Gratis
19. Dezember 2017 - Mitarbeitersuche 2.0

Umgang mit Bewerberdaten: Datenschutz beim E-Recruiting

Drucken

Die Digitalisierung der Wirtschaft und öffentlichen Stellen macht auch vor der Suche nach neuen Mitarbeiterinnen und Mitarbeitern nicht halt. Bewerberdaten kommen zunehmend über E-Recruiting-Plattformen in die Personalabteilung. Was heißt das für den Datenschutz?

E-Recruiting geht auch datenschutzkonform Bewerberdaten: Wer online Jobs anbietet, muss ein besonderes Augenmerk auf den Datenschutz haben (Bild: NicoElNino / iStock / Thinkstock)

Unternehmen setzen verstärkt auf digitale Kommunikation, so der Digitalverband Bitkom. In der Folge digitalisiert sich auch die Kommunikation mit Bewerbern immer mehr. Besonders beliebt sind Online-Plattformen, also E-Recruiting- oder Online-Recruiting-Plattformen.

Der Trend zu digitalen Bewerbungsunterlagen darf jedoch nicht dazu führen, dass der Schutz der Bewerberdaten zu kurz kommt.

Der Grundsatz lautet deshalb: Digitale Bewerbungsunterlagen erhalten mindestens den gleichen Schutz wie klassische, papiergebundene Bewerbungen. Zentral ist dabei, die Besonderheiten der Bewerbungsplattformen im Internet zu berücksichtigen.

Rechtsgrundlagen

Welche Rechtsgrundlage gilt für den Datenschutz bei E-Recruiting?

  • Gegenwärtig gilt § 32 Bundesdatenschutzgesetz (BDSG; Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses).
  • Ab 25. Mai 2018 ist Art. 88 Datenschutz-Grundverordnung (DSGVO, Datenverarbeitung im Beschäftigungskontext) anwendbar.
  • Zusätzlich gilt es, die nationale Ausgestaltung dieses Artikels in § 26 BDSG-neu (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) zu berücksichtigen.

Danach dürfen Verantwortliche – also die öffentliche oder nicht öffentliche Stelle / Unternehmen – personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeiten, wenn dies erforderlich ist, um über ein Beschäftigungsverhältnis zu entscheiden oder es zu begründen. Zu diesen „Beschäftigten“ zählt das Datenschutzrecht auch Bewerber.

E-Recruiting: besondere Datenschutz-Anforderungen

Das ist aber kein Freibrief für E-Recruiting. Vielmehr fordert der Gesetzgeber, einem Bewerber alle Betroffenenrechte zu garantieren, die ihr oder ihm die DSGVO / GDPR zugesteht.

Dazu gehören

Empfehlungen der Aufsichtsbehörden zum Online-Recruiting

In den letzten Monaten und Jahren haben die Datenschutz-Aufsichtsbehörden mehrfach auf den Datenschutz bei E-Recruiting hingewiesen.

Diese Hinweise geben die wichtigsten Rahmenbedingungen für das Bewerbermanagement vor:

Besondere Kategorien personenbezogener Daten:

Garantiert die E-Recruiting-Lösung nicht, dass besondere Arten personenbezogener Daten in Bewerbungen ordnungsgemäß verarbeitet werden, muss die Stellen-Ausschreibung im Web einen augenfälligen Hinweis darauf enthalten.

Solange der Verantwortliche – also die öffentliche oder nicht öffentliche Stelle – diesen Mangel nicht behebt, fordern die Aufsichtsbehörden, dass Bewerber der Postweg erhalten bleibt, damit sie ihre Bewerbungen datenschutzkonform übersenden können.

Datenminimierung / Zweckbindung / Datenschutz-Information

Innerhalb eines Web-basierten Verfahrens für Online-Bewerbungen sind Verantwortliche verpflichtet, nur Daten zu erfassen, die erforderlich sind, um Eignung, Befähigung und Leistung für den ausgeschriebenen Ausbildungsgang, Dienstposten oder Arbeitsplatz festzustellen.

Aus den Web-Formularen des Recruiting-Systems – in der Regel umfangreiche Fragenkataloge – muss ein Bewerber erkennen, zu welchem Zweck das Unternehmen oder die öffentliche Stelle seine Daten erfasst.

Sicherheit der Verarbeitung

Die Bewerberdaten müssen ihrem Schutzbedarf entsprechend gegen Missbrauch, Verlust und Manipulation geschützt sein.

Auftragsverarbeitung

E-Recruiting-Plattformen fallen unter die Auftragsverarbeitung, wenn Dienstleister sie betreiben. Sind diese Dienstleister aus Drittstaaten, müssen Verantwortliche zudem die Rechtsgrundlagen für eine internationale Datenübermittlung prüfen.

Löschung / Aufbewahrung

Stellt der Verantwortliche den Bewerber ein, werden die Bewerbungsunterlagen in der Regel Teil der Personalakte. Die Daten dürfen aber nicht pauschal in die Akte wandern, sondern nur in dem Umfang, der erforderlich ist, um das Beschäftigungsverhältnis durchzuführen.

Die restlichen Daten des Auswahlverfahrens sind – unter Beachtung des Allgemeinen Gleichbehandlungsgesetzes (AGG) – zu löschen oder dem Bewerber / der Bewerberin zurückzugeben.

Talent-Pool

Entscheidet sich ein Verantwortlicher, Bewerbungsportale zu nutzen und den Bewerbern die Aufnahme in einen Talentpool (für später verfügbare Stellen) zu ermöglichen, muss er die Datenschutzhinweise konkret formulieren. Die Aufsichtsbehörden fordern insbesondere, dass er auf die jederzeitige Widerrufsmöglichkeit der Einwilligung hinweist.

Verknüpfung mit Profilen aus sozialen Netzwerken

Teilweise bieten E-Recruiting-Plattformen an, die Bewerberdaten mit Daten aus sozialen Netzwerken „anzureichern“. Bei privaten Online-Profilen der Bewerber ist eine solche Datenerhebung unzulässig.

E-Recruiting als Verfahren dokumentieren!

All diese Punkte zeigen die Datenschutzrelevanz eines Verfahrens wie E-Recruiting. Daher darf weder die Prüfung des Verfahrens noch die Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten fehlen.

Stellen Sie sicher, dass Sie im Rahmen des E-Recruitings nichts übersehen – diese Checkliste hilft Ihnen dabei!

Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.