Seit dem 25. Mai 2018 fallen die Regelungen zur Erhebung, Verarbeitung, Speicherung, Nutzung und Löschung personenbezogener Daten unter die EU-Datenschutzgrundverordnung (DSGVO). Die Verordnung soll den Schutz dieser Daten europaweit einheitlich regeln. Für Recruiter und Personalvermittler ist hierbei vor allem Artikel 88 DSGVO wichtig. Der Paragraph
- regelt den Datenschutz für personenbezogene Daten im Beschäftigungskontext und
- gestattet jedem europäischen Mitgliedsstaat, spezifischere Vorschriften zur Gewährleistung des Schutzes dieser Daten zu treffen
Die genannten Vorschriften, die jeder Mitgliedsstaat unter Wahrung der DSGVO selbst spezifizieren darf, sind in Deutschland im Bundesdatenschutzgesetz (BDSG), konkret in § 26 BSDG-neu zusammengefasst. Im Klartext heißt das also: Die europäische Datenschutzgrundverordnung ist als Überbau für den Schutz personenbezogener Daten zu verstehen, das Bundesdatenschutzgesetz regelt unter diesem Überbau spezifische, für das Bundesgebiet geltende Vorschriften.
Was sind personenbezogene Daten?
Nach dem Wortlaut der DSGVO und des Bundesdatenschutzgesetzes sind personenbezogene Daten solche Informationen, die sich auf eine natürliche Person beziehen und geeignet sind, Rückschlüsse auf deren Persönlichkeit zu zuzulassen. Betroffene haben in Bezug auf ihre personenbezogenen Daten das Recht auf sogenannte informationelle Selbstbestimmung: Sie müssen freiwillig der Speicherung und Verarbeitung dieser Daten zustimmen und dürfen die Einwilligung dazu jederzeit widerrufen.
Personenbezogene Daten werden außerdem noch um besondere personenbezogene Daten erweitert. Hierbei handelt es sich um Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Diese Daten sind besonders schützenswert und bedürfen einer gesonderten Einwilligung der betroffenen Person.
In Bezug auf personenbezogene Daten haben Betroffene laut Kapitel 3 der DSGVO umfangreiche Rechte. Diese betreffen unter anderen das Auskunftsrecht, das Recht auf Löschung, auf Einschränkung der Verarbeitung, auf Widerspruch und das Recht auf Datenübertragbarkeit. Diese Rechte müssen den Bewerbern bei der Erhebung ihrer personenbezogenen Daten zugestanden werden.
Personenbezogene Daten im Bewerbungsverfahren können sehr umfangreich sein
Sind Unternehmen auf der Suche nach passenden Kandidaten für eine offene Stelle, erheben und verarbeiten sie im Bewerbungsverfahren eine große Menge an personenbezogenen Daten. Dazu gehören neben Namen, Adresse, Kontaktdaten wie E-Mail-Adresse und Telefonnummer auch
- der Lebenslauf
- Zeugnisse
- Fotos
- Erkenntnisse zur Persönlichkeit aus Vorstellungsgesprächen oder einem Assessment Center
- persönliche Angaben wie Hobbys
- aufgezeichnete Videointerviews und Telefoninterviews
- Arbeitsproben und Ergebnisse von Bewerbungsaufgaben
- Bewerberprofile in unternehmensinternen Bewerberdatenbanken
- Daten aus der Dokumentation des Bewerbungs- und Auswahlverfahrens wie beispielsweise Notizen aus einem Bewerbungsgespräch
Auch Daten aus einer Initiativbewerbung sowie die Angaben, die der Bewerber ohne Aufforderung macht, z. B. Aussagen über einen Schwerbehindertenstatus, gehören zu den personenbezogenen Daten, die entsprechenden datenschutzkonformen Umgang erfordern.
Wer darf Einsicht in die Bewerberdaten erhalten?
Um die personenbezogenen Informationen von Bewerbern zu schützen, dürfen nur die Personen, die sich im Unternehmen notwendigerweise mit der Bewerbung befassen müssen, Einsicht in die Daten erhalten. Damit soll sichergestellt werden, dass personenbezogene Bewerberdaten nur zweckgebunden genutzt werden. Deshalb ist eine datenschutzkonforme Einsicht nur vom Arbeitgeber selbst, vom beteiligten HR-Personal und von Abteilungsvorgesetzten, die über die Einstellung des Bewerbers mitentscheiden müssen, zulässig.
Gibt es im Unternehmen einen Betriebsrat, muss auch diesem Einsicht gewährt werden: Da der Betriebsrat laut Betriebsverfassungsgesetz bei geplanten Einstellungen ein Beteiligungsrecht hat, darf dieser Zugang zu Bewerbungsunterlagen bekommen, beziehungsweise Auskunft über die betreffende Person erbitten.
Welche personenbezogenen Daten dürfen gespeichert werden?
Dabei dürfen aber nur solche Daten gespeichert werden, deren Erhebung zulässig war. Dazu gehören unter anderem oben genannte personenbezogene Bewerberdaten. Weiterhin zulässig ist die Erhebung von zusätzlichen Informationen aus beruflichen sozialen Netzwerken, von vorherigen Arbeitgebern oder über Suchmaschinen: Um die Eignung des Bewerbers festzustellen, darf der Arbeitgeber diese Informationen sammeln und speichern.
Daten, deren Erhebung hingegen unzulässig sind, betreffen Informationen, die im Bewerbungsgespräch grundsätzlich nicht unmittelbar erfragt werden dürfen, wie beispielsweise nach bestehenden Schwangerschaften oder der sexuellen Orientierung. Ermittelt der Personalverantwortliche diese Informationen aus privaten sozialen Netzwerken, dürfen diese Daten nicht gespeichert werden und müssen im Falle einer versehentlichen Speicherung unverzüglich gelöscht werden.
Wie lange dürfen Bewerberdaten aufgehoben werden?
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für die Erfüllung eines bestimmten Zwecks benötigt werden. Im Bereich Recruiting ist dieser Zweck klar: Die Besetzung einer offenen Stelle mit einem passenden Bewerber durch ein entsprechendes Bewerbungsverfahren.
Erhält ein Bewerber eine Absage, weil die Stelle nicht oder mit einem anderen Kandidaten besetzt wurde, ist zwar der Zweck erfüllt, jedoch das Bewerbungsverfahren noch nicht abgeschlossen. Das ist erst dann der Fall, wenn gegen den Arbeitgeber keine gesetzlichen Ansprüche mehr geltend gemacht werden können. Laut § 15 Abs. 4 AGG (Allgemeines Gleichbehandlungsgesetz) hat ein abgelehnter Bewerber aber 2 Monate nach Zugang der Absage Zeit, mögliche Entschädigungsansprüche anzuzeigen.
Damit der Arbeitgeber eine Grundlage hat, Vorwürfe nach AGG entkräften zu können, darf er die Bewerbungsunterlagen und auch die Dokumentation des Bewerbungsverfahrens also noch mindestens 2 Monate nach Zugang der Ablehnung an den Bewerber aufbewahren. Arbeitgeber stärken ihre Rechtssicherheit außerdem, wenn sie auch das Anforderungsprofil der Stelle und die Kriterien der Einstellungsentscheidung dokumentieren und speichern. Um Verzögerungen in der Post- und Klagezustellung abzufedern, hat sich mittlerweile eine Speicherungszeit personenbezogener Daten von 2 bis 6 Monaten etabliert. Über die Speicherung ist der Bewerber entsprechend zu informieren und auch über sein Widerrufsrecht zu belehren.
Wird der Bewerber eingestellt, werden alle mit der Bewerbung in Zusammenhang stehenden Daten Gegenstand der Personalakte. Aber auch hier ist keine pauschale Speicherung erlaubt, sondern nur in dem Umfang, der für das Beschäftigungsverhältnis erforderlich ist (Prinzip der Erforderlichkeit).
Sonderfall Talent Pool – Datenschutz für Bewerberdatenbanken
In unternehmensinternen Kandidatenpools werden personenbezogene Daten oftmals länger als 6 Monate gespeichert, um mögliche spätere Vakanzen aus dem internen Pool heraus zu besetzen. Für diese Speicherung ist aber die ausdrückliche Einwilligung des Betroffenen nötig, die auch nach Zugang der Absage aktiv erfragt werden kann. Wichtig zu beachten ist hierbei, dass …
- … die Einwilligung schriftlich erfolgt. Bei elektronischer Einwilligung muss ihr Inhalt jederzeit für den Bewerber abrufbar sein.
- … der Kandidat durch die Formulierung der Einwilligung die komplette Tragweite seiner Einwilligung abschätzen kann: Informationen zum Umfang der Datenverarbeitung, -nutzung und -übermittlung sollten immer enthalten sein. Blankovereinbarungen oder zu allgemeine Formulierungen sind nicht zulässig.
- … der Bewerber darüber informiert wird, dass die Einwilligung zu jeder Zeit und ohne Angabe von Gründen widerrufen werden kann.
- … ein Kopplungsverbot gilt: Der Kandidat darf durch die Verweigerung der Datenspeicherung keinen Nachteil im Bewerbungsverfahren haben oder nur durch die Einwilligung als Bewerber berücksichtigt werden.
Datenschutz im E-Recruiting
Bei einem webbasierten Verfahren für Online-Bewerbungen sollten nur solche Daten erfasst werden, die für die Beurteilung der Eignung für die ausgeschriebene Stelle erforderlich sind: Der Bewerber muss den Zweck dieser Datenerhebung, beispielsweise bei einem umfangreichen Fragenkatalog zur Bewerbung, erkennen können.
Sind die Betreiber von E-Recruiting-Plattformen Dienstleister aus Drittländern, müssen zusätzlich die Rechtsgrundlagen für eine internationale Datenübermittlung überprüft werden. Die Rechte und Pflichten dazu werden in den Artikeln 44 bis 55 der Datenschutzgrundverordnung dargelegt.
Über welche Daten darf der Bewerber Auskunft verlangen?
Nach § 34 Abs. 1 BDSG kann der Betroffene Auskunft über die zu seiner Person gespeicherten Daten verlangen. Das betrifft aber nur die Daten, die automatisiert und in Dateien gespeichert werden. Bewerbungsunterlagen in Papierform werden von dieser Vorschrift nicht erfasst.
Das Auskunftsrecht umfasst allerdings nicht die Auswahlüberlegungen des Arbeitgebers oder Daten von Mitbewerbern: Über diese Daten darf der Bewerber ausdrücklich keine Auskunft erbitten.
Sind Sie auf der Suche nach geeigneten Fach- und Führungskräften für Ihr Unternehmen? Wir als erfahrener Recruiter für die Bereiche Engineering, Legal, Finance und Immobilien stellen den Kontakt zu passenden Bewerbern her. Oder suchen Sie nach Arbeitgebern, die Ihnen neue Herausforderungen bieten? Mit unserem Service für Kandidaten unterstützen wir Ihre Suche nach dem Traumjob: Selbstverständlich datenschutzkonform.
