Das Argument „Zeit für eine Veränderung“ wird sicherlich häufig im Bewerbungsprozess – im Rahmen einer beruflichen Neuorientierung – seitens der Bewerber erwähnt, aber auch der Verantwortliche sollte sich Zeit für eine Veränderung nehmen bzw. dürfte der Zeitpunkt für eine Veränderung längst überfällig sein, wenn das Unternehmen bisher den Datenschutz im Bewerbungsprozess außer Acht gelassen hat.
Begriffsbestimmungen und allgemeingültige Grundsätze im Datenschutz
- Unter „personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, insbesondere Vor- und Nachname, Geburtsdatum, E-Mail-Adresse, Wohn-Adresse, sowie Bank- und Zahlungsdaten, aber auch Gesundheitsdaten, zu verstehen, vgl. Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO).
- Mit der „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten gemeint, wie das Erheben, die Verwendung oder das Löschen, vgl. Art. 4 Nr. 2 DSGVO.
Werden personenbezogene Daten verarbeitet, so sollte stets das Verbot mit Erlaubnisvorbehalt berücksichtigt werden, wodurch jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage bedarf. Bei der Verarbeitung sollten zudem permanent die Grundsätze gemäß Art. 5 DSGVO berücksichtigt werden. Gemäß Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten:
„a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“
Datenschutz im Bewerbungsprozess
Aus den obigen Grundsätzen lassen sich die Maßnahmen, die ergriffen werden sollten, gut ableiten, allerdings werden sie nach wie vor in der Praxis nicht oder nur teilweise ergriffen.
Bei der Verarbeitung von personenbezogenen Daten bedarf es – wie bereits erläutert – einer Rechtsgrundlage. Im Rahmen der Verarbeitung personenbezogener Beschäftigtendaten sollte die Öffnungsklausel in der DSGVO (Art. 88 Abs. 1 DSGVO) berücksichtigt werden. Von dieser hat der deutsche Gesetzgeber in § 26 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht und unter § 26 Abs. 8 Satz 2 BDSG geregelt, dass auch Bewerber für ein Beschäftigungsverhältnis als Beschäftigte gelten.
Gemäß § 26 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten von Beschäftigten „für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
- Keine Zweckentfremdung!
Bei der Verarbeitung von Bewerberdaten sollte jedoch der Grundsatz der Zweckbindung beachtet werden. Sollte sich der Bewerber beispielsweise auf eine ausgeschriebene Stellenausschreibung bewerben, so sollte der Verantwortliche die personenbezogenen Daten des Bewerbers ausschließlich im Bewerbungsprozess für die ausgeschriebene Stelle, auf die sich der Interessent beworben hat, berücksichtigen. Von der Aufnahme in einen Bewerberpool oder in einen Newsletterverteiler für Bewerber, um diesen „auf dem Laufenden zu halten“, ist beispielsweise – ohne einer freiwilligen und informierten Einwilligungen des Betroffenen – dringend abzuraten. - Datenverarbeitung auf das notwendige Maß beschränken!
Unternehmen sollten nur die personenbezogenen Daten verarbeiten, die sie zwingend zur Erfüllung des legitimen Zwecks benötigen. Insbesondere bei Verantwortlichen, die die Bewerbung über ein Online-Formular ermöglichen, werden häufig personenbezogene Daten erfragt, die für die Begründung des Beschäftigungsverhältnisses nicht erforderlich sein dürften und daher nicht abgefragt werden sollten.
Insbesondere von einer Abfrage von Daten, die nach dem allgemeinen Gleichbehandlungsgesetz nicht verwertbar/zulässig sind, wie unter anderem die Rasse, die Religion oder die Weltanschauung sowie besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO, unter anderem zu Krankheiten, ethnischer Herkunft sowie die politische Meinung, ist abzuraten. Dies sollte auch im weiteren Bewerbungsprozess, z. B. im Vorstellungsgespräch, berücksichtigt werden.
Auch sollten Mitarbeitern personenbezogene Daten, nur gegeben werden, soweit deren Kenntnis notwendig („Kenntnis-nur-wenn-nötig-Prinzip“) und dies zulässig ist. - Löschung/Vernichtung nach Zweckentfall!
Eine Löschung bzw. Vernichtung der Bewerberdaten sollte dringend nach Entfall des legitimen Zwecks erfolgen. Der Zweck dürfte erfüllt sein, wenn eine Entscheidung für oder gegen einen Bewerber gefallen ist, allerdings haben abgelehnte Bewerber, vor dem Hintergrund des Allgemeinen Gleichbehandlungsgesetzes (AGG), die Möglichkeit vor dem Arbeitsgericht – wegen einer unzulässigen Benachteiligung – zu klagen.
Bewerbungen dürfen daher auch nach Ablehnung für einen kurzen Zeitraum aufbewahrt werden, allerdings sollte nach max. 4-6 Monaten nach Ablehnung dringend eine Löschung der personenbezogenen Bewerberdaten erfolgen. Die Daten sollten nach Ablauf der Frist auch nicht in Archiven (E-Mail-Archivierung) und Datensicherungen liegen. Die frühzeitige Einbindung eines Datenschutzbeauftragten oder einen Datenschutzberaten ist daher dringend anzuraten, um die Abläufe bzw. Prozesse zu besprechen und auch derartige „Fallen“ nicht außer Acht zu lassen.
Sofern das Unternehmen eine längere Aufbewahrung wünscht, so sollten informierte Einwilligungen der Betroffenen eingeholt werden. Von einer Widerspruchslösung ist ebenfalls abzuraten. - Richtigkeit der Daten sicherstellen!
Insbesondere Unternehmen, die personenbezogene Bewerberdaten für einen längeren Zeitraum in einem Bewerberpool, speichern wollten, sollten neben der Sicherstellung der Rechtmäßigkeit der Verarbeitung darauf achten, dass auch Prozesse vorgesehen werden, um die Richtigkeit der Daten sicherzustellen.
- Technische und organisatorische Maßnahmen (TOM)!
Der Verantwortliche sollte angemessene TOM ergreifen, um die personenbezogenen Daten zu schützen, unter anderem sollte auf eine verschlüsselte Übermittlung Wert gelegt werden sowie Berechtigungen dokumentiert und administriert werden. Weitere TOM sollten unter anderem sein:- Einsatz einer Firewall
- Passwortrichtlinie einschl. der technischen Prüfung
- Kopierkontrolle
- Schulung/Sensibilisierung der Mitarbeiter
- Verpflichtung auf Vertraulichkeit der Mitarbeiter
- Maßnahmen zum Schutz vor Schadsoftware
- Zutrittskontrollen
- Regelungen zur Entsorgung/Einsatz geeigneter Shredder
- Informationspflichten!
Verantwortliche sollten berücksichtigen, dass sie gemäß Art. 13 DSGVO Informationspflichten unterliegen. Diesen sollten sie auch gegenüber Bewerbern unaufgefordert und zum Zeitpunkt der Erhebung nachkommen. Die Bearbeitung und Bereitstellung von Datenschutzhinweisen bzw. -bestimmungen ist daher unentbehrlich.
Fazit
Im Rahmen des Bewerbungsprozess sollten zahlreiche Anforderungen der Datenschutz-Grundverordnung berücksichtigt und Maßnahmen zum Schutz personenbezogener Daten ergriffen werden.
Daher ist es anzuraten, den Rat eines Datenschutzbeauftragten oder Datenschutzberaters einzuholen, insbesondere auch dann, wenn unter anderem Dienstleister eingesetzt werden, die Zugriff auf personenbezogenen Daten erhalten oder Themen, wie „Profiling“ oder „Online-Vorstellungsgespräche“ auf den Tisch kommen.