ist = 0.

Trotzdem ist klar, dass das Unternehmen auch die Social Media Profile der Bewerber zu Rate ziehen wird. Doch dies müsste laut den neuen Regeln im Stelleninserat offen gelegt werden.

3. Folgeabschätzung

Die Datenschutz-Folgeabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG).

Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Wie die Vorabkontrolle dient die Datenschutz-Folgeabschätzung der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Nach Abschnitt 3, Artikel 35 ist das Unternehmen verpflichtet eine Folgeabschätzung zu machen.

Gemäss Art 35 Absatz 1 muss der Auftraggeber bei Formen der Verarbeitung von Personendaten vorab eine Abschätzung der Folgen einer Datenanwendung für den Schutz personenbezogener Daten durchführen.

Dies gilt dann, wenn die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten haben, insbesondere bei Verwendung von Technologien.

4. Tools und Ressourcen

Friedewald, Michael; Obersteller, Hanna; Nebel, Maxi; Bieker, Felix & Rost, Martin (Mai 2016). White Paper Datenschutz-Folgenabschätzung: Ein Werkzeug für einen besseren Datenschutz. Aufgerufen, Mai 10, 2017 auf https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf

Sievers, Jacqueline & Vasella, David (15. April 2017). Datenschutz-Folgenabschätzung: Leitlinien der Artikel-29-Arbeitsgruppe (Entwurf) Blogeintrag aufgerufen 2017-05-10  http://datenrecht.ch/datenschutz-folgenabschaetzung-leitlinien-der-artikel-29-arbeitsgruppe/

Article 29 Data Protection Working Party. 17/EN WP 248 (Arbeitspapier 248 zur DSFA). Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 Aufgerufen am 2017-05-10 auf http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 (PDF Datei).

Die neue E-Privacy-Verordnung ist als Ergänzung zur bereits beschlossenen EU-Datenschutz-Grundverordnung (EU-DS-GVO). Sie soll idealerweise ebenfalls am 25 Mai 2018 in Kraft treten.

Doch dabei braucht es systematische Werkzeuge um die Sache richtig aufzugleisen.

Dies um so mehr da die Sanktionen für das EU-DS-GVO wie auch der e-Privacy Regelung ähnlich ausgestaltet sind. Sie beinhalten Geldbussen von bis zu 20 Mio. EUR oder 4% des gesamten weltweiten Jahresumsatzes eines Unternehmens.

Tools für die Folgeabschätzung

Die französische Commission Nationale de l’Informatique et des Libertés ( CNIL) hat Arbeitshilfen für eine Datenschutz-Folgeabschätzung gemacht.

Das ganze ist gut erklärt aber geht nicht ohne viel Arbeit um regelkonform zu sein. Die Compliance Abteilung wird sich über die Mehrarbeit freuen.

5. Was ist wertvoller? Gratis-Pizza oder die Privatspähre der Freunde?

Schwierig wenn schon Studenten bereit sind, die Privatsphäre ihrer Freunde zu verletzen:

Wir halten unsere Privatsphäre für wichtig und geben auch immer an, dass wir willens sind diese zu verteidigen. Doch wir handeln so als wäre diese nicht viel wert. Die obige Studie zeigt, dass es Menschen oft wenig kümmert wie gut geschützt ihre persönlichen Daten sind, wenn sie durch deren Freigabe Vorteile erhalten.

Die Studie testete auch inwiefern die Studenten für Bitcoin eine sichere Verschlüsselung wählen um deren Daten besser zu schützen. Doch sie waren nicht bereit mehr Zeiteinbussen hinzunehmen, indem sie eine bessere Verschlüsselung wählten (siehe auch Metzler, Beat – 2017-08-17. Verraten für ein Stück Teig.Tabes-Anzeiger, Analyse & Debatte, S. 11 https://www.tagesanzeiger.ch/schweiz/standard/verraten-fuer-ein-stueck-teig/story/28941962.

5. Ihre Meinung? Diskutieren Sie mit

Quelle: 2018 EU Datenschutz: Kostenlose Pizza gefällig

Die obigen Ausführungen zeigen, dass auch bei der Personalrekrutierung und im Umgang mit Daten von Arbeitnehmern die neue EU Datenschutz Grundverordnung (EU DS-GVO or DSGVO) wie auch die ePrivacy-Verordnung neue Anforderungen an die Compliance stellen.

Wie Social Media Profile genutzt werden dürfen bei der Auswahl von Bewerbern ist stark limitiert, was nicht unbedingt den heutigen Realitäten entspricht. Ob sich der Ausschluss solcher Daten vom Bewerbungsprozess durchsetzen lässt erscheint mir fraglich.

Aber was uns natürlich brennend interessieren würde wäre Ihre Meinung:

  • Wie managen Sie Datenschutz im Employer Branding?
  • Wie haben Sie sich auf die neue Verordnung vorbereitet?
  • Welche Checklisten und Tools nutzen Sie bei dieser Arbeit?

Ich freue mich auf Ihren Kommentar, den ich natürlich beantworten werde.

Lesenswert

DOWNLOAD PDF Datei dieser Opinion der Article 29 Working Group – 850 KB

Urs E. Gattiker - DrKPI@

Professor Urs E. Gattiker ist Europa's Experte für Social Media Analyse (seine Fachbücher). Urs ist CEO von CyTRAP Labs GmbH, Management Consultants mit der DrKPI@ Linie von Produkten für Smart Data Insights (Strategie, Marketing, Verkauf). Er ist Präsident vom Marketing Club Lago #MCLago, dem 4-Länder Club beim Deutschen Marketing Verband.

3 thoughts on “2018 EU Datenschutz: Kostenlose Pizza gefällig?

  • 22. August 2017 at 22:23
    Permalink

    Ups..
    das Rekrutieren wird in Zukunft also nicht einfacher.. wie man angesichts der breiten Verfügbarkeit von Social Media glauben möchte.

    Dann würde ich doch mal einen Kurs besuchen oder den HR-Menschen hin schicken, damit es alles richtig läuft.

    Denn wer es gerne richtig macht, erwartet das auch von anderen. Und das ist ja nun auch fair.. denn wir alle sind ja Menschen.
    herzlich

    Frank

    Reply
    • 23. August 2017 at 8:26
      Permalink

      Lieber Frank

      Herzlichen Dank für Dein Feedback.
      Du sprichst hier 2 Dinge an. Ich antworte Dir also mit zwei Kommentaren, macht das ganze einfacher

      TEIL 1 – RECRUITING UND SOCIAL MEDIA

      Wohl kaum wie du auch schreibst.
      Motivierte Mitarbeiter finden war noch nie einfach. Wenn dann noch unregelmässige Arbeitszeiten angeboten werden wie z.B. in Holland für Jobs im Einzelhandel, dann sind die Resultate nicht unbedingt gut.

      Das ist mir auch in Holland (The Netherlands) aufgefallen wo an vielen Orten motiviertes Teilzeitpersonal gesucht wird (siehe Foto unten). Dabei wird auf verschiedene Arten gesucht wie unten – im Schaufenster – aus Social Networks, usw.

      Enthusiastische Mitarbeiter wollen wir alle, doch sind diese dann auch motiviert und bieten Kunden Mehrwert dank sachkundigem Service? Oft eben NICHT.

      Leider sind jedoch die Resultate oft diese, dass die Läden Mitarbeiter einstellen, welche:

      – die Kunden kaum ansprechen und
      – selten dem Kunden gleich auch Hilfe anbieten (der Kunde sucht nach der fachkundigen Verkäuferin – manchmal ein Spiessruten laufen).

      Wenn ich dann diese Leute angehe um was zu Fragen – was ist das Material dieses Produktes – kann es passieren, dass diese noch weniger wissen als ich.
      Der Kunde sucht dann auf dem Internet beim Hersteller und findet vielleicht diese Information. Doch wenn ich die Arbeit selber machen muss, warum im Laden einkaufen und nicht gleich über das Internet?

      Enthusiastische Mitarbeiter suchen und finden ist wichtig. Doch sicherstellen, dass diese nach Einstellung auch motiviert bleiben und ihre Arbeit sehr gut machen, ist die nächste Herausforderung.

      Viele Läden bieten Ware feil.
      Doch der Service, Beratung und Kenntnisse über das Produkt (z.B. Materialien) der Mitarbeiter ist für den möglichen Kunden oft ernüchternd.
      Von Einkaufserlebnis kann man reden doch sollte dies gut sein und nicht frustrierdend.
      Herzlichst
      Urs

      Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

X