Datenschutz im Bewerbungsverfahren

Der Personal- oder HR-Bereich ist in vielen Unternehmen derjenige Bereich, in dem die meisten und häufig gleichzeitig auch die sensibelsten Daten verarbeitet werden. Entsprechend gibt es dort viele datenschutzrechtliche Fragen bezüglich des richtigen, das heißt datenschutzkonformen, Umgangs mit den personenbezogenen Daten der Bewerber*innen.

Werden diese Fragen nicht im Vorfeld geklärt, besteht die Gefahr, dass personenbezogene Daten der Bewerber*innen unzulässigerweise verarbeitet werden. Da Schulungen zum Datenschutz bei vielen Verantwortlichen bedauerlicher Weis nicht oder nur in unregelmäßigen Zeitabständen durchgeführt werden, wissen viele Personalverantwortliche nicht, was zulässig bzw. nicht zulässig ist und was im Rahmen der Verarbeitung der Daten der Bewerber*innen zu beachten und an Maßnahmen zu treffen ist.

In den Artt. 24, 32 DSGVO spricht die Verordnung übrigens von „technischen und organisatorischen Maßnahmen“ (TOM), die durch den jeweiligen Verantwortlichen umzusetzen sind. Dabei sind diese unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken umzusetzen.

In diesem Artikel gehen wir auf einige Fragen ein, die sich im HR-Bereich sehr häufig stellen und zeigen Risiken sowie mögliche Konsequenzen auf, die bei Nichtbeachtung der Datenschutzvorgaben die Folgen sein können.

Müssen Bewerber*innen in die Verarbeitung ihrer personenbezogenen Daten einwilligen?

In der Praxis kommt es immer wieder vor, dass im Rahmen eines Bewerbungsverfahrens Bewerber*innen für die Verarbeitung ihrer personenbezogenen Daten (z.B. E-Mail-Adresse, Kontaktdaten, Bewerberunterlagen wie Lebenslauf, Foto, Zeugnisse, angelegte Beurteilungen, usw.) nach einer Einwilligung gefragt werden, so dass eine Bewerbung ohne Erteilung einer Einwilligung erst gar nicht möglich ist.

Doch müssen die Bewerber*innen in die Verarbeitung ihrer Daten einwilligen oder dürfen ihre Daten auch aufgrund einer anderen Rechtsgrundlage verarbeitet werden?

Diese Frage ist mit einem klaren „Jein“ zu beantworten, denn es kommt darauf an, um welche Daten es sich handelt.

Handelt es sich um Daten, die, wie es im Gesetz in § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) steht, „für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich“ sind, so ist Verarbeitung solcher Daten gem. § 26 Abs. 1 S. 1 BDSG ohne weiteres zulässig, so dass keine Einwilligung der Bewerber*innen hierzu notwendig ist. Diese Regelung ist als spezialgesetzliche nationale Norm für den hier betrachteten Bereich der Daten von Bewerber*innen einschlägig. Aus diesem Grund ist die Einholung einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO nicht notwendig bzw. sogar mit Nachteilen verbunden, da eine Einwilligung gemäß Art. 7 Abs. 3 DSGVO jederzeit widerrufen werden kann. Mögliche Folge davon ist, dass die Verarbeitung der Daten der Bewerber*innen nach Empfang einer Widerrufserklärung sofort einzustellen ist, da eine Rechtsgrundlage für die Verarbeitung dann nicht mehr gegeben wäre.

Sofern es sich jedoch um Daten handelt, die für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses nicht erforderlich sind und keine andere Rechtsgrundlage greift (beispielsweise rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO), ist dann natürlich eine Einwilligung gemäß Art. 6 Abs. 1 lit. a i.V.m. Art. 7 DSGVO einzuholen. Zu diesen Fällen zählen insbesondere die längerfristige Speicherung von Daten der Bewerber*innen in einem Pool oder die Weiterleitung der Daten an ein verbundenes Unternehmen, bei dem sich die Person zwar nicht beworben hat, jedoch berücksichtigt werden könnte.

Inwiefern der Einsatz der Künstlichen Intelligenz (KI) ohne eine Einwilligung auf der Grundlage des § 26 Abs. 1 BDSG erfolgen kann, ist stets eine Frage des Einzelfalls, denn der Einsatz der KI kann zwar nützlich sein, jedoch nicht erforderlich. Ausführlich haben wir uns mit dieser Problematik in unserem Artikel vom 03.05.20219 beschäftigt.

Wann müssen die Daten der Bewerber*innen gelöscht werden?

Oft ist es für Verantwortliche nicht klar, wann die Daten der Bewerber*innen zu löschen sind, so dass die Daten, wenn überhaupt, dann viel zu spät gelöscht werden. Nun, wann wären diese Daten denn zu löschen?

Grundsätzlich müssen die Daten von Kandidat*innen, die abgelehnt wurden, gemäß Art. 17 Abs. 1 lit. a DSGVO unverzüglich gelöscht werden. Zu beachten ist jedoch, dass gemäß Art. 17 Abs. 3 lit. e DSGVO keine Löschpflicht besteht, solange die Speicherung der Bewerberdaten zur Verteidigung von Rechtsansprüchen erforderlich ist.

Bewerber*innen können in Deutschland nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) gegenüber ihrem potenziellen Arbeitgeber Schadensersatz geltend machen, sofern eine nicht gerechtfertigte Ungleichbehandlung bzw. Diskriminierung vorliegt. Solange ein Verantwortlicher mit der Durchsetzung solcher Ansprüche zu rechnen hat, kann er die Daten der Bewerber*innen aufbewahren. Als diesbezügliche Frist hat sich durch gefestigte Rechtsprechung eine Dauer von 6 Monaten nach Beendigung des Bewerbungsverfahrens herausgebildet. Diese Frist leitet sich aus § 15 Abs. 4 AGG ab, nach der die Anspruchsteller*innen ihren Anspruch innerhalb von zwei Monaten nach Zugang der Ablehnung beim Verantwortlichen geltend machen müssen und danach noch drei Monate Zeit haben, den behaupteten Anspruch im Klagewege durchzusetzen. Sofern die Postwege als Sicherheitspuffer von einem Monat (allgemein als angemessen anerkannte Frist) berücksichtigt werden, kommt man auf diesem Rechenweg zu den sechs Monaten, nach denen die Daten der Bewerber*innen zu löschen sind. Nach Ablauf der sechs Monate sind regelmäßig keine diesbezüglichen Ansprüche seitens der abgelehnten Bewerber*innen mehr zu befürchten. Daher müssen die Bewerbungsunterlagen nach Ablauf dieser Frist gelöscht werden, sofern keine andere Rechtsgrundlage (z. B. eine Einwilligung, siehe oben) existiert.

Wann müssen die Bewerber*innen über die Verarbeitung ihrer Daten informiert werden?

Eine weitere „Baustelle“ sind die Informationen, die die Bewerber*innen gemäß der Artt. 12 ff. DSGVO erhalten müssen. Hier ist in der Praxis zu beobachten, dass die bereitzustellenden Informationen viel zu spät erteilt werden. Jedes verspätete oder unterlassene Erteilen der Informationen stellt einen Datenschutzverstoß dar, der Konsequenzen, auf die wir im Folgenden jeweils eingehen, nach sich ziehen kann.

Wann sind die Datenschutzhinweise zu erteilen?

Abgesehen von einigen Sonderfällen, auf die wir hier nicht eingehen, lautet die Antwort auf diese Frage: „Zum Zeitpunkt der Erhebung“ (Art. 13 Abs. 1 DSGVO), sofern die Daten der Bewerber*innen bei der betroffenen Person direkt erhoben werden. Wenn die Daten nicht direkt bei den Bewerber*innen, sondern von Dritten erhoben werden (beispielsweise wenn Personaldienstleister „Profile“ an ihre Kund*innen weiterleiten) hat die Information gemäß Art. 14 Abs. 3 lit. a DSGVO bei erstmaliger Kommunikation mit der Person, spätestens jedoch einen Monat nach Erhebung der Daten zu erfolgen.

Wann also die Informationen zu erteilen sind, hängt vom Kommunikationskanal ab. Reichen Bewerber*innen ihre Bewerbung über ein Bewerbungsportal ein, sind die Datenschutzinformationen per Link auf die Datenschutzhinweise, in denen die Verarbeitungen der Daten im Bewerbungsprozess beschrieben werden, bereitzustellen. Ein Fehler, der hierbei häufig gemacht wird: Es wird einfach auf die Datenschutzhinweise für Besucher*innen der Webseite verlinkt, ohne dass dort die spezifischen Verarbeitungen der Daten im Bewerbungsprozess beschrieben werden.

Sollte die Bewerbung per E-Mail eingehen, so wären die Datenschutzhinweise mit einer umgehenden Antwort an die Bewerber*innen bereitzustellen. Dies kann in Form eines PDF-Dokuments oder auch als ein Link zu einer entsprechenden Internetressource mit den Datenschutzhinweisen für die Personen erfolgen.

Dürfen die Kontaktdaten von abgelehnten Bewerber*innen in einer Blacklist verarbeitet werden?

Oft werden Bewerber*innen, die abgelehnt wurden, insbesondere bei großen Unternehmen, in eine Blacklist aufgenommen, um Mehrfachbewerbungen identifizieren zu können mit dem Ziel, bei bereits abgelehnten Bewerber*innen, den Bewerbungsprozess nicht jeweils wieder erneut durchführen zu müssen.

Inwiefern dürfen solche Blacklists erstellt und aufbewahrt werden?

Unseres Erachtens ist das Erstellen und Führen solcher Listen zulässig, sofern ein Unternehmen überwiegendes berechtigtes Interesse nachweisen kann, dass solche Listen zur Entlastung der Personalabteilung geführt werden müssen und keine überwiegenden Interessen der betroffenen Personen dagegensprechen.

Als Rechtsgrundlage käme für diesen Fall der Art. 6 Abs. 1 lit. f DSGVO in Betracht (überwiegendes berechtigtes Interesse des Verantwortlichen) und nicht etwa der oben angesprochene § 26 BDSG (da zur Begründung eines Beschäftigungsverhältnisses logischerweise nicht erforderlich). Eine Einwilligung wäre natürlich ebenfalls eine anwendbare Rechtsgrundlage, die jedoch in der Praxis selten zu dem erwünschten Ergebnis führen dürfte, da gerade diejenigen Personen, die eine Mehrfachbewerbung beabsichtigen, wohl nur in den seltensten Fällen in die Speicherung ihrer Daten in eine Blacklist einwilligen werden.

Selbstverständlich dürfen dann im Rahmen der Blacklist nur diejenigen Daten verarbeitet werden, die zur Erreichung des Zwecks (Identifizierung von Mehrfachbewerbungen) erforderlich sind. Kontaktdaten der betreffenden Person wären hier u.E. ausreichend (also Vor- und Zuname, Adresse), gegebenenfalls könnte der Ablehnungsgrund und/oder die Position, auf die die Person sich beworben hatte, ebenfalls relevant sein. Achtung: Auch über diese Verarbeitung muss informiert werden, wir empfehlen, solche Informationen direkt im Rahmen der ersten Information zu erteilen.

Was sind die Konsequenzen einer unzulässigen Verarbeitung von Daten von Bewerber*innen?

Was sind die Konsequenzen für die Verantwortlichen, wenn sie Daten von Bewerber*innen unzulässigerweise verarbeiten oder sie nicht rechtzeitig löschen und damit gegen die DSGVO verstoßen?

Nun, zunächst riskieren die Verantwortlichen natürlich Maßnahmen der Aufsichtsbehörden und im schlimmsten Fall ein Bußgeld (welches gemäß Art. 83 Abs. 1 DSGVO abschreckend sein soll, wie mittlerweile den meisten bekannt sein dürfte).

Zum anderen sind mögliche Schadensersatzansprüche der Bewerber*innen gemäß Art. 82 DSGVO eine mögliche Konsequenz. Mit dem datenschutzrechtlichen Schadensersatzanspruch aus Art. 82 DSGVO haben wir uns in unseren Artikeln vom 17.09.2020, 18.03.2021, 21.02.2022 sowie zuletzt auch vom 11.07.2022 ausführlich beschäftigt und verweisen in diesem Zusammenhang gern auf diese Artikel.

Nicht zu vergessen sind natürlich auch Imageschäden, wenn Bewerber*innen, deren Daten unrechtmäßig verarbeitet wurden, die aus ihrer Sicht negativen Erfahrungen – ggf. auch medienwirksam – veröffentlichen.

Fazit

Die oben behandelten Themen zeigen, wie wichtig es ist, den Bewerbungsprozess datenschutzkonform zu gestalten, um bestehende Risiken bestmöglich auszuschließen. Auch die regelmäßigen Schulungen der Personalverantwortlichen sind hier ein wesentlicher Bestandteil der Datenschutz-Compliance. Durch ein datenschutzkonformes Bewerbungsverfahren vermeidet man als Verantwortlicher nicht nur aufsichtsbehördliche Maßnahmen und mögliche Schadensersatzforderungen. Ein Unternehmen sorgt darüber hinaus vor allem für ein seriöses Image und gewinnt Vertrauen potenzieller Mitarbeiter*innen.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.