Aktuelles, Branche, Gastbeiträge - geschrieben von am Mittwoch, Dezember 11, 2019 12:56 - noch keine Kommentare

Zum Schutz des Bewerbers: Datenschutz im Einstellungsverfahren

Auch im Bewerbungsverfahren gelten die Regelungen der Datenschutzgrundverordnung

Ein Beitrag von unseren Gastautoren Alexandra Hecht, Fachanwältin für Arbeitsrecht und Dr. Christian Lenz, Rechtsanwalt und Datenschutzbeauftragter

[datensicherheit.de, 11.12.2019] In Bewerbungsverfahren erhalten Personalabteilungen eine Vielzahl an sensiblen Informationen. Betrachtet man die Bewerbungsunterlagen, so ermöglichen schon alleine diese einen umfangreichen Überblick über das Persönlichkeitsprofil eines Jobinteressenten. Nicht nur, dass der Schutz dieser Daten Arbeitgeber vor große Herausforderungen stellt. Es ist damit zu rechnen, dass künftig das Prozedere rund um das Bewerbermanagement einen Prüfungsschwerpunkt der Datenschutzbehörden bilden wird. Denn: Bewerbungsprozesse sind über die Internetpräsenzen von Unternehmen leicht überprüfbar.

Was muss aus (datenschutz-)rechtlicher Sicht sichergestellt werden?

Lange war ein spezielles Gesetz für den Beschäftigtendatenschutz in Planung. Ein im Jahr 2010 beschlossener Gesetzesentwurf wurde allerdings nie verabschiedet. Daher gelten für die Verarbeitung von personenbezogenen Daten in der Arbeitswelt – und damit auch im Bewerbungsverfahren – seit dem 25.5.2018 die Regelungen der Datenschutzgrundverordnung (kurz „DSGVO“) und des Bundesdatenschutzgesetzes („BDSG“). Insbesondere § 26 BDSG ist wichtig. Danach dürfen potenzielle Arbeitgeber personenbezogenen Daten im Bewerbungsverfahren verarbeiten, die „für die Begründung, Durchführung und die Beendigung des Arbeitsverhältnisses erforderlich sind“.

Was ist in jedem Bewerbungsprozess zu beachten? Welche Maßnahmen sollten Sie ergreifen?

Im Bewerbungsverfahren sind die Daten eines Bewerbers abzufragen und zu verarbeiten, die tatsächlich für das jeweilige Verfahren und die Auswahlentscheidung zwingend notwendig sind. Selbstverständlich können Personalverantwortliche sämtliche Angaben über den schulischen und beruflichen Werdegang und entsprechende Qualifikationen, Zeugnisse und sonstige Nachweise verlangen. Umgekehrt sind Angaben zu Gesundheitsdaten, Partei- oder Gewerkschaftszugehörigkeiten oder zum Familienstand oder Freizeitaktivitäten für eine Einstellungsentscheidung nicht erforderlich und deren Abfrage daher grundsätzlich datenschutzrechtlich nicht erlaubt.

In den letzten Jahren haben sich die Auswahlverfahren geändert. So nutzen Unternehmen nicht nur diejenigen Informationen, die der Bewerber selbst liefert. Vielmehr durchforsten sie soziale Netzwerke oder befragen den vorherigen Arbeitgeber. Aber Achtung: nicht jede „Quelle“ ist erlaubt. So dürfen sie berufliche Netzwerke nutzen, Accounts im privaten Bereich jedoch nicht. Definitiv verboten ist es, sich aus den im Internet zugänglichen Daten ein umfassendes Bewerber-Persönlichkeitsprofil zu erstellen. Unabhängig von der Frage, welche Zweitquellen erlaubt sind, bedarf es immer der Information des Bewerbers.

Doch nicht nur die Daten eines Bewerbers, die verarbeitet werden können, sind eingeschränkt. Sondern auch die Zugriffsberechtigten auf die Bewerberdaten selbst. So dürfen nur Personen Zugriff auf die Bewerbungsunterlagen erhalten, die regelmäßig am Auswahlverfahren beteiligt und mitspracheberechtigt sind. Dieser Personenkreis ist grundsätzlich für jeden Bewerbungsverfahren im Einzelfall festzulegen. Beispielsweise ist der Leiter der Abteilung „Einkauf“ für Bewerbungsverfahren in „seiner“ Einkaufsabteilung mitsprache- und auf die eingehenden Unterlagen zugriffsberechtigt. Geht es um die Einstellung eines neuen Mitarbeiters für die IT-Abteilung, ist er das selbstredend nicht. Unseren Kunden empfehlen wir, ein internes Berechtigungskonzept zu erstellen, das eindeutig regelt, welche Personen für die im Unternehmen laufenden Bewerbungsprozesse zugriffsberechtigt sind. Sinnvoll ist in jedem Fall, einen Hauptverantwortlichen zu bestimmen, bei dem alle Unterlagen zusammenlaufen und der die Löschfristen überwacht.

Vor allem in größeren Unternehmen ist eine Compliance-Richtlinie mit verbindlichen Regelungen für den Umgang mit Bewerberdaten ein Muss. Regelungen zur Vertraulichkeit im Umgang mit den Daten sind sinnvoll, da viele Betriebe Bewerberunterlagen kopieren und im Unternehmen verteilen. Daher macht ein sogenanntes „Vervielfältigungsverbot“ für Bewerbungsunterlagen durchaus Sinn. Darüber hinaus kann eine Vereinbarung darüber Auskunft geben, welche Fragen beispielsweise im Bewerbungsgespräch erlaubt und welche Quellen Personalverantwortliche für die Recherche nutzen dürfen.

Bewerber müssen informiert werden

Unabhängig von den internen Vorgaben gelten unmittelbare Pflichten gegenüber den Bewerbern. Da in jedem Bewerbungsverfahren Daten des Bewerbers erhoben und verarbeitet werden, ist dieser nach den Artikeln 13, 14 DSGVO darüber zu informieren, in welcher Form und zu welchem Zweck Unternehmen ihre Daten verarbeiten. Nutzen Arbeitgeber „Zweitquellen“ (wie bspw. einen Anruf beim vorherigen Arbeitgeber oder ein Karriereportal im Internet) sind die Kandidaten hierüber zu unterrichten. Das Gesetz sieht einen besonderen Schutz des Bewerbers vor. Deshalb sind Jobinteressenten über den Schutz ihrer Daten und auf den datenschutzrechtlichen Verantwortlichen hinzuweisen. Unternehmen sind angehalten, eine gut sichtbare und auf das Unternehmen individuell angepasste Datenschutzerklärung für Bewerber auf ihrer Webseite zu veröffentlichen. Bei Bewerbungen über ein Portal kann man die Datenschutzerklärung entweder als Text veröffentlichen oder mit der Datenschutzerklärung verlinken. Bei Bewerbungen per E-Mail, und zur Sicherheit bei Bewerbungen über ein Bewerberportal, sollte in jedem Fall die Datenschutzerklärung oder der Link dorthin in die Eingangsbestätigung übernommen werden. Auch bei den in der Praxis inzwischen eher selteneren Fällen der postalischen Zusendung oder der persönlichen Abgabe der Unterlagen sind Bewerber selbstverständlich datenschutzrechtlich zu informieren. Bei der postalischen Bewerbung sollte die Datenschutzerklärung in jedem Fall per E-Mail oder Post übersandt; bei der persönlichen Abgabe kann diese dem Bewerber direkt übergeben werden. Für die Erfüllung der Informationspflichten ist die Einführung eines automatischen Prozesses sinnvoll, um Verstöße gegen diese Vorgaben zu vermeiden.

Unternehmer sollten sich immer den Zweck der Verarbeitung von Bewerberdaten vor Augen halten: die Besetzung einer freien Stelle. Entscheidet sich ein Unternehmen für einen anderen Bewerber, entfällt damit der Zweck zur Bewerberdatenspeicherung des abgelehnten Kandidaten. Dementsprechend sind grundsätzlich alle Daten des abgelehnten Bewerbers zu löschen und/oder Unterlagen vollständig an diesen zurückzugeben. Was aber, wenn ein abgelehnter Bewerber nach der Absage Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz gegen das Unternehmen geltend macht? In diesem Fall haben Unternehmen ein berechtigtes Interesse und damit das Recht, die Unterlagen noch kurzzeitig zu behalten. Leider gibt es bislang keine finale einheitliche Aussage der Datenschutzbehörden darüber, welche Frist angemessen ist. Die Aussagen reichen von drei bis sechs Monaten. Auf keinen Fall empfiehlt es sich, diese länger als sechs Monate aufzubewahren. Die Frist zur Löschung beginnt mit Abschluss des Bewerbungsverfahrens, also regelmäßig mit der Besetzung der Stelle. Da gerade die Löschung besonderer Beachtung bedarf, macht es Sinn, hier einen automatisierten internen Prozess einschließlich eines Löschkonzeptes aufzusetzen. Bitte achten Sie darauf, dass die Daten vollständig und nicht wiederherstellbar gelöscht bzw. vernichtet sind. Vorstehendes gilt natürlich nur bei einer Absage. Wird der Bewerber eingestellt, sind seine Daten aus der Bewerberdatenbank zu löschen und all diejenigen Daten, die für das Arbeitsverhältnis nötig sind, in die Personalakte zu überführen.

In vielen Unternehmen ist es bislang noch gängige Praxis, Unterlagen an andere Stellen im Unternehmen weiterzugeben oder trotz Absage aufzubewahren, da der Bewerber ggf. für eine andere Stelle in Frage kommen könnte. Oft werden Bewerber in ein Recruiting-Tool aufgenommen. Hier gilt grob zusammengefasst, dass eine Aufbewahrung und Verarbeitung im datenschutzrechtlichen Sinne nicht mehr von § 26 BDSG gedeckt sind. Für diese Fälle ist eine eindeutige und vor allem nachweisbare Einwilligung sowie eine ordnungsgemäße datenschutzrechtliche Information des Bewerbers erforderlich. Eine solche Einwilligung kann beispielsweise per E-Mail oder über ein Auswahlfeld im Bewerbungsportal erfolgen. Da eine solche Einwilligung stets freiwillig geschehen muss, gilt die Empfehlung, sich die Einwilligung erst nach Abschluss des Bewerbungsverfahrens einzuholen, um Diskussionen über eine mögliche „Zwangslage“ während des Bewerbungsverfahrens zu vermeiden. Laut den Aufsichtsbehörden darf dies keine endlose Speicherung nach sich ziehen, wobei hier ebenfalls klare Zeitvorgaben bisher fehlen. Als vertretbar werden Zeiträume zwischen 6 und 12 Monaten diskutiert. Dies gilt darüber hinaus für Initiativbewerbungen, die ebenfalls nur mit schriftlicher Einwilligung und datenschutzrechtlicher Information verarbeitet werden dürfen.

Zusammenfassend: Wer compliant handeln möchte, definiert die persönlichen Daten, die für ein gutes Bewerbermanagement eines Unternehmens erhoben werden, beschreibt den Erfassungs- und Löschungsprozess mit Verantwortlichkeiten und legt ein Berechtigungskonzept für deren Nutzung vor. Ist dies erfolgt und wird im Unternehmen gelebt, ist es um den Bewerberdatenschutz gut bestellt.

Dr. Christian Lenz, dhpg

Foto: dhpg

Dr. Christian Lenz ist Rechtsanwalt bei der dhpg. Der Fokus seiner Tätigkeit liegt in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Als zertifizierter Datenschutzbeauftragter (TÜV®) ist sein Know-how in vielen Unternehmen als externer Datenschutzbeauftragter gefragt. Ein Fachgebiet, das er als Referent mit einem breiten Angebot an Schulungen und Vorträgen begleitet. Daneben unterstützt er Unternehmen beim Schutz ihrer Betriebs- und Geschäftsgeheimnisse entsprechend des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Weitere Informationen zum Thema:

datensicherheit.de, 14.10.2019
GeschGehG: Das neue Geschäftsgeheimnisgesetz



Kommentieren

Kommentar

Theiners SecurityTalk

Neue Folge!
Blockchain - Quo vadis?, 27.05.2020

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung