< Neue Orientierungshilfe der Datenschutz-Aufsichtsbehörden
02.07.2014 11:03 Kategorie: Aktuelles DE

Dazenschutz beim elektronischen Bewerbungsverfahren

Elektronische Bewerbungsverfahren - Risiken für die Persönlichkeitsrechte oder Chancen für den Datenschutz?


Die Personalarbeit wird heutzutage maßgeblich technisch unterstützt. So werden auch zunehmend Softwareprodukte zur Bewerber-Verwaltung und -Auswahl eingesetzt. Hierbei sind natürlich auch datenschutzrechtliche Aspekte zu beachten. So sind Fragen wie „Dürfen diese Daten überhaupt erfasst werden?“ über „Wer darf auf die Informationen zugreifen?“ oder „Welche Sicherheitsmaßnahmen sind zu ergreifen?“ zu klären.

Viele Bewerbungen gehen heutzutage per E-Mail ein; zum Teil wird dies auch gezielt gefördert. Im weiteren Verlauf des Prozesses wird dann ein simpler elektronischer Workflow eingeführt, in dem die Unterlagen intern an jene Mitarbeiter per Mail weiter verteilt werden, die an der Personalauswahl beteiligt sind (z. B. Leiter der personaleinstellenden Abteilung). Da aber E-Mails ohne besondere Schutzmaßnahmen als unsicher zu betrachten sind – schließlich können sie „mitgelesen“, fehladressiert oder unberechtigt weitergeleitet werden – ist stets zu empfehlen, dem Bewerber beide Wege der Bewerbung zu ermöglichen (E-Mail oder Postweg), um ihm so selbst die Entscheidung zu überlassen.

Am Ende des Bewerbungsverfahrens sind diese Daten sicher zu löschen. Bei einem E-Mail-basierten Workflow ist dies oftmals nicht trivial: E-Mails befinden sich nicht nur im Ein- und Ausgangs-Ordner des E-Mail-Programms, sondern werden oftmals noch lokal oder in einem persönlichen Verzeichnis gespeichert. Dadurch liegt eine „Bewerbungsmappe“ mehrfach vor, was datenschutzrechtlich sehr problematisch ist. Empfehlenswert ist in diesem Kontext, die Daten zentral abzuspeichern, das Verzeichnis mit entsprechenden Zugriffsrechten zu versehen und den Beteiligten nur den Speicherort per Mail mitzuteilen.

Immer beliebter werden hingegen auch integrierte Software-Lösungen für Bewerbungsprozesse, z. B. in Form von (firmeneigenen) Online-Plattformen. Hierbei werden online in der Regel fest vorgegebene Daten abgefragt und die Möglichkeit gegeben, Foto, Anschreiben und Lebenslauf als Datei hochzuladen. Die Online-Plattform sollte verschlüsselt werden, was als eine Verbesserung der Sicherheit gegenüber der E-Mail anzusehen ist.

Die abgefragten Datenfelder sind so zu gestalten, dass nur Daten erfragt werden, die im konkreten Fall der Stellenausschreibung erforderlich sind. Diese stellenspezifische Individualisierung stellt einen datenschutzrechtlichen Vorteil gegenüber Papierfragebögen dar. Auch können durch temporär vergebene Berechtigungen die Zugriffe auf die Prozessbeteiligten beschränkt und der Datenschutz gestärkt werden. Ferner kann eine Datenlöschung (teil-) automatisiert umgesetzt werden. Natürlich sollten hierbei entsprechende Klagefristen – beispielsweise auf Basis des Antidiskriminierungsgesetzes (AGG) – berücksichtigt werden.

Eine Abstimmung mit den betrieblichen Datenschutzbeauftragten ist dringend zum empfehlen, um positive Wirkungen auf die Persönlichkeitsrechte des Bewerbers und somit auf die Datenschutzsituation des Unternehmens zu erreichen. So ist eine Weitergabe der Unterlagen an weitere Konzerngesellschaften nur auf Basis einer Einwilligung möglich, die aber schon bei Einreichung der Bewerbung elektronisch eingeholt werden kann. Die Kennzeichnung von Datenfeldern als freiwillig ist oftmals problematisch, weil sich der Bewerber ggf. genötigt fühlt, Daten preiszugeben, um seine „Bewerbungschancen“ nicht zu gefährden. Ferner ist eine Recherche im Internet oder in sozialen Netzwerken nur in Ausnahmefällen zulässig und sollte zuvor im Einzelfall rechtlich geprüft und mit dem Datenschutzbeauftragten abgestimmt werden.

Dies zeigt, dass eine vorherige Festlegung erforderlich ist, wie mit den entsprechenden Daten umzugehen ist; idealerweise ist dies in das interne Datenschutzkonzept zu integrieren. Ferner zeigt es, dass insbesondere integrierte elektronische Bewerbungsverfahren auch Chancen für den Datenschutz bieten, sofern sie denn gemeinsam mit dem Datenschutzbeauftragten sinnvoll eingeführt werden.