Recruiting und der Datenschutz

DSGVO-konformes Bewerbermanagement

12.01.2021 von Christian  Kuss und Klaus Thönißen  
Ein häufiger Auslöser für Ermittlungsmaßnahmen der Datenschutzaufsichtsbehörden sind abgelehnte Bewerber, die vermeintliche Datenschutzverstöße anzeigen. Hier lesen Sie rechtliche Vorgaben, die Sie dazu beachten sollten.
Egal, ob ein Bewerbungsprozess digital oder analog abläuft. Arbeitgeber müssen die Regeln des Datenschutzes einhalten.
Foto: Rawpixel.com - shutterstock.com

Haben Sie Angst davor, in den Fokus der Datenschutzaufsichtsbehörden zu geraten? Seitdem am 24. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, droht ein deutlich höherer Bußgeldrahmen. Der sichere Umgang mit Mitarbeiterdaten ist für den gesamten HR-Bereich - das heißt Recruiting, Talentmanagement, Mitarbeiterverwaltung/Business-Partner-Betreuung sowie Trennungs-Management - von Bedeutung. Hierfür möchten wir Ihnen die 10 wichtigsten Punkte für das datenschutzkonforme Bewerbermanagement an die Hand geben.

1. Keine Einwilligung für das Bewerbungsverfahren erforderlich

Für die Verarbeitung personenbezogener Daten der Bewerber im Bewerbungsverfahren ist grundsätzlich keine Einwilligung erforderlich. Dies gilt unabhängig davon, ob Sie das Bewerbungsverfahren analog, online oder mit Hilfe eines Bewerbermanagementsystems durchführen.

Das Gesetz selbst gestattet es Ihnen, personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses zu verarbeiten, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Hierbei darf man sich nicht durch den Begriff "Beschäftigter" in die Irre führen lassen. Für den Bereich des Beschäftigtendatenschutzes hat der Gesetzgeber klargestellt, dass Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis als Beschäftigte gelten. Damit deckt diese Regelung die Datenverarbeitung in aller Regel ab.

Wichtig ist, dass die Frage, ob ein Datum für das Bewerbungsverfahren erforderlich ist, ernst genommen werden muss. Hier ist im Zweifel eine Prüfung für jedes einzelne Datum vorzunehmen. In der Praxis sollte nicht von dem Umstand, dass ein Bewerbungsverfahren durchgeführt wird, darauf geschlossen werden, dass alle Informationen, die im Bewerbungsverfahren erhoben werden, auch für dieses erforderlich sind. Dies gilt auch mit Blick auf das Fragerecht des Arbeitgebers und das "Recht zur Lüge" des Bewerbers.

Es bleibt also festzuhalten, dass der Bewerber grundsätzlich nicht einwilligen muss, wenn der zukünftige Arbeitgeber seine personenbezogenen Daten im Bewerbungsverfahren verarbeitet. Dies ist bereits nach dem Gesetz zulässig.

Natürlich steht es dem zukünftigen Arbeitgeber frei, die Datenverarbeitung im Beschäftigungsverhältnis nicht auf den gesetzlichen Erlaubnistatbestand zu stützen, sondern stattdessen eine Einwilligung des Bewerbers einzuholen. Dann würde diese Einwilligung die Rechtsgrundlage für die Datenverarbeitung darstellen.

Ist man mit dem Datenschutzrecht nicht vertraut, könnte die Einwilligung sogar als "bessere" Lösung angesehen werden, weil sie vermeintlich die Autonomie des Bewerbers wahrt. Die Einwilligung ist aber gerade im Bewerbungsverfahren problematisch. Damit eine Einwilligung wirksam ist, muss sie "freiwillig" abgegeben werden. Dies setzt voraus, dass der Bewerber eine echte Wahl hat.
Problematisch wird die Freiwilligkeit immer dann, wenn zwischen dem Verantwortlichen, der die Daten verarbeiten möchte, und dem Betroffenen, dessen Daten verarbeitet werden sollen, ein Abhängigkeitsverhältnis besteht. Dies kann dazu führen, dass der Betroffene einen echten oder eingebildeten Druck verspürt, einzuwilligen, weil er anderenfalls Nachteile fürchtet. Dies liegt bei einem Bewerber, der sich um eine Anstellung bemüht, auf der Hand. Verweigert er die Einwilligung, wird er unter Umständen als "Bedenkenträger" oder "Querkopf" eingestuft und muss im Bewerbungsverfahren Nachteile fürchten. Aus diesem Grund wird die Einwilligung - gerade im Bewerbungsverfahren - als unwirksam angesehen.

Die Einwilligung ist aber auch aus einem weiteren Grund problematisch: der Bewerber kann sie nämlich versagen oder später widerrufen. Dann könnte der Verantwortliche die Daten nicht mehr verarbeiten. In diesen Fällen ist fraglich, ob der zukünftige Arbeitgeber dann auf die gesetzliche Grundlage zurückgreifen kann, um die Daten zu verarbeiten. Dies wird gerade von den Datenschutzaufsichtsbehörden abgelehnt. Hat man den Betroffenen nach seiner Einwilligung gefragt, würde dies suggerieren, dass es allein in seiner Hand läge, ob seine Daten verarbeitet würden oder nicht. Durch einen Rückgriff auf einen anderen Erlaubnistatbestand würde der Verantwortliche diese Erwartungshaltung enttäuschen.

So berechtigt dieser Einwand ist, der Gesetzeswortlaut bietet für diesen "Vorrang der Einwilligung" keinen Anhaltspunkt. Danach sind alle Erlaubnistatbestände gleichrangig. Darüber hinaus müssten sich Arbeitgeber fragen, was sie tun, wenn ein Bewerber die Einwilligung nicht erteilt. Einen Bewerber dann in der Folge vom Bewerbungsverfahren auszuschließen, wäre mit Blick auf das sogenannte Kopplungsverbot - das heißt, ein Vertragsschluss darf nicht von der Einwilligung in die Datenverarbeitung abhängig gemacht werden - problematisch. Zwar schließen Bewerber und potenzieller Arbeitgeber keinen Vertrag, doch dient das Verfahren gerade dazu, um gegebenenfalls einen Arbeitsvertrag abzuschließen. Daher wäre die Pflicht zur Einwilligung, um am Bewerbungsverfahren teilnehmen zu können, mit hoher Wahrscheinlichkeit unwirksam.

Aus den oben genannten Gründen sollten Unternehmen auf Einwilligungen im Bewerbungsverfahren verzichten. Hier bietet bereits das Gesetz einen Erlaubnistatbestand, der ausreicht, um personenbezogene Daten im Bewerbungsverfahren zu verarbeiten.

Schließlich kann eine Einwilligung notwendig sein, wenn die personenbezogenen Daten nicht ausschließlich für das Bewerbungsverfahren verwendet werden sollen. Dies wäre zum Beispiel der Fall, wenn die Angaben des Bewerbers in einem Talentpool (sh. Punkt 8.) gespeichert werden sollen. Hierfür ist zwar eine Einwilligung erforderlich, allerdings gelten hierfür einige Besonderheiten, die nachfolgend dargestellt werden.

2. Online oder Offline: Informationspflichten beachten!

In der Praxis wird die Frage "Darf ich Daten verarbeiten?" oft vermischt mit der Frage "Was muss ich dem Bewerber sagen?". Aus diesem Grund finden sich immer noch eine Vielzahl von Bewerberportalen im Netz, bei denen die Informationspflichten durch einen Einwilligungstext erfüllt werden sollen.

Dies ist falsch. Tatsächlich handelt es sich um zwei verschiedene Paar Schuhe.

Mit der DSGVO hat der Gesetzgeber die Informationspflichten präzisiert und umfassender geregelt. Die Auswirkungen hat jeder in der Zeit um das Inkrafttreten der DSGVO bemerkt. Zahlreiche E-Mails haben seitenlange Datenschutzerklärungen an die Nutzer gebracht. Aufgrund der Informationspflichten muss der Verantwortliche den Betroffenen in einfacher Sprache erklären, was er mit den personenbezogenen Daten macht.
Diese Pflicht greift unabhängig davon, ob der die personenbezogenen Daten unmittelbar beim Betroffenen selbst oder bei einem Dritten (z.B. einem Headhunter oder einem sozialen Netzwerk) erhebt. In beiden Fällen muss der Verantwortliche den Betroffenen informieren.

Im Rahmen der Informationspflichten muss der Verantwortliche den Betroffenen unter anderem darüber informieren

Erhebt der Verantwortliche die Daten nicht unmittelbar beim Betroffenen, muss er ebenfalls darüber informieren, aus welchen Quellen er die personenbezogenen Daten erhalten hat.
Sie merken, da kommen schnell ein paar DIN A4-Seiten zusammen.

Arbeitgeber müssen den Betroffenen im Zeitpunkt der Datenerhebung informieren. Erhebt ein Unternehmen die Daten von einem Dritten, muss die Information innerhalb eines Monats erfolgen. Dies gilt unabhängig davon, ob ich als Recruiter ein Online-Karrierepo
In jedem der vorgenannten Fälle muss der Bewerber informiert werden. In einem Online-Karriereportal lassen sich die Informationspflichten regelmäßig unter dem Reiter "Datenschutz" darstellen.
Bei Bewerbungen via E-Mail oder Postbrief müssen Sie die Informationen proaktiv übersenden. Hier empfiehlt es sich, dies gemeinsam mit der Eingangsbestätigung zu tun.

Der Recruiting Prozess muss also in der Weise aufgesetzt werden, dass die Information des Bewerbers immer der erste Schritt sind.

Wichtig ist jedoch, dass diese Informationen keine Aussage darüber treffen, ob die personenbezogenen Daten tatsächlich verarbeitet werden dürfen. Dies ist bereits vorher zu klären. Die Information allein berechtigt also nicht zur Datenverarbeitung. Es versteht sich von selbst, dass die in der Datenschutzerklärung dargestellten Vorgänge datenschutzrechtlich zulässig sein müssen.
Besondere Probleme bereiten die Informationspflichten beim Active Sourcing, also dem Suchen nach geeigneten Bewerbern in sozialen Netzwerken oder anderen öffentlich zugänglichen Quellen.

3. Active Sourcing bei Facebook, Xing, LinkedIn & Co.

Eine große Unsicherheit besteht im Recruiting insbesondere beim Active Sourcing. Denn es ist tägliche Praxis, dass Recruiter in Business-Netzwerken wie Xing oder LinkedIn nach potenziellen Kandidaten suchen. Mit Blick auf die zulässige Erhebung von Beschäftigtendaten zum Zwecke der Begründung eines Beschäftigtenverhältnisses halten wir die Suche nach Kandidaten in berufsorientierten Netzwerken, wie Xing oder LinkedIn, für vertretbar. Die gezielte Suche in privat orientierten Netzwerken wie Facebook jedoch nicht.

Spannend beim Active Sourcing ist die Frage der Informationspflichten. Denn es handelt sich um eine Datenerhebung bei einem Dritten (dem Plattformbetreiber), die grundsätzlich eine Informationspflicht nach Art. 14 DSGVO auslöst. Der Arbeitgeber ist also verpflichtet, die Betroffenen über die durchgeführte Datenerhebung zu informieren - dies muss er spätestens innerhalb eines Monats tun.

4. Backgroundchecks - besser nicht

Ein weiteres Thema, das in der Praxis nach wie vor genutzt wird, sind von Bewerbern via Google und Facebook. Aus datenschutzrechtlicher Sicht ist von der Durchführung solcher Backgroundchecks abzuraten, denn hier dürfte in aller Regel bereits eine Rechtsgrundlage für die Datenerhebung fehlen. Zudem müssen die Informationspflichten (siehe oben) erfüllt werden.

Nach Einschätzung der Datenschutzbehörden sind Backgroundchecks nicht erforderlich, denn der Arbeitgeber hat mit den Bewerbungsunterlagen, durch Bewerbungsgespräche sowie mit der Durchführung von Assessment Centern geeignete Mittel an der Hand, um prüfen zu können, ob ein Bewerber hinreichend qualifiziert ist und zum Unternehmen passt. Bereits aus diesem Grunde sollten Unternehmen hier zurückhaltend agieren. Ein Backgroudcheck kann im Einzelfall aber zulässig sein, beispielsweise wenn der berechtigte Verdacht besteht, dass Angaben im Lebenslauf falsch sein könnten und dem Arbeitgeber kein anderes Mittel zur Kontroller zur Verfügung steht.

5. Weitergabe der Bewerbung im Unternehmen

In den meisten Unternehmen sind mehrere Personen an dem Bewerbungsprozess beteiligt. Aus diesem Grund müssen die Daten über den Bewerber innerhalb des Unternehmens an verschiedene Personen weitergeleitet werden. Dabei handelt es sich um eine Verarbeitung personenbezogener Daten, für die nach der DSGVO ein Erlaubnistatbestand bestehen muss. Dieser ergibt sich - wie oben dargestellt - aus dem Gesetz, so dass die Weitergabe der Daten innerhalb desselben Unternehmens (derselben juristischen Person) an solche Personen zulässig ist, die unmittelbar mit dem Bewerbungsverfahren zu tun haben.

Auch die Weitergabe von Bewerbungsunterlagen innerhalb des Unternehmens unterliegt bestimmten Regeln.
Foto: Frank Merfort - shutterstock.com

Dies gilt insbesondere für Recruiter oder Business Partner, die die Bewerbungsgespräche führen. Das gilt allerdings auch für die zukünftige Führungskraft, die an Bewerbungsgesprächen teilnimmt, und die Letztentscheidung über die Einstellung trifft. Hier ist allerdings besonders auf die Erforderlichkeit zu achten.

Probleme bereitet die Verteilung von Bewerbungsunterlagen mit Blick auf die Pflicht zu Löschung der Daten. Spätestens nach dem Abschluss des Bewerbungsverfahrens müssen die Bewerbungsunterlagen von abgelehnten Bewerbern gelöscht werden.
Es empfiehlt sich daher, Bewerbungsunterlagen nicht inflationär auszudrucken oder per E-Mail zu versenden. In der Praxis empfiehlt es sich, eine zentrale Softwarelösung einzusetzen oder auf einem Share Point zu arbeiten. Dies vereinfacht das spätere Löschen in ganz erheblicher Weise. Insbesondere lassen sich dabei Zugriffsrechte wieder entziehen. Ist eine technische Lösung nicht möglich, müssen entsprechende Arbeitsanweisungen oder Richtlinien erlassen werden, die den Umgang mit ausgedruckten oder per E-Mail übersandten Bewerbungsunterlagen regeln und sicherstellen, dass die Daten gelöscht werden.

Doch auch die Daten eines nach dem Bewerbungsprozess eingestellten Bewerbers dürfen nicht ohne Weiteres in verschiedenen Systemen, E-Mail-Postfächern und Ablagen gespeichert werden. Die Unterlagen müssen zentral in der Personalakte aufbewahrt werden.

Das Unternehmen muss schließlich auch sicherstellen, dass mit den Bewerbungsunterlagen "sicher" umgegangen wird. Bei einem Versand per E-Mail ist eine Verschlüsselung vorzusehen. Sie verhindert, dass der Inhalt der E-Mail durch Unberechtigte zur Kenntnis genommen werden kann, z.B. durch einen Assistenten, der ebenfalls Zugriff auf das Postfach hat. Ebenso sensibel muss mit ausgedruckten Bewerbungsunterlagen umgegangen werden: diese sollten weder offen aufbewahrt noch im Drucker liegen gelassen werden.

6. Die richtigen Fragen im Gespräch

In der täglichen Beratung taucht oft die Frage auf, ob es wegen der DSGVO Änderungen mit Blick auf das Fragerecht des potenziellen Arbeitgebers gibt. Das ist nicht der Fall. Tatsächlich machen die Inhouse Recruitung Teams im Wesentlichen alles richtig. Denn mit Blick auf die AGG-konforme Gestaltung von Bewerbungsgesprächen sind Mitarbeiter im Unternehmen bereits gut sensibilisiert. Für den datenschutzrechtlichen Teil muss man sich merken, dass die Datenerhebung (d. h. die Frage nach einem bestimmten Datum) erforderlich sein muss mit Blick auf die beabsichtigte Begründung des Arbeitsverhältnisses. Demnach besteht hier ein Parallelschutz sowohl durch datenschutzrechtliche als auch diskriminierungsrechtliche Vorgaben.

7. Absage und Datenlöschung

Die Datenerhebung ist immer zweckgebunden. Wenn ein Bewerbungsverfahren abgeschlossen ist und der Bewerber eine Absage erhält, stellt sich die praktische Frage: "wie lange darf ich die Bewerbungsunterlagen aufbewahren"? Denn der Zweck "Datenverarbeitung zur Begründung eines Beschäftigungsverhältnisses" hat sich mit der Absage erledigt.

Diese Art der Entsorgung von personenbezogenen Daten ist sicher nicht im Sinne der DSGVO.
Foto: Elnur - shutterstock.com

Doch stellt auch die Datenverarbeitung zur Abwehr möglicher Ansprüche einen legitimen Zweck dar. Der abgelehnte Bewerber hat ab Zugang der Absage zwei Monate Zeit, um Schadensersatzansprüche wegen etwaiger Diskriminierungen nach dem AGG geltend zu machen. In der Praxis ist es daher kein Problem, wenn Bewerbungsunterlagen nach einem Zeitraum zwischen drei oder vier Monaten ab Absage gelöscht werden. Eine längere Speicherung ist jedoch regelmäßig nicht mehr vertretbar. Eine mögliche Ausnahme wäre, die erforderliche Aufbewahrung von Belegen, wenn Unternehmen den Bewerbern Reisekosten erstatten.

8. Talentpools

Talentpools - sowohl interne als auch externe - sind oft wichtiger Bestandteil des Recruitings. Aus unserer Sicht ist die Aufnahme von Daten in einen Talentpool eines der wenigen Beispiele, bei dem man sehr gut mit einer Einwilligung arbeiten kann.

Interne Talentpools
Der Mitarbeiter muss eine echte Wahl haben, ob er in den Talentpool aufgenommen werden möchte oder nicht. Dann ist die Datenverarbeitung auf Grundlage einer Einwilligung ohne Weiteres zulässig. Typischerweise laufen interne Talentpools über eine bestimmte Software (Stichwort: Sweet HR). In diesen Fällen muss ohnehin das Mitbestimmungsrecht des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG beachtet werden. Daher bietet es sich in solchen Fällen in der Praxis an, die Datenverarbeitung auf Grundlage einer Betriebsvereinbarung nach Art. 88 iVm § 26 Abs. 1 BDSG durchzuführen.

Externe Talentpools
Für externe Talentpools (abgelehnte Bewerber) ist unserer Ansicht nach die Einwilligung die einzige Möglichkeit der zulässigen Datenverarbeitung. Denn eine Betriebsvereinbarung kann nur einen Talentpool für eigene Mitarbeiter, nicht jedoch für Externe regeln. Hinsichtlich der Freiwilligkeit ist es wichtig, die Einwilligung für die Aufnahme in einen externen Talentpool erst nach der Absage einzuholen. Während des laufenden Bewerbungsverfahrens dürfte die Freiwilligkeit ausgeschlossen sein, da der Bewerber ein Interesse an der Stelle hat und demnach selbstverständlich in die Aufnahme in den Talentpool einwilligt (sh. Punkt 1.). Dieser "Einwilligungsdruck" entfällt mit der Absage.

Sowohl bei internen als auch externen Talentpools ist es unter anderem wegen der Datenschutzgrundsätze der Datenrichtigkeit (Art. 5 Abs. 1 lit. d DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) wichtig, Prüfintervalle bezüglich Einwilligung und Aktualität der Daten zu etablieren.

In der Praxis hat sich bewährt, die Teilnehmer an einem Talentpool regelmäßig (beispielsweise einmal jährlich) zu fragen, ob diese im Talentpool bleiben möchten und, falls ja, ob die gespeicherten Daten noch aktuell und richtig sind.
Daneben ist es bei externen Talentpools nicht unüblich, die Daten nach dem Ablauf eines Jahres vollständig zu löschen, es sei denn, der Externe meldet sich aktiv, um länger in dem Talentpool zu bleiben. Auch die Datenschutzaufsichtsbehörden sind der Ansicht, dass eine Einwilligung in die Speicherung in einem Talentpool ein "Verfallsdatum" hat. Ob dies rechtlich haltbar ist, ist fraglich. Es empfiehlt sich dennoch, hier der Auffassung der Datenschutzaufsichtsbehörden zu folgen.

9. Welche Daten kommen in die Personalakte?

Ähnlich wie bei der Frage nach bestimmten Daten im Bewerbungsverfahren hängt es hier davon ab, welche Daten zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Oftmals sind bestimmte Bewerbungsunterlagen beziehungsweise mit der Bewerbung übermittele Daten (bspw. das Anschreiben, Angaben über die Eltern des Bewerbers oder verschiedene Zeugnisse) nach der Einstellungsentscheidung nicht mehr erforderlich. Dennoch werden auch heute noch in vielen Fällen die gesamten Bewerbungsunterlagen 1:1 zur Personalakte genommen.
An dieser Stelle ist es in der Praxis sinnvoll, genau zu prüfen, welche Daten tatsächlich zur Durchführung des Beschäftigungsverhältnisses benötigt werden. Denn mit Blick auf den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) muss die Datenverarbeitung auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dieser Prozess ist daher erforderlich, um eine datenschutzkonforme Personalaktenführung zu gewährleisten.

10. Wie lange dürfen Personaldaten gespeichert werden?

Wegen des Grundsatzes der Speicherbegrenzung ist immer zu prüfen, ob ein personenbezogenes Datum für die Zwecke des Beschäftigungsverhältnisses noch notwendig oder erforderlich ist. Der Arbeitgeber muss ein berechtigtes, billigenswertes und schutzwürdiges Interesse an der weiteren Speicherung der Daten haben.

Des Weiteren ist zu prüfen, ob die jeweiligen Daten gegebenenfalls gesetzlichen Aufbewahrungs- oder Löschfristen unterliegen. Allgemeine Personalunterlagen sind so lange aufzubewahren, wie Ansprüche nach den einschlägigen Ausschluss- und Verjährungsfristen geltend gemacht werden können. Daneben können gesetzliche Aufbewahrungspflichten für besondere Arbeitsunterlagen bestehen (so sind Buchungsbelege bspw. aus steuerrechtlichen Gründen 10 Jahre aufzubewahren).