Datenschutz im Personalbeschaffungs- und Bewerbungsprozess
Drum prüfe wer sich ewig bindet & die „Generalerlaubnis“ zum Datensammeln
– Florian Padberg –
Ein Beschäftigungsverhältnis ist bei einigen Arbeitstätigen ein bisschen so wie eine Ehe: Es liegt durchaus viel Emotionalität vor, es gibt gegenseitige Pflichten und Rechte, Vertrauen ist eine zentrale „Zutat“ für ein langes Miteinander, und eine Scheidung kann mitunter richtig teuer werden – vor allem wenn dann die „Schmutzwäsche“ ausgegraben wird.
Durch die von der EU in Kraft gesetzte Datenschutzgrundverordnung (DSGVO) werden die Rechte der betroffenen Personen nachhaltig gestärkt. Ein Aspekt des richtigen und fairen „Miteinander“ im gesamten Verlauf eines Beschäftigungsverhältnisses, aber auch gerade in der Anbahnungsphase, ist der Umgang mit den teils durchaus sensiblen personenbezogenen Daten potenzieller und faktischer Bewerber, dem Personaler & sonstige am Personalbeschaffungsprozess beteiligten Personen nachkommen müssen.
Man muss zugeben, dass in den allermeisten Fällen ein gewisses Machtgefälle zwischen Bewerber und zukünftigem Arbeitnehmer besteht, so dass es üblicherweise die Aufgabe des Unternehmens ist, für den richtigen Datenschutz zu sorgen. Denn ein Bewerber würde im Fall des Falles so ziemlich alles an Informationen anbieten um seine Chancen zu verbessern – auch Daten, die für die Bewerbung eigentlich irrelevant sind. Also muss das Unternehmen entsprechende Prozesse installieren, die den Bewerber vor zuviel Offenlegung schützen.
Keinen Fehler schon vor dem ersten Bewerbungseingang machen
Das fängt bereits beim Anfang der Personalbeschaffung an – der Stellenausschreibung: So ist es gemäß der DSGVO etwa nicht erlaubt, jedweden halbwegs passenden Kontakt, den man als Unternehmen irgendwo in meinen Systemen hat, auf eine solche Ausschreibung hinzuweisen, ihn also aktiv zu selektieren und anzusprechen. Man muss sich zunächst die Frage stellen: Habe ich eine passende Rechtsgrundlage für diesen Zweck (hier reden wir meist von einer Einwilligung, die z.B. beim Aufbau eines Bewerberpools zwingend abzufragen wäre)? Denn nur dann ist eine aktive Ansprache gestattet.
Entspannter ist die Situation bei „Initiativbewerbungen“ oder wenn das Unternehmen seine Stellen auf einem (eigenen oder fremden) Portal veröffentlicht und somit den „Ball“ den potenziellen Bewerbern zuspielt: Hier findet die freiwillige Kontaktaufnahme ja durch den Bewerber = Betroffenen selbst statt. Dieser kann zunächst auch selbst entscheiden, welche und wie viele Informationen er dem suchenden Unternehmen zur Verfügung stellt. Auch hier ist allerdings Zurückhaltung bei den eingeforderten Angaben geboten, es sollten nur Informationen aktiv erbeten werden, die für den Bewerbungsprozess nachweislich relevant sind.
Zusätzlich empfiehlt sich eine interne Vorgabe im Recruitingprozess, die nicht erforderliche proaktiv zugesendete Informationen des Bewerbers gar nicht erst speichert, sondern sie nach kurzer Erläuterung an den Bewerber vernichtet oder zurücksendet – ganz nach dem Prinzip der Datensparsamkeit.
Und die Frage nach der sicheren und zugleich gut im Workflow weiterverarbeitbaren digitalen Übermittlung von Unterlagen haben viele Unternehmen schon beantwortet, indem sie mit sogenannten „Online-Karriereportalen“ mit Uploadfunktion und HTTPS-Protokoll arbeiten.
Vermittler als „Zusatzspieler“ der die Komplexität erhöht?
Die Einschaltung von Headhuntern oder Arbeitsvermittlungen mag auf den ersten Blick ggf. etwas komplizierter erscheinen, weil hier schließlich ein weiterer Beteiligter im Prozess agiert und personenbezogene Daten verarbeitet, jedoch ist hier die Gemengelage eigentlich auch recht klar: Da der Headhunter im Regelfall die Mittel seines Tuns selbst bestimmt und auch eigene Zwecke im Rahmen seiner Talentekontakte verfolgt, ist dieser als eigenständiger Verantwortlicher neben dem suchenden Unternehmen zu sehen, so in etwa wie ein Makler. Es sind also lediglich zwischen dem suchenden Unternehmen und dem Vermittler saubere Datenschutzvereinbarungen zu schließen (üblicherweise eine Geheimhaltungsvereinbarung, nicht jedoch ein Auftragsverarbeitungsvertrag).
Der Bewerber hat zunächst mal einen eigenen Vertrag mit dem Headhunter und muss mit ihm eigenständig vereinbaren, welche Informationen dieser bereits im Rahmen der Anbahnung und Vorprüfung mit interessierten Unternehmen teilt. Sobald der „Vorhang gelüftet“ und der direkte Kontakt zwischen Bewerber und Unternehmen durch den Headhunter etabliert wurde, tritt dieses als weiterer Verantwortlicher bei der Verarbeitung der personenbezogenen Daten des Bewerbers auf.
Arbeitnehmerüberlassung (ANÜ) – ein besonderes Konstrukt, aber dennoch handlebar
Einen gewissen Sonderfall bei der Personalbeschaffung spielt die berühmt-berüchtigte Arbeitnehmerüberlassung (ANÜ). In einem ANÜ-Fall tritt ein Angestellter eines verleihenden Unternehmens umfangreich in die Organisation eines entleihenden Unternehmens ein und ist sogar dessen Weisungen unterworfen.
Da er aber offiziell weiterhin beim Verleiher angestellt ist, entsteht nach herrschender Meinung zwischen Verleiher und Entleiher eine sogenannte „Gemeinsame Verantwortlichkeit“ (auch „Joint Control“ genannt). Hier ist der Joint Control-Vertrag individuell auszugestalten und stellt die Datenschutzvereinbarung zwischen den beiden Verantwortlichen dar.
Ein sauberer Recruiting-Workflow aus Datenschutzsicht
Kehren wir aber zum „normalen“ Recruitingprozess zurück. Die (ersten) Daten des Bewerbers sind nun im Unternehmen angekommen und wollen bewertet werden, um die nächsten Schritte abzuklären. Dazu sind natürlich interne Datenweitergaben bzw. Zugriffe darauf zu regeln. Ein Unternehmen ist dabei gut beraten, den Kreis der Berechtigten möglichst klein zu halten und dies auch durch entsprechende Maßnahmen sicherzustellen.
So sollte im Recruitingprozess ein klares Rollen-Rechte-Konzept umgesetzt werden, das z.B. lediglich eindeutig zugeteilten Personalreferenten und Vertretern der suchenden Fachabteilung den Zugriff die digitale Bewerberakte ermöglicht, und dies auch nur solange wie es notwendig ist.
Die unkontrollierte Versendung von Bewerbermappen per E-Mail ist heutzutage nicht mehr wirklich Stand der Technik und sollte definitiv unterbunden werden, um keine Datenfriedhöfe in den Mailsystemen des Unternehmens entstehen zu lassen.
Auch die Anlage von Bewertungsbögen findet im Idealfall direkt im Recruitingsystem statt und nicht in einer Loseblatt-Sammlung der beteiligten Mitarbeiter – hier hilft eine konsequente Digitalisierung dem Datenschutz.
Am Ende des Bewerbungsprozesses steht dann eine Entscheidungsfindungs-Runde an, die über den weiteren Verlauf befindet (Angebot oder Absage). Im positiven Fall gehen die Daten der Bewerbung dann später in die Personalakte ein. Im Fall einer Absage gibt es meist zwei Möglichkeiten: Entweder man bietet dem abgelehnten Bewerber die Aufnahme in einen „Bewerberpool“ an (Einwilligung mit zeitlicher Begrenzung, üblich sind 2 Jahre), oder man macht eine finale Absage, die nach einer inzwischen in der Breite akzeptierten Aufbewahrungsfrist von max. 6 Monaten (wegen ggf. nötigem Informationszugriff im Fall einer AGG-Klage) zu einer Löschung bzw. echten Anonymisierung führen muss (wenn man nicht personenbeziehbare Daten etwa für statistische Zeitreihen aufbewahren möchte).
Doch Vorsicht: Die Anonymisierung an sich ist ja auch eine Verarbeitung, über die der Betroffene aufzuklären ist und wobei er zumindest ein Widerspruchsrecht haben sollte, und zudem ist eine echte Anonymisierung in Zeiten von Big Data nur schwer zu erreichen, insbesondere je mehr „anonyme“ Daten man von den Bewerbern behalten möchte.
Welche Daten sind (wirklich) erforderlich?
Es wurde ja bereits in Teilen ausgeführt, dass nicht alle verfügbaren Daten zu einem Bewerber auch wirklich erforderlich sind und daher auch nicht ohne Weiteres verarbeitet werden sollten. Intensive Recherchen in privaten Socialmedia-Netzwerken wie Facebook oder Instagram zu einzelnen Bewerbern sollten unterbleiben, denn auch wenn hier enthaltene Informationen sinnvoll für eine Bewerbereinschätzung sein können und sie ja schließlich freiwillig vom Bewerber der Allgemeinheit bereitgestellt werden, muss nicht jeder Plattformnutzer davon ausgehen, dass diese privaten Informationen für Bewerbungen in der Zukunft herangezogen werden (Stichwort Erwartbarkeit). Anders ist das natürlich bei eindeutigen Business-Plattformen wie XING oder LinkedIn, hier liegt es tatsächlich in der eindeutigen Verantwortung des Bewerbers, was er hineinstellt und was ggf. auf dem Tisch des suchenden Unternehmens landet.
Daneben sollte es im Unternehmen klare Vorgaben geben, welche Datenkategorien bei Bewerbungen nachweislich erforderlich sind und welche nicht. Und die gibt es ja allein schon aus arbeitsrechtlichen Gesichtspunkten: Immer mehr früher durchaus übliche oder zumindest nicht unübliche Bestandteile einer Bewerbungsmappe sind heute nicht mehr Usus oder bisweilen sogar verpönt (z.B. Angaben zum Familienstand, Bilder, teilweise sogar das Geschlecht etc.).
Da diese Kategorien inzwischen auch aus Datenschutzsicht problematisch sind, weil den „besonderen Kategorien personenbezogener Daten“ zuzuordnen sein können, sollte gerade in den frühen Phasen der Bewerbung auf alles verzichtet werden, das für die Stelle nicht zwingend nötig ist. Im weiteren Verlauf ergeben sich manche Informationen quasi automatisch, andere werden durch den Bewerber selber ggf. als relevant und entscheidend betrachtet und bereitgestellt – auch mit einer aktiven Strategie der Datensparsamkeit wird eine angemessene Eignungs-Bewertung einer Bewerbung immer möglich sein, wenn der Bewerber klar über die Verarbeitung seiner Daten im Prozess aufgeklärt wird und ein entsprechend vertrauensvolles Verhältnis schon in der Bewerbungsphase entsteht.
Online-Vorstellung als „unangemessene Datenschleuder“?
Online-Vorstellungsgespräche werden oft angebracht im Rahmen von Diskussionen um eine zu große Ausweitung an Datenverarbeitung im Bewerbungsprozess (Stichwort Kritikalität von Bilddaten). Wenn man ein Online-Interview nun aber mit einem klassischen Vor-Ort-Bewerbungsgespräch vergleicht, so stechen einem auch Aspekte ins Auge, die sogar weniger personenbezogene Informationen ergeben: Zeichen von Nervosität wie etwa Schweißausbrüche oder ein Flackern des Blicks fallen online deutlich weniger auf als „live“, auch Schwankungen in der Stimme sind im echten Gespräch viel eher zu erspüren als per Videoschalte. Sollte der Bewerber irgendwelche (unerlaubte oder zumindest unfaire) Hilfsmittel einsetzen, kann dies remote ebenfalls kaum nachgewiesen werden.
Wenn das Online-Gespräch nicht aufgezeichnet und im Nachgang ausgewertet wird, stellt dies streng genommen einfach eine effiziente Alternative zum aufwändigen Vor-Ort-Termin dar und kann so die ein oder andere Situation, in der man ggf. rein auf Aktenlage entscheiden und eine Ablehnung aussprechen würde, nochmal entscheidend positiv für den Bewerber beeinflussen.
Noch so ein Streifall – die Video-Bewerbung
Ein schöner Anwendungsfall für die Diskussion der Erforderlichkeit ist auch die immer beliebter werdende Video-Bewerbung. Hier wird der Bewerber eingeladen, ein kurzes Motivationsvideo von sich zu erstellen und es als zusätzlichen Bewertungsbeitrag in die Bewerbung einfließen zu lassen, meist unter Vorgabe eines kurzen „Drehbuchs“ in Form von Fragen die im Video beantwortet werden sollen.
Die Diskussion ob das nun sinnvoll und erforderlich für die Bewerbung oder nicht ist, kann man auf zwei Ebenen führen: Strikte Kritiker werden einwenden, dass aufgezeichnete Videodaten grundsätzlich deutlich sensibler und kritischer zu bewerten sind als etwa Telefonate und klassische (nicht aufgezeichnete) Vorstellungsgespräche vor Ort. Daher wird die Erforderlichkeit insgesamt in Abrede gestellt. Diese Argumentation greift aber zu kurz, denn sie schiebt ja automatisch sämtlichen Innovationen im Bewerbungsprozess einen Riegel vor, und sie schränkt letztendlich auch diejenigen Betroffenen ein, die durch so eine Maßnahme profitieren, weil ihnen bspw. ein solches Format einfach liegt. Zudem kann es sicherlich einen interessanten Beitrag zur effektiven Eignungseinschätzung eines Bewerbers geben bei Rollen, bei denen ein individuelles Auftreten und „Sich in Szene Setzen“ nicht nur ergänzend sondern zentral wichtig ist, etwa im Verkauf oder bei Schauspielern.
Aber auch bei anderen Positionen kann es sinnvoll sein. Daher sollte lieber abgewogen werden, wo dieses Instrument eher hilfreich für den Bewerber ist und wo es eher eine Belastung und potenzielle „Stolperfalle“ darstellt. Solange dann beim Einsatz auf die wichtigen Prinzipien Transparenz (eindeutige Vorabinformation für Bewerber), Freiwilligkeit (keine Benachteiligung für Nicht-Bereitsteller), Datensparsamkeit (keine unnötigen Aufzeichnungsvarianten werden behalten sondern nur die eine die der Kandidat freigegeben hat), Zugriffsbeschränkung (zeitlich und personell) sowie Speicherbegrenzung (Einschränkung der Verarbeitung sobald die Entscheidung gefallen ist und nachhaltige Löschung zusammen mit der restlichen Bewerbung) geachtet wird, ist solch eine Maßnahme durchaus auch datenschutzkonform zu betreiben.
Datenlöschung – Das große Aufräumen zum Schluss
Zum Abschluss der Betrachtung soll noch einmal auf das Themenfeld Datenlöschung eingegangen werden. Der Grundsatz der Löschpflicht bei Wegfall des Verarbeitungszwecks besteht natürlich auch für Bewerbungen. Die oben beschriebene 6-Monats-Frist bei Ablehnungen stellt eine pragmatische Umsetzung dieser Pflicht dar, die die Interessen beider Seiten berücksichtigt. Auch die selbstauferlegte zeitliche Begrenzung einer Bewerberpool-Einwilligung entspricht den Grundsätzen im Datenschutz und spiegelt die aktuelle Diskussion um ein „Verfallsdatum“ von Einwilligungen generell wider.
Den gesetzeskonformen Prozess unterstützen kann auch bspw. die Herausnahme des „Bewerbungs“-Postfachs aus der automatischen E-Mail-Archivierung, denn so vergisst man diesen möglichen Datenfriedhof beim Löschkonzept Recruiting gar nicht erst. Und ein gutes Löschkonzept sieht auch den adäquaten Umgang mit der sogenannten „Individuellen Datenverarbeitung“ vor, also wie man die unzähligen Listen und Auswertungen in den Griff bekommt, die in den Netzlaufwerken und privaten Speicherorten der involvierten Mitarbeiter schlummern: Bestände regelmäßig durcharbeiten und Nicht Benötigtes löschen – und am besten gar nicht erst in der IDV erfassen. Schließlich sollte man sich auch vergegenwärtigen, dass im Personalbereich das Löschen von personenbezogenen Daten an der Tagesordnung ist (laufende Bereinigung der Personalakte z.B. um verjährende Sachverhalte) – warum sollte dann der Bewerbungsprozess eine Ausnahmen sein?
FAZIT
Der Start einer Beschäftigungsbeziehung ist auf beiden Seiten von der Ungewissheit geprägt, wie das Ganze wohl ausgehen wird. Wenn beide Seiten sich bemühen und miteinander vertrauensvoll umgehen, kann es eine Erfolgstory werden. Ein gewissenhafter und fairer Umgang mit den Daten des Bewerbers und ggf. zukünftigen Mitarbeiters ist einer der Bausteine, die das notwendige Vertrauen schaffen helfen.
Unser Rat: Kümmern Sie sich darum.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen im Personalbeschaffungsprozess erfüllt kontaktieren Sie uns einfach. Wir helfen Ihnen gern!