Datenschutz für Jedermann: Was bei einer Bewerbung zu beachten ist (Teil 1)
Datenschutz, so das allgemeine Gefühl, ist inzwischen fast überall zu finden und beeinflusst viele Abläufe in unserem täglichen Leben – ein Umstand, den auch Praktiker zum Anlass nehmen, die bestehenden Datenschutzregelungen zu kritisieren. Dies ist allerdings ein rechtspolitisches Thema und soll an dieser Stelle nicht erörtert werden. Fakt ist aber auch, dass Datenschutz vor allem deshalb in unserem Alltag eine so große Rolle spielt, weil wir fast überall von Datenverarbeitungen umgeben sind.
Ein wesentlicher Lebensbereich, in dem wir regelmäßig den unterschiedlichsten Datenverarbeitungen ausgesetzt sind, ist das Arbeitsleben. Nicht nur die Personaldatenverarbeitung, sondern auch fast jede Arbeit in Computersystemen, die Korrespondenz per E-Mail oder Telefon, aber auch sämtliche Zugangsregelungen, Überwachungsmaßnahmen, aber auch arbeitsmedizinische Untersuchungen oder das betriebliche Eingliederungsmanagement stellen Verarbeitungen personenbezogener Daten dar.
Das erste Mal werden wir jedoch noch vor Arbeitsbeginn mit Datenverarbeitungen konfrontiert: Schon bei der Bewerbung spielen die unterschiedlichsten datenschutzrechtlichen Regelungen eine Rolle, und jeder potenzielle Arbeitgeber ist daran gehalten, diese Vorschriften einzuhalten. Doch auch für Bewerber ist es wichtig zu wissen, was bei der Bewerbung zu berücksichtigen ist. Aus diesem Grund werde ich versuchen, im Rahmen meiner Reihe „Datenschutz für Jedermann“ einige Hinweise zu geben, was nicht nur im Bewerbungsverfahren, sondern allgemein im Beschäftigungsverhältnis beachtet werden sollte.
Auf welcher Rechtsgrundlage werden im Bewerbungsverfahren personenbezogene Daten verarbeitet?
Wie wird erfahrungsgemäß eine Bewerbung versendet?
Bei einer Bewerbung beginnt die Datenverarbeitung schon relativ früh. Dabei ist es nur wenig bedeutend, ob die Bewerbung klassisch per Post, per E-Mail oder über ein Online-Bewerberportal eingereicht wird. Bei einem Versand per Post dürfte jedenfalls mit der Einsortierung der Bewerbungsunterlagen in eine sortierte Ablage („Bewerbungenstapel“) eine Ablage in ein Dateisystem im Sinne des Art. 4 Nr. 6 DSGVO vorliegen, was den Anwendungsbereich der DSGVO nach Art. 2 Abs. 1 DSGVO eröffnet. Ähnlich dürfte die Datenverarbeitung im Falle einer E-Mai- Bewerbung aussehen: Zwar stellt die Nutzung der E-Mail-Adresse und auch der Versand der E-Mail an sich eine Datenverarbeitung dar. Eine Verantwortlichkeit für den möglichen zukünftigen Arbeitgeber ergibt sicher allerdings ist bei Empfang dieser E-Mail, also wenn die E-Mail tatsächlich im entsprechenden Postfach eingegangen ist.
Verarbeitungsbeginn bei Bewerberportalen
Abweichend hiervon kann die Datenverarbeitung bei der Nutzung von Bewerberportalen schon früher beginnen: In der Regel liegt eine erste Verarbeitung personenbezogener Daten vor, wenn ein potenzieller Bewerber (oder eine Bewerberin) beim Betreten der Webseite entsprechende Cookies akzeptiert. Jedenfalls haben wir aber eine Datenverarbeitungssituation, wenn sich User für die Nutzung des Portals, z.B. zur weiteren Verwaltung eigener Bewerbungen) registrieren. Hier haben wir durch die Einrichtung von Userkonten und den damit verbundenen weiteren Handungen relativ unstreitig eine Verarbeitung personenbezogener Daten.
Rechtsgrundlagen bei der Nutzung von Bewerberportalen
Wenn personenbezogene Daten verarbeitet werden, ist es wichtig, zu klären, auf welcher Basis solche Datenverarbeitungen stattfinden. Gemeint ist hierbei die Festlegung einer entsprechenden Rechtsgrundlage, mit welcher das „Wieso?“ der Datenverarbeitung geklärt wird. Hinsichtlich des Bewerberportals ist es relativ simpel: durch Registrierung und Akzeptieren der Nutzungsbedingungen („AGB“) schließen User einen Nutzungsvertrag mit dem Anbieter des Portals ab. Sämtliche davon ausgehenden Datenverarbeitungen werden im Rahmen der Vertragdurchführung abgewickelt, so dass hier Art. 6 Abs. 1 lit. b DSGVO einschlägig ist. Wenn im Rahmen des „Cookie-Banners“ auf „(Alles) Akzeptieren“ geklickt wird, werden alle Datenverarbeitungen, über die im Rahmen des Banners informiert wurde und die nicht (aktiv) abgewählt worden sind, durch eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO legitimiert. Die Verwendung notwendiger Cookies und von Maßnahmen zum Erhalt der Sicherheit der Seite erfolgen in der Regel im Rahmen eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO.
Rechtsgrundlage für die Verarbeitung von Bewerberdaten
Für die Verarbeitung der Bewerbungen kommt man hiermit natürlich nicht weiter. Selbst bei der Verwendung eines Bewerberportals wäre die weitere Bearbeitung von Bewerbungsunterlagen ein weiterer Verarbeitungsschritt, der vom Bewerberportal getrennt zu betrachten ist. Daher unterscheidet sich der weitere Verarbeitungsvorgang trotz unterschiedlicher Übermittlungswege nicht mehr von den anderen.
Mit Inkrafttreten der DSGVO hat sich der deutsche Gesetzgeber entschieden, die Verarbeitung von Beschäftigtendaten in einer eigenen Norm zu regeln. § 26 BDSG galt für fünf Jahre als Rechtsgrundlage für alle wesentlichen Datenverarbeitungen zur Begründung, Durchführung oder Beendigung von Beschäftigungsverhältnissen. Zur „Begründung von Beschäftigungsverhältnissen“ gehört auch der Bewerbungsprozess.
Mit der Entscheidung „C-34/21“ hat der EuGH jedoch eine landesrechtliche Norm, die dem § 26 BDSG entspricht, für europarechtswidrig erklärt. Deutsche Aufsichtsbehörden haben daraufhin erklärt, dass aus ihrer Sicht auch § 26 BDSG nicht mehr anwendbar sei. Zwar hat die deutsche Datenschutzkonferenz dies zum Anlass genommen, wieder auf die Notwendigkeit eines Beschäftigtendatenschutzgesetzes hinzuweisen.
Bis dahin muss jedoch auf eine andere Rechtsgrundlage verwiesen werden. Nach allgemeiner Ansicht soll die Verarbeitung von Bewerberdaten bis dahin durch Art. 6 Abs. 1 lit. b DSGVO legitimiert werden. Diese Rechtsgrundlage ermöglicht nicht nur die Verarbeitung personenbezogener Daten zur Vertragsdurchführung, sondern auch im Rahmen von vorvertraglichen Maßnahmen. Der Betroffene der Datenverarbeitung, also der Bewerber, muss diese vorvertragliche Maßnahme veranlasst haben. Im Falle von Bewerbungen auf Bewerberinitiative hin, ist dies unproblematisch anzunehmen (so: Kaufmann/Wegmann/Wieg: Beschäftigtendatenschutz – Spielräume und Herausforderungen mitgliedsstaatlicher Regelungen, NZA 2023, 740 [743]).
Informationspflichten im Bewerbungsverfahren
Im Rahmen des Bewerbungsprozesses und der damit einhergehenden Datenverarbeitungen ist es erforderlich, dass der Arbeitgeber über diese Datenverarbeitungen Informationen bereitstellen muss. Diese Rechtspflicht ergibt sich aus Art. 13 DSGVO. Dort hat der europäische Gesetzgeber auch die erforderlichen Mindestinhalte einer solchen Information geregelt.
Der Arbeitgeber hat diese Informationen zum Zeitpunkt des Beginns der Verarbeitung bereitzustellen. Dies ist praktisch schwierig sicherzustellen. Im Normalfall stellt ein Arbeitgeber, der ein Bewerberportal nutzt, diese Informationen im Portal zur Verfügung. Meistens wird hierfür ein Link im Rahmen der Antragsstrecke eingesetzt. Oftmals muss ein möglicher Bewerber die Kenntnisnahme dieser Datenschutzhinweise zunächst bestätigen, bevor die Antragsstrecke abgeschlossen werden kann. Schwieriger wird es für die Fälle postalischer bzw. sonstiger elektronischer Bewerbungen. Teilweise wird schon in der Stellenanzeige ein Verweis (z.B. Link) auf die Datenschutzhinweise veröffentlicht. Alternativ kann im Falle einer E-Mail-Bewerbung eine Referenz auf die Datenschutzhinweise im Rahmen einer E-Mail zur Bestätigung des Bewerbungseingangs versendet werden. Als Bewerber muss man sich jedoch bewusst sein, dass eine solche Information eine Rechtspflicht für den Arbeitgeber ist und als solche auch einverlangt werden kann.
Fazit
Schon bei Beginn eines Bewerbungsverfahrens haben Arbeitgeber verschiedene Rechtspflichten zu erfüllen. Die Datenverarbeitung muss auf einer legitimen Rechtsgrundlage basieren. Die Verarbeitungsprozesse sollten sauber dokumentiert sein, z.B. im Verzeichnis der Verarbeitungstätigkeiten. Betroffene/Bewerber sind u.a. über die Rechtsgrundlage, die Zwecke der Verarbeitung, mögliche Empfänger der Daten, die konkret verarbeiteten Daten und die Speicherfristen für diese Daten zu informieren.
Auf mögliche Rechtsfolgen bei Nichterfüllen datenschutzrechtlicher Pflichten werde ich, ähnlich wie auf das Bewerbungsgespräch und das weitere Prozedere nach Abschluss des Verfahrens, in weiteren Artikeln eingehen. Bis dahin hoffe ich, dass die bisherigen Informationen bereit hilfreich waren, und freue mich ansonsten über den Austausch in den sozialen Medien.