Man kann es nicht oft genug wiederholen: Bei jeder Datenerhebung brauchen Sie dazu konkret passende Datenschutzhinweise (auch „Datenschutzerklärung“ genannt. Die Begriffe unterscheiden sich, da es keine offizielle Begrifflichkeit für einen solchen Informationstext gibt).
Die Wiederholung ist meines Erachtens deshalb wichtig, weil in der Praxis viele Unternehmen nach wie vor lediglich auf ihre allgemeine Datenschutzerklärung ihrer Website verweisen. Aber diese informiert grundsätzlich nur über die Datenerhebung und Datenverarbeitung auf eben dieser Website. Andere Sachverhalte sind schlicht nicht erfasst, so dass der Text dafür auch keine taugliche Informationsgrundlage darstellen kann.
Ein Bereich der erfahrungsgemäß häufig „übersehen“ wird: Bewerber und Beschäftigte des eigenen Unternehmens.
Bewerbungsverfahren sind datenintensiv
Eine durchschnittliche Bewerbung weist eine Vielzahl personenbezogener Daten auf, teilweise kann es sich sogar um sensible personenbezogene Daten handeln, für welche ein erhöhtes Schutzniveau erforderlich ist.
Immer jedoch ist es erforderlich – auch bei Initiativbewerbungen – die Bewerberin bzw. den Bewerber über die mit dem Bewerbungsverfahren verbundene Datenverarbeitung zu informieren.
Dazu gehört bspw. auch der Einsatz von Recruiting-Plattformen, Softwareanwendungen o.ä., die für die Verwaltung, Bearbeitung und Entscheidung im Rahmen der Bewerbungen genutzt werden. Dabei sind auch die konkreten Dienstleister, die Zugriff auf solche Daten bekommen (könnten) konkret zu benennen.
Auch ist auf die Speicherdauer der Daten hinzuweisen. Dabei wird oft übersehen, dass eine Berechtigung, die Daten weiterverarbeiten zu dürfen nach Ende des konkreten Bewerbungslaufs nur dann besteht, wenn eine entsprechende Einwilligung dafür eingeholt wurde.
Auch Beschäftigte haben Rechte
Wenn es sie überhaupt gibt, wird in der Praxis ein Text erfahrungsgemäß stiefmütterlich behandelt: Die Datenschutzerklärung für die eigenen Beschäftigten. Das kann sich aber als fatal herausstellen. Denn ehemalige Mitarbeiter sind nicht selten Auslöser datenschutzrechtlicher Prüfungen der Datenschutzbehörden, indem sie sich per Beschwerde über den ehemaligen Arbeitgeber an die Behörden wenden.
Daher ist es sowohl erforderlich einen vollständigen Text zur Information der Beschäftigten zu haben, als auch diesen im Onboarding-Prozess neuen Mitarbeitern jeweils standardmäßig zur Kenntnis zu geben.
Darüber hinaus ist der Text auch regelmäßig auf Aktualität zu prüfen. Gerade hier nämlich ändern sich die Rahmenbedingungen der Datenverarbeitung relativ häufig. Das kann bereits dann der Fall sein, wenn ein neues Tool zur Nutzung für die Beschäftigten eingeführt wird, welches deren personenbezogenen Daten, bspw. über einen anzulegenden Account, verarbeitet.
Fazit
Grundsätzlich gilt für alle Datenschutzerklärungen: Evaluieren Sie im Unternehmen alle Datenerhebungen. Sie werden feststellen, dass es mehr gibt, als Sie angenommen haben. Im nächsten Schritt schauen Sie, ob es für die konkrete Datenerhebung und Datenverarbeitung bereits einen vollständigen und aktuellen Informationstext, also eine passende Datenschutzerklärung gibt. Ist das nicht der Fall, sollten Sie uns schnellstens kontaktieren.
Ist das der Fall, dann vergessen Sie nicht zu prüfen, ob der Text auch zum richtigen Zeitpunkt und korrekt zur Kenntnis gegeben wird und, ob es einen definierten Prozess dafür gibt, der sicherstellt, dass alle Beschäftigten sich daran halten.
Was Bewerber und Beschäftigte betrifft: Schauen Sie zusätzlich, ob alle genutzten Tools und Dienstleister genannt und beschrieben werden, ob die Software, insbesondre soweit sie in der Cloud genutzt wird, genannt und beschrieben wird und, ob Sie einen Prozess haben, der sicherstellt, dass jemand regelmäßig diese Texte auf Aktualität prüft.
