Bildung eines Bewerber-Pools
Die Aufnahme von Bewerbungsdaten in einen Bewerberpool ist aus Sicht des Datenschutzes nur dann zulässig, wenn ein Bewerber hierin nachweisbar eingewilligt hat. Die Einwilligung muss ebenfalls über eine "Opt-in"-Funktion dargestellt werden.
Im Zusammenhang mit der Einwilligung des Bewerbers in die Aufnahme in den Bewerberpool sollte dem Bewerber auch mitgeteilt werden, für welchen Zeitraum seine Bewerbungsunterlagen in dem Bewerberpool gespeichert werden und wie das Prozedere nach Ablauf der Speicherdauer ist. Hier wäre es beispielsweise denkbar, den Bewerber per E-Mail auf die bevorstehende Löschung seiner Daten und seines Benutzerkontos hinzuweisen. In diesem Zusammenhang sollte dem Bewerber ein Bestätigungslink übermittelt werden, bei dessen Betätigung die Löschung der personenbezogenen Daten und des Benutzerkontos verhindert und einen neue Laufzeit für die Weiterführung der Daten im Bewerberpool ausgelöst wird.
Übermittlung von Bewerberdaten innerhalb des Unternehmens
Innerhalb des Unternehmens sind verschiedene datenschutzrechtliche Vorgaben zu beachten. Neben der datenschutzkonformen Speicherung der Bewerbungsdaten ist auch die datenschutzkonforme Übermittlung von Bewerbungsdaten bzw. der datenschutzkonforme Zugriff auf Bewerbungsdaten durch Fachverantwortliche (Entscheider) zu beachten. Den Entscheidern darf nur ein zeitlich begrenzter Zugang zu den für die Entscheidungsfindung relevanten Bewerbungen gegeben werden.
Spätere Löschung von Bewerberdaten
Eine vielfach praktizierte Versendung bzw. Übermittlung von Bewerberdaten per E-Mail an Entscheider aus der Bewerbermanagement-Software heraus stellt insofern ein erhebliches datenschutzrechtliches Problem dar, als dass die Daten dann nicht mehr in der Hoheit der erhebenden Abteilung (in der Regel Personalabteilung) sind. Hier hat die federführende Abteilung keinen Einfluss mehr darauf, dass die Bewerberdaten entsprechend den gesetzlichen Vorgaben zugriffsgeschützt gespeichert und auch datenschutzkonform gelöscht werden können.
Ebenso ist zu beachten, dass bei einer etwaigen internen Versendung von Bewerberdaten per E-Mail aus dem Portal heraus diese Daten entsprechend verschlüsselt werden müssten. Dies kann in der Praxis nicht immer sichergestellt werden. Die Folge ist, dass im Ergebnis nicht nur berechtigten Personen auf die Bewerbungsunterlagen Zugriff nehmen könnten.
Einsatz von Drittdienstleistern
Beim Einsatz einer Bewerbermanagement-Software, die durch einen Dritten gehostet wird, ist zusätzlich zu beachten, dass das Hosting unter die sogenannte Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG) fällt. Hierzu muss nach geltendem Recht eine entsprechende Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG abgeschlossen werden. Zu beachten ist weiter, dass vor Aufnahme der Auftragsdatenverarbeitung und sodann regelmäßig eine datenschutzrechtliche Überprüfung des Auftragnehmers erfolgen muss. Eine fehlende, falsche oder unvollständige Vereinbarung zur Auftragsdatenverarbeitung kann gemäß § 43 Abs. 1 Nr. 2b ein Bußgeld von bis zu 50.000,- Euro für das Unternehmen zur Folge haben.
Löschung von Altdaten
Bei einer Absage an einen Bewerber müssen dessen Bewerbungsunterlagen aus dem System datenschutzkonform gelöscht werden, sofern keine nachweisbare Einwilligung zur weiteren Speicherung im Bewerberpool vorliegt. Als maximale Aufbewahrungsfrist haben sich in der Praxis vier Monate nach Entscheidung über die Nichteinstellung etabliert (angelehnt an die Klagefristen des Allgemeinen Gleichbehandlungsgesetzes).
Zum Zwecke der Identifikation von wiederkehrenden Bewerbern ist es maximal zulässig, einen pseudonymisierten Identifikationsschlüssel über die personenbezogenen Daten des Bewerbers zu bilden.
Kontakt und Infos: Ralf Zlamal ist externer Datenschutzbeauftragter beim IITR-Institut. www.iitr.de/zlamal
Das Institut für IT-Recht berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird das Institut von einem wissenschaftlichen Beirat unterstützt. Auf www.iitr.de finden Sie regelmäßig neue Beiträge zu Fragen des Datenschutzrechts.