Umgang mit Bewerberdaten: Datenschutz beim E-Recruiting
Die Digitalisierung der Wirtschaft und öffentlichen Stellen macht auch vor der Suche nach neuen Mitarbeiterinnen und Mitarbeitern nicht halt. Bewerberdaten kommen zunehmend über E-Recruiting-Plattformen in die Personalabteilung. Was heißt das für den Datenschutz?
Unternehmen setzen verstärkt auf digitale Kommunikation. In der Folge digitalisiert sich auch die Kommunikation mit Bewerberinnen und Bewerbern immer mehr. Besonders beliebt sind Online-Plattformen, also E-Recruiting- oder Online-Recruiting-Plattformen.
Der Trend zu digitalen Bewerbungsunterlagen darf jedoch nicht dazu führen, dass der Schutz der Bewerberdaten zu kurz kommt.
Der Grundsatz lautet deshalb: Digitale Bewerbungsunterlagen erhalten mindestens den gleichen Schutz wie klassische, papiergebundene Bewerbungen. Zentral ist dabei, die Besonderheiten der Bewerbungsplattformen im Internet zu berücksichtigen.
Welche Rechtsgrundlage gilt für den Datenschutz bei E-Recruiting?
- Grundsätzlich ist Art. 88 Datenschutz-Grundverordnung (DSGVO, Datenverarbeitung im Beschäftigungskontext) anwendbar.
- Zusätzlich gilt es, zumindest derzeit noch die nationale Ausgestaltung dieses Artikels in § 26 Bundesdatenschutzgesetz (BDSG; Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) zu berücksichtigen.
Danach dürfen Verantwortliche – also die öffentliche oder nicht öffentliche Stelle / Unternehmen – personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeiten, wenn dies erforderlich ist, um über ein Beschäftigungsverhältnis zu entscheiden oder es zu begründen. Zu diesen „Beschäftigten“ zählt das Datenschutzrecht auch Bewerber und Bewerberinnen.
Welche besonderen Datenschutz-Anforderungen gelten beim E-Recruiting?
Die Rechtsgrundlagen sind aber kein Freibrief für E-Recruiting. Vielmehr fordert der Gesetzgeber, einer Bewerberin oder einem Bewerber alle Betroffenenrechte zu garantieren, die ihr oder ihm die DSGVO zugesteht.
Dazu gehören
- das Auskunftsrecht,
- das Recht auf Berichtigung,
- das Recht auf Löschen / Vergessenwerden,
- das Recht auf Einschränkung der Verarbeitung,
- das Recht auf Widerspruch und
- das Recht auf Datenübertragbarkeit.
Was empfehlen die Aufsichtsbehörden zum Online-Recruiting?
In den letzten Jahren haben die Datenschutz-Aufsichtsbehörden mehrfach auf den Datenschutz bei E-Recruiting hingewiesen.
Diese Hinweise geben die wichtigsten Rahmenbedingungen für das Bewerbermanagement vor:
Besondere Kategorien personenbezogener Daten
Garantiert die E-Recruiting-Lösung nicht, dass besondere Kategorien personenbezogener Daten in Bewerbungen ordnungsgemäß verarbeitet werden, muss die Stellenausschreibung im Web einen augenfälligen Hinweis darauf enthalten.
Solange der Verantwortliche – also die öffentliche oder nicht öffentliche Stelle – diesen Mangel nicht behebt, fordern die Aufsichtsbehörden, dass Bewerbern der Postweg erhalten bleibt, damit sie ihre Bewerbungen datenschutzkonform übersenden können.
Datenminimierung / Zweckbindung / Datenschutz-Information
Innerhalb eines Web-basierten Verfahrens für Online-Bewerbungen sind Verantwortliche verpflichtet, nur Daten zu erfassen, die erforderlich sind, um Eignung, Befähigung und Leistung für den ausgeschriebenen Ausbildungsgang, Dienstposten oder Arbeitsplatz festzustellen.
Aus den Web-Formularen des Recruiting-Systems – in der Regel umfangreiche Fragenkataloge – muss ein Bewerber erkennen, zu welchem Zweck das Unternehmen oder die öffentliche Stelle seine Daten erfasst.
Sicherheit der Verarbeitung
Die Bewerberdaten müssen ihrem Schutzbedarf entsprechend gegen Missbrauch, Verlust und Manipulation geschützt sein.
Auftragsverarbeitung
E-Recruiting-Plattformen fallen unter die Auftragsverarbeitung, wenn Dienstleister sie betreiben. Sind diese Dienstleister aus Drittstaaten, müssen Verantwortliche zudem die Rechtsgrundlagen für eine internationale Datenübermittlung prüfen.
Löschung / Aufbewahrung
Stellt der Verantwortliche den Bewerber oder die Bewerberin ein, werden die Bewerbungsunterlagen in der Regel Teil der Personalakte. Die Daten dürfen aber nicht pauschal in die Akte wandern, sondern nur in dem Umfang, der erforderlich ist, um das Beschäftigungsverhältnis durchzuführen.
Die restlichen Daten des Auswahlverfahrens sind – unter Beachtung des Allgemeinen Gleichbehandlungsgesetzes (AGG) – zu löschen oder dem Bewerber bzw. der Bewerberin zurückzugeben.
Talent-Pool
Entscheidet sich ein Verantwortlicher, Bewerbungsportale zu nutzen und den Bewerbern und Bewerberinnen die Aufnahme in einen Talentpool (für später verfügbare Stellen) zu ermöglichen, muss er die Datenschutzhinweise konkret formulieren. Die Aufsichtsbehörden fordern insbesondere, dass er auf die jederzeitige Widerrufsmöglichkeit der Einwilligung hinweist.
Verknüpfung mit Profilen aus sozialen Netzwerken
Teilweise bieten E-Recruiting-Plattformen an, die Bewerberdaten mit Daten aus sozialen Netzwerken „anzureichern“. Bei privaten Online-Profilen der Bewerber ist eine solche Datenerhebung unzulässig.
➧ Wie ist E-Recruiting zu dokumentieren?
All diese Punkte zeigen die Datenschutzrelevanz eines Verfahrens wie E-Recruiting. Daher darf weder die Prüfung des Verfahrens noch die Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten fehlen.
Stellen Sie sicher, dass Sie im Rahmen des E-Recruitings nichts übersehen – diese Checkliste hilft Ihnen dabei!