Datenschutz bei einem Bewerberpool

Datenschutz bei einem Bewerberpool

Inzwischen dürfte allgemein bekannt sein, wie mit Bewerberdaten umzugehen ist, um die in diesen Dokumenten enthaltenen personenbezogenen Daten zu schützen. Ist allerdings die DSGVO-konforme Nutzung von Bewerberdaten in einem Bewerberpool bekannt? Wenn nicht, dann informieren wir im Folgenden näher über den Datenschutz bei einem Bewerberpool.

Bewerberdaten

Unter Bewerberdaten sind jegliche personenbezogenen Daten zu verstehen, die einem Unternehmen während eines Bewerbungsprozesses über eine betroffene Person bekannt werden. Dies können beispielswiese folgende sein:

1)  Namens-,
2)  Kontakt-,
3)  Geburtsdaten,
4)  Familienstand,
5)  Daten zum persönlichen Werdegang,
5)  Zeugnisse,
6)  Notizen aus einem Bewerbungsgespräch und
7)  jegliche zusätzlichen Informationen, die ein Bewerber im Laufe des Auswahlverfahrens über sich preisgibt (dies kann sich auch auf personenbezogene Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO beziehen).

Aufbewahrungsfrist

Generell und ohne Blick auf andere Gesetze wären die Bewerberdaten von abgelehnten Bewerbern gemäß Art. 17 DSGVO sofort zu löschen, da nach der Absage der Verarbeitungszweck entfällt. Ein Unternehmen darf die Bewerbungsunterlagen auch nicht für andere als die ursprünglich ausgeschriebene Stelle verwenden. Dem steht aber § 15 AGG (Klage wegen Benachteiligung) i. V. m. § 61b Abs. 1 ArbGG entgegen. Sollte ein Bewerber sich durch die Bevorzugung eines zukünftigen Beschäftigten in diskriminierender Weise benachteiligt fühlen, kann er eine Klage auf Entschädigung innerhalb von drei Monate einreichen. Deshalb ist es zu empfehlen, die Bewerberdaten mindestens für diese Zeit aufzuheben (wobei noch die Zeit der Zustellung der Klage einzukalkulieren ist), um gegebenenfalls beweisen zu können, dass ein Unternehmen bei der Auswahl des neuen Beschäftigten allein nach den Qualifikationen, der Eignung und der Erfahrung entschieden hat. Nach Ablauf dieser Frist gibt es allerdings generell keinen Grund mehr, diese Daten aufzubewahren.

Aussagen der Landesbeauftragten

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gibt in seinem 25. Tätigkeitsbericht zum Datenschutz für die Jahre 2013 und 2014 an, dass er eine sechsmonatige Frist zur Vernichtung der Unterlagen abgelehnter Bewerber für realistisch hält. Dies findet man im Bereich unter Punkt 5.7.3 Elektronische Bewerbungen auf dem Vormarsch.

Gemäß dem Bayerischen Landesbeauftragten für den Datenschutz sind die Daten spätestens nach sechs Monaten zu löschen (die Aussage finden Sie im 25. Tätigkeitsbericht von 2012 unter Punkt 11.8.2. hier).

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg geht dagegen von vier Monaten aus. Allerdings wird bei dieser Einschätzung § 61b Abs. 1 ArbGG übersehen. So zieht dieser § 15 Abs. 4 AGG heran. Demnach ist eine Frist von zwei Monaten angesetzt, sofern ein Bewerber eine Benachteiligung geltend machen möchte. Um etwaige zeitliche Verzögerungen bei der Zustellung zu beachten, werden aus Kulanz zwei weitere Monate hinzugefügt. Nachlesen können interessierte Personen dies im Ratgeber Beschäftigtendatenschutz (in der 4. Auflage mit Stand April 2020) des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg unter „Mit alten Bewerbungsunterlagen zum neuen Job?“ hier.

Bewerberpool

Nun gibt es allerdings unter bestimmten Umständen den Wunsch, die Bewerbungsunterlagen einer Person unabhängig von einer konkreten Stelle für künftige offene Stellen aufzuheben. Ein Grund könnte sein, dass die Personalabteilung weiß, es wird zukünftig eine Stelle frei werden, für die die Person gut geeignet sein wird. Beruht der Eingang der Bewerbungsunterlagen auf einer Initiativbewerbung, kann es vorkommen, dass zum jeweiligen Zeitpunkt keine adäquate Position verfügbar ist, aber eventuell in der Zukunft.

Die Rechtsgrundlage zur Verarbeitung der Bewerberdaten

Bewirbt sich eine Person auf eine Stelle oder initiativ bei einem Unternehmen, darf es diese Daten ohne explizite Einwilligung verarbeiten. Die Rechtsgrundlage hierfür ist nach Art. 88 DSGVO die Regelung zur Beschäftigtendatenverarbeitung in § 26 Abs. 1 BDSG, der die Verarbeitung u. a. zur Begründung von Beschäftigungsverhältnissen erlaubt – die Verarbeitung der Daten dient vorvertraglicher Maßnahmen (für den gewünschten Arbeitsvertrag). Möchte eine Firma die Bewerberdaten jedoch darüber hinaus aufbewahren, muss sie sich die Einwilligung des Bewerbers einholen, um die Anforderungen für eine DSGVO-konforme Verarbeitung zu erfüllen. Hierbei ist übrigens Art. 6 Abs. 1 a) DSGVO (Einwilligung) die korrekte Rechtsgrundlage. Nach Art. 7 DSGVO ist die Einwilligung nur wirksam, wenn sie freiwillig erfolgt und vor allem auf einer verständlichen Information darüber, wer warum wofür und wie lange die Daten verarbeiten möchte, beruht. Es biete sich an, die nach Art. 13 DSGVO ohnehin erforderliche Datenschutzinformation damit zu verknüpfen.

Aufbewahrung der personenbezogenen Daten im Bewerberpool

Wenn ein Arbeitgeber sich die Einwilligung einholt, die Bewerberdaten in einem Bewerberpool speichern zu dürfen, ist es empfehlenswert auch hier anzugeben, für wie lange er plant, diese Daten aufzubewahren. Generell erscheint eine Dauer von sechs bis zwölf Monaten beispielweise angemessen. Widerruft eine Person ihre Einwilligung allerdings, sind die Daten sofort zu löschen. Es ist auch wichtig, zu beachten, diese Daten nur für die angegebenen Zwecke zu nutzen.

Dokumentation in einem Datenschutzmanagementsystem

Alle Datenverarbeitungsprozesse in Bezug zum Bewerbungsprozess sollten in einem Datenschutzmanagementsystem dokumentiert werden. Der Prozess muss in einem Verarbeitungsverzeichnis nach Art. 30 DSGVO inklusive der technischen und organisatorischen Absicherung der Daten beschrieben sein.

Wer sich bei der Beschäftigtensuche durch einen externen Dienstleister unterstützen lässt oder arbeitsteilig in einem Konzern zusammenarbeitet, muss dies zum einen im Rahmen der Datenschutzinformation transparent machen. Zum anderen muss der Verantwortliche abwägen, auf welcher Rechtsgrundlage der Dienstleister (bspw. IT-, Personaldienstleister, Cloud-Anbieter, zentrale Personalabteilung im Konzern etc.) die Bewerberdaten verarbeiten darf. Hierbei ist zu prüfen, ob ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden muss oder ob ein Fall gemeinsamer Verantwortlichkeit vorliegt, der ebenfalls gesetzlich zwingend gemäß Art. 26 DSGVO vertraglich zu regeln ist.

Fazit

Wann immer Sie als Unternehmer personenbezogene Daten anderer Individuen verarbeiten, sollten Sie sichergehen, dass Sie diese Daten gemäß der DSGVO verarbeiten, schützen und all Ihren Pflichten nachkommen. Somit handeln Sie nicht nur zum Vorteil Ihrer Firma  (Sie vermeiden Abmahnungen, Bußgelder oder/und Schadenersatz- und Schmerzensgeldklagen), sondern auch zu dem Ihrer potentiellen Beschäftigten.

Wenn Sie Hilfe bei der korrekten Handhabung von Bewerber- oder sonstigen Daten und  bei der Einführung eines Datenschutzmanagementsystems benötigen, zögern Sie nicht, uns zu kontaktieren. Wir helfen gern.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.