Was nicht erlaubt ist, ist verboten – Datenschutz im automatisierten Bewerbermanagement

Grundsätzlich ist „Datenschutz“ ein Thema, bei dem Personaler im Bewerbermanagement ein mulmiges Gefühl beschleicht. Oft ist nicht bewusst, ob das, „was man so macht“, auch datenschutzrechtlich in Ordnung ist. Erschwerend kommt hinzu, dass heutzutage beim Datenschutz auch das Telemediengesetz (TMG) und das Allgemeine Gleichbehandlungsgesetz (AGG) mit hineinspielen. Dieser Artikel wagt pragmatische Aussagen zu einem komplexen Themengebiet, mit denen Sie insbesondere im automatisierten Bewerbermanagement auf der sicheren Seite sind. Unterstützung erhielten wir dabei von Alma Lena Fritz, Fachanwältin für Informationstechnologierecht[1].

Bewerberdaten sind personenbezogene Daten und fallen damit unter das Bundesdatenschutzgesetz (BDSG). Dort gilt der Grundsatz: Was nicht erlaubt ist, ist verboten (§ 4). Man kann sich also im Bewerbermanagement nie auf die Position zurückziehen: „Warum nicht, steht doch nirgends. Das machen wir jetzt einfach so.“ Zum Einstieg empfiehlt sich die Lektüre der überschaubaren Anlage zu § 9[2] zum Umgang mit personenbezogenen Daten.

Automatisiertes Bewerbermanagement: Bewerberdaten sind erforderlich

Im § 32 regelt das BDSG den Umgang mit Daten „für Zwecke des Beschäftigungsverhältnisses“. Alma Lena Fritz erklärt: „Grundsätzlich gehört die Bewerberauswahl zur Begründung eines Arbeitsverhältnisses, so dass gemäß § 32 die Daten des Bewerbers erhoben und verarbeitet werden dürfen, ohne dass er einwilligen muss. Da Internet-Portale und Online-Anwendungen als Telemedien im Sinne des TMG einzuordnen sind, müssen zusätzlich zum BDSG auch die §§ 11 bis 15 TMG beachtet werden.“ Verkürzt kann hier gesagt werden, dass auch das TMG (§ 12 Abs. 1) die Verarbeitung der Bewerberdaten ohne Einwilligung zulässt.

Speichern ja, aber wie lange?

Die große Frage ist jedoch: Wie lange dürfen die Daten gespeichert werden? Denn sobald ein Bewerber nicht eingestellt wird, fällt er nicht mehr unter den § 32 „Beschäftigte“. Dies ist eine der schwierigsten juristischen Fragen im Prozess des Bewerbermanagements überhaupt, zu der selbst Juristen uneins sind.

Grund dafür ist der § 15 des AGG „Entschädigung und Schadensersatz“. Wenn ein Bewerber, der sich benachteiligt fühlt, Schadensersatz fordert, muss ein Unternehmen beweisen, dass es im Laufe des Bewerbermanagements alle Bewerber gleichbehandelt hat – und dafür braucht es Daten, also müssen diese gespeichert werden. Zwei Monate lang kann ein abgelehnter Bewerber Schadenersatz einfordern, doch wann genau diese Frist zu laufen beginnt, ist unter Experten umstritten.

Unsere Empfehlung ist deshalb: Wer auf der sicheren Seite sein will, sollte eine Einwilligung einholen. „Eine Einwilligungserklärung ist in § 4 Abs. 1 BDSG ausdrücklich vorgesehen, um einen Datenerhebungs- oder Verarbeitungsvorgang entsprechend zu legitimieren“, erklärt Fachanwältin Fritz.

Auch unbefristet hat einen Zeitablauf

Doch auch bei der Einwilligung kann es einen juristischen Haken geben, insbesondere wenn die Daten in der Bewerbermanagement-Software „schlummern“. Alma Lena Fritz berichtet: „Die Aufsichtsbehörden sind der Auffassung, dass eine eingeholte Einwilligung, die nicht genutzt wird, durch Zeitablauf ihre Wirkung verliert.“ Der „Zeitablauf“ ist kein exakt definierter Begriff, sondern es kommt auf den Einzelfall an. Man sollte also sicherstellen und dokumentieren, dass in der Bewerbermanagement-Software regelmäßig „Schläfer“ überprüft und gegebenenfalls gelöscht werden. Das hat ganz nebenbei den positiven Effekt, dass man keine veralteten Daten „mitschleppt“.

Grundsätzlich kann eine Einwilligungserklärung nach § 4 a BDSG unbefristet und damit „bis zu einem Widerruf“ eingeholt werden. Jedoch ist der Bewerber auf dieses Widerspruchsrecht hinzuweisen.

Der Bewerber muss informiert werden

Über die Speicherung seiner Daten muss der Bewerber auch „unterrichtet“ werden (§ 4 Abs. 3 BDSG). „Diese Unterrichtung findet in der Regel über eine sogenannte Datenschutzerklärung statt, die für den Bewerber abrufbar ist. Grundanforderung an die Unterrichtung ist, dass sie wahr und vollständig ist, insbesondere sind die Zwecke der Verarbeitung zu nennen.“ Ausdrücklich muss laut Alma Lena Fritz gegebenenfalls darauf hingewiesen werden, wenn Bewerberdaten außerhalb der EU verarbeitet werden (§ 13 Abs. 1 TMG). „Im Übrigen kommt es auf den Einzelfall an, welche Information zu erfolgen hat. Hierzu müssen die Datenverarbeitungsströme innerhalb des jeweiligen Bewerbermanagement-Tools untersucht werden.“

Ohne im Detail darauf einzugehen, soll hier ausdrücklich darauf hingewiesen werden, dass die Daten aus dem Bewerbermanagement nicht in unbefugte Hände geraten dürfen. In der Zusammenarbeit mit externen Dienstleistern (z.B. Personaldienstleister oder Recruiting-Plattformen) handelt es sich um eine Auftragsdatenverarbeitung nach § 11 BDSG, für die ein Datenschutz-Anforderungskatalog schriftlich festgelegt sein muss.

Last but not least ein Wort zur Löschung von Daten im Rahmen der Bereinigung der Bewerberdatenbank oder weil ein Bewerber dies verlangt. Die Löschung hat konsequent und vollständig zu erfolgen. In Zeiten zunehmender mobiler Geräte und Home-Arbeitsplätze ist sicherzustellen, dass die Daten auf allen Endgeräten gelöscht werden. Hier zeigt sich einer der Vorteile eines zentralisierten Bewerbermanagements: Wenn Mitarbeiter von überall Zugriff auf dieses System haben, sind keine Weitergaben der Daten in andere Systeme nötig. Somit kann auch datenschutzkonform gelöscht werden.

[1] Rechtsanwältin Alma Lena Fritz, LL.M., LL.M., Kanzlei JuS Rechtsanwälte Schloms und Partner, Augsburg, www.jus-kanzlei.de.

[2] http://www.gesetze-im-internet.de/bdsg_1990/anlage.html


Andrea Nagl

Andrea Nagl

Andrea Nagl ist freie Journalistin und Autorin. Sie arbeitet in zwei Themenfeldern: Bautechnik/Produktion und Gesundheit/Soziales. Spezialgebiete sind unter anderem Sozialrecht, psychosoziale Gesundheit, sozial-emotionale Kompetenzen, Corporate Social Responsibility und Zeitarbeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>