Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
06. Oktober 2023

Neue Mitarbeiter − was ist aus Datenschutzsicht zu regeln?

Neue Mitarbeiter − was ist aus Datenschutzsicht zu regeln?
Bild: iStociStock.com / AntonioGuillem
3,67 (3)
drucken
Onboarding-Prozesse
Bewerbungs- und Einstellungsprozesse sind ohne personenbezogene Daten undenkbar. Doch Verantwortliche müssen darauf achten, wirklich nur mit solchen Informationen zu arbeiten, die unbedingt erforderlich sind.

In  Ergänzung zu den allgemeinen Pflichten der Datenschutz-Grundverordnung (DSGVO) bei der Verarbeitung personenbezogener Daten regelt § 26 Bundesdatenschutzgesetz (BDSG) für Deutschland weitere Eckpunkte zum Beschäftigtendatenschutz. So umfasst der Beschäftigtenbegriff u.a. Bewerber der Unternehmen (§ 26 Abs. 8 Satz 2 BDSG). Aber Achtung: Der Europäische Gerichtshof (EuGH) hat dieser Rechtsgrundlage im BDSG eine Absage erteilt (siehe Beschäftigtendatenschutz: Paukenschlag des Europäischen Gerichtshofs).

Allgemeine Grundsätze für die Verarbeitung von Mitarbeiterdaten aus der DSGVO

Als allgemeine Grundsätze gelten hier:

  • Rechtmäßigkeit prüfen (Erlaubnis): Eine Rechtsgrundlage muss die Verarbeitung von Bewerber- oder Beschäftigtendaten erlauben.
  • Zweckbindung einhalten: Das verlangt von Arbeitgebern sehr konkret, dass sie Beschäftigtendaten nur für festgelegte, eindeutige und legitime Zwecke (Art. 5 Abs. 1 Buchst. b DSGVO) erheben sowie verarbeiten dürfen. Ferner muss der Arbeitgeber diese Zwecke nachweisen können.
  • Daten minimieren: Es werden nur die Daten verarbeitet, die im Sinne der Datensparsamkeit und Datenvermeidung erforderlich sind.
  • Richtigkeit wahren: Es werden nur Daten zu den Beschäftigten verarbeitet, die sachlich korrekt und richtig sind.
  • Datenspeicherung begrenzen und Daten löschen: Der Arbeitgeber muss die Daten löschen, sobald er sie nicht mehr benötigt.
  • Integrität, Vertraulichkeit und sichere Verarbeitung wahren: Die Datenverarbeitung muss die Grundsätze der Datensicherheit berücksichtigen.
  • Transparenz ist Pflicht: Die Betroffenen müssen über die Verarbeitung ihrer Daten informiert sein und ihre Rechte wahrnehmen können.

Wie setzen Arbeitgeber die allgemeinen Grundsätze in der Praxis um?

  • Die Personalstelle eines Unternehmens kann Lebensläufe und Zeugnisse zum Zweck der Einstellung und der Personalverwaltung verarbeiten. Voraussetzung: Diese Unterlagen sind notwendig, um eine Entscheidung über die Begründung eines Beschäftigungsverhältnisses zu treffen, das Beschäftigungsverhältnis durchzuführen oder es zu beenden (§ 26 Abs. 1 Satz 1 BDSG, nach dem Urteil des EuGH besser Art. 6 Abs. 1 Buchst. b DSGVO).
  • Lebensläufe und Zeugnisse von abgelehnten Bewerbern sollten nur dann und nur so lange in einem Bewerberpool gespeichert oder an andere Unternehmen weitergegeben werden, wie der Bewerber bzw. die Bewerberin dies im Rahmen einer ausdrücklichen Einwilligung gestattet.
  • Belege und Angaben zu Bewerbern in Folge der Reisekostenerstattungen für Vorstellungstermine sollten zehn Jahre zum Zweck der Buchhaltung – und nur dafür! – aufbewahrt werden (§ 257 Abs. 4 HGB in Verbindung mit § 147 Abs. 3 AO).

Recruiting-Prozess datenschutzkonform strukturieren

Was müssen Verantwortliche nun im Zuge der gesetzlichen Rahmenbedingungen beim Onboarding, also bei der Einstellung und Einführung eines neuen Mitarbeiters in seinen Einsatzbereich, beachten? Wie müssen sie ihren Recruiting-Prozess strukturieren?

Informationspflichten erfüllen

Verantwortliche dürfen Bewerbungsunterlagen und Daten zu den Bewerbern also zum Zweck der Entscheidung über die Begründung eines Beschäftigungsverhältnisses verarbeiten.

Wichtig ist allerdings, die Bewerber und Bewerberinnen zu Beginn des Bewerbungsprozesses transparent darüber zu informieren, wie ihre personenbezogenen Daten verarbeitet werden.

Diese Informationen ergeben sich aus Art. 13 und Art. 14 DSGVO. Sie sollten u.a. Hinweise dazu enthalten, welche Daten verarbeitet werden, woher sie stammen, wer sie erhält, wie lange sie gespeichert werden und welche Datenschutzrechte Bewerber und Bewerberinnen haben.

Es spielt kaum eine Rolle, auf welchem Weg Bewerber diese Informationen erhalten. Das kann z.B. passieren über eine automatisierte Eingangsbestätigung, die die erforderlichen Informationen enthält, oder darüber, dass ein Online-Bewerberportal sie unmittelbar zur Verfügung stellt.

Wichtig ist, dass Bewerber diese Informationen auf einem einfachen Weg bekommen. Die individuelle postalische Eingangsbestätigung ist der klassische Weg.

Die Informationspflichten enden übrigens nicht mit dem Bewerbungsprozess. Sie gelten für alle Beschäftigten eines Unternehmens, selbst wenn ihr Beschäftigungsverhältnis bereits beendet wurde.

Social Monitoring

Manche Unternehmen nutzen im Recruiting-Prozess personenbezogene Daten aus dem Social Monitoring, d.h. aus sozialen Netzwerken.

Die damit betrauten HR-Mitarbeiter müssen dabei sicherstellen, dass diese Daten möglichst mit einer ausdrücklichen Einwilligung des Bewerbers zur Verarbeitung in Bewerbungsprozessen versehen sind.

Liegt keine Einwilligung vor, so wäre eine derartige Datenverarbeitung wohl nur auf der Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 Buchst. f DSGVO) zulässig. Und die dabei durchzuführende Abwägung wird in privaten sozialen Netzwerken eher nicht zugunsten des Unternehmens ausfallen.

Daher kann von der Verarbeitung von Bewerbungsdaten, die die Personalabteilung z.B. aus einem privaten Facebook-Profil erhoben hat, nur abgeraten werden.

Anders als bei privaten Sozialen Netzwerken sieht das Ergebnis der Abwägung vermutlich bei beruflichen Netzwerken wie XING oder LinkedIn aus, die Beschäftigte zur Selbstdarstellung nutzen.

Hier darf in der Regel angenommen werden, dass das schutzwürdige Interesse des Bewerbers hinter dem Interesse des potenziellen Arbeitgebers an einer Datenerhebung ohne Mitwirkung des Beschäftigten zurücksteht.

Zu beachten ist hier, dass die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben werden und zu prüfen ist, ob der / die Betroffene nach Art. 14 DSGVO informiert werden muss.

Einstellungstests

Die Fragen eines Bewerbungsbogens sind stets so zu wählen, dass sie „als für die Begründung des konkreten Beschäftigungsverhältnisses erforderlich“ einzustufen sind.

Nutzen Unternehmen Einstellungstests im Rahmen eines Auswahlverfahrens, so sind sie nur erforderlich, wenn kein milderes Mittel zur Verfügung steht.

Eignungstests – z.B. Arbeitsprobe, Leistungstest, Intelligenztest oder Assessments – müssen nachweisbar geeignet und erforderlich sein, um die Eignung des Bewerbers für die freie Position festzustellen.

Allgemeine Intelligenz- oder Persönlichkeitstests, um die Gesamtpersönlichkeit des Beschäftigten einzuschätzen, sind daher vermutlich unzulässig.

Führungszeugnisse & Co.

Neben den Ergebnissen aus Einstellungstests können z.B. ärztliche Bescheinigungen oder ein Führungszeugnis eine wesentliche Rolle spielen, um die berufliche Eignung festzustellen.

Die Daten aus diesen Unterlagen müssen jedoch eine wichtige Voraussetzung sein, um den Beruf ausüben zu können (z.B. Busfahrer, Erzieher). Im Rahmen der Datenminimierung dürfen Verantwortliche also ausschließlich Daten abfragen, die die geforderte Eignung auch tatsächlich nachweisen.

Das Vorstellungsgespräch

Eines der wichtigsten Elemente im Recruiting-Prozess ist das persönliche Vorstellungsgespräch. Aber darf ich in diesem Gespräch denn noch alle Fragen stellen, die früher zur Entscheidungsfindung gedient haben? Spielt die DSGVO an dieser Stelle überhaupt eine Rolle?

Eine der teuersten Investitionen ist die Beschäftigung von neuen Mitarbeitern. Stellt ein Unternehmen z.B. eine junge Frau unbefristet als Sachbearbeiterin mit einem jährlichen Bruttoeinkommen von 40.000 € ein, so ist dies bis zu ihrem Renteneintritt bei einem normalen Beschäftigungsverlauf eine Investition von über 2 Millionen €.

Plant ein Arbeitgeber Ausgaben in diesem Umfang, besteht bei ihm sicherlich ein berechtigtes Interesse an aussagekräftigen Informationen zu potenziellen Beschäftigten.

Hier treffen dann möglicherweise das Interesse des Unternehmens an aussagekräftigen Informationen und das Persönlichkeitsrecht von Bewerberinnen und Bewerbern aufeinander. Grundsätzlich besteht für Arbeitgeber sicherlich das durch die Rechtsprechung entwickelte „Fragerecht des Arbeitgebers“ weiterhin und kann als zulässig eingestuft werden.

Es dürfen im Bewerbungsgespräch und im weiteren Bewerbungsprozess nur solche Informationen erhoben werden, die – je nach Stand des Bewerbungsverfahrens – für die Entscheidungsfindung tatsächlich benötigt werden. Und das sollte der potenzielle Arbeitgeber sorgfältig und nachweislich dokumentieren.

Fragen im Bewerbungsgespräch

Fragen zu bestimmten Stammdaten wie Namen, Anschrift, Telefonnummer und E-Mail-Adresse sind für den Arbeitgeber erforderlich, um mit dem Bewerber Kontakt aufnehmen zu können.

Kritisch wird es, wenn der Bewerbungsprozess Geburtsort, Geburtsname, Alter und Nationalität abfragt. Solche Fragen können Indizien für eine Diskriminierung sein. Arbeitgeber sollten nur dann danach fragen, wenn die Informationen wirklich erforderlich sind.

Fragen nach einer Behinderung, Vorerkrankungen und dem Gesundheitszustand eines Bewerbers sind nur eingeschränkt zulässig. Der Arbeitgeber darf sich danach erkundigen, ob eine Krankheit oder eine Beeinträchtigung des Gesundheitszustands vorliegt, durch die der Bewerber nur eingeschränkt für die vorgesehene Tätigkeit geeignet ist.

Ferner darf er fragen, welche Auswirkungen die Behinderung oder Erkrankung auf die angestrebte Tätigkeit haben, um mit geeigneten Maßnahmen zu unterstützen bzw. den Arbeitsplatz anzupassen.

Solche Fragen könnten Indizien für eine Diskriminierung sein. Nutzen Sie die Fragen nur, wenn sich die Erforderlichkeit konkret nachweisen lässt.

Nach Vorstrafen darf ein Arbeitgeber nur fragen, wenn sie für den Arbeitsplatz unbedingt relevant sind. So wären hier wohl Vorstrafen, die nach der Art ihrer Begehung oder den betroffenen Rechtsgütern objektiv eine besondere Nähe zur vorgesehenen Beschäftigung hätten, zu nennen.

Hat sich z.B. ein Bankkaufmann bei einer Sparkasse beworben, darf das Vorstellungsgespräch nach Vorstrafen zu Vermögensdelikten fragen. Verkehrsdelikte sind dagegen nicht relevant.

Die Frage nach laufenden Straf- und Ermittlungsverfahren ist wohl zulässig, soweit ein solches Verfahren Zweifel an der persönlichen Eignung und Zuverlässigkeit des Bewerbers für den konkreten Arbeitsplatz begründen kann.

Oder wenn das Verfahren die Verfügbarkeit des Bewerbers erheblich einschränken würde, weil ein zukünftiger Arbeitgeber mit umfangreichen Ermittlungen, Untersuchungshaft oder der Verurteilung zu einer Freiheitsstrafe rechnen müsste.

Bewerberunterlagen: Wer bekommt sie, wie lange aufbewahren?

Im Rahmen des Recruiting-Prozesses dürfen Unternehmen die Bewerbungsunterlagen nur den Personen zugänglich machen, die direkt damit befasst sind, die Stelle zu besetzen.

Das ist zumeist der / die zuständige Sachbearbeiter(in) in der HR-Abteilung sowie der unmittelbare Vorgesetzte des möglichen Arbeitnehmers.

Ist eine Entscheidung getroffen, empfiehlt es sich, die nicht mehr benötigten Bewerbungsunterlagen nicht sofort zu löschen, sondern so lange vorzuhalten, dass das Unternehmen der Klage eines Bewerbers aufgrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) entgegnen kann. Solange der Arbeitgeber mit einer solchen Klage rechnen muss, kann er die Bewerberdaten aufbewahren.

Die Frist zur Aufbewahrung der Bewerbungsunterlagen ergibt sich aus § 15 Abs. 4 AGG.

Sie beträgt gemäß dem 25. Tätigkeitsbericht Nr. 5.7.3 des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bei einer ablehnenden Bewerbung sechs Monate ab Zugang der Ablehnung an die Bewerberin oder den Bewerber. Dann sind die Bewerbungsunterlagen zurückzugeben oder ordnungsgemäß zu vernichten.

Personalfragebogen

Im nächsten Schritt benötigt der Arbeitgeber weitere Informationen von seinem neuen Arbeitnehmer. Das passiert in der Regel in Form eines Personalfragebogens.

Bei diesen Angaben handelt es sich um eine Datenverarbeitung zur Begründung des Beschäftigungsverhältnisses. Dabei ist zu beachten, dass die Rechtmäßigkeit der erhobenen Daten nur für solche Daten vorliegt, die für die Begründung des Arbeitsverhältnisses erforderlich sind.

Der Arbeitgeber muss jeweils ein berechtigtes, billigenswertes und schutzwürdiges Interesse daran haben, dass der Beschäftigte die Fragen beantwortet.

Verarbeitung von Mitarbeiterdaten: Verarbeitungsverzeichnis nicht vergessen

Welche Wege die personenbezogenen Daten der Beschäftigten einschließlich der Bewerber nehmen, wie sie verarbeitet und gespeichert werden, wer die Daten zur Kenntnis erhält und wie lange sie gespeichert werden: All das sollte im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu finden sein.

Neue Mitarbeiter auf Vertraulichkeit verpflichten

Neben den Verpflichtungserklärungen für neue Beschäftigte zu den Themen Betriebs-, Telekommunikations- und Steuergeheimnis ist es für jedes Unternehmen empfehlenswert, neue Mitarbeiter nach Art. 29 DSGVO auf die Vertraulichkeit im Umgang mit personenbezogenen Daten zu verpflichten.

Dabei sollten die neuen Mitarbeiter und Mitarbeiterinnen darüber informiert werden, was sie in datenschutzrechtlicher Hinsicht bei ihrer täglichen Arbeit beachten müssen. Diese Vertraulichkeitsverpflichtung sollte der Arbeitgeber ausreichend dokumentieren.

Geeignete Mustervorlagen für die Verpflichtung finden Sie auf der Seite des bayerischen Landesamts für Datenschutzaufsicht unter https://ogy.de/baylda-verpflichtung-beschaeftigte.

Abschließend sei nochmals betont, dass der Arbeitgeber alle genannten Aspekte im Rahmen der Verarbeitungen von Beschäftigtendaten sorgfältig und nachweislich dokumentieren muss. Nur so kommt er der Rechenschaftspflicht von Art. 5 Abs. 2 DSGVO nach!

Unter den Downloads finden Sie abschließend ein zweiseitiges Muster einer Checkliste für neu eingestellte Mitarbeiter.

Arnd Fackeldey

Arnd Fackeldey
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Rechenschaftspflicht
drucken
Verfasst von
Arnd Fackeldey
Arnd Fackeldey
Arnd Fackeldey ist Geschäftsführer der Digital Compliance Consulting GmbH. Als DSB und Auditor unterstützt er Unternehmen bei Design und Einführung von DS-Prozessen sowie DSB und BR bei Kontrollaufgaben.
Verwandte Beiträge
07. Februar 2024
DP+
Was bedeutet die Rechen­schaftspflicht der DSGVO?
Bild: iStock.com / Dacian_G

Was bedeutet die Rechen­schaftspflicht der DSGVO?

Ratgeber
Rechenschaftspflicht
09. Januar 2024
Die Schwelle für einen erlittenen Schaden setzte der EuGH denkbar niedrig an
Bild: iStock.com / AndreyPopov

Hackerangriff: Ist das Opfer zum Schadensersatz verpflichtet?

Urteil
Cybersicherheit Rechenschaftspflicht Urteil
13. September 2023
DP+
Nicht jeder IT-Sicherheitsvorfall ist eine Verletzung des Schutzes personenbezogener Daten. Aber jede Verletzung des Schutzes personenbezogener Daten ist ein Sicherheitsvorfall.
Bild: iStock.com / GOCMEN

Datenschutzpannen: Neue Leitlinien des EDSA

Ratgeber
Rechenschaftspflicht
20. Juni 2023
Die Löschung von Daten müssen Verantwortliche auch nachweisen können
Bild: iStock.com / Invincible_Bulldog

So lässt sich die Löschung von Daten dokumentieren

Ratgeber
Rechenschaftspflicht
30. April 2023
Ein Datenschutzmanagementsystem hilft dabei, die Rechenschaftspflicht zu erfüllen
Bild: xpoint / iStock / Thinkstock

DSGVO: Anforderungen an ein Datenschutzmanagementsystem

Ratgeber
Rechenschaftspflicht
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.