Bachelorarbeit, 2019
98 Seiten, Note: 2,3
IV Abbildungsverzeichnis
V Tabellenverzeichnis
VI Stichwortverzeichnis
1 Einleitung
1.1 Problemstellung
1.2 Forschungsfragen und Ziel der Arbeit
1.3 Aufbau der Arbeit
Theoretischer Teil
2 Begriffsbestimmungen
2.1 Daten im juristischen Sinn
2.1.1 Personenbezogene Daten
2.2 Verarbeitung
2.3 Verantwortlicher
2.4 Auftragsverarbeiter
3 Rechtliche Grundlage in der Europäischen Union (EU)
3.1 EG-Datenschutzrichtlinie 95/46/EG
3.2 Datenschutzgrundverordnung 2016/679/EU (DSGVO)
3.3 Bundesdatenschutzgesetz-neu (BDSG-neu)
4 herausforderungen unter Anwendung der EG-Datenschutzrichtlinie
4.1 Behinderung des grenzüberschreitenden Datenverkehrs
4.2 Hoher Verwaltungsaufwand für internationalE tätigKeit
4.3 Chancenungleichheiten auf dem EU-Binnenmarkt
4.4 Schlechte Wettbewerbsbedingungen durch Lock-In-Effekt
4.5 Vertrauensverlust in OnlineDatenschutz
5 Ziele der Datenschutzreform
5.1 EU-weite harmonisierung des Datenschutzrechts
5.2 Rechtssicherheit für Unternehmen
5.3 Wettbewerbsgleichheit auf dem EU-Binnenmarkt
5.4 Stärkung des Wettbewerbs und des Marktzutritts neuer Unternehmen
5.5 Förderung neuer Geschäftsmodelle
6 Das Instrumentarium der DSGVO
6.1 Neuer Rechtsakt
6.2 One Stop Shop-Prinzip
6.3 Marktortprinzip
6.4 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
6.5 Recht auf Vergessenwerden
6.6 Privacy by design/ Privacy by default
Empirischer Teil
7 Forschungsdesign
7.1 Qualitative Forschungsmethode
7.2 Kriterien der qualitativem Sozialforschung
7.3 Datenerhebung und Struktur des Verfahrens
7.4 Bewertungsmethode
7.5 Qualitative Inhaltsanalysen und Kategorienbildung
8 Ergebnisse und Diskussion
8.1 Ergebnisse
8.1.1 Herausforderungen vor der Datenschutzreform
8.1.2 Verhandlungsprozess zur Datenschutzreform
8.1.3 Zielkonformität mit der Datenschutzreform
8.1.4 Nutzung des Instrumentariums der DSGVO
8.1.5 Veränderungen durch die DSGVO
8.1.6 Allgemeine Wahrnehmung
8.2 Diskussion
8.3 Limitationen
9 Fazit
Quellenverzeichnis
Anhang
Inhaltsverzeichnis zum Anhang
Abbildung 1: Verabschiedung der EU-Datenschutz-Grundverordnung im Zeitverlauf
Abbildung 2: Prozess der qualitativen Inhaltsanalyse
Tabelle 1: Klassifikation nach Standardisierungsgrad
Tabelle 2: Liste der Interviewpartner
Tabelle 3: Analysekategorien
Tabelle 4: Kategoriensystem
Tabelle 5: Hauptkategorie 1 mit Anzahl der Nennungen
Tabelle 6: Hauptkategorie 2 mit Anzahl der Nennungen
Tabelle 7: Hauptkategorie 3 mit Anzahl der Nennungen
Tabelle 8: Hauptkategorie 4 mit Anzahl der Nennungen
Tabelle 9: Hauptkategorie 5 mit Anzahl der Nennungen
Tabelle 10: Hauptkategorie 6 mit Anzahl der Nennungen
Abbildung in dieser Leseprobe nicht enthalten
Die Personalberatungsbranche lebt davon, große Mengen personenbezogener Daten zu sammeln, zu analysieren und an ihre Kunden weiterzugeben. Gesammelte Daten können beispielsweise Bewerberdaten, Daten aus Bewerberportalen, Kontaktformularen, E-Mails oder Chats sein. Außerdem systemseitig generierte Daten wie Log-File Informationen oder Cookies. Personenbezogene Daten unterliegen strengen juristischen Vorgaben. Diese Vorgaben beeinflussen die Arbeit der Personalberatung erheblich, denn sie setzen den Rechtsrahmen für den Umgang mit personenbezogenen Daten.
Die Datenschutzgrundverordnung (DSGVO) trat im Mai 2016, mit einer zweijährigen Übergangsfrist in Kraft und hat damit seit dem 25.05.2018 den Rechtsrahmen in der EU für den Umgang mit personenbezogenen Daten neu gesetzt: Nationale Datenschutzgesetze innerhalb der Vorgaben der EG- Datenschutzrichtlinie wurden durch unmittelbar geltendes EU-Recht abgelöst - darunter auch das Bundesdatenschutzgesetz. Die erhoffte Harmonisierung hatte sich durch die Richtlinie nicht eingestellt. Am Ende einer vierjährigen Verhandlungsphase stand so schließlich die DSGVO (Datenschutz.org, 2019).
Diese Änderung hatte zur Folge, dass alle Unternehmen sowie öffentlichen Stellen, die mit personenbezogenen Daten arbeiten, die neuen Datenschutzgesetze in der EU befolgen und ihre IT- Systeme entsprechend der Anforderungen der DSGVO anpassen müssen (IONOS, 2019).
Die vorliegende Arbeit untersucht, wie dieser Wandel in der Rechtssetzung in der deutschen Personalberatungsbranche wahrgenommen, verarbeitet und bewertet wird.
- Welche Schwierigkeiten in Bezug auf die Verarbeitung personenbezogener Daten hatte die Personalberatungsbranche zu Zeiten der Datenschutzrichtlinie wahrgenommen?
- Welche Veränderungen sind durch die DSGVO eingetreten und wie bewertet die Personalberatungsbranche diese Veränderungen?
Ziel ist es durch diese Bachelorarbeit Antworten auf diese Fragen zu erhalten.
Diese Arbeit gliedert sich in drei Teile. Die Einleitung, den theoretischen Teil und den empirischen Teil.
Die Einleitung gibt einen kurzen Einblick in die Thematik. Darin wird die Problemstellung genannt, die Forschungsfragen und das Ziel der Arbeit definiert und der Aufbau der Arbeit beschrieben.
Der theoretische Teil umfasst die Kapitel 2 bis 6. Das Kapitel 2 verschafft zu Beginn eine Übersicht der wichtigsten Begrifflichkeiten. Kapitel 3 verschafft einen Überblick über die Entwicklung der rechtlichen Grundlagen des Datenschutzes innerhalb der EU und das nationale Recht in Deutschland. Kapitel 4 beschreibt welchen Herausforderungen sich Unternehmen innerhalb der EU, unter Anwendung der EG-Datenschutzrichtlinie, stellen mussten. Kapitel 5 erläutert danach welche Ziele die Datenschutzreform hatte, basierend auf den Herausforderungen der Unternehmen. Das sechste und damit letzte Kapitel des theoretischen Teils, erklärt das neu geschaffene Instrumentarium, das mit der Datenschutzreform entstanden ist und zur Erreichung der Ziele dient.
Der empirische Teil besteht aus dem Kapitel 7, welches das Forschungsdesign beschreibt. Den Abschluss der Arbeit bildet Kapitel 8 welches die Ergebnisse der geführten Experteninterviews zeigt und damit die Forschungsfragen dieser Arbeit beantwortet.
Im juristischen Kontext definiert das Bundesdatenschutzgesetzes (BDSG) den Begriff Daten wie folgt: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ (§3 Abs. 1 BDSG).
Hier gilt die Unterscheidung zwischen Daten mit und solchen ohne Personenbezug, was die Anwendbarkeit der rechtlichen Normen maßgeblich beeinflusst.
Sobald die Identifizierung einer lebenden Person aufgrund vorhandener Daten möglich ist, fallen diese Informationen unter personenbezogene Daten. Dies bedeutet, dass eine Person direkt oder indirekt mittels Zuordnung zu einem Kennungsmerkmal ermittelt werden kann. Kennungsmerkmale können z.B. genetische, wirtschaftliche oder psychologische Informationen betroffener Personen sein (Voigt & Bussche, 2018: S.13). Teilinformationen, die in kombinierter Form zur Identifizierung einer bestimmten Person führen können, gelten ebenso als personenbezogene Daten. Auch verschlüsselte, anonymisierte oder pseudonymisierte personenbezogene Daten, die erneut zur Ermittlung einer Person genutzt werden können, fallen darunter (Europäische Kommission, 2019).
Beispiele für personenbezogene Daten sind:
- Name und Vorname
- Personalausweisnummer, Sozialversicherungsnummer
- IP-Adresse, Cookie-Kennung
- Standortdaten
Als besonders schützenswert gelten sogenannte besondere Kategorien personenbezogener Daten. Dazu gehören Angaben über Rasse, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen und Gewerkschaftszugehörigkeit. Ebenso wie genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder sexueller Orientierung (Art. 9 DSGVO). Viele dieser Daten werden von der Personalberatungsbranche gesammelt und verarbeitet. Gesetzliche Änderungen in diesem Bereich sind somit für diese Branche von hoher Relevanz.
Der Begriff „Verarbeitung“ ist besser zu verstehen, wenn er in Zusammenhang mit dem Begriff „Verwendung“ gebracht wird. Demnach ist jede Verwendung von Daten, auch gleich eine Verarbeitung von Daten (Howanietz F., 2018: Verarbeitung). Jeder Vorgang, der mit oder ohne Hilfe von automatisierten Verfahren oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4, Abs. 2 DSGVO)
Gemäß Art. 4 DSGVO ist der Verantwortliche, die natürliche oder juristische Person, die Behörde, die Einrichtung oder eine andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4, Abs. 7 DSGVO). Der Verantwortliche entscheidet über die Art und Weise der Verarbeitung (Howanietz F., 2018).
Der Auftragsverarbeiter ist eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4, Abs. 8 DSGVO).
Das Europarecht besteht aus dem Primärrecht und Sekundärrecht (Wikipedia, 2018: Europarecht).
Das Primärrecht ist vergleichbar mit dem nationalen Verfassungsrecht, es bildet die zentrale Rechtsquelle des Europarechts. Hier ist das Recht auf Datenschutz im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) in Artikel 16 und in der Grundrechtecharta der Europäischen Union (EU-GRC) in Artikel 8 verankert (Österreichische Datenschutzbehörde, 2016).
Das Sekundärrecht ist abgeleitet vom Primärrecht und ist vergleichbar mit den nationalen Gesetzen. Das Recht auf Datenschutz wurde bis zum 24.05.2018 in der EG-Datenschutzrichtlinie und heute in der Datenschutzgrundverordnung (DSGVO) geregelt (ebd.).
Die nachfolgenden Unterkapitel beschreiben die EG-Datenschutzrichtlinie (95/46/EG), die Datenschutzgrundverordnung 2016/679/EU und die deutsche einzelstaatliche Regelung, das Bundesdatenschutzgesetz.
Mit dem Zusammenschluss vieler europäischer Staaten und Länder zur Europäischen Gemeinschaft (EG) entstanden gleichzeitig zahlreiche Themen, die fortan auf EU-Ebene geklärt werden mussten. Eines dieser Themen war und ist die rasante technische Entwicklung im Rahmen der Digitalisierung. Da der Datenschutz in diesem Zusammenhang einen immer wichtigeren Stellenwert bei den Ländern einnahm, war es das Ziel eine einheitliche Regelung finden (PrivacyXperts, o.J.).
Als Grundlage für einen Ausgleich des Datenschutzniveaus in den einzelnen Mitgliedsstaaten der Europäischen Union und um einen europarechtlichen Rahmen für das nationale Datenschutzrecht festzulegen, wurde die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr 1995 von der Europäischen Gemeinschaft (EG) verabschiedet (Voigt & Bussche, 2018: S.2). Da die direkte Anwendung von Richtlinien der Europäischen Union in den EU-Mitgliedstaaten nicht möglich ist, mussten sie in nationales Recht umgesetzt werden. Zu diesem Zweck musste jeder EU-Mitgliedstaat jeweils einen Umsetzungsrechtsakt erlassen (ebd.).
Die Richtlinie 95/46/EG wurde gemäß Art. 94 Abs.1 DSGVO mit Wirkung vom 25.05.2018 aufgehoben und durch die DSGVO ersetzt (Art. 94, Abs. 1 DSGVO).
Um die Rechte des Einzelnen auf Wahrung der Privatsphäre im Internet zu stärken und die digitale Wirtschaft Europas anzukurbeln, entstand im November 2011 ein erster Entwurf einer umfassenden Datenschutzreform, welche die Europäische Kommission am 25.01.2012 vorstellte (Voigt & Bussche, 2018: S.2).
Nach einem schwierigen und langem Verhandlungsprozess verabschiedet der europäische Gesetzgeber im Jahr 2016 die Datenschutzgrundverordnung 2016/679/EU, die die Datenschutzrichtlinie und nationale Gesetzgebungen ab Mai 2018 ersetzte. Sie wurde am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht (L 119, 2016). Aufgrund zahlreicher Änderungsvorschläge zum Gesetzestext dauerten die Verhandlungen bis zur Verabschiedung der endgültigen Verordnung vier Jahre an (Voigt & Bussche, 2018: S.2).
Abbildung 1: Verabschiedung der EU-Datenschutz-Grundverordnung im Zeitverlauf
Abbildung in dieser Leseprobe nicht enthalten
Diese Abbildung wurde aus urheberrechtlichen Gründen von der Redaktion entfernt.
(Quelle: Müller Kirsten, 2016)
Im Gegensatz zur EG-Datenschutzrichtlinie ist die DSGVO direkt anwendbar. Sie ist in allen ihren Teilen verbindlich und in jedem Mitgliedstaat unmittelbar gültig (Art. 288 AEUV). Umsetzungsrechtsakte aufseiten der EU- Mitgliedstaaten sollten damit nicht mehr erforderlich sein. So sollte die Angleichung der Datenschutzvorschriften innerhalb der EU erzeugt werden und eine Vollharmonisierung erfolgen (Voigt & Bussche, 2018: S.2).
Die DSGVO enthält jedoch ca. 70 Öffnungsklauseln, die den Mitgliedstaaten Rechtskompetenzen einräumen. Mit diesen Öffnungsklauseln gibt die Verordnung dem nationalen Gesetzgeber die Kompetenz, bestimmte Bereiche durch nationale Regelungen zu konkretisieren. Die Umsetzung dieser Öffnungsklauseln erfolgte in Deutschland durch das BDSG. Damit erhält die DSGVO einen hinkenden Charakter. Als hinkende Verordnung werden Verordnungen der EU bezeichnet, die ausdrücklich oder auch implizit Durchführungsbefugnisse für die Unionsorgane oder die Mitgliedstaaten vorsehen (CMS, 2017). Die spezifischen Regelungen in den EU-Mitgliedstaaten können ein europaweites einheitliches Datenschutzrecht verhindern (Knyrim, 2016: S. 389).
Der deutsche Gesetzgeber hat von den in der DSGVO enthaltenen Öffnungsklauseln umfassend Gebrauch gemacht, wodurch das BDSG-neu die DSGVO ergänzt, konkretisiert und modifiziert. Das Gesetz wurde als Teil des Daten- schutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen (BDSG). Es beinhaltet spezielle Regelungen unter anderem im Bereich Beschäftigtendatenschutz, für Scoring- und Bonitätsauskünfte, Profiling, sowie zum betrieblichen Datenschutzbeauftragten. Zugleich dient es der Umsetzung der EU-Datenschutzrichtlinie für Polizei- und Justiz in nationales Recht (Deloitte, o.J.). Es wurde am 30. Juni 2017 als das reformierte BDSG verabschiedet und ist am 25. Mai 2018 mit der DSGVO in Kraft getreten.
Diese gesetzlichen Veränderungen haben einen starken Einfluss auf alle Unternehmen, die personenbezogene Daten verarbeiten. Somit auch auf die Personalberatungsbranche. Im nächsten Kapitel wird auf die Herausforderungen für Unternehmen, unter Anwendung der EG-Datenschutzrichtlinie, eingegangen.
Das bisherige Datenschutzrecht baute zu einem großen Teil auf der in mitgliedstaatliches Recht umzusetzenden EG-Datenschutzrichtlinie 95/46/EG auf.
Das folgende Kapitel beschreibt die Probleme der Unternehmen bei der Verarbeitung personenbezogener Daten unter Anwendung der EG- Datenschutzrichtlinie.
Dieser bis 2018 gültige Rechtsrahmen bildet die Basis, von der der Wandel hin zur Datenschutzgrundverordnung seinen Anfang nahm.
Aufgrund der unterschiedlichen Umsetzung der Datenschutzrichtlinie zwischen den EU-Mitgliedstaaten bildeten sich unterschiedliche Datenschutz-Regime heraus. Diese entstanden durch die national verabschiedeten Umsetzungsgesetze. Datenverarbeitungstätigkeiten, die in einem EU-Mitgliedsstaat rechtmäßig waren, konnten in einem anderen Staat nur unter Einhaltung gesonderter Vorschiften zugelassen sein oder sie waren gänzlich rechtswidrig (Voigt & Bussche, 2018: S.2). Unternehmen sahen sich mit der Herausforderung konfrontiert, mehrere Datenschutz-Regime gleichzeitig umsetzen zu müssen. Diese Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, hinderten den grenzüberschreitenden Datenverkehr in der Europäischen Union (BMI, o.J.).
Unter der Anwendung der Datenschutzrichtlinie war die Ausweitung von Unternehmenstätigkeiten ins Ausland aufwändig und teuer, da sie Datenverarbeitungstätigkeiten den nationalen Datenschutzgesetzen der einzelnen EU- Mitgliedsstaaten unterlagen. Bei Ausweitung der Geschäftstätigkeiten ins EU- Ausland mussten sich Unternehmen mit einer zusätzlichen Aufsichtsbehörde auseinandersetzen. Dies war mit Zusatzkosten, wie beispielsweise für eine Rechtsberatung, Anpassung von Geschäftsmodellen und den Gebühren für die Meldung der Datenverarbeitung verbunden. Diese Kosten können einen Nutzen einer Expansion auf einen neuen Markt überwiegen (Europäische Kommission, 2012).
Datenverarbeiter, die keine Niederlassung in einem EU-Mitgliedstaat betrieben, sollte das nationale Recht gem. Art. 4 Abs. 1 lit. c DS-RL nur dann erfassen, wenn sie für die in Frage stehende Datenverarbeitung auf Mittel zurückgriffen, welche sich in dem betreffenden EU-Mitgliedstaat befanden. Der Begriff des Mittels wurde dabei immer weiter ausgedehnt, sodass darunter zuletzt sogar auch kleinste Programme und Anwendungen wie Cookies gefasst wurden.
Dass Datenverarbeiter durch den Umzug Ihrer Rechenzentren in Drittländer die europäischen Datenschutzgesetze umgehen wollten, obwohl sie Ihre Dienstleistung EU-Bürgern anboten, war jedoch die eigentliche Problematik. Eine nah am Wortlaut verlaufende Auslegung half jedoch auch nur bedingt (Pollmann, 2018: S. 383). Dadurch konnten vor allem Unternehmen, die ihren Sitz nicht in der EU hatten, einen Vorteil gegenüber den EU-ansässigen Unternehmen erlangen.
Der Lock-in-Effekt, ein sogenannter Anbindeeffekt, bewirkt eine Abhängigkeitsverhältnis eines Kunden zu einem Anbieter. Es bedeutet, dass bei einem Anbieterwechsel für den Kunden Aufwand in Form von Zeit, Geld und Emotionen entsteht, der den Wechsel unwirtschaftlich macht. Dies bindet den Kunden an seinen Anbieter. Der Wechsel zu einem neuen Anbieter ist nur dann als sinnvoll zu erachten, wenn der Nutzen den Aufwand überschreitet.
Um Gewinne zu maximieren hat der Anbieter immer das Interesse seine Kunden an sich zu binden. Der Lock-In Effekt schlägt sich somit positiv für den Anbieter aus (Wikipedia, 2019). Der Kunde ist dadurch im Nachteil. Er musste immer, wenn er zu einem neuen Dienstleistungsanbieter wechseln wollte, Auskunft über alle personenbezogenen Daten geben, die er bereits bei seinem aktuellen Anbieter angegeben hatte. Der Kunde weiß um diesen Aufwand und verbleibt somit häufig bei seinem etablierten Anbieter (Stobitzer, 2016). Dieses Verhalten verschlechtert anderen Anbietern die Möglichkeiten auf neue Kunden und der Marktzugang für neue Anbieter wird erschwert.
Von 2012 bis 2018 verloren ca. 50 % der Online-Nutzer das Vertrauen in den Onlinedatenschutz. Studien haben gezeigt, dass nur 20 % der Konsumenten davon ausgingen, dass ihre personenbezogenen Daten im Internet geschützt sind (McDonald, 2018). Mehrere Datenschutz-Skandale haben dazu geführt, dass Konsumenten zurückhaltender mit der Eingabe ihrer persönlichen Daten umgehen. Eine Studie im Auftrag von Verint Systems zeigt, dass in Bezug auf Einzelhandels- und Online-Unternehmen nur 2% aller Befragten denken, dass ihre Daten dort sicher sind (eCommerce, 29016).
Aufbauend auf den Herausforderungen unter der EG-Datenschutzrichtlinie wurden Ziele der Datenschutzreform definiert, die im nächsten Kapitel kurz beschrieben werden.
Das nachfolgende Kapitel beschreibt die Absichten der Verordnung und wie man den Problemen unter der Datenschutzrichtlinie begegnen wollte.
Die Harmonisierung des Datenschutzrechts in der EU soll eine einheitliche Rechtsordnung schaffen. Eine Übersetzung in nationale Gesetze durch die Mitgliedsstaaten soll nicht mehr notwendig sein und der Datenschutz dadurch EU- weit geregelt (Völkel, 2017).
Die Rechtssicherheit für Unternehmen soll ein harmonisierter Rechtsrahmen sein, der zu einer einheitlichen Anwendung der Vorschriften führt, was sich positiv auf den europäischen digitalen Binnenmarkt auswirkt (daschug GmbH, o.J.).
Durch gleiche Regeln für alle Marktteilnehmer auf dem EU-Binnenmarkt soll Wettbewerbsgleichheit entstehen. Unternehmen innerhalb und außerhalb der EU sollen keinen Marktvorteil, aufgrund schwächerer nationaler Datenschutzgesetze erlangen (Karabasz, 2018).
Um neuen Unternehmen den Zugang zum EU-Binnenmarkt zu erleichtern und die Konkurrenz mit den großen, etablierten Unternehmen zu ermöglichen, sollte der internationale Datenfluss vereinfacht werden. Die Bedingungen, unter welchen die Datenübermittlung stattfinden darf, sollen einheitlich geklärt werden und potentiellen Nutzern soll die Datenübermittlung zwischen verschiedenen Anbietern erleichtert werden. Wodurch der Wettbewerb gestärkt wird, was einen Vorteil für die Verbraucher darstellt. Und es erleichtert neuen Unternehmen den Zugang zu den Märkten (ebd.).
Wie diese fünf Ziele erreicht werden sollen, wird im nachfolgenden Kapitel 6 erläutert.
Damit Unternehmen neue Online-Geschäftsmodelle entwickeln können, müssen Verbraucher die Bereitschaft entwickeln neue Produkte und Dienstleitungen auch online zu nutzen. Dies kann allerdings nur geschehen, wenn sie darauf vertrauen können, dass ihre Privatsphäre im Internet geschützt ist. Um dies zu erreichen, sollten Verbraucherrechte gestärkt werden. Sie sollten bestimmte Rechte bekommen, die ihnen mehr Kontrolle über ihre personenbezogenen Daten verleihen (EU, 2018).
Zur Erreichung dieser Ziele wurden verschiedene Instrumente und Regularien entwickelt und gesetzlich in der DSGVO verankert, die im nächsten Kapitel beschrieben werden.
Das nachfolgende Kapitel beschreibt einige der wesentlichen Neuerungen die mit der DSGVO einhergehen. Diese Neuerungen dienen zur Erreichung der vorher genannten Ziele und können die Arbeit der Personalberatungsbranche wesentlich beeinflussen.
Die DSGVO schafft einen einheitlichen und unmittelbar geltenden Rechtsrahmen in der Europäischen Union (BMI, o.J.). Die Neuregelung löst den bisherigen Rechtsakt einer europäischen Datenschutzrichtlinie, die nur ein von allen EU-Ländern zu erreichendes Ziel festlegt, ab. Ersetzt wird diese durch eine direkt geltende Verordnung, die alle EU-Länder in vollem Umfang umsetzen müssen (Kraska, 2015).
Der One-Stop-Shop ist eine, von der EU geschaffene, zentrale Anlaufstelle für das Datenschutzrecht. Der Ansatz bedeutet, dass sich Unternehmen und Bürger EU-weit nur noch an eine Datenschutzbehörde als Ansprechpartnerin wenden müssen (Wettbewerbszentrale, o.J.). Wie im zuvor gehenden Kapitel erwähnt, geben die Öffnungsklauseln in der DSGVO den Mitgliedsstaaten große Freiräume für die Ausgestaltung des Datenschutzniveaus. Abhängig von der zuständigen Aufsichtsbehörde kann der Umfang der datenschutzrechtlichen Verpflichtungen daher unterschiedlich ausfallen. Nach dem One-Stop-Shop- Prinzip ist die federführende Aufsichtsbehörde alleinige Anlaufstelle für Verantwortliche und Auftragsverarbeiter. Sie soll europaweit tätige Unternehmen bei der grenzüberschreitenden Datenverarbeitung unterstützen indem der Kontakt zu den Aufsichtsbehörden erleichtert wird (Hogan Lovells, 2017).
Gemäß Art. 56 DSGVO ist die zuständige federführende Aufsichtsbehörde, die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters (Art. 56 DSGVO). Entschei- dend ist somit nicht, an welchem Ort die Verarbeitung der Daten tatsächlich stattfindet. Bestimmend ist vielmehr, in welcher Niederlassung die Managementtätigkeiten stattfinden, die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung treffen.
Die federführende Aufsichtsbehörde bindet bei ihrer Entscheidungsfindung jedoch alle betroffenen Aufsichtsbehörden ein. Dies sind die Aufsichtsbehörden der Mitgliedstaaten, in denen sich weitere Niederlassungen des Unternehmens befinden, sowie solche, in denen Personen leben, auf die die Verarbeitung erhebliche Auswirkungen hat oder haben kann (BFDI, o.J.).
Der europäische Gesetzgeber hat den räumlichen Anwendungsbereich des EU- Datenschutzrechts durch die Einführung des Marktortprinzips in Art. 3 Abs. 2 DSGVO ausgeweitet (Voigt & Bussche, 2018: S. 31). Nach diesem Prinzip hängt die Anwendbarkeit der Verordnung davon ab, wo die vertragliche Leistung angeboten wird. Entscheidend ist, wo das Vertragsangebot stattfindet. Art. 3 Abs. 2 DSGVO wird daher für Unternehmen relevant, die Kunden im EU- Binnenmarkt anvisieren. Die Nationalität der Kunden ist dabei irrelevant, solange sich diese in der EU befinden. Somit sind auch alle außereuropäischen Unternehmen zur Einhaltung des europäischen Datenschutzrechts verpflichtet, wenn Sie ihre Dienstleistungen auf dem europäischen Markt anbieten. Wodurch sichergestellt werden kann, dass für alle auf dem europäischen Binnenmarkt tätigen Unternehmen, die gleichen Wettbewerbsbedingungen gelten (BFDI-2, o.J.).
Unternehmen, auch Verantwortliche genannt, sind verpflichtet, die ihnen bereitgestellten personenbezogenen Daten „in einem strukturierten, gängigen und maschinenlesbaren Format“ direkt an den Betroffenen oder zu einem anderen Verantwortlichen zu übermitteln (Art. 20 DSGVO). Diese Regelung dient vor allem dem sogenannten „Lock-in“-Effekte und der damit starken Anbindung an einen Anbieter zu verringern und das Selbstbestimmungsrecht des Betroffe- nen über seine Daten zu stärken. Damit soll beispielsweise die Übertragung von Profilen in sozialen Netzwerken oder E-Mail Konten zu anderen Anbietern erleichtert werden (Wettbewerbszentrale, o.J.).
Mit der DSGVO wurde in Artikel 17 das „Recht auf Vergessenwerden“ eingeführt (BFDI, 2019). Dieses regelt primär Löschpflichten und ist damit eine Erweiterung des Rechts auf Löschung, das in §35 BDSG geregelt ist (Quietz- sch, 2016). Wenn die Daten für den ursprünglichen Verarbeitungszweck nicht mehr notwendig sind oder die betroffene Person die Einwilligung in die Verarbeitung widerrufen hat, sind die Daten unverzüglich zu löschen. Der Datenverarbeiter unterliegt damit automatisch einer gesetzlichen Löschungspflicht und muss außerdem dem Löschungswunsch der betroffenen Person nachkommen. Hat der Verarbeiter die personenbezogenen Daten öffentlich gemacht, so muss er Maßnahmen treffen um weitere Verantwortliche, die diese personenbezogenen Daten verarbeiten, darüber zu informieren, dass der Betroffene eine Löschung aller Links, Kopien oder Replikationen verlangt. Wie die Daten im Einzelnen gelöscht werden sollen, hat das Gesetz nicht weiter beschrieben. Die Maßnahmen zur Löschung können unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessen und auch technischer Art sein (Art. 17 DSGVO). Entscheidend ist, dass keine Möglichkeit mehr besteht die Daten ohne horrenden Aufwand abzurufen. Als ausreichend wird daher eine physische Zerstörung der Datenträger oder die endgültige Überschreibung der Daten, unter Verwendung spezieller Software, angesehen (intersoft consulting, o.J.)
Durch Art. 25 DSGVO wird das Konzept des Datenschutzes durch Technik (privacy by design) und datenschutzfreundlicher Voreinstellungen (privacy by default) geregelt.
Privacy by design greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei der Konzipierung und Entwicklung von Software und Hardware zur Datenverarbeitung berücksichtigt wird bzw. technisch integriert ist. Quasi erfolgt der Schutz personenbezogener Daten im Sinne der DSGVO durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs) im Entwicklungsstadium (intersoft consulting, 2017).
Privacy by Default bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind, ohne dass der Nutzer selbst entsprechende Einstellungen vornehmen muss (Forum-Verlag, 2018). Nach dem Grundgedanken sollen vor allem Nutzer geschützt werden, die weniger technikaffin sind und z.B. dadurch nicht gewillt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen (intersoft consulting, 2017).
Verantwortliche müssen ihre Dienste entsprechend des Grundsatzes der Datenminimierung konzipieren und Voreinstellungen wählen, aufgrund derer nur die für den jeweiligen Verarbeitungszweck erforderlichen Daten verarbeitet werden. In der Praxis bedeutet das, dass beispielsweise eine auf dem Smartphone installierte Taschenrechner-App nicht auf Daten aus dem Adressbuch zugreifen darf (Wettbewerbszentrale, o.J.).
Diese sechs Instrumente sind Neuerungen der DSGVO die bei der Erreichung der vorher genannten Ziele unterstützen sollen. Inwieweit diese Ziele in der Personalberatung erfüllt wurden, ob dabei Verbesserungen eingetreten sind und ob dabei das Instrumentarium zum Einsatz kam, versucht diese Arbeit herauszufinden. Um dies zu erreichen beschreibt der nächste Abschnitt den empirischen Ansatz und die Ergebnisse.
Um die Forschungsfragen zu beantworten, haben die Kapitel zuvor die Rechtsgrundlage in der EU, die Gründe für eine Datenschutzreform, die Ziele und das Instrumentarium der DSGVO erläutert.
Diese Arbeit versucht die Lücke im Wissen darüber zu schließen, wie und in welchem Umfang die Auswirkungen der Datenschutzreform auf die Personalberatungsbranche sind. Dazu wird im folgenden Kapitel der methodische Rahmen und die verwendete Methode in Bezug auf die Forschungsfragen vorgestellt.
Um die für diese Arbeit relevanten Daten zu sammeln, wurde ein sozialempirischer Forschungsansatz gewählt. Die empirischen Sozialstudien beschreiben eine Vielzahl von Methodentechniken und Instrumenten, die benötigt werden, um menschliches Verhalten wissenschaftlich korrekt zu untersuchen (Schnell et al., 2011, S. 1).
Die Methodik beschreibt das Spektrum der Methoden, die helfen, Lösungen für unsere Fragen zu finden. Diese Methoden sagen dem Forscher, welche Schritte er zu unternehmen hat und wie er sie zu unternehmen hat (Gläser & Laudel, 2010, S. 29f).
Der methodische Rahmen, mit dem die Auswirkungen der Datenschutzreform auf die deutsche Personalberatungsbranche untersucht wird, wird im Folgenden vorgestellt. Er enthält auch alle notwendigen Erläuterungen zur Forschungsmethode, zu den Interviewtechniken und zur Stichprobenauswahl.
Der Rahmen jeder Methodik basiert auf Prinzipien, die als grundlegende Anforderungen an die Forschungsstrategie angesehen werden können. Durch die Einhaltung dieser Prinzipien wird sichergestellt, dass andere Forscher den Er- gebnissen vertrauen können. Um dies zu gewährleisten, gelten diese Grundsätze in der Regel für alle Wissenschaftsbereiche (Gläser & Laudel, 2010, S. 29f).
1. Prinzip der Offenheit
Die Forderung ist, dass der empirische Forschungsprozess offen für unerwartete Informationen sein muss. Dieses Prinzip verlangt vom Forscher, seine Ergebnisse nicht vorzeitig in eine Kategorie einzuordnen (Gläser & Laudel, 2010, S.30).
2. Prinzip des theoriegeleiteten Vorgehens
Dieses Prinzip weist darauf hin, wie wichtig es ist, die Forschung auf bereits gesammelten Informationen und Erkenntnissen zu stützen. Nur so kann sichergestellt werden, dass der Wissensumfang zu einem Thema erweitert werden kann (Gläser & Laudel, 2010, S.31).
3. Prinzip des regelgeleiteten Vorgehens
Dieses Prinzip verlangt, dass die Wissensproduktion expliziten Regeln folgt. Nur so können andere Forscher die Ergebnisse verstehen und reproduzieren und die wissenschaftliche Gemeinschaft repräsentieren. Das Befolgen der regeln ist die Grundlage für das Vertrauen in die Ergebnisse (Gläser & Laudel 2010: S.31 f).
4. Prinzip vom Verstehen als „Basishandlung“ sozialwissenschaftlicher Forschung
Dieses Prinzip verlangt, Verständnis als eine Errungenschaft des Forschungsprozesses zu sehen. Das Verständnis der Interpretation der Situation. Und der Sinn für das zu ergreifende Handeln ist die Hauptleistung (Gläser & Laudel, 2010, S. 32 cit. nach Meinefeld, 1995, S. 85).
Die Unterschiede zwischen der qualitativen und quantitativen Sozialforschung lassen sich wie folgt kategorisieren:
- Finden vs. Prüfen
- explorative Forschung vs. konfirmatorische Forschung
- induktives Vorgehen vs. deduktives Vorgehen
Die qualitative Sozialforschung folgt einem induktiven, explorativen Entdeckungsverfahren (Brühl & Buch, 2006, S.20f).
Die Kriterien Objektivität, Reliabilität und Validität sind allgemein anerkannte Forschungsanforderungen und stammen aus einem mengenorientierten Ansatz (Brühl & Buch, 2006, S. 23). Diese Kriterien können weiter beschrieben werden:
Objektivität
Dies beschreibt, dass das Ergebnis einer Studie nicht durch den Interviewer oder Forscher oder die Person, die die Daten interpretiert, beeinflusst werden sollte. Um die Objektivität zu erfüllen, ist es notwendig, dass andere Forscher die Ergebnisse nachvollziehen können (Brotz & Döring, 2002, S. 36).
Reliabilität (Zuverlässigkeit)
Es ist notwendig, dass die Forschungsmerkmale unabhängig von Zeitpunkt und Umständen der Interpretation sind, was bedeutet, dass die Interpretationen des Inhalts immer zum gleichen Ergebnis führen sollten.
Validität (Gültigkeit)
In diesem Zusammenhang beschreibt die Gültigkeit die Relevanz der Wahrheit in der Aussage. Dazu müssen die Forscher Standards entwickeln. Nach Lincoln und Guba ist Gültigkeit ein sozialer Diskurs und eine Rekonstruktion von Wissen mit dem Ziel der Vertrauenswürdigkeit (Lincoln & Guba, 1985, S. 290).
[...]
Der GRIN Verlag hat sich seit 1998 auf die Veröffentlichung akademischer eBooks und Bücher spezialisiert. Der GRIN Verlag steht damit als erstes Unternehmen für User Generated Quality Content. Die Verlagsseiten GRIN.com, Hausarbeiten.de und Diplomarbeiten24 bieten für Hochschullehrer, Absolventen und Studenten die ideale Plattform, wissenschaftliche Texte wie Hausarbeiten, Referate, Bachelorarbeiten, Masterarbeiten, Diplomarbeiten, Dissertationen und wissenschaftliche Aufsätze einem breiten Publikum zu präsentieren.
Kostenfreie Veröffentlichung: Hausarbeit, Bachelorarbeit, Diplomarbeit, Dissertation, Masterarbeit, Interpretation oder Referat jetzt veröffentlichen!
Kommentare