Heute ist es üblich, dass Bewerberinnen und Bewerber aufgefordert werden, ihre Unterlagen nur über ein Portal in einem bestimmten Format online hochzuladen oder per E-Mail einzureichen. Seit Inkrafttreten der DSGVO und des BDSG, insbesondere § 26 BDSG, sind ihre Rechte gestärkt und die Pflichten für Arbeitgeber verschärft worden. Erfahren Sie in diesem Artikel, worauf es hier beim Datenschutz ankommt.
Wer beim E-Recruiting in Sachen Datenschutz nachlässig agiert, geht Risiken ein. Negative Rechtsfolgen für den Arbeitgeber sind nicht nur die Sanktion mit Bußgeldern nach DSGVO, sondern auch mögliche Schadenersatzansprüche der Bewerberin oder des Bewerbers, u. a. nach AGG. Auf der anderen Seite hat sie oder er selbst in der Hand, wie sie/er sich in den sozialen Netzwerken, in Blogs oder mit einer eigenen Website präsentiert.
Zum E-Recruiting gehört, dass bereits im Vorfeld eines Bewerbungsverfahrens einige organisatorische Maßnahmen zu treffen sind, damit die datenschutzrechtlichen Anforderungen eingehalten werden. Dazu gehören u. a.:
- Konkretes Anforderungsprofil der ausgeschriebenen Stelle – es dient zur Orientierung der zulässigen Fragen bei späteren Auswahlgesprächen mit Bewerberinnen und Bewerbern.
- Besteht die Möglichkeit, sensible Bewerberdaten verschlüsselt zu übermitteln?
- Sind die Zugriffsrechte (z. B. von HR, Führungskraft der Abteilung, Rechtsabteilung, Datenschutzbeauftragter, BR) auf die Bewerberdatenbank eindeutig definiert und begrenzt? Ggfs. ist eine Schulung der Mitarbeiterinnen und Mitarbeiter notwendig.
- Sollte eine Löschfrist für die Bewerbungsunterlagen festgelegt werden? Empfehlung: sechs Monate nach Ende des Bewerbungsprozesses
- Speicherung von Bewerberdaten in einem Pool zur Verwendung für spätere Ausschreibungen max. ein Jahr und nur mit gesonderter Einwilligung der Bewerberin oder des Bewerbers
- Erstellen einer Datenschutzerklärung, die transparent auf die Informationsrechte der Bewerberin oder des Bewerbers nach Art. 13 und Art. 14 DSGVO hinweist. Sie sollte automatisch mit der Eingangsbestätigung versandt werden; Beispiel hierfür bei Grimm/Kühne, ArbRB 2018, 245 ff. (erhältlich als kostenpflichtiger Download bei juris)
- Bei Einsatz von Drittanbietern (Verwenden eines Bewerberportals in einer Cloud) sind diese als Auftragsdatenverarbeiter und gesondert auf die DSGVO zu verpflichten. Der Application Service Vertrag (ASP) muss ebenfalls den Anforderungen der DSGVO genügen.
- Erstellen von Compliance-Richtlinien, diese u. a. intern für alle klären:
- Welche Fragen sind im Bewerbungsgespräch in Verbindung mit dem Anforderungsprofil zulässig?
- In welchem Umfang dürfen Bewerberdaten aus den sozialen Netzwerken verwendet werden (sog. Pre-Employment-Screening bzw. Background-Check)? Bei Karrierenetzwerken wie XING oder LinkedIn wird dies in Grenzen für zulässig erachtet, nicht jedoch bei Facebook oder Twitter.
- Ist das Einholen von Auskünften bei ehemaligen Arbeitgebern zulässig? In der aktuellen Diskussion ist dies streitig.
- Was passiert mit Kopien von Bewerberunterlagen, die auf anderen Rechnern gespeichert werden?
- Was geschieht mit Papierausdrucken nach dem Ende des Verfahrens? Wie sind diese zu vernichten?
Nicht übersehen werden sollte, dass der Arbeitgeber den Betriebsrat im Rahmen der Mitbestimmung in personellen Angelegenheiten nach § 99 BetrVG umfassend zu beteiligen hat. Gleiches gilt auch für die Teilnahme der Schwerbehindertenvertretung (SBV) nach § 95 Abs. 2 SGB IX an Auswahlgesprächen mit schwerbehinderten Bewerbern, sofern diese damit einverstanden sind und die SBV dies für notwendig erachtet.
Es empfiehlt sich, alle Maßnahmen mit dem Datenschutzbeauftragten abzustimmen bzw. sich Rat bei der jeweiligen Landesdatenschutzbehörde einzuholen.
Erste positive Urteile Beschäftigter auf Auskunft nach Art. 15 DSGVO (vgl. LAG Baden-Württemberg Urteil vom 19.12.2018, 17 Sa 11/18, NZA-RR 2019, 242 nicht rk) und Urteile auf Schadenersatz nach AGG wegen Fehler im Bewerberverfahren (z. B. Urteil des BAG vom 11.8.2016, 8 AZR 375/15) zeigen, dass der organisatorische Aufwand im Recruitment notwendig ist.
Vertiefende Quellen und Literaturinfo:
- Amtlicher Text der DSGVO
- Ratgeber Beschäftigtendatenschutz , 4. Auflage 2020 mit Fallbeispielen
- Gola, Das Internet als Quelle von Bewerberdaten, NZA 2019, 654 ff.
Artikelserie Arbeitswelt 4.0
In unserer vierteiligen Beitragsserie klärt RAin Petra Geißinger, Fachanwältin für Arbeitsrecht, über die juristischen Fallstricke hinter der zunehmenden Digitalisierung der Arbeitswelt auf. Im ersten Teil der Serie geht es um die private E-Mail- und Internetnutzung am Arbeitsplatz. Lesen Sie in unseren nächsten Ausgaben folgende Themen: