„In einem unbekannten Land vor gar nicht allzu langer Zeit“ möchte man fast sagen, wenn man den Wandel der Bewerbungs- und Stellenbesetzungsverfahren betrachtet. War der Fokus ursprünglich darauf gerichtet, die beste Besetzung für eine (neu) zu besetzende Stelle zu finden, muss ein Personaler sich heute – bevor er sich überhaupt mit den Qualifikationen der einzelnen Bewerber auseinander setzen kann – mit E-Recruiting und Active Sourcing beschäftigen, bevor er sich dann den vorab zu klärenden rechtlichen Fragen zuwendet. Dieser Artikel beleuchtet die datenschutzrechtlichen Fragestellungen, die im Rahmen der Ausschreibung einer Stelle zu beachten sind.
E-Recruiting und Active Sourcing: Was ist das eigentlich?
Sowohl E-Recruiting als auch Active Sourcing beruhen auf einem internet- oder sogar cloudbasiert abgewickelten Bewerbungsprozess. Je nach Unternehmensausrichtung werden dazu einzelne Teile des Prozesses (z.B. die Ausschreibung) oder der gesamte Prozess (inkl. Sammeln der Bewerbungen, Koordination der Vorstellungsgespräche und Überleitung in das Beschäftigungsverhältnis) „online“ durchgeführt.
Und was hat das mit Datenschutz zu tun?
Das Ziel eines jeden Personalers ist vorrangig die optimale Besetzung einer Stelle und dies am besten möglichst schnell, günstig und effizient. Dabei möchte er natürlich so viel wie möglich über jeden Bewerber erfahren und diese Informationen möglichst auch für zukünftig zu besetzende Stellen aufbewahren.
Diese Herangehensweise würde allerdings den Grundprinzipien des Datenschutzrechts entgegenstehen. Als Teil des Allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährt das Recht auf informationelle Selbstbestimmung natürlichen Personen die Hoheit über ihre eigenen Daten. Sie können selbst entscheiden, wer, was, in welchem Umfang, zu welchen Zwecken und wie lange über sie speichert. Es kann deshalb datenschutzrechtlich nicht in der Macht der Personalabteilung liegen, über den Umgang mit den Daten von Bewerbern nach freiem Belieben zu verfahren. Vielmehr müssen Grundsätze wie das Verbot mit Erlaubnisvorbehalt oder die Datenminierung beachtet und eingehalten werden.
Welche Regelungen muss ein Personaler also beim E-Recruiting beachten?
Zunächst richtet sich die datenschutzrechtliche Zulässigkeit nach dem Bundesdatenschutzgesetz (BDSG) und ggf. nach Sondergesetzen wie dem Telemediengesetz (TMG) oder dem Telekommunikationsgesetz (TKG). Aber aufgepasst: Am 25.5.2018 wird die Datenschutz-Grundverordnung (DSGVO) als unmittelbar geltendes Recht wirksam. Bestehende Bewerbungsprozesse, im Rahmen derer personenbezogene Daten verarbeitet werden bzw. der Umgang mit Bewerberdaten während und nach dem Bewerbungsprozess sind deshalb auch auf Zulässigkeit nach der DSGVO und dem noch zu verabschiedenden BDSG-neu (letzter Entwurf hier) zu prüfen.
Bewerber werden datenschutzrechtlich wie Beschäftigte behandelt. zulässig ist die Verarbeitung der Bewerberdaten gem. § 32 Abs. 1 S. 1 BDSG bzw. § 26 Abs. 8 S. 2 BDSG-neu (Entwurf) deshalb dann, wenn dies für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Dies ist jeweils vor der Verarbeitung der Daten zu prüfen. Eine Verarbeitung ist datenschutzrechtlich nämlich nur dann zulässig, wenn sie von Beginn an auf einem Erlaubnistatbestand i.S.v. § 4 Abs. 1 BDSG bzw. Art. 6 Abs. 1, Art. 9 Abs. 2 DSGVO beruht.
Ist das alles?
Nein, sicherlich nicht. Die datenschutzrechtliche Beurteilung hängt auch davon ab, auf welchen Servern die E-Recruiting-Plattform betrieben wird. Deutlich strengere Maßstäbe gelten dabei für cloudbasierte Plattformen, die auf Servern außerhalb von EU/EWR laufen. Soweit es sich um solche Drittländer handelt muss ein sog. angemessenes Datenschutzniveau in dem Drittstaat gewährleistet werden. Dies kann z.B. über die sog. EU-Standardverträge („Standard Contractual Clauses“, SCC, oder „EU-Model Clauses“, EU-MC) erfolgen.
Und zuletzt ist es wichtig, im Rahmen des Bewerbungsprozesses auch ein entsprechendes Löschkonzept zu implementieren. Die Speicherung personenbezogener Daten ist nur bis zur Erreichung des Zwecks zulässig. Soweit also keine darüber hinausgehende Einwilligung der Bewerber vorliegt, sind die Daten nach Besetzung der Stelle (zuzüglich einer Frist für eventuelle Klagen wegen einer Ablehnung) zu löschen.
Ganz schön viel! Lohnt sich E-Recruiting trotzdem?
Obwohl aus datenschutzrechtlicher Sicht einige Punkte beachtet werden müssen, ist das E-Recruiting heutzutage eine der Hauptquellen, um qualifizierte Bewerber zu finden. Nach anfänglicher, einmaliger Klärung der datenschutzrechtlichen Fragen, ist das Verfahren auch nicht weiter problematisch. Insbesondere aus wirtschaftlichen und Effizienz-Gesichtspunkten ist es in vielen Fällen deshalb durchaus lohnenswert, die datenschutzrechtlichen Stolpersteine aus dem Weg zu räumen und in der Folge die Vorteile eines datenschutzrechtskonformen E-Recruitings auszuschöpfen.
Ausführlich aufgearbeitet finden Sie das Thema durch uns im Sonderheft der HRperformance oder hier.
Gerne helfen wir Ihnen auch bei weiteren Fragen weiter. Ihre Ansprechpartner sind Sascha Kremer und Jana Garsztecki.