Die Bewerbung – häufig ein Fragezeichen im Datenschutz!
Bewerbungen, alltägliches Geschäft eines jeden Unternehmens. Doch auch noch zwei Jahre nach Einführung der DSGVO, erleben wir in der Praxis viele Unsicherheiten im datenschutzkonformen Umgang mit einer Bewerbung. Wie lange darf man sie aufheben, braucht man eine Einwilligung dazu, darf man die Bewerbung auf Vorrat behalten und was ist eigentlich mit Active Sourcing? Diese Fragen und noch viele mehr begegenen uns fast täglich. Dabei ist das Thema gar nicht so schwer und häufig durch gesunden Menschenverstand leicht händelbar.
Erstkontakt über Social Media – Acitve Sourcing
Beim Active Sourcing wird ein potenzieller Kandidat vom Unternehmen bzw. einem Mitarbeiter des Unternehmens innerhalb sozialer Netzwerke direkt angesprochen. Damit eine solche direkte Ansprache datenschutzrechtlich zulässig ist, bedarf es einer Legitimationsgrundlage gem. Art. 6 I DSGVO. In Frage kommen hier das berechtigte Interesse und die Einwilligung. Eine Einwilligung wird in aller Regel nicht vorliegen, da durch die direkte Nachricht in dem sozialen Netzwerk ja überhaupt erst ein Erstkontakt zu Stande kommen soll.
In Frage kommt demnach lediglich das berechtigte Interesse, wobei zwischen Berufsplattformen wie Xing oder LinkedIn und privaten Netzwerkwerken wie Facebook, Instagram und Twitter unterschieden werden muss.
Grundsätzlich werden bei einer direkten Ansprache auf berufsorientierten Plattformen gleich zwei berechtigte Interessen gewahrt. Nämlich die des Unternehmens, welches ein berechtigtes Interesse hat, die ausgeschriebene Stelle mit den bestmöglichen Kandidaten zu besetzen. Und die des Kandidaten, der ein berechtigtes Interesse daran hat, den bestmöglichen Job angeboten zu bekommen. Der Nutzer eines berufsorientierten Netzwerks wie Xing oder LinkedIn kann und muss sogar gegebenenfalls damit rechnen, dass er Jobs angeboten bekommt und seine Daten von Unternehmen zur Kontaktaufnahme genutzt werden. Das gilt für alle Plattformen, auf denen solche Daten mehr oder minder öffentlich einsehbar liegen und die als Business-Netzwerke bekannt sind.
Anders sieht es bei privaten Netzwerken wie Facebook und Co. aus. Hier ist eine aktive Ansprache nicht erlaubt, da ein Nutzer in diesem Fall gerade nicht zwingend damit rechnen muss, Jobangebote von Unternehmen zu erhalten. Der Zweck dieser Netzwerke ist ein völlig anderer und es geht vielmehr um den privaten Austausch untereinander. Ein Nutzer, welcher sich auf solch einem Netzwerk anmeldet, verfolgt nicht unbedingt das Ziel einen Job zu finden und geschäftliche Kontakte zu knüpfen. Ein berechtigtes Interesse des Unternehmens scheidet in diesem Fall daher aus. Die direkte Ansprache ohne ein mutmaßliches Interesse des Nutzers würde einen zu großen Eingriff in den Privatbereich darstellen.
Verarbeiten der Daten einer Bewerbung – Einwilligung oder nicht?
Durch die Zusendung einer Bewerbung, werden dem Unternehmen sensible Daten und teils sehr persönliche Daten übermittelt. Damit diese rechtmäßig gespeichert und verarbeitet werden dürfen, braucht es auch hierfür einer gesetzlichen Grundlage.
Diese ist in Art. 88 DSGVO i.V.m. § 26 BDSG-neu zu finden, wonach Bewerber als Beschäftigte anzusehen sind. Demnach ist die Verarbeitung dann erlaubt, wenn die Daten zu Zwecken des Beschäftigungsverhältnisses verarbeitet werden. Zudem bedarf es einer Erforderlichkeit zur Begründung des Beschäftigungsverhältnisses. Hiervon ist bei der Verarbeitung von Bewerberdaten grundsätzlich auszugehen.
Eine ausdrückliche Einwilligung ist daher nicht nötig, darf aber auch nicht aufgrund des Zusendens der Bewerbung einfach angenommen werden.
Die Verarbeitung von Bewerberdaten kann allerdings auch von einer Einwilligung abhängig gemacht werden, was beispielsweise bei Aufnahme in einem Bewerberpool oder einer Skilldatenbank der Fall sein wird. Wie bereits erwähnt, muss für die rechtmäßige Datenverarbeitung die Begründung eines Beschäftigungsverhältnisses erforderlich sein. Eine Speicherung der Daten innerhalb eines Bewerberpools erfüllt den Tatbestand der Erforderlichkeit allerdings nicht. Die Bewerbung kann ohne Probleme ohne auch ohne die Aufnahme in einer Datenbank ausgewertet werden. Dementsprechend ist diese Verarbeitung nicht mehr rechtmäßig und bedarf einer ausdrücklichen Einwilligung des Bewerbers. Demnach muss das Unternehmen sich einfach immer die Frage stellen, ob die Verarbeitung der Daten für die Begründung eines Beschäftigungsverhältnisses auch tatsächlich erforderlich ist.
Während also bei einer normalen Bewerbung keine Einwilligung erforderlich ist, reicht es bei der Absicht zur Speicherung der Daten in einem Talentpool nicht aus auf der Website bzw. dem Online-Bewerberportal einen Passus einzufügen wie „mit Abschicken Ihrer Bewerbung haben Sie automatisch Ihre Einwilligung zur Verarbeitung Ihrer Bewerberdaten gegeben“. Vielmehr muss der Bewerber hier explizit und aktiv zustimmen. Der Kandidat muss in die Lage versetzt werden, aktiv diese Zustimmung zu geben. Möglich ist das bspw. durch eine einfache Checkbox oder einen entsprechenden Button und einem Vermerk wie „Hiermit stimme ich der Verarbeitung meiner Bewerberdaten und der Datenschutzerklärung zu“.
Datenschutzhinweise für die Bewerber
Wie bei Kunden und Geschäftspartner auch, muss der Bewerber zum Zeitpunkt der Erhebung der Daten über seine Rechte gem. Art. 13 DSGVO informiert werden. Demnach muss das Unternehmen dafür sorgen, dass die Betroffeneninformationen für Bewerber, mit der ersten Kontaktaufnahme zum Bewerber mitgeschickt werden. Wird also wie in der Praxis üblich eine Eingangsbestätigung an den Bewerber versandt, sei es auch durch eine automatische E-Mail, muss der Bewerber anhand dieser E-Mail auf die Betroffeneninformationen zugreifen können. Das kann entweder dadurch geschehen, dass diese Informationen per PDF mitgeschickt werden, aber beispielsweise auch durch einen Link in der Signatur. Wichtig ist allerdings, dass der Link NICHT zur Datenschutzerklärung auf der Website führt, da es sich hierbei um völlig andere Informationen handelt wie die, welche der Bewerber erhalten muss. Hinter den Link muss dementsprechend ein separates Dokument mit den richtigen Datenschutzinformationen hinterlegt werden.
Sollte eine Bewerbung per Post eingehen, kann je nach Verfahren im Unternehmen entschieden werden, ob die Betroffeneninformationen per E-Mail oder ebenfalls per Post erfolgen sollen. Hierbei kommt es darauf an, ob als Reaktion auf Post-Bewerbungen die Empfangsbestätigung ebenfalls per Post oder per E-Mail versandt wird.
Löschen der Bewerbung
Die Löschfrist von Bewerberdaten beträgt 6 Monate. Innerhalb dieses Zeitraums müssen alle Daten beseitigt werden, bis auf diejenigen, für die eine gesetzliche Aufbewahrungspflicht besteht. Grundsätzlich sind alle Daten unverzüglich zu löschen, sobald der Zweck der Verarbeitung entfällt. Erteilt man dem Bewerber also eine Absage, werden die Daten nicht mehr weiter benötigt. Allerdings existiert im Arbeitsrecht die Möglichkeit, gegen eine solche Absage rechtlich vorzugehen. Ein abgelehnter Bewerber muss derzeit eine Diskriminierung im Bewerbungsverfahren innerhalb von zwei Monaten nach der Ablehnung schriftlich geltend machen. Eine daran anschließende Klage muss gemäß § 61 Abs. 1 ArbGG i.V.m. § 15 AGG innerhalb von drei Monaten, nachdem der Anspruch schriftlich geltend gemacht worden ist, erhoben werden. Verzögerungen (etwa bei Zustellungen) sollten berücksichtigt werden, weshalb ein Richtwert von insgesamt sechs Monaten angebracht ist.
Diese Löschfrist gilt sowohl bei online als auch bei analogen Bewerbungsunterlagen. Allerdings sind die Daten nach anderweitiger Besetzung der Stelle bzw. nach Absage zu sperren und derart zu kennzeichnen, dass sie nur im Falle der Abwehr von Rechtsansprüchen verwendet werden dürfen. Etwas anderes gilt nur dann, sofern der Bewerber in eine längere Speicherung oder in die Aufnahme in einen Bewerberpool eingewilligt hat.
Bei Online-Bewerbungen bzw. Bewerbungen per E-Mail kommt es häufig dazu, dass die Bewerbungsunterlagen in die unterschiedlichsten Postfächer innerhalb des Unternehmens gelangen, bis dann tatsächlich eine Entscheidung über die Zu- oder Absage getroffen werden kann. Bei der Löschung ist es sehr wichtig darauf zu achten, dass die Daten von jeglichen Computern innerhalb des Unternehmens gelöscht werden, auch aus lokalen Speichern. Im Idealfall werden hierzu im Vorfeld technische Maßnahmen getroffen und die Mitarbeiter entsprechend sensibilisiert.
Assessment Center, Online Tests & Co – Was darf man?
Wie bereits erwähnt, muss die Verarbeitung der Daten zur Begründung des Beschäftigungsverhältnisses zwingend erforderlich sein oder eine ausdrückliche Einwilligung vorliegen. Demnach muss bei AC, Online Tests und Co. grundsätzlich nachgewiesen werden können, dass diese Aktivität tatsächlich zwingend erforderlich ist, um die Stelle optimal besetzen zu können.
Psychologische Eignungstests können also dann auch ohne Einwilligung zulässig sein, wenn der Arbeitgeber die Informationen benötigt, um die Eignung des Arbeitnehmers für den konkret zu besetzendem Arbeitsplatz beurteilen zu können. Es ist also erforderlich, dass das Testverfahren und damit zu generierende Erkenntnisse einen Bezug aufweisen zum Anforderungsprofil des konkreten Arbeitsplatzes. Das führt datenschutzrechtlich soweit, dass die einzelnen Bestandteile eines AC unterschiedlich betrachtet werden müssen.
Dementsprechend sind Tests mit dem Schwerpunkt der eigenen Persönlichkeitsentwicklung als problematisch anzusehen. Hier wird kein Bezug zur Besetzung der Stelle hergestellt. Das gleiche gilt für Gruppendiskussionen, in welchen die Teilnehmer zur Offenbarung persönlicher Informationen gezwungen sind. Das Prinzip der Erforderlichkeit führt demnach dazu, dass solche Fragebögen und Tests mit strengem Bezug zum Jobkontext zu bevorzugen sind. Dennoch ist der Aspekt der Erforderlichkeit im Grundsatz noch sehr abstrakt. Leider gibt es kaum eine höchstrichterliche Rechtsprechung zum diesem Thema. Auch speziell zum AC ist keine Rechtsprechung bekannt, in der z. B. Verletzungen des Datenschutzes verfolgt wurden.
Dementsprechend ist bei der Durchführung von AC, Online Tests und Co. immer zu einer ausdrücklichen Einwilligung zu raten.