Rogätzer Straße 8, 39106 Magdeburg
0391 55 68 63 20
0391 55 68 63 27

News

Unterlassungsanspruch gegen unzulässige Überwachungsmaßnahme

Das ArbG Heilbronn hat in dem Urteil vom 30.01.2019 (2 Ca 360/18) entschieden, dass die Speicherung und Nutzung der von in das Dienstfahrzeug eines Mitarbeiters eingebauten Telematik-Box (Überwachung des Fahrverhalten) erfassbaren und speicherbaren Daten einen erheblichen Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellt, sofern die Verarbeitung nicht erforderlich ist für die Zwecke des Beschäftigungsverhältnisses. Das ArbG Heilbronn hat ein Ordnungsgeld in Höhe von 250.000,00 € oder Ordnungshaft bis zur Dauer von sechs Monaten – zu vollziehen am Geschäftsführer – angedroht, sofern der Arbeitgeber die Erfassung und Speicherung dieser Daten nicht unterlässt.

Im Rahmen des Beschäftigungsverhältnisses ist eine Verarbeitung personenbezogener Daten durch den Arbeitgeber ohne Einwilligung nur durch § 26 Abs. 1 Satz 1 BDSG gerechtfertigt:

„Personenbezogene Daten von Beschäftigten dürfen nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“

Im Regelfall ist die dauerhafte Überwachung des Arbeitnehmers aber nicht notwendig. Selbst wenn eine GPS-Ortung im Falle eines Diebstahls behilflich sein kann, bedarf es der Ortung und Datenerfassung nicht in Bezug auf die Fahrweise und Nutzung des Fahrzeuges.

Unter Telematik (zusammengesetzt aus Telekommunikation und Informatik) versteht man eine Technik, die die Bereiche Telekommunikation und Informatik verknüpft. Mittlerweile setzen viele Versicherungen auf diese Technik: Hier wird die sog. Telematik-Box fest im Fahrzeug installiert und übermittelt Daten über das Fahr- und Bremsverhalten automatisch. Versicherungen können so das Fahrverhalten analysieren und ermitteln dadurch einen individuellen Rabatt in der Kfz-Versicherung. Der Vorteil liegt darin, dass sich ein sicheres Fahrverhalten direkt auswirkt und nicht erst nach Jahren in Form einer Schadenfreiheitsklasse.

Sofern Sie an einem GPS-Tracking Ihrer Fahrzeugflotte überlegen, müssen Sie im Regelfall eine Einwilligung einholen. Dabei müssen Sie folgende Dinge beachten: Eine permanente und allgemeine Verhaltens- oder Leistungskontrolle ist aus datenschutz- sowie arbeitsrechtlichen Gründen unzulässig. Zulässig sind lediglich Stichproben sowie durch einen begründeten Verdacht veranlasste Kontrollen. Daneben müssen Sie die Löschung erhobener GPS-Daten nach einer gewissen Zeit (etwa 4 Wochen) gewährleisten. Bei der Erstellung einer entsprechenden Einwilligungserklärung sind wir Ihnen gerne behilflich.

Meldepflicht bei Datenpannen

Ihr Mitarbeiter hat versehentlich eine E-Mail an den falschen Empfänger gesendet? Ein Laptop oder USB-Stick geht verloren? Hacker greifen Ihr Unternehmen an? Diese Szenarien sind nicht selten und werfen beim Verantwortlichen viele Fragen auf. Ist das eine Datenpanne? Wen muss ich benachrichtigen? Wie ist die Meldung zu gestalten?

Was sind Datenpannen?

Datenpannen sind Unregelmäßigkeiten in der Verarbeitung von personenbezogenen Daten, die zu einem Risiko der Betroffenen führen, beispielsweise:

  • versehentliche Veröffentlichung von personenbezogenen Daten
  • Hackerangriff auf eine Datenbank
  • Verlust eines Laptops, USB-Sticks oder Smartphones

Wann und wem muss ich eine Datenpanne melden?

Eine Datenpanne ist nur dann meldepflichtig, wenn sie zu einem Risiko für den Betroffenen führt. Bei einem einfachen Risiko muss eine Meldung lediglich an die nach dem jeweiligen Bundesland zuständige Aufsichtsbehörde erfolgen. Sofern das Risiko bei der Datenpanne für den Betroffenen hoch ist, muss auch der Betroffene informiert werden.

Übrigens: Sofern die Risiken unmittelbar durch geeignete Maßnahmen abgewendet werden können, muss keine Meldung erfolgen! Geeignete Maßnahmen können dabei sein:

  • Sofortige Kontaktaufnahme mit dem falschen Empfänger und Einholen einer Löschbestätigung
  • Erfolgreiche Fernlöschung eines abhandengekommenen Smartphones

Ob eine Meldepflicht besteht, hängt also immer von den konkreten Umständen der jeweiligen Situation ab. Deswegen müssen Datenpannen immer dokumentiert werden. Auf Wunsch stellen wir Ihnen ein entsprechendes Muster zur Verfügung.

Wichtig: Bei Datenpannen müssen Sie umgehend handeln. Gem. Art. 33 Abs. 1 DSGVO muss die Datenpanne unverzüglich (ohne schuldhaftes Zögern) und binnen 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. Auch dem Betroffenen müssen Sie die Datenpanne unverzüglich melden.

Wie muss eine Meldung aussehen?

Die DSGVO schreibt nicht vor, in welcher Form die Meldung erfolgen muss. Einige Bundesländer bieten sogar ein Onlineformular für die Meldung an. Der Inhalt der Meldung ist gesetzlich geregelt und unterscheidet sich zwischen Meldung an die Aufsichtsbehörde und Meldung an den Betroffenen:

Meldung an die Aufsichtsbehörde (kann je nach Bundesland auch online erfolgen):

  • Art der Datenpanne (Diebstahl, Datenverlust etc.)
  • Kategorie und ungefähre Anzahl der betroffenen Personen (20 Mitarbeiter, 50 Kunden etc.)
  • Kategorie und ungefähre Anzahl der personenbezogenen Daten (Kontaktdaten, Bankdaten etc.)
  • ggf. Name und Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen Folgen der Datenpanne
  • Beschreibung der ergriffenen oder geplanten Schutzmaßnahmen

Meldung an den Betroffenen (in klarer und einfacher Sprache):

  • ggf. Name und Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen Folgen der Datenpanne
  • Beschreibung der ergriffenen oder geplanten Schutzmaßnahmen

Drohen Strafen bei nicht gemeldeten Datenpannen?

Bei nicht gemeldeten Datenpanne drohen Bußgelder in Höhe von bis zu 10 Mio. € bzw. bis zu 2 % des weltweiten Umsatzes des vorherigen Geschäftsjahrs.

Konzept zum Umgang mit Datenpannen

Da die Meldefrist bei einer Datenpanne sehr kurz ist, die Strafen bei nicht erfolgter Meldung jedoch sehr hoch sein können, empfehlen wir Ihnen, im Unternehmen einen Ablaufplan bzw. eine Arbeitsanweisung für Mitarbeiter zu implementieren. Dabei sind wir Ihnen mit unserem vorgefertigten Konzept gerne behilflich.

Hinweis für Unternehmen mit Betriebsrat: Laut Beschluss des LAG Kiel vom 06.08.2019 unterliegen auch Arbeitsanweisungen an die Arbeitnehmer, im Falle einer Datenpanne einen bestimmten Meldeweg zur Feststellung und Behebung der Datenpanne einzuhalten, der Mitbestimmung des Betriebsrats. Wir empfehlen Ihnen daher, eine entsprechende Betriebsvereinbarung mit dem Betriebsrat zu beschließen.

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

Ein langer Disput zwischen Auftraggebern und Steuerberatern bzw. Steuerberatern und den Aufsichtsbehörden ist nun beendet: Ist ein Steuerberater Auftragsverarbeiter, wenn er für seine Mandanten die Lohnbuchhaltung übernimmt?

Während viele Aufsichtsbehörden von einer Auftragsverarbeitung ausgingen, sahen sich die Steuerberater hingegen als weisungsfrei und damit eben nicht als Auftragsverarbeiter. In der Praxis hat der Konflikt zu nicht unerheblichen Problemen geführt. Dies ging sogar so weit, dass eine Aufsichtsbehörde einem Unternehmen dazu riet, den Steuerberater zu wechseln, da sich dieser weigerte, einen Auftragsverarbeitungsvertrag abzuschließen.

Die unklare Rechtslage wurde nun durch eine Änderung des Steuerberatungsgesetzes beseitigt. Der neu gefasste § 11 StBerG stellt ausdrücklich klar, dass Steuerberater bei der Verarbeitung der personenbezogenen Daten ihrer Mandanten selbst Verantwortliche i.S.d. DSGVO sind. Somit ist ausgeschlossen, dass es sich bei Steuerberatern um Auftragsverarbeiter handelt, auch dann nicht, wenn diese nur die Lohnbuchhaltung übernehmen.

Übrigens: Lohnbüros sind weiterhin Auftragsverarbeiter. Sollten Sie also ein Lohnbüro mit der Lohnbuchhaltung beauftragt haben, müssen Sie mit diesen einen Auftragsverarbeitungsvertag abschließen, andernfalls drohen Bußgelder. Gerne stellen wir Ihnen hierzu ein Muster zur Verfügung.

Die beliebtesten Passwörter der Deutschen

Es sind nicht nur die beliebtesten, sondern auch die unsichersten: Das Hasso-Plattner-Institut hat vorgestern eine Liste der beliebtesten Passwörter in Deutschland herausgegeben. Die Daten stammen aus dem HPI Identity Leak Checker, dem Online-Sicherheitscheck des Hasso-Plattner-Instituts. Datengrundlage sind 67 Millionen Zugangsdaten, die 2019 geleakt, also veröffentlicht wurden.

Top 5 der beliebtesten Passwörter:

  1. 123456
  2. 123456789
  3. 12345678
  4. 1234567
  5. password

Viele Internetnutzer verwalten bereits eine Vielzahl an Online-Konten, bei denen sie dasselbe Passwort verwenden. Schließlich ist es lästig, sich für jeden Dienst ein anderes Passwort zu merken. Im Ernstfall haben Kriminelle jedoch ein leichtes Spiel, so Zugriff auf gleich mehrere Konten zu erlangen.

Unser Tipp für ein sicheres Passwort:

  • mindestens 8 Zeichen lang
  • aus Groß- und Kleinbuchstaben bestehen
  • Ziffern enthalten
  • Sonderzeichen (!“§$%&/()=?`) enthalten
  • darf keinen persönlichen Bezug besitzen (wie Namen, Geburtstag, usw.)
  • darf kein Wort sein, das in identischer Schreibweise in Wörterbüchern vorkommt
  • keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten

Jedes Zeichen mehr steigert die Sicherheit Ihres Passworts und somit die Sicherheit Ihres Kontos exponentiell!

Damit Sie sich die Vielzahl der Passwörter merken können, empfehlen wir, Ihre Passwörter nach einer gewissen Passwortstrategie zu erstellen, z.B. „Name des Dienstes + Lieblingstier + Lieblingszahl + Sonderzeichen“. Daneben können Sie Ihre Passwörter auch mit einem Passwortmanager verwalten, der Ihre Passwörter verschlüsselt speichert.

Eine weitere Methode ist die Verwendung einer „DsiN-Passwortkarte“ von DATEV.

ePrivacy-Verordnung vorerst gescheitert

Nachdem in den letzten Wochen wieder Bewegung in Sachen ePrivacy-Verordnung gekommen ist, konnten sich die Mitgliedstaaten nun doch nicht auf eine gemeinsame Verhandlungsposition einigen.

Letzte Woche wurde dann bekannt, dass die ePrivacy-Verordnung in der derzeitigen Entwurfsfassung endgültig gescheitert ist. Wie bekannt wurde, wird die EU-Kommission im Rahmen der bevorstehenden kroatischen EU-Präsidentschaft von vorne anfangen und einen überarbeiteten Vorschlag vorlegen.

Einige Länder forderten die Kommission sogar auf, darüber nachzudenken, ob die ePrivacy-Verordnung überhaupt noch notwendig sei. Luxemburg hingegen beklagte, dass die EU-Kommission nur Lippenbekenntnisse zum besseren Schutz der Privatsphäre ihrer Bürger abgegeben und letztlich somit mehrere Jahre Zeit verschwendet hat.

Ziel der Verordnung ist es unter anderem, Datensammlungen im Internet über Cookies zu beschränken und Datenschutzregeln, die für klassische Telefonanbieter schon gelten, auf Internetdienste wie Skype, WhatsApp und Facebook auszuweiten. Die ePrivacy-Verordnung ist als Ergänzung der DSGVO gedacht, da sie diese durch speziellere Regelungen bezüglich elektronischer Kommunikationsdaten ergänzt und präzisiert, und soll die ePrivacy-Richtlinie von 2002 ersetzen. Ursprünglich sollte die ePrivacy-Verordnung zusammen mit der DSGVO in Kraft treten.

Da Kroatien die EU-Ratspräsidentschaft im Januar 2020 übernimmt, ist mit einem neuen Vorschlag somit frühestens Anfang 2020 zu rechnen, das Gesetzgebungsverfahren dürfte dann wieder jahrelang dauern. Bis dahin sind vor allem die Vorgaben aus der DSGVO entscheidend, die im Bereich der elektronischen Kommunikation aber lückenhaft sind.

OVG-Beschluss: GESCHWINDIGKEITSKONTROLLE mittels „SECTION CONTROL“ bleibt vorläufig verboten

Das niedersächsische Oberverwaltungsgericht (OVG) hat das vorläufige Aus für das bundesweit erste Streckenradar bestätigt. Die gegen den Beschluss des Verwaltungsgerichts Hannover eingelegte Beschwerde der Polizeidirektion Hannover wurde durch den 12. Senat zurückgewiesen.

Hintergrund ist ein Antrag auf Erlass einer einstweiligen Verfügung sowie einer Klage, mit denen der Antragsteller und Kläger die Unterlassung der Geschwindigkeitskontrolle mittels Section Control begehrte. Section Control ist eine Geschwindigkeitskontrolle, bei der die Kennzeichen der Fahrzeuge an zwei Kontrollpunkten erfasst werden und so die Durchschnittsgeschwindigkeit ermittelt wird.

Bei diesem Verfahren werden die Kennzeichen unabhängig der Geschwindigkeit erfasst.

Das Verwaltungsgericht Hannover führt in seiner Begründung aus, dass mit der Erfassung in das verfassungsrechtlich garantierte informationelle Selbstbestimmungsrecht eingegriffen werde. Für einen solchen Eingriff bedarf es stets einer gesetzlichen Grundlage, die jedoch sowohl im sog. Treffer- als auch im sog. Nichttrefferfall fehle.

Zwar befand sich Section Control zu dem Zeitpunkt noch im Probebetrieb, dies ändere laut Verwaltungsgericht Hannover nichts daran, dass der Antragsteller und Kläger einen Eingriff in seine Rechte nicht hinnehmen müsse.

Ausschlaggebend für die Zurückweisung der Beschwerde der Polizeidirektion Hannover gegen diesen Beschluss war, dass diese sich nicht hinreichend mit den tragenden Gründen des verwaltungsgerichtlichen Beschlusses auseinandergesetzt habe. Insbesondere konnte sie nicht darlegen, wieso der Antragsteller und Kläger eine Verletzung seiner Grundrechte im öffentlichen Interesse hinnehmen müsse.

Zwar ist gegen die Entscheidung des OVG kein Rechtsmittel gegeben, jedoch kann die unterlegende Beteiligte bei Änderung der Rechtslage eine erneute gerichtliche Überprüfung beantragen. Im Niedersächsischen Landtag wurde bereits ein entsprechender Gesetzentwurf zur Änderung des Niedersächsischen für Sicherheit und Ordnung eingebracht. Ob eine solche Rechtsgrundlage der Gesetzgebungskompetenz des Landes Niedersachsen obliegt, oder der Bundesgesetzgeber tätig werden muss, ist derzeit nicht geklärt.

Von daher bleibt abzuwarten, ob bzw. wann Section Control in Zukunft  überhaupt eingeführt wird.

NUTZUNG von MESSENGER-DIENSTEN

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat kürzlich den 27. Tätigkeitsbericht veröffentlicht und nimmt darin zur Nutzung von Messenger-Diensten Stellung.

Die Messenger-Dienste sind für die Telekommunikation besonders beliebt, da eine Kommunikation nicht nur mobil, sondern auch immer schneller von statten gehen. Weit verbreitet ist der Messenger-Dienst WhatsApp, der in den letzten Jahren jedoch häufig kritisiert wird. Besonders geht es dabei um den potenziellen Datenaustausch zwischen WhatsApp und Facebook, aber auch um die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Kritisch zu betrachten ist, dass das Unternehmen alle Kontaktdaten eines Nutzers verarbeiten kann, die auf dessen Mobiltelefon gespeichert sind und zwar unabhängig davon, ob der jeweilige Kontakt WhatsApp überhaupt nutzt. Zu WhatsApp liegen dem Bundesbeauftragten für Datenschutz und Informationsfreiheit unzählige Beschwerden und Anfragen vor. Dabei geht es einerseits ganz allgemein um die Datenschutzbestimmungen des Dienstes, andererseits aber auch um nicht bzw. nicht ausreichend beantwortete Auskunftsersuchen und um die Frage, wie Widerspruch gegen eine Datenweitergabe eingelegt werden kann. Aber welcher Messenger-Dienst ist eine gute Alternative? Diese Frage erreichte den Bundesbeauftragten für Datenschutz und Informationsfreiheit in den letzten Monaten unzählige Male. Das Angebot von Messenger-Diensten ist groß. Für welchen Dienst soll man sich nun entscheiden? Welchen Dienst setzt das eigene soziale Umfeld ein? Welcher Dienst ist sicher und datenschutzgerecht oder welcher nicht? Welcher Dienst läuft auf meinen Endgeräten (Smartphone, Tablet oder Laptop und PC)? Zu den gängigsten Alternativen Hoccer, Line, Signal, SIMSme, Skype, Telegram, Threema, Viber und Wire. Die Entscheidung für oder gegen einen Messenger-Dienst kann aber letzten Endes nur jeder selbst – bzw. im beruflichen Umfeld der Arbeitgeber – treffen. Denn es hängt schließlich immer auch vom individuellen Nutzungszweck und den daraus resultierenden Anforderungen an Vertraulichkeit, Verschlüsselung, Datensicherheit, Löschfristen etc. ab, welcher Messenger-Dienst den Anforderungen am ehesten entspricht. Und leider gilt auch hier: Solange die E-Privacy‑Verordnung nicht verabschiedet ist, sind viele Rechtsfragen der vertraulichen elektronischen Kommunikation noch nicht abschließend geklärt.

HINWEIS ZUM BETRIEBSRAT

Der Betriebsrat kann gemäß § 80 Abs. 2 S. 2 BetrVG durch den Betriebsausschuss oder einen nach § 28 BetrVG gebildeten Ausschuss Einsicht in die Listen über die Bruttolöhne und -gehälter nehmen. Das Landesarbeitsgericht Niedersachsen musste sich nunmehr mit der Frage auseinandersetzen, ob es ausreiche, dem Betriebsrat anonymisierte Lohnlisten vorzulegen. Der Arbeitgeber vertrat die Auffassung, dass das Gebot der Datensparsamkeit und die Persönlichkeitsrechte der betroffenen Arbeitnehmer beachtet werden müssen. Eine Offenlegung der Klarnamen müsse erst erfolgen, wenn der Betriebsrat bei Durchsicht der anonymisierten Daten Unregelmäßigkeiten erkenne und in Bezug auf diese Daten die Nennung der dahinterstehenden Arbeitnehmer verlange. Diese Auffassung wurde durch das Landesarbeitsgericht in seinem Beschluss vom 22.10.2018 – 12 TaBV 23/18 abgelehnt. Der Betriebsrat hat ein entsprechendes Einsichtsrecht. Datenschutzrechtliche Erwägungen stehen nicht entgegen. Eine Rechtmäßigkeit der Datenverarbeitung folge hier aus Art. 6 Abs. 1 lit. c DSGVO, da die Einsichtnahme in die Bruttolohn- und Gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat diene. Es bedürfe auch keine Entscheidung, ob das informationelle Selbstbestimmungsrecht der Arbeitnehmer dem Einsichtsrecht des Betriebsrates entgegenstehe. Der Arbeitgeber ist zumindest nicht befugt, sich gegenüber dem Anspruch des Betriebsrates auf Grundrechte von Arbeitnehmern zu berufen.

Gegen diese Entscheidung wurde Rechtsbeschwerde eingelegt. D. h. letztlich wird das Bundesarbeitsgericht diese Frage zu entscheiden haben. Bis zu diesem Zeitpunkt ist davon auszugehen, dass die Einsichtnahme in die Bruttolohnlisten ebenso wie gemäß § 80 BetrVG gerechtfertigte Informationsansprüche des Betriebsrates nicht an datenschutzrechtlichen Erwägungen scheitern werden.

Sollten sich hieraus Nachfragen ergeben, so stehen wir Ihnen selbstverständlich gern zur Verfügung.

WICHTIGER HINWEIS ZUM BEWERBUNGSVERFAHREN

Das Bayerische Landesamt für Datenschutzaufsicht untersucht gegenwärtig die Verarbeitung von personenbezogenen Daten in Bewerbungsverfahren. Schwerpunkt ist dabei die korrekte Umsetzung von Informationspflichten gegenüber Bewerbern, wodurch jeder Bewerber letztendlich auch erfahren soll, wie mit seinen Daten umgegangen wird.

Daher möchten wir Ihnen nachfolgend einige Hinweise zum Umgang mit Bewerberdaten und der Ausgestaltung von Bewerbungsverfahren geben.

  1. Personenbezogene Daten dürfen gemäß § 26 Abs. 1 BDSG verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Gemäß § 26 Abs. 8 BDSG gelten Bewerber für ein Beschäftigungsverhältnis als Beschäftigte. D. h. sie dürfen Daten verarbeiten, wenn dies für die Begründung eines Beschäftigungsfeldes es erforderlich ist. Gleichzeitig gelten aber auch die datenschutzrechtlichen Vorschriften in diesem Kontext.
  2. Art. 13 DSGVO sieht Informationspflichten im Zusammenhang mit der Erhebung von personenbezogenen Daten vor. Diese müssen zum Zeitpunkt der Erhebung der Daten erfüllt werden. Dies kann sich im Bewerbungsverfahren als schwierig darstellen.

Bei einer Stellenausschreibung auf einer Homepage sollten entsprechende Informationen über die Verarbeitung der Bewerberdaten bereits aufgenommen werden. Insbesondere bei Bewerbungsverfahren über Kontaktformulare sollte erwogen werden, auch die Zustimmung zur Datenverarbeitung einzuholen. Ob man auch eine Stellenanzeige in einer Zeitung oder im Internet mit umfangreichen Ausführungen belasten will oder ob über einen Link auf entsprechende Datenschutzhinweise verwiesen werden soll, müsste diskutiert werden.

Im Falle von Initiativbewerbungen sollte erwogen werden, unmittelbar nach Eingang der entsprechenden Bewerbung ein Formular mit entsprechenden Informationen und die Aufforderung zur Abgabe einer Einwilligung an den Bewerber zu übersenden. Gleichzeitig sollte darauf hingewiesen werden, dass ansonsten die Bewerbung nicht bearbeitet werden kann.

  1. Das Internet bietet vielfältige Möglichkeiten, sich über Bewerber zu informieren. Ganz allgemein wird es als zulässig angesehen, wenn mittels allgemein zugänglicher Quellen im Internet über Bewerber recherchiert wird. Auch der Zugriff auf Datenbanken wie Xing oder LinkedIn, die einen entsprechenden beruflichen Bezug haben, wird im Bewerbungskontext als zulässig angesehen. Ausgeschlossen sind aber Recherchen in privaten Datenbanken wie Facebook oder Instagram.
  2. Die Einholung von Auskünften bei vorherigen Arbeitgebern ist nur dann zulässig, wenn die Arbeitnehmer hierin eingewilligt haben. Dies kann z.B. dergestalt erfolgen, dass ein ehemaliger Arbeitgeber als Referenz angegeben wird. Allein die Benennung eines ehemaligen Arbeitgebers im Lebenslauf ist hierfür allerdings nicht ausreichend. Gleichzeitig ist es für einen ehemaligen Arbeitgeber unzulässig und stellt einen Datenschutzverstoß dar, sofern er auf Nachfrage Auskunft über einen Arbeitnehmer erteilt, wenn hieran keine Einwilligung vorliegt. D. h. ehemalige Arbeitgeber sollten sich im Zweifel bei dem Arbeitnehmer zunächst vergewissern, ob sie tatsächlich als Referenz benannt worden sind.
  3. Aufmerksamkeit sollte man unseres Erachtens auf dem Umgang mit Bewerberdaten im Betrieb schenken. Ob es erforderlich ist, sämtliche Daten des Bewerbers z.B. auch Adresse, Geburtsdatum etc. allen beteiligten Personen zugänglich zu machen, erscheint fraglich. Vielmehr sollte man erwägen, dass nur die für die Auswahlentscheidung erforderlichen Daten denjenigen Personen zugänglich gemacht werden, die in das Bewerbungsverfahren eingebunden sind. Weitere Daten sollten im Personalbereich getrennt aufbewahrt werden.
  4. Im Rahmen von Bewerbungsgesprächen dürfen nur solche Daten erhoben werden, die für die Entscheidung über die Stellenbesetzung erforderlich sind. Hier wird man sich insbesondere auch an denjenigen Grundsätzen orientieren, die im Arbeitsrecht für die Beurteilung der Zulässigkeit von Fragen gelten. So werden Fragen nach dem Gesundheitszustand, einer Schwangerschaft, einer Schwerbehinderung, der sexuellen Orientierung oder auch der politischen Einstellung nur im Ausnahmefall erforderlich sein. Die Erhebung dieser Daten wäre im Regelfall unzulässig. Zudem kann sie ein Indiz dafür sein, dass der Arbeitgeber bei seiner Auswahlentscheidung gegen das Allgemeine Gleichbehandlungsgesetz verstößt. Dies kann mögliche Schadensersatzansprüche von Arbeitnehmern nach sich ziehen.
  5. Nach Beendigung des Auswahlverfahrens sind die Bewerberdaten zu löschen, wenn sie nicht mehr benötigt werden. Eine Notwendigkeit, Bewerberdaten noch vorzuhalten, kann sich zum ergeben, solange mögliche Bewerber noch Ansprüche nach dem allgemeinen Gleichbehandlungsgesetz geltend machen können. Wenn derartige Ansprüche geltend gemacht werden, kann sich auf die Notwendigkeit des Verhaltens dieser Daten für einen längeren Zeitraum (Dauer des Rechtsstreits) ergeben, da der Arbeitgeber nur so umfangreich zu dem Bewerbungsverfahren vortragen kann. Dies gilt auch dann, wenn eine dritte Partei entsprechende Ansprüche geltend macht. Sollte ein solcher Fall nicht, so dürfte eine Aufbewahrung der Daten über einen Zeitraum von mehr als 6 Monaten im Regelfall nicht erforderlich sein.

Sofern Arbeitgeber für zukünftige Bewerbungsverfahren noch auf entsprechende Daten zurückgreifen möchten, bedarf dies einer ausdrücklichen Einwilligung. Diese sollte nach Beendigung des Bewerbungsverfahrens eingeholt werden.