Informationspflicht: Transparenz im Bewerbungsverfahren
Die Datenschutz-Grundverordnung (DSGVO) hat die Rechte der Betroffenen umfassend gestärkt, und auf der anderen Seite die Informationspflichten von Unternehmen erweitert.
Was einerseits positiv zu werten ist, bedeutet andererseits für Unternehmen eine erhebliche Umstellung ihrer Prozesse.
Heute muss jedes Unternehmen die Bewerber frühzeitig und sehr detailliert über den Umgang mit ihren Daten informieren.
Weisen Sie daher die Personalabteilung z.B. im Rahmen einer Schulung auf die wesentlichen Punkte hin.
Was umfasst die Informationspflicht?
Der Betroffene ist nach Art. 13 und 14 DSGVO z.B. über die Identität des Verantwortlichen, den Datenschutzbeauftragten, über Art, Umfang und Zweck der Datenverarbeitung und die Rechtsgrundlagen, ggf. die berechtigten Interessen für die Verarbeitung, die Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden, ob eine Übermittlung in einen sogenannten unsicheren Drittstaat erfolgt, die Speicherdauer, die Rechte des Betroffenen auf Auskunft, Löschung etc. oder auch über seine Widerspruchs- und Beschwerderechte zu unterrichten.
Erhebt der Verantwortliche die Daten nicht bei direkt bei dem Betroffenen, muss zudem eine Information über die Herkunft der Daten erfolgen.
Wann muss informiert werden?
Der Zeitpunkt der Information richtet sich danach, ob der Verantwortliche die Daten direkt vom Bewerber erhebt oder ob ein Dritter sie ihm zur Verfügung stellt.
- Eine Direkterhebung liegt z.B. vor, wenn der Bewerber selbst die Daten in einem Online-Bewerbungsportal an den potenziellen Arbeitgeber übermittelt, sie per Post an ihn übersendet oder sie im Bewerbungsgespräch preisgibt.
- Eine Erhebung über Dritte liegt vor, wenn etwa ein Headhunter Daten an den potenziellen Arbeitgeber weitergibt, ein Unternehmen einer Konzerngruppe das Online-Bewerberportal betreibt, das die Daten dann an andere Unternehmen der Gruppe verteilt, wenn Pre-Employment-Screenings im Internet stattfinden oder wenn der potenzielle neue Arbeitgeber Daten vom ehemaligen Arbeitgeber abfragt.
Was gilt bei Direkterhebung?
Erhebt der Verantwortliche die Daten direkt vom Betroffenen, muss die Information nach Art. 13 DSGVO im Zeitpunkt der Erhebung erfolgen.
Diese Anforderung kann ein Unternehmen relativ einfach erfüllen, wenn es die Daten des Bewerbers beispielweise direkt online über sein Bewerberportal erhebt:
- Bevor der Bewerber seine Daten versendet, sieht er einen Link auf eine Datenschutzinformation, die speziell für Bewerber zur Verfügung steht. Sie enthält alle erforderlichen Angaben nach Art. 13 DSGVO. Diese Information sollte nicht mit der Datenschutzinformation für Besucher der Webseite kombiniert werden. Aufgrund der Vielzahl der jeweils mitzuteilenden unterschiedlichen Informationen entsteht ansonsten eine gewisse Unübersichtlichkeit, die zur Intransparenz führen könnte.
- Der Bewerber sollte vor dem Versand seiner Daten an das Unternehmen zwingend die Kenntnisnahme dieser Datenschutzinformation bestätigen.
- Um die Kenntnisnahme nachzuweisen und so seine Rechenschaftspflicht nach Art. 5 DSGVO zu erfüllen, sollte der Verantwortliche diese Bestätigungsaktion dokumentieren.
- Idealerweise ist dieser Link dauerhaft auf der Webseite abrufbar. So kann ein Bewerber, der die Information nicht ausgedruckt hat, sie erneut abrufen.
Unternehmen sollten direkt in den Stellenanzeigen auf die Webseite verweisen, die die Datenschutzinformation für Bewerber bereitstellt.
So haben die Bewerber zusätzlich die Möglichkeit, die Infos sehr früh zur Kenntnis zu nehmen.
Gilt die Initiativbewerbung als Direkterhebung?
Spannender wird es, wenn der Bewerber proaktiv seine Daten per Post an das Unternehmen übermittelt: Zum Zeitpunkt der Erhebung der Daten hat das Unternehmen in der Regel keine Ahnung, ob der Bewerber z.B. auf der Webseite die Daten angegeben hat oder nicht.
Die DSGVO definiert – abweichend zum „alten“ Bundesdatenschutzgesetz (BDSG-alt) – keine unterschiedlichen Phasen der Datenverarbeitung, sondern fasst alles schlicht unter „Verarbeitung“ zusammen.
Nach Art. 4 Abs. 2 DSGVO ist die Verarbeitung jeder „Vorgang“ mit personenbezogenen Daten. Beispielhaft nennt Art. 4 Abs. 2 DSGVO das Erheben, das Erfassen, die Organisation etc.
Diese Begriffe sind in der DSGVO allerdings nicht weiter definiert. Nach § 3 Abs. 3 BDSG-alt galt das „Erheben“ von Daten als „Beschaffen von Daten über den Betroffenen“.
Damit musste der Verantwortliche selbst aktiv werden. Allein das Erhalten oder Empfangen von personenbezogenen Daten ohne eigenes Zutun war danach kein Erheben.
Eine Ausnahme sollte dann gelten, wenn der Verantwortliche dem Betroffenen mitgeteilt hat, welche Daten er erheben will.
Wohl ja – daher zumindest Nachlieferung erforderlich!
Die DSGVO kennt solche Beschränkungen nicht. Zudem kommt es auch in den Fällen, in denen der Betroffene seine Daten unaufgefordert an den potenziellen Arbeitgeber übermittelt, in der Regel zu einer Erhebung bzw. Speicherung der Daten.
So kann letztlich die Diskussion, ob ein Erheben stattfindet oder nicht, in der Praxis dahinstehen: Der potenzielle Arbeitgeber übernimmt diese Daten üblicherweise in seine Systeme und speichert sie dort.
Damit verarbeitet er die Daten. Spätestens dann sollte der Bewerber von der Verarbeitung Kenntnis erlangen und z.B. wissen, für welche Zwecke die Daten verarbeitet werden.
Neben den Informationen auf der Webseite müssen Unternehmen in diesem Fall mit der Eingangsbestätigung ihre Informationen übermitteln.
Auch wenn dies nach dem Wortlaut der DSGVO etwas zu spät ist: Eine andere praktische Möglichkeit ist bislang nicht in Sicht.
Viele Unternehmen haben im Übrigen in ihren E-Mail-Footer entsprechende Links aufgenommen.
Was gilt bei Erhebung über Dritte?
Hat ein Verantwortlicher die Bewerberdaten von einem Dritten erhalten, sieht Art. 14 DSGVO vor, dass er in der Regel spätestens innerhalb eines Monats seinen Informationspflichten nachkommen muss.
Allerdings gibt es dabei Ausnahmen:
- So muss ein Unternehmen nicht gesondert informieren, wenn die betroffene Person schon Kenntnis vom Umgang mit den Daten hat. Beispielsweise könnte ein Verantwortlicher dem Ersterheber, etwa einem Headhunter, auferlegen, dass er umfassend informiert.
- Die Sonderregelung des Abs. 3 Buchst. bbesagt zudem, dass ein Verantwortlicher eine Information erst dann erteilen muss, wenn er die Daten zur Kommunikation mit der betroffenen Person verwenden möchte. Ausreichend soll bereits sein, dass der Verantwortliche vorhat, mit dem Bewerber Kontakt aufzunehmen. Dabei ist es egal, ob die Ansprache das Endziel der Datenerhebung ist, etwa bei Werbung, oder ob Datenerhebung und kommunikativer Kontakt durch einen übergreifenden Verarbeitungszweck verbunden sind.
- Das soll v.a. gelten, wenn Ziel der Verarbeitung ist, eine Entscheidung vorzubereiten. Dies kann auch die Mitteilung sein, ob der Bewerber als potenzieller Arbeitnehmer in Betracht kommt.
Insofern lässt sich vertreten, dass bei einer Erhebung über Dritte erst zum Zeitpunkt der ersten Kommunikation eine Information erfolgen muss.
Sie könnte dann – wie bei Initiativbewerbungen – erfolgen durch
- einen Hinweis im E-Mail-Footer, der auf die Informationen verlinkt, die über die Webseite abrufbar sind,
- die Übermittlung eines Anhangs in elektronischer Form oder
- die Übermittlung von schriftlichen Informationen.
Fazit: Prozesse anpassen!
Unternehmen müssen ihre Prozesse anpassen – daran führt kein Weg vorbei.
Es bleibt abzuwarten, ob sich gerade bei Initiativbewerbung gewisse Erleichterungen durchsetzen, die den Zeitpunkt der Erhebung betreffen.
Denn rein praktisch lässt sich hier schlicht nicht nachweisen, dass der Verantwortliche seine Informationspflichten erfüllt hat.