Da Unternehmen sich zunehmend dazu entscheiden, ihren Bewerbungsprozess systemgeschützt und automatisiert abzubilden, nimmt der Einsatz von webbasierten Bewerberportalen immer weiter zu. Neben einer Vielzahl von Vorteilen für das Unternehmen bringt der Einsatz derartiger Systeme auch eine Reihe datenschutzrechtlicher Anforderungen für Unternehmen mit sich, die Ralf Zlamal vorstellt.
Generell spricht nichts gegen den Einsatz einer webbasiert Bewerbermanagement-Software, bietet sie doch eine Vielzahl von Vorteilen für das Unternehmen und den Bewerber. So ist es möglich, mit etwaigen Bewerbern in einen direkten und interaktiven Kontakt einzutreten. Dies kann in der heutigen Zeit, in der es immer schwerer wird, motivierte und qualifizierte Mitarbeiter zu rekrutieren, durchaus sinnvoll und wichtig sein.
So können beispielsweise bereits Studenten und Auszubildende über ein aussagekräftiges und ansprechendes Bewerberportal auf das Unternehmen aufmerksam werden. Dieser Personenkreis hat dann die Möglichkeit, seine personenbezogenen Daten direkt in das Bewerberportal einzustellen und stetig zu aktualisieren. Weiter haben Bewerber die Möglichkeit, entsprechende Nachweise wie den eigenen Lebenslauf, die Zeugnisse und Weiterbildungsnachweise einzustellen.
Das Unternehmen hat die Möglichkeit, mittels Selektion aus einer Vielzahl von Bewerbungen für eine freie Stelle auszuwählen und mit den Bewerbern interaktiv in Kontakt zu treten.
Datenschutzrechtliche Anforderungen an Bewerberportale
Bei der Implementierung und bei der Nutzung eines webbasierten Bewerberportals sollten verschiedene Perspektiven beachtet werden. So sind zum einen die persönliche Sichtweise eines Bewerbers und dessen datenschutzrechtliche Anforderungen genauso zu betrachten, wie die internen Sichtweisen der Mitarbeiter im Personalbereich und der Mitarbeiter in den Fachbereichen (Entscheider).
All diese Sichtweisen müssen dann noch mit den datenschutzrechtlichen Vorgaben zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten in Einklang gebracht werden. Dies vor allen auch vor dem Hintergrund, dass in Rahmen eines Bewerbungsprozesses eine Vielzahl von Leistungs- und Verhaltensdaten eines Bewerbers vorhanden sind.
Website-Verschlüsselung
Die Erhebung der Bewerberdaten muss generell über eine entsprechende Verschlüsselung mittels HTTPS erfolgen. Im Rahmen der Bewerberregistrierung ist stets darauf zu achten, dass eine eindeutige Bewerberidentifikation erfolgt. Das kann mittels der so genannten "opt-in" Funktionalität sichergestellt werden, also durch einen Bestätigungsvorgang der E-Mail-Adresse, die bei der Bewerbung angegeben wird.
Die Speicherung des benutzerbezogenen Passwortes muss zwingend immer verschlüsselt erfolgen. Eine Passwort-Übermittlung an einen Bewerber per E-Mail im Klartext ist datenschutzrechtlich nicht empfehlenswert. Dies hat insoweit auf den Passwort-Resetmanagement-Prozess Auswirkungen, da im Falle des Verlustes eines Passwortes durch den Benutzer diesem ein entsprechender Link zum Zurücksetzen seines Passwortes und zur Änderung seines Passwortes per E-Mail zugesendet werden muss. Der Link darf auch nur eine zeitlich befristete Gültigkeit haben.
Austausch der Bewerberdaten zwischen Konzerngesellschaften
Bei einer Nutzung von Bewerberdaten durch mehrere Unternehmen (beispielsweise innerhalb eines Konzernverbunds durch Schwester-, Tochter- oder Mutterunternehmen) ist zu beachten, dass hierfür zwingend die Einwilligung des Betroffenen erforderlich ist. Diese Einwilligung muss ebenfalls über eine nachweisbare "opt-in"-Funktion dargestellt werden.
Bildung eines Bewerber-Pools
Die Aufnahme von Bewerbungsdaten in einen Bewerberpool ist aus Sicht des Datenschutzes nur dann zulässig, wenn ein Bewerber hierin nachweisbar eingewilligt hat. Die Einwilligung muss ebenfalls über eine "Opt-in"-Funktion dargestellt werden.
Im Zusammenhang mit der Einwilligung des Bewerbers in die Aufnahme in den Bewerberpool sollte dem Bewerber auch mitgeteilt werden, für welchen Zeitraum seine Bewerbungsunterlagen in dem Bewerberpool gespeichert werden und wie das Prozedere nach Ablauf der Speicherdauer ist. Hier wäre es beispielsweise denkbar, den Bewerber per E-Mail auf die bevorstehende Löschung seiner Daten und seines Benutzerkontos hinzuweisen. In diesem Zusammenhang sollte dem Bewerber ein Bestätigungslink übermittelt werden, bei dessen Betätigung die Löschung der personenbezogenen Daten und des Benutzerkontos verhindert und einen neue Laufzeit für die Weiterführung der Daten im Bewerberpool ausgelöst wird.
Übermittlung von Bewerberdaten innerhalb des Unternehmens
Innerhalb des Unternehmens sind verschiedene datenschutzrechtliche Vorgaben zu beachten. Neben der datenschutzkonformen Speicherung der Bewerbungsdaten ist auch die datenschutzkonforme Übermittlung von Bewerbungsdaten bzw. der datenschutzkonforme Zugriff auf Bewerbungsdaten durch Fachverantwortliche (Entscheider) zu beachten. Den Entscheidern darf nur ein zeitlich begrenzter Zugang zu den für die Entscheidungsfindung relevanten Bewerbungen gegeben werden.
Spätere Löschung von Bewerberdaten
Eine vielfach praktizierte Versendung bzw. Übermittlung von Bewerberdaten per E-Mail an Entscheider aus der Bewerbermanagement-Software heraus stellt insofern ein erhebliches datenschutzrechtliches Problem dar, als dass die Daten dann nicht mehr in der Hoheit der erhebenden Abteilung (in der Regel Personalabteilung) sind. Hier hat die federführende Abteilung keinen Einfluss mehr darauf, dass die Bewerberdaten entsprechend den gesetzlichen Vorgaben zugriffsgeschützt gespeichert und auch datenschutzkonform gelöscht werden können.
Ebenso ist zu beachten, dass bei einer etwaigen internen Versendung von Bewerberdaten per E-Mail aus dem Portal heraus diese Daten entsprechend verschlüsselt werden müssten. Dies kann in der Praxis nicht immer sichergestellt werden. Die Folge ist, dass im Ergebnis nicht nur berechtigten Personen auf die Bewerbungsunterlagen Zugriff nehmen könnten.
Einsatz von Drittdienstleistern
Beim Einsatz einer Bewerbermanagement-Software, die durch einen Dritten gehostet wird, ist zusätzlich zu beachten, dass das Hosting unter die sogenannte Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG) fällt. Hierzu muss nach geltendem Recht eine entsprechende Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG abgeschlossen werden. Zu beachten ist weiter, dass vor Aufnahme der Auftragsdatenverarbeitung und sodann regelmäßig eine datenschutzrechtliche Überprüfung des Auftragnehmers erfolgen muss. Eine fehlende, falsche oder unvollständige Vereinbarung zur Auftragsdatenverarbeitung kann gemäß § 43 Abs. 1 Nr. 2b ein Bußgeld von bis zu 50.000,- Euro für das Unternehmen zur Folge haben.
Löschung von Altdaten
Bei einer Absage an einen Bewerber müssen dessen Bewerbungsunterlagen aus dem System datenschutzkonform gelöscht werden, sofern keine nachweisbare Einwilligung zur weiteren Speicherung im Bewerberpool vorliegt. Als maximale Aufbewahrungsfrist haben sich in der Praxis vier Monate nach Entscheidung über die Nichteinstellung etabliert (angelehnt an die Klagefristen des Allgemeinen Gleichbehandlungsgesetzes).
Zum Zwecke der Identifikation von wiederkehrenden Bewerbern ist es maximal zulässig, einen pseudonymisierten Identifikationsschlüssel über die personenbezogenen Daten des Bewerbers zu bilden.
Kontakt und Infos: Ralf Zlamal ist externer Datenschutzbeauftragter beim IITR-Institut. www.iitr.de/zlamal
Das Institut für IT-Recht berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird das Institut von einem wissenschaftlichen Beirat unterstützt. Auf www.iitr.de finden Sie regelmäßig neue Beiträge zu Fragen des Datenschutzrechts.