Zum Inhalt springen Zur Navigation springen
Sperrliste für Bewerber – Ist das datenschutzrechtlich möglich?

Sperrliste für Bewerber – Ist das datenschutzrechtlich möglich?

Ob es eine datenschutzkonforme Möglichkeit gibt, eine sogenannte Sperrliste im Bewerbungsverfahren zu verwenden, diese Frage stellen sich insbesondere größere Unternehmen und Konzerngruppen. Ob, und wenn ja, wie dies möglich ist, wollen wir anhand vieler Fragen im folgenden Beitrag näher beleuchten.

Was soll/darf solch eine Sperrliste enthalten?

Bevor wir uns der Frage des möglichen Inhalts einer Sperrliste im Bewerbungsverfahren widmen, zunächst eine weitere Frage. Was genau ist eigentlich mit einer Sperrliste gemeint?

Die Wikipedia verweist für die Definition auf den Artikel zur Schwarzen Liste. Danach ist

„eine Schwarze Liste, Negativliste, Sperrliste, Blacklist, auch Schwarzliste, oder einfach nur Index (englisch blacklist) eine Liste von Personen oder Dingen, die benachteiligt werden sollen. Diese Benachteiligung kann sich unter anderem in sozialer Diskriminierung oder technischer Einschränkung äußern und kann sowohl dem eigenen Schutz wie der Unterdrückung dienen.“

Das klingt nun erstmal ziemlich krass. Und das kann es je nach Einsatzzweck und Einzelfall auch sein, was gleichermaßen für die Verwendung im Bewerbungsverfahren gilt.

Daher zurück zu unserer anfänglichen Frage: „Was soll/darf solch eine Sperrliste enthalten?“.

Sicher wird kein Unternehmen Bewerber auf die Liste schreiben wollen und dürfen, die sich mehrfach erfolglos auf unterschiedliche oder gleiche Stellen beworben haben (zumindest ist dies in meinem Alltag bislang nicht vorgekommen). Dafür dürfte sich mangels Verhältnismäßigkeit wohl auch keine datenschutzrechtliche Rechtsgrundlage finden. Dies gilt insbesondere, da der Bewerber in der Zwischenzeit auch weitere Qualifikationen oder Ähnliches erworben haben kann.

In unseren Fällen ging es bisher um die Aufnahme von ausscheidenden Beschäftigten in die Sperrliste. Eine Rechtsgrundlage findet sich aber auch da nicht in jedem Fall einer Kündigung. Daher folgt gleich die nächste Frage:

Auf welche Rechtsgrundlage kann die Verwendung einer Sperrliste im Bewerbungsverfahren gestützt werden?

Als Rechtsgrundlage wird, soweit die Voraussetzungen erfüllt sind, das berechtigte Interesse nach Art. 6 Abs. 1, S.1 lit. f DSGVO als Grundlage herangezogen werden können, da Zweck der Verarbeitung im Regelfall der Unternehmensschutz und nicht die Durchführung des Beschäftigungsverhältnisses sein wird.

Insbesondere wird dann ein berechtigtes Interesse angenommen werden können, wenn Gründe vorliegen, die auch eine außerordentliche Kündigung nach § 626 BGB tragen. Insofern kann im Wege eines Erst-recht-Schlusses bei der Abwägung nach Art. 6 Abs. 1, S. 1 lit. f DSGVO argumentiert werden.

Damit ist gemeint, dass wenn Tatsachen vorlagen, auf Grund derer einem Unternehmen die Fortsetzung eines Arbeitsverhältnisses bis zum Ablauf der Kündigungsfrist nicht zugemutet werden konnte, auch eine Wiederaufnahme eines neuen Vertragsverhältnisses unzumutbar ist.

Darüber hinaus wird ein berechtigtes Interesse je nach Einzelfall auch bei Kündigungen aufgrund von Verwicklung in Compliance- oder in andere schwerwiegende Incidents begründet werden können. Wichtig ist, dass Sie alle weiteren Fälle definieren und mit Ihrer/Ihrem Datenschutzbeauftragten prüfen und dokumentieren.

Um den Anforderungen an die Verhältnismäßigkeit sowie dem Grundsatz der Datenminimierung nachzukommen, sollte der Umfang der Sperrliste beschränkt werden und ausschließlich Name, Geburtsdatum und Sperrfrist enthalten.

Was ist bei der Einführung einer solchen Sperrliste zu beachten?

Wenn auch Ihr Unternehmen überlegt eine Sperrliste für Bewerber einzuführen, so sind dabei natürlich datenschutzrechtliche Aspekte in Ihre Planung mit einzubeziehen. Dazu gehören insbesondere folgende Aspekte:

Für die Verwendung einer Sperrliste wesentliche Grundsätze des Datenschutzes

Selbstredend sind die Grundsätze des Datenschutzes i. S. d. Art. 5 DSGVO zu wahren. Besonders hervorzuheben sind dabei die Grundsätze der Transparenz (Art. 5 Abs. 1 lit. a DSGVO), der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) und der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO).

So sind etwa zur Gewährleistung der Transparenz die bisher im Unternehmen genutzten Datenschutzinformationen für die Bewerber, aber auch die für die Beschäftigten, zu aktualisieren. Bei den Informationen für die Bewerber dürfte dies vor allem die Information über die Zwecke, sowie die Rechtsgrundlage der Verarbeitung betreffen, da lediglich ein einmaliger Abgleich der Stammdaten aus dem Bewerbungsverfahren erfolgt. Die Beschäftigteninformationen zum Datenschutz dürften darüber hinaus auch hinsichtlich der Art der verarbeiteten Daten und der Speicherdauer einer Ergänzung bedürfen. In beiden Fällen ist gegebenenfalls auch an Informationen hinsichtlich des Auftragsverarbeiters/der Datenweitergabe zu denken.

Im Rahmen der Sicherstellung der Integrität und Vertraulichkeit ist die Verarbeitung der in der Sperrliste enthaltenen Daten in einer solchen Art und Weise zu organisieren, dass möglichst wenige Personen mit diesen in Berührung kommen und der Zugang nur insoweit gestattet wird, wie er zur Aufgabenerfüllung erforderlich ist (Need-to-know-Grundsatz).

Um dem Grundsatz der Speicherbegrenzung nachzukommen ist es wichtig die Speicherdauer zu definieren. Nach Abwägung im Einzelfall unter Betrachtung der Schwere des Verstoßes (Kündigungsgrundes) 1 bis 20 Jahre. Dies wirkt zunächst gewiss sehr lang, jedoch sollte berücksichtigt werden, dass eine Aufnahme in die Liste ohnehin nur in besonders schwerwiegenden Fällen erfolgen darf. Daher kann die gut zu begründende und zu dokumentierende Festlegung der Frist bei Straftaten in Anlehnung an Fristen für Einträge im Führungszeugnis (3 bis 20 Jahre) erfolgen.

Dokumentationspflichten, Betroffenenrechte und weitere Punkte

  • Die neuen Prozesse sind im Verarbeitungsverzeichnis nach Art. 30 DSGVO festzuhalten. Dabei bietet es sich an den Abgleich der Bewerberdaten mit der Sperrliste, während des Bewerbungsverfahrens, direkt in der Dokumentation des Recruitingprozess abzubilden und für die Sperrliste selbst einen eigenen Eintrag mit Dokumentation der Interessenabwägungen i. S. d. Art. 6 Abs. 1, S.1 lit. f DSGVO für die definierten „Standardfälle“ anzulegen.
  • Zudem können Interessenabwägungen für Einzelfälle bei den Kündigungsunterlagen zur Dokumentation abgelegt werden.
  • Bei Einsatz eines Dienstleisters (z. B. durch Verwendung neuer oder Erweiterung bestehender Software) ist an den Abschluss eines neuen oder die Ergänzung des bisherigen Auftragsverarbeitungsvertrags zu denken.
  • Es ist im Zuge der Schwellenwertanalyse zu prüfen, ob die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist.
  • Des Weiteren müssen alle Betroffenenrechte nach Artt. 12 bis 23 DSGVO gewährleistet sein. Dies gilt insbesondere für das Recht auf Berichtigung nach Art. 16 DSGVO und Löschung nach Art. 17 DSGVO. Das Unternehmen hat sicherzustellen, dass die Daten richtig und auf dem neuesten Stand verarbeitet und nach Wegfall der Erforderlichkeit angemessen gelöscht werden.

Welche Schlüsse sollten Sie nun für den Beschäftigtendatenschutz daraus ziehen?

Das Anlegen einer Sperrliste sollte gut durchdacht und dokumentiert werden. Die voreilige Einführung und Aufnahme von Personen können zu datenschutzrechtlichen Problemen führen.

Ziehen Sie daher Ihren Datenschutzbeauftragen in Ihre Überlegungen und Planungen mit ein und achten Sie auf die regelmäßige Sensibilisierung der mit diesen Datenverarbeitungen betrauten Beschäftigten.

Webinar zum Bewerber- und Beschäftigtendatenschutz

Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Bewerber- und Beschäftigtendatenschutz – Prozesse und Datenverarbeitungen rechtssicher gestalten“. Dort zeige ich Ihnen, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!

  • Montag, den 17.06.2024 von 15:00 bis 17:00 Uhr
  • Mittwoch, den 04.09.2024 von 10:00 bis 12:00 Uhr
  • Montag, den 18.11.2024 von 10:00 bis 12:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.