white desk lamp beside green plant
Foto von Samantha Gades

A. Rechtmäßige Nutzung von
Recruiting-Plattformen
 


Für die Verarbeitung von personenbezogenen Bewerberdaten durch ein deutsches Unternehmen sind die Normen des Bundesdatenschutzgesetzes (BDSG) anzuwenden. Dies gilt auch dann, wenn das deutsche Unternehmen auf ausländische Recuiting-Plattformen zurückgreift. Entscheidend ist der Sitz der verantwortlichen Stelle, also des Unternehmens, welches die Bewerberdaten für die Stellenausschreibung erhebt.


Datenverarbeitung im Bewerbungsverfahren


Die Zulässigkeit der Datenverarbeitung im Bewerbungsverfahren bestimmt sich nach § 32 Abs.1 S.1 BDSG. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Bewerber gelten als „Beschäftigte“ i.S.d. § 32 BDSG. Der § 32 Abs.1 S.1 BDSG enthält genau zwei wesentliche Voraussetzungen, die darüber entscheiden, ob die Datenverarbeitung zulässig ist.

1.)  Die Verarbeitung der personenbezogenen Daten muss der
Entscheidung über ein Beschäftigungsverhältnis dienen. Das
heißt der Zweck für die Verarbeitung muss die Begründung eines
Beschäftigungsverhältnisses (= Bewerbungsverfahren) sein.

2.)  Weiter ist die Datenverarbeitung nur dann rechtmäßig,
wenn sie für die Begründung eines Beschäftigungsverhältnisses auch
erforderlich ist. Bei der Erforderlichkeit ist eine Interessenabwägung
zwischen den Interessen des Unternehmens und dem Bewerber
vorzunehmen und gegenüber abzuwägen.


Liegen die Tatbestandsmerkmale für den § 32 BDSG nicht vor, ist die Datenverarbeitung grundsätzlich nicht gerechtfertigt. In diesem Fall besteht nur noch die Möglichkeit, die Datenverarbeitung über die Einwilligung des Bewerbers zu rechtfertigen.


Verantwortlichkeit für die Datenverarbeitung

Verantwortlich für die Verarbeitung von Bewerberdaten ist jede Person oder Stelle, die personenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt (§ 3 Abs. 7 BDSG). Damit ist immer das jeweilige Unternehmen, zu dem der Bewerber seine Bewerbung schickt, verantwortliche Stelle und damit verantwortlich für die persönlichen Daten des Bewerbers. Wenn das Unternehmen, wie beschrieben, die Dienstleistungen eines Cloud-Anbieters / Plattformbetreibers in Anspruch nimmt, wird der Plattformbetreiber als Auftragnehmer tätig. Trotz des Abschlusses eines Auftragsdatenverarbeitungsvertrages bleibt das jeweilige Unternehmen dennoch für die Daten verantwortlich.

Unternehmen sollten mit dem Plattformbetreiber einen schriftlichen Auftragsdatenverarbeitungsvertrag (§ 11 Abs. 2 BDSG) abschließen. Dabei ist neben den anderen Anforderungen des § 11 Abs. 2 BDSG Folgendes zu regeln:

  • Plattformbetreiber wird nur auf Weisung des Unternehmens tätig
  • Unternehmen sollte sich Kontrollrechte einräumen lassen
  • Plattformbetreiber muss sich dazu verpflichten, die eingestellten     
    Bewerberdaten nicht an Dritte weiterzugeben.

Dies gilt allerdings nur, soweit der Plattformbetreiber seinen Sitz in der EU bzw. dem Europäischen Wirtschaftsraum hat. Sollte der Plattformbetreiber nicht in der EU ansässig sein, greifen die privilegierenden Regelungen der Auftragsverarbeitung gem. § 11 BDSG nicht. Das bedeutet, dass eine Übermittlung an Plattformbetreiber außerhalb der EU immer einer besonderen Rechtfertigung bedarf. Diese liegt oft in der Einwilligung des Betroffenen oder aber im Abschluss der sogenannten EU-Standardvertragsklauseln, die allerdings derzeit aufgrund PRISM & Co. stark in der Kritik stehen.


Abschluss des Bewerbungsverfahrens –
Was passiert mit den Bewerberdaten?

Grundsätzlich muss das Unternehmen die Bewerberdaten nach Beendigung des Bewerbungsverfahrens löschen (§ 35 Abs. 2 Nr. 3 BDSG). Sollten die Bewerber darüber hinaus in einem Bewerberdatenpool gespeichert bleiben, bedarf es wieder einer ausdrücklichen Einwilligung des Betroffenen. Spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens sollten die Daten gelöscht werden, wenn der Bewerber keine Einwilligung in die Speicherung seiner Daten in den Talent-Pool gegeben hat.

B. Nutzung von Recruiting-Plattformen
innerhalb eines Konzernverbundes

Die meisten datenschutzrechtlichen Fragen ergeben sich bezüglich der Nutzung einer Recruiting-Plattform durch die einzelnen Unternehmen eines Konzernverbundes. In vielen Branchen – insbesondere in denen es einen hohen Fachkräftemangel gibt- ist es für Unternehmen attraktiv, vom Bewerberpool des anderen Unternehmen im selben Konzernverbund zu profitieren und Kandidaten für ihr eigenes Unternehmen einzubeziehen.  Das Unternehmen, welches in Deutschland ansässig ist, und Bewerberdaten in die gemeinsame Plattform einpflegt, bleibt verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG). Sofern einem anderen Unternehmen Zugriff gewährt werden soll, liegt rechtlich eine Übermittlung an einen Dritten (§ 3 Abs. 4 Nr. 3b BDSG) vor.

Der Grund dafür ist, dass es im deutschen Datenschutzrecht kein Konzernprivileg gibt. Wenn also personenbezogene Daten an einen Dritten, also außerhalb der verantwortlichen Stelle weitergegeben werden, so ist es egal, ob dieser Dritte ein fremdes oder ein konzernverbundenes Unternehmen ist. Da es für eine solche Vermittlung keine gesetzliche Rechtfertigung gibt, gilt, dass für diese Übermittlung immer eine Einwilligung vom Bewerber vorliegen muss.

Sollte die Einwilligung des Bewerbers für die Datenübermittlung nicht vorliegen, kann der Vermittlungsvorgang nur noch durch den sog. Konzernbezug gerechtfertigt werden (§ 32 Abs. 1 S.1 BDSG). Der Konzernbezug liegt vor, wenn beispielsweise die Stellenausschreibung einen konzernweiten Einsatzort des Mitarbeiters voraussetzt, und dem Bewerber dies auch  erkennbar ist. Dieser fehlt dann, wenn die Stellenausschreibung des einzelnen Unternehmens nicht auf einen konzernweiten Einsatz hinweist.

Wenn Unternehmen ihre Bewerberdaten auch anderen Konzernunternehmen zugänglich machen wollen, muss eine Einwilligung des Bewerbers vorliegen und dokumentiert werden. Das kann zum Beispiel bereits im Rahmen der Bewerbung über ein entsprechendes Recruiting-Tool erfolgen.

Es bestehen viele Fragen in Zusammenhang mit Recruiting-Plattformen in der Cloud. Wie können sich Unternehmen absichern, wenn Plattformbetreiber nicht in der EU ansässig sind? Wie können Unternehmen schon im Rahmen des Bewerbens eine verbindliche Einwilligung für die Speicherung der Bewerberdaten im Talent-Pool einholen, und wie können entsprechende Berechtigungskonzepte für die Datenweitergabe  aussehen?  Unternehmen sowie die jeweiligen Personalabteilungen sollten sich zur Rückversicherung, ob sie eine cloud-basierte Recruiting-Plattform datenschutzkonform benutzen, rechtlichen Rat einholen.

----------------------------------------------------------------------------------

Quelle und weitere Berichte: ISiCO Datenschutz GmbH


Fotocredit:
© Tony Hegewald | www.pixelio.de (1)
© Jürgen Hüsmert | www.pixelio.de (2)


Veranstaltungstermin zum Vortrag der
Autorin auf der
PERSONAL 2014 Süd:

20.05.2014 | 09:30 - 10:00 Uhr
Praxisforum 1 - Halle 5

Thema: "Datenschutz in Personalabteilungen:
Nutzung von Recruiting Plattformen in der Cloud"