Datenschutz in Personalabteilungen: Recruiting-Plattformen in der Cloud

Mit cloud-basierten Recruiting-Management-Plattformen können Unternehmen Bewerbungsprozesse schneller, effizienter und kostengünstiger gestalten. Denn das gesamte Bewerbungsverfahren von der Stellenausschreibung bis hin zur Einstellung kann damit verwaltet und gesteuert werden. So ist es für Personalverantwortliche nicht mehr notwendig, auf Excel-Tabellen oder ähnliche Tools zurückzugreifen. Personalabteilungen können vielmehr mit Hilfe von cloud-basierten Plattformen den gesamten Bewerbungsprozess in einem Tool abwickeln, Stellenangebote erstellen und diese via eines Klicks auf Social Media Plattformen sowie auf Jobportalen und der eigenen Website posten.

Vorteil für Personalabteilungen: Der Bewerbungsprozess wird vereinfacht und Bewerbungen können schnell abgerufen werden. Personalverantwortliche erhalten die Bewerbung bzw. die Bewerberdaten digital und haben einen direkten, verbesserten Zugriff. Der „Papierkrieg“ in Form von Bewerbungsstapeln gehört mit den cloud-basierten Recruiting-Plattformen der Vergangenheit an. Außerdem erhalten Personalabteilungen, die aus Datenschutzsicht kritisch zu betrachtende Lösung, elektronische Bewerbungen innerhalb des Unternehmens und der Unternehmensgruppe weiterzuleiten.

Der Vorteil für Bewerber: Sie können sich direkt über die Stelle und das Unternehmen informieren und ihre Bewerbung hochladen. Die Bewerbung wird umgehend in dem Jobportal für die Personalabteilung bereitgestellt, und es können Informationen durch den Bewerber hinzugefügt und geändert werden.

Um die datenschutzrechtliche Zulässigkeit solcher Recruiting-Management-Tools nach dem deutschen Datenschutzrecht zu beurteilen, ist es nicht nur entscheidend, ob der Sitz des jeweiligen Plattformbetreibers innerhalb oder außerhalb der EU liegt, sondern auch die Frage, wie die Nutzung von Recruiting-Plattformen innerhalb eines Konzernverbundes aussieht.

  1. Rechtmäßige Nutzung von Recruiting-Plattformen

Für die Verarbeitung von personenbezogenen Bewerberdaten durch ein deutsches Unternehmen sind die Normen des Bundesdatenschutzgesetzes (BDSG) anzuwenden. Dies gilt auch dann, wenn das deutsche Unternehmen auf ausländische Recuiting-Plattformen zurückgreift. Entscheidend ist der Sitz der verantwortlichen Stelle, also des Unternehmens, welches die Bewerberdaten für die Stellenausschreibung erhebt.


Datenverarbeitung im Bewerbungsverfahren

Die Zulässigkeit der Datenverarbeitung im Bewerbungsverfahren bestimmt sich nach § 32 Abs.1 S.1 BDSG. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Bewerber gelten als „Beschäftigte“ i.S.d. § 32 BDSG.

Der § 32 Abs.1 S.1 BDSG enthält genau zwei wesentliche Voraussetzungen, die darüber entscheiden, ob die Datenverarbeitung zulässig ist.

  • Die Verarbeitung der personenbezogenen Daten muss der Entscheidung über ein Beschäftigungsverhältnis dienen. Das heißt der Zweck für die Verarbeitung muss die Begründung eines Beschäftigungsverhältnisses (= Bewerbungsverfahren) sein.
  • Weiter ist die Datenverarbeitung nur dann rechtmäßig, wenn sie für die Begründung eines Beschäftigungsverhältnisses auch erforderlich ist. Bei der Erforderlichkeit ist eine Interessenabwägung zwischen den Interessen des Unternehmens und dem Bewerber vorzunehmen und gegenüber abzuwägen.

Liegen die Tatbestandsmerkmale für den § 32 BDSG nicht vor, ist die Datenverarbeitung grundsätzlich nicht gerechtfertigt. In diesem Fall besteht nur noch die Möglichkeit, die Datenverarbeitung über die Einwilligung des Bewerbers zu rechtfertigen.

Verantwortlichkeit für die Datenverarbeitung

Verantwortlich für die Verarbeitung von Bewerberdaten ist jede Person oder Stelle, die personenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt (§ 3 Abs. 7 BDSG). Damit ist immer das jeweilige Unternehmen, zu dem der Bewerber seine Bewerbung schickt, verantwortliche Stelle und damit verantwortlich für die persönlichen Daten des Bewerbers. Wenn das Unternehmen, wie beschrieben, die Dienstleistungen eines Cloud-Anbieters / Plattformbetreibers in Anspruch nimmt, wird der Plattformbetreiber als Auftragnehmer tätig. Trotz des Abschlusses eines Auftragsdatenverarbeitungsvertrages bleibt das jeweilige Unternehmen dennoch für die Daten verantwortlich.

TIPP:

Unternehmen sollten mit dem Plattformbetreiber einen schriftlichen Auftragsdatenverarbeitungsvertrag (§ 11 Abs. 2 BDSG) abschließen. Dabei ist neben den anderen Anforderungen des § 11 Abs. 2 BDSG Folgendes zu regeln:

  • Plattformbetreiber wird nur auf Weisung des Unternehmens tätig
  • Unternehmen sollte sich Kontrollrechte einräumen lassen
  • Plattformbetreiber muss sich dazu verpflichten, die eingestellten Bewerberdaten nicht an Dritte weiterzugeben.

Dies gilt allerdings nur, soweit der Plattformbetreiber seinen Sitz in der EU bzw. dem Europäischen Wirtschaftsraum hat. Sollte der Plattformbetreiber nicht in der EU ansässig sein, greifen die privilegierenden Regelungen der Auftragsverarbeitung gem. § 11 BDSG nicht. Das bedeutet, dass eine Übermittlung an Plattformbetreiber außerhalb der EU immer einer besonderen Rechtfertigung bedarf. Diese liegt oft in der Einwilligung des Betroffenen oder aber im Abschluss der sogenannten EU-Standardvertragsklauseln, die allerdings derzeit aufgrund PRISM & Co. stark in der Kritik stehen.

Abschluss des Bewerbungsverfahrens – Was passiert mit den Bewerberdaten?

Grundsätzlich muss das Unternehmen die Bewerberdaten nach Beendigung des Bewerbungsverfahrens löschen (§ 35 Abs. 2 Nr. 3 BDSG). Sollten die Bewerber darüber hinaus in einem Bewerberdatenpool gespeichert bleiben, bedarf es wieder einer ausdrücklichen Einwilligung des Betroffenen.

TIPP: Spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens sollten die Daten gelöscht werden, wenn der Bewerber keine Einwilligung in die Speicherung seiner Daten in den Talent-Pool gegeben hat.

 

  1. Nutzung von Recruiting-Plattformen innerhalb eines Konzernverbundes

Die meisten datenschutzrechtlichen Fragen ergeben sich bezüglich der Nutzung einer Recruiting-Plattform durch die einzelnen Unternehmen eines Konzernverbundes. In vielen Branchen – insbesondere in denen es einen hohen Fachkräftemangel gibt- ist es für Unternehmen attraktiv, vom Bewerberpool des anderen Unternehmen im selben Konzernverbund zu profitieren und Kandidaten für ihr eigenes Unternehmen einzubeziehen.

Das Unternehmen, welches in Deutschland ansässig ist, und Bewerberdaten in die gemeinsame Plattform einpflegt, bleibt verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG). Sofern einem anderen Unternehmen Zugriff gewährt werden soll, liegt rechtlich eine Übermittlung an einen Dritten (§ 3 Abs. 4 Nr. 3b BDSG) vor.

Der Grund dafür ist, dass es im deutschen Datenschutzrecht kein Konzernprivileg gibt. Wenn also personenbezogene Daten an einen Dritten, also außerhalb der verantwortlichen Stelle weitergegeben werden, so ist es egal, ob dieser Dritte ein fremdes oder ein konzernverbundenes Unternehmen ist. Da es für eine solche Vermittlung keine gesetzliche Rechtfertigung gibt, gilt, dass für diese Übermittlung immer eine Einwilligung vom Bewerber vorliegen muss.

Sollte die Einwilligung des Bewerbers für die Datenübermittlung nicht vorliegen, kann der Vermittlungsvorgang nur noch durch den sog. Konzernbezug gerechtfertigt werden (§ 32 Abs. 1 S.1 BDSG). Der Konzernbezug liegt vor, wenn beispielsweise die Stellenausschreibung einen konzernweiten Einsatzort des Mitarbeiters voraussetzt, und dem Bewerber dies auch  erkennbar ist. Dieser fehlt dann, wenn die Stellenausschreibung des einzelnen Unternehmens nicht auf einen konzernweiten Einsatz hinweist.

TIPP: Wenn Unternehmen ihre Bewerberdaten auch anderen Konzernunternehmen zugänglich machen wollen, muss eine Einwilligung des Bewerbers vorliegen und dokumentiert werden. Das kann zum Beispiel bereits im Rahmen der Bewerbung über ein entsprechendes Recruiting-Tool erfolgen.

Es bestehen viele Fragen in Zusammenhang mit Recruiting-Plattformen in der Cloud. Wie können sich Unternehmen absichern, wenn Plattformbetreiber nicht in der EU ansässig sind? Wann muss ein Auftragsdatenverarbeitungsvertrag geschlossen werden?  Wie können Unternehmen schon im Rahmen des Bewerbens eine verbindliche Einwilligung für die Speicherung der Bewerberdaten im Talent-Pool einholen und wie können entsprechende Berechtigungskonzepte für die Datenweitergabe  aussehen?

Unternehmen sowie die jeweiligen Personalabteilungen sollten sich zur Rückversicherung, ob sie eine cloud-basierte Recruiting-Plattform datenschutzkonform benutzen oder für andere Fragen mit Cloud-basierten Recruiting-Plattform, rechtlichen Rat einholen. Die Experten der ISiCO Datenschutz GmbH helfen Ihnen gerne weiter.

 

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.