Der richtige Umgang mit Bewerberdaten im neuen Datenschutzrecht
Die Bewerbungsprozesse möglichst schnell anpassen – was wie womit zu tun ist
Die Möglichkeiten zur Gestaltung von Bewerbungsprozessen sind heutzutage vielfältiger denn je. Vor dem Hintergrund der am 25. Mai in Kraft tretenden Datenschutz-Grundverordnung (DSGVO) muss jedoch auch die Verarbeitung von Bewerberdaten zukünftig in Einklang mit den neuen datenschutzrechtlichen Vorgaben erfolgen.
Demnach ist geboten, ausschließlich solche Informationen einzuholen, die für die Beurteilung des Bewerbers erforderlich sind. Werden Daten erst für die konkrete Einstellung oder das laufende Arbeitsverhältnis benötigt (z. B. die Sozialversicherungsnummer), dürfen sie vorab in der Bewerbungsphase weder erhoben noch verarbeitet werden. Sollten Bewerber derartige Daten ohne Aufforderung zur Verfügung stellen, sind diese umgehend zu löschen.
Aus Gründen der leichteren und besseren Steuerung der Einhaltung der gesetzlichen Vorgaben werden vor allem elektronische Bewerbungsplattformen (Eingabemasken) zukünftig an Bedeutung gewinnen. Hier kann vor allem der Löschungsvorgang automatisiert werden.
Entscheidet sich der Arbeitgeber für die Nutzung derartiger Bewerberplattformen, sind die Bewerber – in aller Regel in der Stellenausschreibung – bereits vor der Dateneingabe über die Details der Verarbeitung zu informieren. Insbesondere muss klar kommuniziert werden, welche Daten verarbeitet werden, wie die Verarbeitung erfolgt und wer Zugriff auf die Daten hat.
Anschließend ist die Einwilligung des Bewerbers einzuholen. Dabei ist sicherzustellen, dass die Einwilligung nicht nur klar und bewusst erteilt wird, sondern der Bewerber auch aktiv tätig wird. Ein bloßer Hinweis auf die Datenschutzerklärung reicht nicht aus. In der Praxis wird es vor allem auf das Anklicken einer Bestätigung oder die aktive Bewegung von Bildschirmelementen (z. B. einer Leiste) hinauslaufen. Darüber hinaus muss der Bewerber die Einwilligung jederzeit widerrufen können. Im Fall der Weitergabe der Bewerberdaten innerhalb eines Konzerns ist eine ausdrückliche Einwilligung des Bewerbers notwendig. Im Rahmen dieser Einwilligung sind die betreffenden Unternehmen namentlich zu erfassen. Eine Einwilligung darf aber nicht Voraussetzung für die weitere Teilnahme am Bewerbungsprozess sein (Koppelungsverbot).
Die Anzahl an Personen, die auf die Bewerberdaten zugreifen können, ist sowohl bei gängigen Bewerbungsverfahren als auch bei Bewerberplattformen zu limitieren. Andere Personen, die nicht mit dem Bewerbungsprozess befasst sind, dürfen keinesfalls Einsicht haben. Zugriffsberechtigt sind daher meist nur die direkten Vorgesetzten und die Personalabteilung. Vor diesem Hintergrund müssen Unternehmen auch geeignete Sicherheitsmaßnahmen (wie z. B. die Verschlüsselung der betreffenden Ordner) gegen unberechtigte Zugriffe treffen. Vom Kopieren auf externe Datenträger oder der ungesicherten Übermittlung der Bewerberdaten an die private E-Mail-Adresse zur Durchsicht im Homeoffice sollte Abstand genommen werden.
Die Entscheidung für oder gegen bestimmte Bewerber sollte auch nicht ausschließlich computergeneriert getroffen werden, da ein solches „Profiling“strengeren Vorgaben unterliegt. Zumindest in einem letzten Schritt ist es empfehlenswert, eine natürliche Person einzubinden.
Arbeitgeber haben auch die jeweils zulässige Speicherdauer von Bewerberdaten einzuhalten. Die Daten eines Bewerbers sind aus rechtlicher Sicht so lange aufzubewahren, wie er Ansprüche gegen den Arbeitgeber aufgrund des Bewerbungsverfahrens oder der Besetzungsentscheidung geltend machen kann. Das besondere Gleichbehandlungs- sowie das allgemeine Schadenersatzrecht geben eine maximale Speicherdauer von sechs Monaten bis zu drei Jahren nach Beendigung des Bewerbungsprozesses, also dem Tag, an dem die Anstellungsentscheidung bekannt wurde, vor. Um ausschließen zu können, dass sich etwaige Klagen noch auf dem Weg befinden, ist außerdem die Berücksichtigung einer zusätzlichen Frist von circa vier Wochen anzuraten. Danach sind nicht nur die vom Bewerber zur Verfügung gestellten Unterlagen, sondern allenfalls auch erbrachte Probearbeiten oder von HR-Zuständigen erstellte Notizen zu löschen.
Davon abgesehen steht es Unternehmen offen, Bewerber zu fragen, ob diese in eine zeitlich befristete, längere Speicherung der Daten zur Berücksichtigung bei künftigen Bewerbungsverfahren einwilligen möchten (Bewerberdatenbank). Dies gilt natürlich insbesondere für Initiativbewerbungen, denen kein aktuell laufender Bewerbungsprozess zugrunde liegt. Nach Ablauf der befristeten Speicherdauer müssen aber auch diese Daten endgültig und sicher vernichtet werden.
Da die Beweislast zum Bewerberdatenschutz im Fall eines Rechtsstreits beim Unternehmen liegt, sollten alle ergriffenen Maßnahmen lückenlos dokumentiert werden.
JANA EICHMEYER ist Rechtsanwältin und Partnerin bei Eisenberger & Herzog in Wien.