Gratis
6. November 2018 - Datenschutz-Prüfungen

Fragebogenaktion des BayLDA zu Bewerberverfahren

Drucken

Der Beratungsaufwand der Aufsichtsbehörden ist derzeit immens. So bleibt kaum Zeit, ihren Überwachungs- und Durchsetzungsaufgaben nachzukommen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat u.a. auf der gemeinsamen Herbstkonferenz des BvD, des LfDI Baden-Württemberg und des BayLDA einige geplante Prüfungen veröffentlicht.

Das BayLDA prüft aktuell Bewerberverfahren auf DSGVO-Konformität Das Bayerische Landesamt für Datenschutzaufsicht prüft aktuell Bewerberverfahren auf DSGVO-Konformität (Bild: iStock.com / golero)

Demnach hat die bayerische Datenschutzaufsicht für den nichtöffentlichen Bereich zunächst folgende Prüfungen auf der Agenda:

  • Prüfung zur Cybersicherheit: Einsatz von Verschlüsselungstrojanern bei Arztpraxen (erstmal 8 Praxen)
  • Prüfung zur Rechenschaftspflicht bei 15 Mittelständlern,
  • Prüfung zum Patchmanagement bei (geplanten) 15 Online-Diensten und
  • Prüfung bei erst einmal 15 Unternehmen zur Erfüllung der Informationspflichten im Bewerbungsverfahren.

Im Zuge der letztgenannten Kontrolle hat das BayLDA einen Fragebogen versendet, den die Verantwortlichen innerhalb eines Monats beantworten müssen.

Gut geeignet für ein Datenschutz-Selbstaudit

Die Fragen eignen sich auch für ein Selbstaudit im Unternehmen. Sie bieten darüber hinaus – soweit erforderlich – Gelegenheit, an diesem praktischen Beispiel die Vorteile eines funktionierenden Datenschutzmanagement-Systems aufzuzeigen.

Im Folgenden seien die Fragen (zum Teil verkürzt) dargestellt und Anregungen für interne weitere Fragestellungen gegeben.

Wie kommen Sie als potentieller Arbeitgeber im Bewerbungsverfahren Ihren Informationspflichten gegenüber Bewerberinnen und Bewerbern nach?

Die meisten größeren Unternehmen setzen Online-Bewerbungsverfahren ein. In dessen Ablauf lässt sich der Bewerber auf die erforderlichen Informationen nach Art. 13 DSGVO hinweisen.

Klären Sie aber auch ab, ob es nicht noch immer Papier-Initiativbewerbungen gibt und welche Informationen die Bewerber mit der Eingangsbestätigung erhalten.

Beachten Sie, dass die Aufsichtsbehörden gerade beim Beschäftigtendatenschutz eine Information erwarten, die für die Zielgruppe der Beschäftigten passt. Eine pauschale Information, die auch für Kunden und Lieferanten zum Einsatz kommt, sehen sie sehr kritisch.

In welchen Fällen werden im Bewerbungsverfahren Rückfragen beim früheren Arbeitgeber gestellt? Auf welche Rechtsgrundlage stützen Sie diese Rückfragen?

Ist organisatorisch geregelt, dass eine Kontaktaufnahme mit dem bisherigen oder einem früheren Arbeitgeber ausschließlich mit Einwilligung des Bewerbers erfolgt?

Wenn nein, nutzen Sie diese Frage, um die Kollegen im Personalbereich dafür zu sensibilisieren.

Welche Abteilungen oder Bereiche haben im Unternehmen Zugriff auf die Bewerbungsunterlagen? Erhalten diese die Unterlagen elektronisch oder in Papierform?

Ein Online-Bewerbersystem steuert oftmals die Bewerberverwaltung mit Zugriffsberechtigungen zentral. Eine Rechtvergabe regelt dabei die Zugriffsmöglichkeiten.

  • Gibt es darüber hinaus die Möglichkeit, Unterlagen auszudrucken oder abzuspeichern?
  • Ist organisatorisch geregelt, wie die Mitarbeiter damit umgehen, wenn parallel Unterlagen intern per Mail versendet werden?

Diese Thematik eignet sich gut, zu den Grundlagen der Datenminimierung zu sensibilisieren. Außerdem lässt sich aufzeigen, welche Risiken darin stecken, wenn Mitarbeiter standardisierte Prozesse umgehen können.

Wie stellen Sie sicher, dass die Bewerbungsunterlagen nach Abschluss des Bewerbungsverfahrens in den Abteilungen oder Bereichen wieder gelöscht werden?

Wer eine zentrale Bewerberverwaltung einsetzt, sollte die Löschung über technische Regelungen im Griff haben.

Wie lässt sich aber die Löschpflicht bei einer dezentralen Verarbeitung der Bewerbungsunterlagen sicherstellen, wenn sich jeder Teilnehmer am Vorstellungsgespräch die Unterlagen ausdruckt?

Der Bewerbungsvorgang an sich wird nicht ganz gelöscht werden müssen. Das gilt insbesondere, wenn es um Aufbewahrungspflichten geht, etwa um Reisekosten zu einem Vorstellungsgespräch zu erstatten.

Wann werden die Daten der abgelehnten Bewerberinnen und Bewerber gelöscht?

Ist die zu besetzende Stelle vergeben, ist der Zweck der Verarbeitung der personenbezogenen Daten aus dem Bewerbungsverfahren erfüllt.

Um eine ordnungsgemäßen Entscheidung ohne Benachteiligung nachzuweisen, sollten die Unterlagen aus dem Bewerbungsverfahren jedoch aufbewahrt werden.

Die Aufsichtsbehörden akzeptieren hierfür einen Zeitraum bis maximal 6 Monate ohne weitere Begründung. Denn der Arbeitgeber muss sich gegen Ansprüche aus § 21 AGG (Allgemeines Gleichbehandlungsgesetz) verteidigen können.

Sollen die Unterlagen aus dem Bewerbungsverfahren auch anderen, eigenständigen Unternehmenseinheiten eines Konzerns zur Verfügung stehen, muss die Personalabteilung dies dem Bewerber mitteilen. So hat er die Wahl, dem zu widersprechen.

Existiert in Ihrem Verzeichnis der Verarbeitungstätigkeiten ein Eintrag für Bewerbungsverfahren? Falls ja, bitten wir Sie, uns diesen Ausschnitt aus ihrem Verzeichnis zuzuschicken. Falls nein, warum ist das nicht im Verzeichnis der Verarbeitungstätigkeiten aufgeführt?

Diese Frage eignet sich gut, um intern darauf hinzuweisen, wie wichtig das Verzeichnis der Verarbeitungstätigkeiten ist. Und dass Mitarbeiter Änderungen bei den Verarbeitungsvorgängen melden müssen.

Auf kritische Fragen der Datenschutzaufsicht gefasst machen

Dieser Fragebogen zeigt, dass die Aufsichtsbehörden sehr gezielt einzelne Verarbeitungssituationen kritisch hinterfragen.

Sollte die Datenschutzaufsicht die Rückmeldungen – natürlich anonym – veröffentlichen, lassen sich daraus auch Rückschlüsse auf ein Best-Practice-Verfahren ableiten.

Rudi Kramer
Rudi Kramer ist Syndikusanwalt in Nürnberg und engagiert sich als Dozent bei der Initiative „Datenschutz geht zur Schule“ des BvD e.V.