Umgang mit sensiblen Bewerberdaten im Homeoffice
Die zunehmende Digitalisierung bringt im Bewerbungsprozess zahlreiche Vereinfachungen. Gebraucht wird nur das Folgende: PDF-Datei mit Anschreiben, Lebenslauf, Anlagen, E-Mail und versandt. Was auf der Bewerberseite jetzt einfacher geworden ist gilt auch auf der Arbeitgeberseite. Unauffälliges Profilbild, kein passender Einleitungssatz, Rechtschreibfehler, Flüchtigkeitsfehler, Ablage P. Die Zeitersparnis durch die Digitalisierung ist praktisch. Aber Spaß beiseite. Wie geht man mit diesen sensiblen Bewerberdaten eigentlich um?
Wie die neuen Regelungen der DSGVO in den Bewerbungsprozess eingreifen
Es ist natürlich nicht so einfach in Zeiten des Fachkräftemangels ein passgenaues Profil zu finden. Warum also einen sympathischen Bewerber*in nicht einfach noch eine Zeit lang für die nächste Ausschreibung abspeichern? Aber ist das überhaupt zulässig? Wie verhalte ich mich datenschutzkonform fragen sich die Arbeitgeber? Mit der am 25.05.2018 umgesetzten DSGVO hat der Gesetzgeber den Umgang mit sensiblen Bewerberdaten neu geregelt. Hintergrund war die Harmonisierung der Rechtsvorschriften von allen EU-Mitgliedsstaaten.
Jedem Kandidaten*in soll mit der neuen DSGVO die Möglichkeit gegeben werden, seine Unterlagen verschlüsselt zu versenden. Das ergibt sich schon aus der Problematik, dass Bewerbungsunterlagen ein ganzes Berufsleben beinhalten und damit sehr sensible Daten verkörpert werden.
Eine neue gesetzliche Anforderung ist nach Art. 13 DSGVO, dass Bewerber*innen bei Eingang der Unterlagen über die Art, Verwendungszweck und Dauer der Datenverarbeitung informiert werden. Die in der damit verbundenen automatischen Eingangsbescheinigung enthaltenen Informationen werden in der Vorschrift ebenfalls aufgelistet.
Die Zweckbindung der Datenverarbeitung meint dann aber auch, dass die Daten dann zu löschen sind, wenn sie nicht mehr gebraucht werden, also jemand anderes als der abgewiesene Bewerber*in für die ausgeschriebene Stelle eingestellt worden ist. Ausnahmen ergeben sich jedenfalls dann noch daraus, dass der nicht berücksichtigte Bewerber*in entsprechende Klageverfahren anstrengen könnte – Buluscheck et. al., 2019, S.2. Das kann schon dann der Fall sein, sobald sich Fragen der Diskriminierung nach dem AGG (Allgemeines Gleichbehandlungsgesetz) stellen. Dieses Gesetz verbietet Diskriminierungen wegen der Rasse, dem Geschlecht oder wegen des Alters. Wenn und soweit entsprechende Diskriminierungen vorliegen, können entsprechende Schadensersatz- und Entschädigungsansprüche gegen den potentiellen Arbeitgeber geltend gemacht werden.
Solche Ansprüche sind nach § 15 Abs.4 AGG innerhalb von zwei Monaten ab dem Zugang der Ablehnung geltend zu machen. Um sich in solchen Prozessen entsprechend verteidigen zu können, muss es ihm erlaubt sein, die Daten auch nach der Ablehnung des Bewerbers*in aufzubewahren. Wie lange diese Aufbewahrungsfristen sind wird nicht einheitlich beurteilt. Angemessen sind in solchen Ausnahmefällen zwei bis sechs Monate.
Der Arbeitgeber muss also um Erlaubnis durch die Einverständniserteilung des Berechtigten nachsuchen, sobald die Zwecke, die eine weitere Aufbewahrung der personenbezogenen Daten rechtfertigen entfallen sind. Entsprechend der DSGVO ist der Bewerber*in vor der Abgabe seines Einverständnisses darauf hinzuweisen, dass er seine Einwilligung jederzeit widerrufen kann (Art. 21 DSGVO). Ebenso verhält sich dies in Fällen, in denen der Arbeitgeber sich einen sogenannten Bewerberpool anlegen möchte, um im Bedarfsfall direkt auf die fachkundigsten Bewerber*innen zurückgreifen zu können.
Ein anderer Punkt ist, dass laut Art. 15 DSGVO Bewerber*innen von den Unternehmen, bei denen sie sich beworben haben, umfangreiche Auskünfte über die gespeicherten Daten verlangen dürfen. Für das Personalmanagement gilt daher im Zweifel die Zweckgebundenheit durch zusätzliche interne Vermerke nachzuweisen.
Soweit sich die Bewerber*innen in ihren Rechten aus dem DSGVO verletzt sehen, haben sie nach den Art. 77 ff. DSGVO gleich mehrere Beschwerde- und Rechtsbehelfsrechte über die zuständigen Behörden sowie das Recht auf effektiven Rechtsschutz. Außerdem sind Haftungs- und Schadensersatzregelungen enthalten (Art. 82 DSGVO). Darüber hinaus können Sanktionen nach dem Gesetz mit Geldbußen von bis zu 20.000.000,- € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden (Art. 83 f. DSGVO).
Management zur Integration der neuen Datenschutzvorgaben im Bewerbungsprozess
Schon um die neuen sowie empfindlichen Sanktionen und Geldbußen zu vermeiden, ist es sehr wichtig neue Standards und Maßnahmen zur Einhaltung der Pflichten und Vorgaben der DSGVO einzurichten. Das Bewerbungsverfahren sollte mit einer Aufnahme des aktuellen Bewerberbestandes beginnen.
Damit beginnt aber auch schon die erste Frage danach, wer die personenbezogenen und sensiblen Bewerberdaten einsehen darf. Das sind denklogisch diejenigen Personen, die mit dem Einstellungsverfahren üblicherweise, beziehungsweise nach den im Unternehmen eingerichteten Strukturen vorgesehen sind.
Das ist natürlich zunächst einmal der Arbeitgeber, aber auch der Personalchef*in, beziehungsweise der entsprechende Sachbearbeiter*in. Soweit vorhanden, also bei einer entsprechenden Unternehmensgröße hat natürlich auch der Betriebsrat das Recht auf Einsicht in die Bewerbungsunterlagen.
Um die Einhaltung des Datenschutzes sicherzustellen, sollten sich die beteiligten Mitarbeiter*innen über die Funktionen absprechen. Von Gesetzes wegen obliegt nach Art. 39 DSGVO natürlich dem Arbeitgeber diese Aufgabe. Aber auch der vorhandene Betriebsrat hat hierbei gemeinsam mit dem Datenschutzbeauftragten mitzuwirken.
Aus Gründen der Sicherung einer fachgerechten Durchführung des Bewerbungsprozesses sollten an dieser Stelle die erforderlichen notwendigen, technischen und organisatorischen Maßnahmen zur Vermeidung der späteren Realisierung von Datenschutzrisiken untersucht werden.
Außerdem ist sowohl eine den neuen Datenschutzkriterien genügende Versandmöglichkeit für den Bewerber zu schaffen. Das schließt bereits aus, dass fremde Dritte unbefugt die sensiblen Bewerberdaten widerrechtlich auslesen und verwerten. Das gilt natürlich auch für die Zugriffsmöglichkeiten der mitgeteilten Daten in dem Unternehmen selbst.
Folglich sind die Abläufe und Prozesse des Bewerbungsverfahrens so auszugestalten, dass Zugriffsrechte von unzuständigen Dritten ausgeschlossen werden. Das beinhaltet zum Beispiel einerseits den nur passwortgeschützten Zugriff auf die Bewerbungen und die Einrichtung der automatischen Eingangsbestätigung, unter Erfüllung der aus der DSGVO folgenden Informationspflichten. Außerdem ist die zeitnahe Löschung der zweckgebunden erhobenen Bewerberdaten sicherzustellen. Aufgrund der empfindlichen Bußgelder und Sanktionen ist aus Gründen der verbesserten Beweissicherung für eine notwendige Verfahrensdokumentation zu sorgen. Sämtliche Prozesse sind in diesem Zusammenhang nochmals separat zu erfassen.
Die beschriebenen Schritte sind einfache, strukturelle und organisatorische Maßnahmen, die den Datenschutz gewährleisten sollen. Von daher ist aus Gründen der effizienten Durchführung daraus zu drängen, dass die beteiligten Stellen sich mit dem Datenschutz auseinandersetzen. Das kann mit Schulungen geschehen, um ein entsprechendes Bewusstsein zu schaffen. Denn schon an dieser Stelle kann die vorbereitete Durchführung spätere Rechtsstreitigkeiten und Bußgelder vermeiden helfen.
Interessiert an unserem Produktportfolio?
Sie sind auf der Suche nach einer reichweitenstarken und individuellen Stellenanzeige oder möchten Ihr Employer-Branding etwas aufleben lassen? Kein Problem, wir haben mit Sicherheit das perfekte Produkt für Sie. Auch spezielle Leistungen, um noch mehr Reichweite generieren zu können finden Sie bei uns im Portfolio. Schauen Sie doch einfach mal vorbei!
- Kategorie: Homeoffice, Recruiting
- 02. Juni 2020
Verwandte Artikel
Automatisierte Verarbeitung der Bewerberdaten
