Bewerberdatenschutz reloaded

Fachbeitrag

Infolge der großen Verunsicherung in der ersten Phase der Corona-Krise hatten sich viele Unternehmen mit Neueinstellungen zurückgehalten oder mussten gar Personal abbauen. Der Arbeitsmarkt war ins Stocken geraten. Nachdem die Wirtschaftslage in den vergangenen Monaten aber wieder angezogen hat, erreichen auch uns verstärkt wieder Fragen etwa zur datenschutzkonformen Ausgestaltung digitaler Bewerbungsprozesse, den notwendigen Informationen für die Interessenten oder ganz allgemein den richtigen Umgang mit Bewerberdaten. Wir nehmen dies zum Anlass für einen kleinen Refresh zum Thema Bewerberdatenschutz.

Die Wahl der richtigen Rechtsgrundlage

In elektronischen Bewerbungstools suchender Unternehmen trifft man immer wieder gerne auf Checkboxen, in denen die Interessenten ihre Einwilligung in die Datenverarbeitung für das Bewerbungsverfahren geben sollen. In den allermeisten Fällen ist eine solche Einwilligung aber großer Unsinn. Und da wo sie ausnahmsweise doch einmal erforderlich wäre, ist sie gerne so unspezifisch formuliert, dass sie schlicht unwirksam ist. Warum also greift man nicht gleich zur richtigen – und ach so naheliegenden – Rechtsgrundlage?

Die grundlegende Norm für das gesamte Beschäftigungsverhältnis

Im Beschäftigungsverhältnis führt kein Weg vorbei an § 26 Abs. 1 S. 1 BDSG. Diese Norm gestattet so einiges – und auch wenn sie es ausnahmsweise nicht gestattet, ist sie zumindest erst einmal zu prüfen. Anwendbar ist sie im Übrigen (als deutsche Sonderregelung) erst über die Öffnungsklausel des Art. 88 DSGVO. Diese Norm gestattet es den Mitgliedstaaten, „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext (…)“ vorzusehen.

§ 26 Abs. 1 S. 1 BDSG besagt:

„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung (…) erforderlich ist.“

Bewerber = Beschäftigte

Da die Norm eine Datenverarbeitung gestattet, die „für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses (…) erforderlich“ ist, gibt § 26 Abs. 1 S. 1 BDSG uns eine Rechtsgrundlage gerade auch für Datenverarbeitungen im Bewerbungskontext. Ob erforderlich oder nicht, stellt § 26 Abs. 8 S. 2 BDSG insoweit noch klar, dass „Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis (…) als Beschäftigte gelten.“

Damit sich ein Unternehmen auf § 26 Abs. 1 S. 1 BDSG stützen kann, muss die Datenverarbeitung also nur „erforderlich“ sein. Wenn das Tool eines Unternehmens aber vernünftig ausgestaltet ist, dann sollte es ohnehin nur solche personenbezogenen Daten abfragen – und auch technisch nur solche Datenverarbeitungen vornehmen – die für die Durchführung des Bewerbungsprozesses auch erforderlich sind. Eine Einwilligung in die Datenverarbeitung ist dann nicht notwendig.

Auch KI und Eignungsdiagnostik grundsätzlich denkbar

Unter Zugrundelegung eben dieses Erforderlichkeits-Kriteriums erscheint auch der Einsatz bestimmter (seriöser) eignungsdiagnostischer Verfahren oder gar der teilweise Einsatz von KI (oder „Maschinellem Lernen“) durchaus denkbar. Für die Bewertung der Erforderlichkeit eignungsdiagnostischer Verfahren bedarf es aber eines tiefergehenden Verständnisses für die Funktionsweisen eben dieser Verfahren. Denn die Geeignetheit eines Mittels (auch im juristischen Sinne) kann nur mit einem solchen Verständnis auch hinreichend zutreffend beurteilt werden. Und klar ist auch: Nur weil ein Verfahren „hilfreich“ ist, muss es noch lange nicht „erforderlich“ sein, da auch die Interessen der Bewerber bei der Abwägung zu berücksichtigen sind. Es bleibt eine Frage des Einzelfalls.

Einwilligung für spezielle Funktionalitäten

Bewerbermanagement-Tools sprießen derzeit wie Pilze aus dem Boden. Dabei stellen sich bei diesen Tools im Grunde die üblichen, aus dem klassischen Bewerbungsverfahren bekannten Probleme, wie die Notwendigkeit eines Berechtigungskonzepts (s. unten) oder die (praktische) Umsetzung von Löschpflichten. Als Rechtsgrundlage wird für solche Tools in aller Regel § 26 Abs. 1 S. 1 BDSG heranzuziehen sein. Bisweilen aber mag ein Bewerbermanagement-Tool auch zusätzliche Funktionalitäten bieten, die unter Umständen nicht mehr unter die „erforderlichen“ Verarbeitungen zur „Entscheidung über die Begründung eines Beschäftigungsverhältnisses“ fallen. Spätestens wenn man einem Bewerber Benachrichtigungen über SMS zukommen lassen oder ein Videointerview führen will, wird man sich mit der – im Beschäftigtenkontext schwierigen – Einwilligung als Rechtsgrundlage auseinandersetzen müssen: Aufgrund der im (zukünftigen) Beschäftigungsverhältnis bestehenden Abhängigkeit der betroffenen Person vom (zukünftigen) Arbeitgeber sind an die Einwilligung dort besondere Anforderungen zu stellen und die Umstände, unter denen die Einwilligung erteilt worden ist, speziell zu berücksichtigen (vgl. § 26 Abs. 2 BDSG).

Einwilligung für Datenweitergabe oder längere Aufbewahrung

Es gibt aber noch ein paar weitere Konstellationen, in denen eine Einwilligung im Bewerbungsverfahren von praktischer Relevanz ist. So etwa, wenn ein Unternehmen beabsichtigt, Bewerberdaten an andere, möglicherweise interessierte Konzernunternehmen weiterzugeben, dies aber noch nicht eindeutig in der Stellenausschreibung angegeben worden ist. Oder in dem klassischen Fall, in dem ein Unternehmen einen (aktuell nicht erfolgreichen) Bewerber gerne in einen Bewerberpool aufnehmen möchte, um bei Bedarf auf ihn zurückgreifen zu können. Eine Aufbewahrung von Bewerberdaten für einen Zeitraum von mehr als sechs Monaten, wird allerdings begründungsbedürftig. Denn nach Ablauf der Probezeit dürfte der Zweck, zu dem die Daten ursprünglich erhoben worden sind, sehr bald entfallen. Wer Daten von Bewerbern für einen wesentlich längeren Zeitraum aufbewahren will, kommt um eine (für einen solchen Zweck zumindest als freiwillig anzusehende) Einwilligung nicht herum.

Kein Bewerberdatenschutz ohne strenges Berechtigungskonzept

Ein weiteres Evergreen im Bereich des Bewerberdatenschutzes ist die Notwendigkeit eines angemessenen Berechtigungskonzepts. Denn Bewerberdaten sind in ihrer Gesamtheit oftmals als besonders sensibel einzustufen. Eine entsprechende Reaktion hierauf ist es, sich klar zu machen, dass nur bestimmte Personen im Unternehmen Zugriff auf diese Daten benötigen. Hiervon ausgehend ist ein Berechtigungskonzept aufzusetzen, dass dem sog. „Need-to-know“-Ansatz entsprechend auch nur den Personen diesen Zugriff gestattet, die im Rahmen des Bewerbungsprozesses mit den Bewerberdaten befasst sein müssen.

Und das kann auch je nach Stadium des Bewerbungsprozesses unterschiedlich sein: So dürfte es regelmäßig nicht „erforderlich“ (und damit nicht vom § 26 Abs. 1 S. 1 BDSG gedeckt) sein, dass Abteilungsleiter schon in der Phase des ersten Aussortierens von Bewerbern Einsicht in sämtliche eingegangenen Bewerbungen nehmen können. In der Praxis kommt es aber leider auch durchaus vor, dass eine Vielzahl von Führungskräften (jedenfalls theoretischen) Zugang zu Bewerbungen haben, egal ob die zu besetzende Stelle in ihrem Verantwortungsbereich liegt oder nicht.

Datenschutzhinweise für Bewerber

Die Informationspflichten nach den Art. 12, 13 DSGVO gelten natürlich auch für die Datenverarbeitung im Rahmen des Bewerbungsverfahrens. Man kann daher nicht oft genug darauf hinweisen, dass es auch entsprechender, vollständiger Angaben für das Bewerbungsverfahren innerhalb der Datenschutzerklärung des Unternehmens – oder in gesonderten Hinweisen an anderer geeigneter Stelle – bedarf. Denn gerade abgelehnte Bewerber sind nicht zurückhaltend, wenn es um Meldungen bei Aufsichtsbehörden geht…

Webinar zum Thema

Sie fühlen sich jetzt daran erinnert, dass Sie ja schon seit Monaten nochmal über Ihre Prozesse zum Bewerberdatenschutz schauen wollten, aber die konkrete Umsetzung bereitet Ihnen immer noch Schwierigkeiten? Und auch zum Beschäftigtendatenschutz brennt Ihnen die ein oder Frage auf der Zunge? Dann besuchen Sie doch unser Webinar zum Thema Bewerber- und Beschäftigtendatenschutz. Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet Best Practices für die Umsetzung, inkl. aktuellen Hinweisen zum Dauerbrenner Corona und Abfrage des Impfstatus.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Danke für diese übersichtliche Zusammenfassung.
    Einziger Kritikpunkt: Der Link zu Art. 88 DSGVO verweist auf den imaginären §88 bdsg und führt damit ins leere.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.