Eines der Themen, dass „verantwortliche Stellen“ und Datenschutzbeauftragte regelmäßig beschäftigt, ist die Thematik rund um „ Bewerbungen Datenschutz “. Neben den Anforderungen, die sich aus dem Schutz gegen Zugriffe durch Unbefugte ergeben, müssen „verantwortliche Stellen“ selbstverständlich auch Löschfristen beachten und deren Umsetzung flächendeckend realisieren.
Wieso bei Bewerbungen Datenschutz-Aspekte nicht ignoriert werden dürfen
Das Datenschutzrecht greift, wenn personenbezogene Daten erhoben, verarbeitet und genutzt werden, wobei es keine Rolle spielt, ob es sich um bestimmte (blaue Sprechblasen) oder um bestimmbare personenbezogene Daten (grüne Sprechblasen) handelt. Bestimmte personenbezogene Daten, wie der Name, können einer Person direkt zugeordnet werden, wobei bestimmbare personenbezogene Daten, so auch die Telefonnummer, erst unter Zuhilfenahme weiterer Informationen einer Person zugeordnet werden können. Die Vielzahl an personenbezogenen Daten, die in Bewerbungen preisgegeben wird, macht die Thematik „ Bewerbungen Datenschutz “ so wichtig. „Verantwortliche Stellen“ sollten zahlreiche Datenschutz-Anforderungen beachten. Zum einen sollten personenbezogene Daten vor dem Zugriff durch Unbefugte geschützt werden, zum anderen ist sicherzustellen, dass die Löschfrist, die aus § 35 Bundesdatenschutzgesetz (BDSG) resultiert, eingehalten wird.
„Bewerbungen Datenschutz“ – Erforderliche Maßnahmen
Erheben, verarbeiten und/oder nutzen „verantwortliche Stellen“ personenbezogene Daten, so sollten sie technische und organisatorische Maßnahmen (TOM) ergreifen, um die Anforderungen aus dem BDSG zu erfüllen, vgl. § 9 Satz 1 BDSG und Anlage. Diese technischen und organisatorischen Maßnahmen gliedern sich in einzelne Bereiche (z. B. , Zutrittskontrolle oder Weitergabekontrolle) und sollen vor unbefugten Zugriffen auf sensible Informationen, wie personenbezogene Daten, schützen. Eine Maßnahme, die „verantwortliche Stellen“ unbedingt ergreifen sollten, ist die ordnungsgemäße Entsorgung von Bewerbungsunterlagen.
Bewerbungsunterlagen sollten allerdings nicht nur vor Zugriffen durch Dritte (Personen außerhalb der „verantwortlichen Stelle“), sondern auch vor Mitarbeitern, die diese Informationen zur Aufgabenerfüllung nicht benötigen, geschützt werden. Das unbefugte Erheben, Verarbeiten und Nutzten personenbezogener Daten innerhalb der „verantwortlichen Stelle“ wäre deshalb ebenfalls zu vermeiden. Dies bedeutet, dass die Mitarbeiter ausschließlich die personenbezogenen Daten erhalten sollten, die sie auch tatsächlich – zur Erfüllung Ihrer Arbeitsaufgaben – benötigen.
Zusätzliche Anforderungen für „verantwortliche Stellen“ könnten sich ergeben, wenn im Internet Plattformen geschaffen werden, die es den Bewerbern ermöglichen, Daten in Formulare einzutragen und Dateien hochzuladen. Ein Zusatzaufwand könnte sich bei Beauftragung eines Dienstleisters, der die Bewerberplattform hostet, ergeben. Der Grund ist, dass der potentielle Zugriff des Dienstleisters auf personenbezogene Daten als eine Datenübermittlung eingestuft wird. Diese darf wiederrum nur erfolgen, wenn eine gesetzliche Grundlage vorliegt oder die Betroffenen zu Erhebung, Verarbeitung und/oder Nutzung zugestimmt haben. In dem benannten Beispiel könnte es sich um eine Auftragsdatenverarbeitung gemäß § 11 BDSG handeln, die zwar einfacher zu bewältigen ist, allerdings sind Maßnahmen zu ergreifen. Das Abschließen eines ADV-Vertrages, die aus Datenschutz-Sicht ordnungsgemäße Dienstleisterauswahl sowie ggf. weitere relevante To-do’s dürfen nicht außer Acht gelassen werden.
„Bewerbungen Datenschutz“ – Löschfrist für Bewerbungen
Die Löschfrist für Bewerbungen führt in der Praxis regelmäßig zu Streitigkeiten, da in § 35 BDSG nicht klar geregelt ist, wann die Löschung erfolgen sollte. Es wird in § 35 Abs. 2 Nr. 3 BDSG zwar festgelegt, dass die Löschung erfolgen sollte, wenn der Zweck erfüllt wurde, allerdings besteht über die Zweckerfüllung häufig Uneinigkeit.
Grundsätzlich ist der Zweck erfüllt, wenn eine Entscheidung für oder gegen einen Bewerber fiel. Aus diesem Grund müssten die Daten nach Ablehnung gelöscht werden, allerdings könnten abgelehnte Bewerber, vor dem Hintergrund des Allgemeinen Gleichbehandlungsgesetzes (AGG), vor dem Arbeitsgericht – wegen einer unzulässigen Benachteiligung – klagen. Laut § 21 Abs. 5 AGG können Ansprüche innerhalb von zwei Monaten geltend gemacht werden. Vor dem Hintergrund der Möglichkeit eines abgelehnten Bewerbers von diesem Recht Gebrauch zu machen, dürfen Bewerbungen ausnahmsweise länger aufbewahrt werden. Möchte sich somit z. B. ein Unternehmen als „verantwortliche Stelle“ nach Ablehnung eines Bewerbers für den Fall einer Klage schützen, könnten die hierfür erforderlichen personenbezogenen Bewerbungsdaten erst zu einem späteren Zeitpunkt gelöscht werden. Eine Frist von ca. vier Monaten nach Ablehnung wäre anzuraten, da der Bewerber innerhalb von zwei Monaten die Klage beim Arbeitsgericht einreichen kann und es etwas dauern kann bis der Arbeitgeber über die Klage informiert wird. Das Bayerische Landesamt für die Datenschutzaufsicht (BayLDA) schrieb in dem Tätigkeitsbericht von 2011/2012, dass sogar eine Frist von sechs Monaten nach Ablehnung gerechtfertigt sei. Zudem ist dem vorgenannten Tätigkeitsbericht zu entnehmen, dass die Löschung nach § 35 BDSG zwar durchgeführt werden sollte, sich hieraus allerdings kein Anspruch auf eine Bestätigung der Löschung auf Verlangen des Betroffenen ergibt.
Ein zusätzlicher Aufwand ergibt sich für „verantwortliche Stellen“, sofern diese E-Mails archivieren (sogenannte automatisierte E-Mail-Archivierung), da Bewerbungen keinesfalls im Archiv landen sollten. Bei der Wahl der korrekten Dauer der E-Mail-Archivierung sind interne Prozesse und ganz besonders Aufbewahrungsfristen (Aufbewahrungsverpflichtungen) zu berücksichtigen. Dies führt regelmäßig zur Differenzierung in E-Mail-Archivierungs-Gruppen.
Wieso Bewerbungen Datenschutz-Risiken hervorrufen
Für „verantwortliche Stellen“ könnte der falsche Umgang mit Bewerbungen zu nicht unerheblichen Datenschutz-Risiken führen, da der Zugriff durch Unbefugte auf Bewerbungsunterlagen zu hohen Bußgeldern und zu einem erheblichen Imageverlust führen kann. „Verantwortliche Stellen“ sollten aus diesem Grund klare Prozesse aufstellen, technische und organisatorische Maßnahmen ergreifen und Mitarbeiter schulen / sensibilisieren.