Haben Sie schon einmal überlegt, wie viele personenbezogene Daten der Empfänger einer Bewerbung auf einen Schlag bekommt? – Viele! Und gerade deswegen ist der Schutz von Bewerberdaten ebenso wichtig wie der Schutz von Mitarbeiterdaten.
Mit Bewerberdaten ist sorgsam umzugehen, denn auch dabei handelt es sich um personenbezogene Daten, zum Teil sogar um sensible Daten. Die Die DSG-VO (siehe dazu den HRweb-Artikel Datenschutz-Grundverordnung | Must Know für HR) schützt auch die Daten von Bewerbern. Arbeitgeber müssen mit solchen Daten sensibel umgehen, um die hohen Strafen und sonstige Nachteile zu vermeiden (siehe dazu HRweb-Artikel Datenschutzrecht Österreich Neu – ein Update).
Um welche Daten geht es?
Das Datenschutzrecht schützt personenbezogene Daten. Im Rahmen eines Bewerbungsprozesses erhalten Personalberater, potentielle Arbeitgeber und die für diese handelnden Personen zahlreiche personenbezogene Daten über Bewerber – Name, Adresse, Telefonnummer bis hin zu Familienstand, Religionsbekenntnis und Daten der Kinder.
Der Bewerber muss darauf vertrauen können, dass seine personenbezogenen Daten nicht ohne seine Zustimmung weitergeben oder veröffentlicht werden und auch nicht für andere Zwecke als die konkrete Bewerbung weitergegeben werden.
In welchem Ausmaß dürfen Bewerberdaten verarbeitet werden?
Nach den allgemeinen Grundsätzen des Datenschutzrechts dürfen auch im Bewerbungsprozess nur jene personenbezogenen Daten erhoben werden, die für die Bewerbung auch tatsächlich benötigt werden. Die Sozialversicherungsnummer oder Angaben zu Kindern sind beispielsweise im Rahmen der Bewerbung nicht erforderlich, sondern erst ab Eintritt des Arbeitnehmers. Aus diesem Grund empfiehlt es sich, standardisiert vorzugeben, welche Daten von Bewerbern übermittelt werden sollen. Zahlreiche Daten, die mit individuellen Bewerbungen übermittelt werden, sind für die Bewerbung nicht erforderlich. Sie sollten daher auch nicht gespeichert oder sonst verarbeitet werden!
Wichtig ist im Rahmen der erforderlichen technischen Sicherheitsmaßnahmen weiters, dass innerbetriebliche Prozesse zum Schutz implementiert und die Zugriffsberechtigungen limitiert sind. Bewerberdaten dürfen auch innerhalb des Unternehmens nicht einfach weitergeleitet, in Datenbanken eingespielt oder sonst außer für die konkrete Bewerbung verwendet werden.
Besondere Vorsicht ist geboten, falls automatische Vorselektionen getroffen werden. Hierfür gelten besondere Anforderungen und Hinweispflichten.
Ist eine Zustimmungserklärung die Lösung?
Jede Datenverarbeitung braucht eine legitime Grundlage. Eine davon ist die Zustimmung/Einwilligung des Betroffenen. Zustimmungserklärungen (ab Mai 2018: Einwilligungen) müssen den Grundsätzen des Datenschutzrechts entsprechen. Es muss geprüft werden, ob eine bereits in Ihrem Unternehmen in Verwendung stehende Zustimmung den Voraussetzungen der DSG-VO entspricht (siehe dazu auch: Datenschutzrecht Österreich Neu ist da – Datenschutz Anpassungsgesetz 2018 beschlossen). Falls derzeit im Rahmen der Bewerbung noch keine Zustimmung eingeholt wird, muss geprüft werden, ob eine solche nicht sinnvoll sein kann und wie diese ausgestaltet werden soll.
Eine Zustimmung/Einwilligung von Bewerber ist insbesondere in nachstehenden Fällen empfehlenswert, wobei aber stets darauf zu achten ist, dass die Zustimmung/Einwilligung rechtskonform abgefasst und wirksam eingeholt wurde:
- beabsichtigte längerer Speicherdauer (zB bei Evidenzhaltung in „Talente-Datenpool“) unter Angabe der maximalen Speicherdauer
- geplante Weitergabe der Daten im Konzern
- Erhebung und Verwendung sensibler Daten (zB politische Meinung, Religion, Vorstrafen…).
Doch Vorsicht: Zustimmungen/Einwilligungen können grundsätzlich jederzeit widerrufen werden. Zustimmungen/Einwilligungen sind daher „schwache“ und „unsichere“ Grundlagen für eine zulässige Datenverwendung.
Wie lange dürfen Bewerberdaten aufbewahrt werden?
Personenbezogene Daten von Bewerbern dürfen nicht für immer aufgehoben werden. Andererseits gibt es keine klare gesetzliche Regelung, die die Speicherdauer von Bewerberdaten regelt. Vom Grundsatz her sind Daten umgehend zu löschen, wenn es keine Rechtsgrundlage mehr für die Aufbewahrung gibt.
Nach dem Gleichbehandlungsgesetz und Behinderteneinstellungsgesetz haben Bewerber möglicherweise Ansprüche gegen den potentiellen Arbeitgeber, etwa im Fall einer diskriminierenden Absage. Die Frist zur Anfechtung nach diesen Gesetzen beträgt sechs Monate nach Beendigung des Bewerbungsverfahrens. Während dieser Frist können potentielle Arbeitgeber daher argumentieren, dass die Bewerberdaten aufbewahrt werden müssen, um sich gegen Forderungen wehren zu können.
Für den Zeitraum darüber hinaus ist nicht klar, ob es eine gesetzliche oder vertragliche Rechtsgrundlage für die Aufbewahrung gibt. Als Rechtfertigungsgrund kommt hier am ehesten eine Zustimmung/Einwilligung des Bewerbers in Betracht. Wenn als Bewerberdaten „in Evidenz gehalten werden sollen“, so ist hierfür die – allerdings jederzeit widerrufbare – Zustimmung/Einwilligung des Bewerbers einzuholen.
Wann müssen Bewerberdaten gelöscht werden?
Es gibt viele Szenarien, bei deren Vorliegen Bewerberdaten – spätestens auf Anfrage des Betroffenen – gelöscht werden müssen, wenn keine legitime Rechtfertigung für das Nichtlöschen nachgewiesen werden kann, beispielsweise:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Die betroffene Person widerruft ihre Zustimmung/Einwilligung zur Verwendung der Daten.
- Die betroffene Person legt rechtmäßiger Weise Widerspruch gegen die Verarbeitung der Daten ein.
- Die personenbezogenen Daten werden unrechtmäßig verarbeitet.
Das Management ist für die Errichtung, Umsetzung und Verbesserung verantwortlich. Falls ein Datenschutzbeauftragter bestellt wurde, sollte dieser ein Löschkonzept erstellen und dessen Einhaltung kontrollieren. Falls es keinen Datenschutzbeauftragten gibt, ist ein Löschkonzept dennoch wichtiger Bestandteil von Datenschutz-Compliance (siehe dazu auch: Datenschutz Österreich – Schutz von Arbeitnehmerdaten).
Bewerberdaten im Konzern
Es hat sich hoffentlich schon herumgesprochen: Es gibt im Datenschutz kein generelles „Konzernprivileg“. Konzernverbundene Mutter-, Tochter- und sonst „verwandte“ Unternehmen sind datenschutzrechtlich „Dritte“.
Die Weitergabe von Bewerberdaten innerhalb eines Konzerns ist daher nicht ohne weiteres zulässig und stellt eine Übermittlung oder Überlassung im Sinne des Datenschutzrechts dar. Besondere Vorsicht ist bei der Übermittlung von Daten an Drittstatten geboten, da eine solche Übermittlung nur in eingeschränkten Fällen zulässig ist.
Achtung: Schon die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers wäre eine Übermittlung!
Für eine Übermittlung von Bewerberdaten innerhalb des Konzerns bedarf es in der Regel der Zustimmung/Einwilligung des Bewerbers. Zudem muss der Bewerber die Möglichkeit haben, die Übermittlung und Verwendung zu untersagen, beispielsweise auch nur an bestimmte gesellschaftsrechtlich verbundene Unternehmen.
Zudem müssen die entsprechenden technischen und organisatorischen Maßnahmen getroffen werden, um Bewerberdaten bei der Übermittlung im Konzern zu schützen. Beispielsweise sollte die Übermittlung nur über einen verschlüsselten Kanal erfolgen.
Auch Bewerber haben Betroffenenrechte
Die DSG-VO gewährt Betroffenen insbesondere folgende Rechte:
- Recht auf Auskunft
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch.
Unternehmen müssen bei Geltendmachung eines solchen Rechts durch einen Bewerber in der Lage sein, rechtskonform und fristgerecht zu reagieren. Daher ist die Einrichtung eines hierfür zuständigen, in diesem Bereich geschulten „Stelle“ für Betroffenenrechte sehr wichtig.
Bewerberdatenmanagement
Personalberater und Arbeitgeber müssen mit Bewerberdaten vorsichtig umgehen.
Schritt 1 im Bewerberdatenmanagement ist die Überlegung, welche Daten von einem Bewerber überhaupt erforderlich sind und eine Reduktion der Datenerhebung und –speicherung auf diese erforderlichen Daten. Sodann muss evaluiert werden, welche legitime Grundlage für die Datenverwendung vorliegt bzw. welche Grundlage geschaffen werden kann.
Schritt 2 ist der sorgsame Umgang mit rechtmäßig erhobenen Bewerberdaten und die Einhaltung aller datenschutzrechtlichen Grundsätze bei der Verwendung, sowohl in rechtlicher als auch technisch-organisatorischer Sicht.
Schritt 3 ist ein adäquates Löschkonzept für Bewerberdaten sowie ein Prozedere für Umgang mit Betroffenenrechten.
Schritt 4 ist die Behandlung von Sonderthemen wie Datenweitergabe im Konzern.
Schutz von Bewerberdaten | Datenschutz im Bewerbungsprozess aus rechtlicher Sicht