11. Juli 2016

Was bei dem Einsatz cloud-basierter Recruiting-Plattformen beachtet werden muss

Mit cloud-basierten Recruiting-Management-Plattformen können Unternehmen Bewerbungsprozesse schneller, effizienter und kostengünstiger gestalten. Denn das gesamte Bewerbungsverfahren von der Stellenausschreibung bis hin zur Einstellung kann damit verwaltet und gesteuert werden. So ist es für Personalverantwortliche nicht mehr notwendig, auf Excel-Tabellen oder ähnliche Tools zurückzugreifen. Personalabteilungen können vielmehr mit Hilfe von cloud-basierten Plattformen den gesamten Bewerbungsprozess in nur einem Tool abwickeln, Stellenangebote erstellen und diese via eines Klicks auf Social-Media-Plattformen sowie auf Jobportalen und der eigenen Website posten.

Vorteil für Personalabteilungen: Der Bewerbungsprozess wird vereinfacht und Bewerbungen können schnell abgerufen werden. Personalverantwortliche erhalten die Bewerberdaten digital und haben einen direkten, verbesserten Zugriff. Der „Papierkrieg“ in Form von Bewerbungsstapeln gehört mit den cloud-basierten Recruiting-Plattformen der Vergangenheit an. Außerdem erhalten Personalabteilungen die aus datenschutzrechtlicher Sicht genauer in den Blick zu nehmende Möglichkeit, Bewerbungen innerhalb des Unternehmens und der Unternehmensgruppe sowie zur weiteren Verarbeitung an Dritte weiterzuleiten.

Der Vorteil für Bewerber: Sie können sich direkt über die Stelle und das Unternehmen informieren und ihre Bewerbung hochladen. Die Bewerbung wird umgehend in dem Jobportal für die Personalabteilung bereitgestellt, und es können Informationen durch den Bewerber hinzugefügt und geändert werden.

Um die datenschutzrechtliche Zulässigkeit solcher Recruiting-Management-Tools nach dem deutschen Datenschutzrecht zu beurteilen, ist es nicht nur entscheidend, ob der Sitz des jeweiligen Plattformbetreibers innerhalb oder außerhalb der EU liegt, sondern auch die Frage, wie die Nutzung von Recruiting-Plattformen innerhalb eines Konzernverbundes aussieht.

Rechtmäßige Nutzung von Recruiting-Plattformen nach BDSG

Für die Verarbeitung von personenbezogenen Bewerberdaten durch ein deutsches Unternehmen sind zumindest bis zum endgültigen Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) am 25.05.2018, die Normen des Bundesdatenschutzgesetzes (BDSG) anzuwenden. Dies gilt auch dann, wenn das deutsche Unternehmen auf ausländische Recruiting-Plattformen zurückgreift. Entscheidend ist der Sitz der verantwortlichen Stelle, also des Unternehmens, welches die Bewerberdaten für die Stellenausschreibung erhebt.


Datenverarbeitung im Bewerbungsverfahren

Die Zulässigkeit der Datenverarbeitung im Bewerbungsverfahren bestimmt sich nach § 32 Abs.1 S.1 BDSG. Demnach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Bewerber gelten als „Beschäftigte“ i.S.d. § 32 BDSG.

Der § 32 Abs.1 S.1 BDSG enthält genau zwei wesentliche Voraussetzungen, die darüber entscheiden, ob die Datenverarbeitung zulässig ist.

  • Die Verarbeitung der personenbezogenen Daten muss der Entscheidung über ein Beschäftigungsverhältnis dienen. Das heißt der Zweck für die Verarbeitung muss die Begründung eines Beschäftigungsverhältnisses (= Bewerbungsverfahren) sein.
  • Weiter ist die Datenverarbeitung nur dann rechtmäßig, wenn sie für die Begründung eines Beschäftigungsverhältnisses auch erforderlich ist. Bei der Erforderlichkeit ist eine Interessenabwägung zwischen den Interessen des Unternehmens und dem Bewerber vorzunehmen.

Liegen die Tatbestandsvoraussetzungen von § 32 BDSG nicht vor, ist die Datenverarbeitung grundsätzlich nicht zulässig. In diesem Fall besteht nur noch die Möglichkeit, die Datenverarbeitung über die Einwilligung des Bewerbers zu rechtfertigen.

Verantwortlichkeit für die Datenverarbeitung

Verantwortlich für die Verarbeitung von Bewerberdaten ist jede Person oder Stelle, die personenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt (§ 3 Abs. 7 BDSG). Damit ist immer das jeweilige Unternehmen, zu dem der Bewerber seine Bewerbung schickt, die verantwortliche Stelle und damit verantwortlich für die persönlichen Daten des Bewerbers. Wenn das Unternehmen, wie beschrieben, die Dienstleistungen eines Cloud-Anbieters/Plattformbetreibers in Anspruch nimmt, wird der Plattformbetreiber als Auftragnehmer tätig. Trotz des Abschlusses eines Auftragsdatenverarbeitungsvertrages bleibt das jeweilige Unternehmen für die Daten verantwortlich.

TIPP:

Unternehmen sollten mit dem Plattformbetreiber einen schriftlichen Auftragsdatenverarbeitungsvertrag (§ 11 Abs. 2 BDSG) abschließen. Dabei ist neben den anderen Anforderungen des § 11 Abs. 2 BDSG Folgendes zu regeln:

  • der Plattformbetreiber wird nur auf Weisung des Unternehmens tätig;
  • das Unternehmen sollte sich Kontrollrechte einräumen lassen;
  • der Plattformbetreiber muss sich dazu verpflichten, die eingestellten Bewerberdaten nicht an Dritte weiterzugeben.

Abschluss des Bewerbungsverfahrens – Was passiert mit den Bewerberdaten?

Grundsätzlich muss das Unternehmen die Bewerberdaten nach Beendigung des Bewerbungsverfahrens löschen (§ 35 Abs. 2 Nr. 3 BDSG). Sollten die Bewerber darüber hinaus in einem Bewerberdatenpool gespeichert bleiben, bedarf es wieder einer ausdrücklichen Einwilligung des Betroffenen.

TIPP: Spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens sollten die Daten gelöscht werden, wenn der Bewerber keine Einwilligung in die Speicherung seiner Daten in den Talent-Pool gegeben hat.

Zulässigkeit der Verarbeitung von Mitarbeiter- und/oder Bewerberdaten außerhalb der EU

Nach dem BDSG ist zunächst lediglich die Verarbeitung von personenbezogenen Daten innerhalb der EU bzw. des europäischen Wirtschaftsraumes zulässig und durch das Gesetz legitimiert. Sofern personenbezogene Daten außerhalb der EU bzw. der EWR verarbeitet werden sollen, bestehen im Grunde zwei Möglichkeiten, dies datenschutzkonform zu gestalten:

Erste Möglichkeit:

Einwilligung der betroffenen Mitarbeiter und/oder Bewerber in die Datenübermittlung
Zweite Möglichkeit:

Gewährleistung eines angemessenen Datenschutzniveaus des Cloud-Anbieters

Ein angemessenes Datenschutzniveau kann unterschiedlich erreicht werden. Zunächst existieren sogenannte „sichere Drittländer“, bei denen auf Grundlage einer Einschätzung der EU-Kommission ein angemessenes Datenschutzniveau gewährleistet ist und keine weiteren Maßnahmen für die Übermittlung von personenbezogenen Daten in diesen Ländern zu treffen sind. Hierzu zählen beispielsweise die Schweiz, Argentinien, Australien, Kanada, Israel und Neuseeland. Seit der Entscheidung des EuGH zu dem Safe-Harbor-Abkommen ist jedoch klargestellt, dass nationale Datenschutzbehörden eine Datenübermittlung auch unabhängig von den Einschätzungen bewerten darf.

EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung

Sofern eine Datenübermittlung an einen Cloud-Anbieter in einem Staat erfolgen soll, der nicht in der Liste der sicheren Drittstaaten enthalten ist, bestand bis zu dem Safe-Harbor-Urteil des EuGH eine weitere Möglichkeit, die sog. EU Standardvertragsklauseln zur Auftragsdatenverarbeitung abzuschließen.

Die EU-Standardvertragsklauseln sind ein festgeschriebenes Klauselwerk der EU-Kommission, das der Kommission zufolge beim Abschluss dieses Vertrages ein angemessenes Datenschutzniveau gewährleistet und keine weiteren Maßnahmen mehr erforderlich macht. Diese Klauseln sollen auf vertraglicher Ebene sicherstellen, dass der ausländische Auftragsdatenverarbeiter zu einem Verhalten verpflichtet wird, welches das europäische Datenschutzniveau gewährleistet.

Die Standardvertragsklauseln finden in der Praxis weiterhin Verwendung. Jedoch ist ihre Wirkung seit dem Urteil des EuGH umstritten. Die deutschen Datenschutzbehörden haben zum Teil erkennen lassen, dass sie auch die Standardvertragsklauseln nicht mehr als hinreichende Grundlage für eine Datenübermittlung ansehen.

Soweit die Standardvertragsklauseln noch von den Behörden anerkannt werden, bilden sie prinzipiell ein gutes Fundament für die Nutzung von cloud-basierten Personalmanagementlösungen. Das Klauselwerk sieht ausdrücklich die Möglichkeit vor, die Standardvertragsklauseln durch einen Vertrag zu ergänzen, der die kommerziellen Fragen regelt – darüber hinaus können im Anhang B die zu transferierenden Daten beschrieben, angepasst und ergänzt werden. Dies stellt einen großen Vorteil dar, sofern es zu Änderungen des Datentransfers oder der Verarbeitung kommt.

Darüber hinaus ist dies auch gerade mit Blick auf die deutschen Datenschutzbehörden wichtig. Denn aus deren Sicht ist der Standardvertrag nicht für die Übermittlung von Arbeitnehmer- bzw. Bewerberdaten geeignet. Der Grund hierfür ist, dass nach deutschem Recht Arbeitnehmern und Bewerbern umfangreiche Ansprüche aus Auskunft, Löschung, Berichtigung und Schadenersatz gegenüber der datenverarbeitenden Stelle zustehen. Nach den Standardvertragsklauseln besteht aber die Möglichkeit, dass der Auftraggeber die Erfüllung dieser Ansprüche auf den Auftragnehmer überträgt, was in Widerspruch zum deutschen Recht stünde. Falls die Datenübermittlung im Rahmen von Standardvertragsklauseln erfolgen soll, ist daher dringend zu empfehlen, eine ergänzende Vereinbarung über das Verfahren bei Auskunftsansprüchen zu treffen, so dass die Vorgaben des BDSG eingehalten werden.

Nutzung von Recruiting-Plattformen innerhalb eines Konzernverbundes

Die meisten datenschutzrechtlichen Fragen ergeben sich bezüglich der Nutzung einer Recruiting-Plattform durch die einzelnen Unternehmen eines Konzernverbundes. In vielen Branchen – insbesondere in denen, die einen hohen Mangel an Fachkräften aufweisen – ist es für Unternehmen attraktiv, vom Bewerberpool des anderen Unternehmens in demselben Konzernverbund zu profitieren und Kandidaten für ihr eigenes Unternehmen einzubeziehen.

Das Unternehmen, welches in Deutschland ansässig ist und Bewerberdaten in die gemeinsame Plattform einpflegt, bleibt verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG. Sofern einem anderen Unternehmen Zugriff gewährt werden soll, liegt rechtlich eine Übermittlung an einen Dritten (§ 3 Abs. 4 Nr. 3b BDSG) vor.

Der Grund dafür ist, dass es im deutschen Datenschutzrecht kein Konzernprivileg gibt. Wenn also personenbezogene Daten an einen Dritten weitergegeben werden, ist es gleichgültig, ob dieser Dritte ein fremdes oder ein konzernverbundenes Unternehmen ist. Da es für eine solche Vermittlung keine gesetzliche Rechtfertigung gibt, muss der Bewerber grundsätzlich in die Übermittlung einwilligen.

Sollte diese Einwilligung nicht vorliegen, kann der Vermittlungsvorgang nur noch durch den so genannten Konzernbezug gerechtfertigt werden (§ 32 Abs. 1 S.1 BDSG). Der Konzernbezug liegt vor, wenn beispielsweise die Stellenausschreibung einen konzernweiten Einsatzort des Mitarbeiters voraussetzt und dies für den Bewerber erkennbar ist. Daran fehlt es, wenn die Stellenausschreibung des einzelnen Unternehmens nicht auf einen konzernweiten Einsatz hinweist.

TIPP: Wenn Unternehmen ihre Bewerberdaten auch anderen Konzernunternehmen zugänglich machen wollen, muss eine Einwilligung des Bewerbers vorliegen und dokumentiert werden. Das kann zum Beispiel bereits im Rahmen der Bewerbung über ein entsprechendes Recruiting-Tool erfolgen.

Welche Änderungen bringt die DSGVO?

Die DSGVO enthält keine Bestimmungen, die unmittelbar den Schutz von Personaldaten regeln. Grundsätzlich gelten für Beschäftigte daher die allgemeinen Vorschriften der DSGVO. Jedoch zeigt sich die Verordnung ausdrücklich offen für ergänzende nationale Regelungen. Inwieweit hier die existierenden Bestimmungen des BDSG zum Schutz von Personaldaten den Anforderungen der DSGVO bereits entsprechen, ob sie geändert oder gestrichen werden müssen, wird derzeit noch intensiv debattiert. Deutlich wird jedoch, dass der Bund zügig reagieren sollte, um die bereits jetzt bestehenden Unsicherheiten möglichst schnell zu beseitigen.

Fazit

Es bestehen viele Fragen in Zusammenhang mit Recruiting-Plattformen in der Cloud. Wie können sich Unternehmen absichern, wenn Plattformbetreiber nicht in der EU ansässig sind? Wann muss ein Auftragsdatenverarbeitungsvertrag geschlossen werden?  Wie können Unternehmen schon im Rahmen der Bewerbung eine verbindliche Einwilligung für die Speicherung der Bewerberdaten im Talent-Pool einholen und wie können entsprechende Berechtigungskonzepte für die Datenweitergabe aussehen? Unternehmen sowie die jeweiligen Personalabteilungen sollten zur Rückversicherung, ob und wie sie eine cloud-basierte Recruiting-Plattform datenschutzkonform benutzen, oder für andere Fragen mit cloud-basierten Recruiting-Plattformen qualifizierten rechtlichen Rat einholen.

 

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!