Webbasiertes Bewerbermanagement wird für Personalabteilungen zur Erleichterung der Abläufe bei der Kandidatensuche immer wichtiger. Bewerbungsportale haben den Vorteil, dass sich direkt und interaktiv mit potentiellen Kandidaten in Kontakt treten lässt. Gerade in Berufsfeldern, bei denen die Suche nach geeigneten Mitarbeitern zunehmend schwieriger wird, kann dies ein Wettbewerbsvorteil gegenüber der Konkurrenz sein. Über das Bewerberportal haben die angesprochenen Kandidaten die Möglichkeit, sukzessive ihre Bewerbungsunterlagen in das System einzupflegen und stetig zu aktualisieren. Dabei gibt es immer wieder Punkte, die aus datenschutzrechtlicher Sicht zu beachten sind (vgl. auch Beitrag von Ralf Zlamal „Datenschutz: Einsatz webbasierter Bewerbermanagement-Software“):
Verschlüsselte Übermittlung der Bewerberdaten
Zunächst sollte darauf geachtet werden, dass die Bewerberdaten nur über eine verschlüsselte Verbindung mittels HTTPS übertragen werden. Im Rahmen des Registrierungsprozesses sollte eine eindeutige Bewerberregistrierung vorgenommen werden, wobei sich hierfür ein Double-Opt-In-Verfahren empfiehlt, bei dem der Bewerber einen Bestätigungslink per E-Mail erhält. Das benutzerbezogene Passwort sollte immer verschlüsselt gespeichert werden. Für den Fall, dass ein Bewerber sein Passwort vergisst, sollte diesem per E-Mail ein zeitlich befristeter Link geschickt werden, mit dem das Passwort geändert und zurückgesetzt werden kann.
Übermittlung von Bewerberdaten innerhalb eines Konzerns
Oftmals werden Bewerberdaten innerhalb eines Konzernverbundes weiter gereicht und von verschiedenen Gesellschaften bearbeitet. Hierbei ist zu beachten, dass im deutschen Datenschutzrecht kein Konzernprivileg existiert. Dies bedeutet, dass Datenübermittlungen zwischen einzelnen Konzerngesellschaften oder wirtschaftlich verbundenen Unternehmen genauso behandelt werden wie eine Datenübermittlung unter (unbekannten) Dritten. Damit muss für jeden Fall der Datenverarbeitung innerhalb eines Konzerns die Einwilligung des Bewerbers eingeholt werden – auch dies im Wege eines nachweisbaren Double-Opt-In-Verfahrens.
Aufnahme eines Bewerbers in den Bewerbungspool
Für die Aufnahme eines Bewerbers in einen Bewerberpool bedarf es ebenfalls dessen dokumentierter Einwilligung. Dem Bewerber muss hierbei insbesondere mitgeteilt werden, für welchen Zeitraum seine Daten in dem Bewerbungspool gespeichert werden und wie mit den Daten nach Ablauf der Speicherdauer verfahren wird. Der Bewerber sollte per E-Mail auf die bevorstehende Löschung seiner Daten und seines Benutzerkontos hingewiesen werden. Zugleich sollte dem Bewerber in diesem Zusammenhang ein Bestätigungslink übermittelt werden, bei dessen Aktivierung die Löschung der personenbezogenen Daten und des Benutzerkontos verhindert und eine neue Laufzeit für die weitere Speicherung der Daten im Bewerberpool veranlasst wird.
Innerhalb des Unternehmens ist es von Bedeutung, dass den Fachverantwortlichen nur ein zeitlich begrenzter Zugang zu den für die Entscheidungsfindung relevanten Bewerbungen gegeben wird. Bewerbungsunterlagen dürfen grundsätzlich nur von Mitarbeitern mit Personalentscheidungskompetenz eingesehen werden. Weiterhin ist darauf zu achten, dass bei einer internen Versendung von Bewerberdaten aus dem Bewerbungsportal per E-Mail die Daten verschlüsselt übermittelt werden. Dies wird in der Praxis nicht immer der Fall sein und führt dazu, dass oftmals auch unberechtigte Personen Zugriff auf die Bewerbungsunterlagen haben.
Einsatz externer Dienstleister
Sofern die Bewerbermanagement-Software durch einen Dritten gehostet wird, unterfällt das Hosting der sog. Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG). Hierzu muss nach deutschem Recht eine entsprechende Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG abgeschlossen werden. Zu beachten ist außerdem, dass vor Aufnahme der Auftragsdatenverarbeitung wie auch danach regelmäßig eine datenschutzrechtliche Überprüfung des Auftragnehmers erfolgen muss. Eine fehlende, falsche oder unvollständige Vereinbarung zur Auftragsdatenverarbeitung kann gemäß § 43 Abs. 1 Nr. 2b i.V.m. § 43 Abs. 3 BDSG ein Bußgeld der Aufsichtsbehörde von bis zu 50.000,- Euro für das Unternehmen nach sich ziehen.
Löschung von Bewerberdaten
Daten abgelehnter Bewerber werden nach dem Abschluss des Bewerbungsverfahrens nicht mehr benötigt. Ist ein abgelehnter Bewerber für ein späteres Bewerbungsverfahren von Interesse, können die Bewerbungsunterlagen länger aufbewahrt werden, wenn sich ein Bewerber hiermit explizit einverstanden erklärt. Im Fall eines Bewerberportals wird dies in der Regel online geschehen, so dass gemäß § 13 Abs. 2 Telemediengesetz der Zeitpunkt der Einwilligung protokolliert werden sollte. Außerdem sollte der Bewerber den Inhalt der Einwilligung jederzeit abrufen und die Einwilligung mit Wirkung für die Zukunft widerrufen können.
Sofern einem Bewerber abgesagt wird und keine explizite Einwilligung zur weiteren Speicherung seiner Daten im Bewerberpool vorliegt, müssen diese datenschutzkonform aus dem System gelöscht werden. Als maximale Aufbewahrungsfrist für Bewerberdaten, die für eine Rechtsverteidigung dienlich sind, haben sich in der Praxis sechs Monate nach der Entscheidung über die Nicht-Einstellung herauskristallisiert. Die Aufbewahrungsdauer ist angelehnt an die Klagefristen des Allgemeinen Gleichbehandlungsgesetzes (AGG), wonach (potentielle) Ansprüche gemäß § 15 Abs. 4 AGG grundsätzlich innerhalb von zwei Monaten nach Zugang der Ablehnungsmitteilung geltend gemacht werden müssen.
Um wiederkehrende Bewerber zu identifizieren und damit insbesondere das sog. „AGG-Hopping“ zu verhindern, ist es höchstens zulässig, einen pseudonymisierten Identifikationsschlüssel zu den personenbezogenen Daten des Bewerbers zu bilden.
Fazit
Die Speicherung und Übermittlung von Bewerberdaten in einem Bewerbungsportal ist datenschutzrechtlich sensibel. Umso wichtiger ist es, die zugrunde liegenden Prozesse in enger Abstimmung mit dem betrieblichen Datenschutzbeauftragten zu planen und von diesem bewerten zu lassen – der mit einem Datenschutz-Verstoß einhergehende Imageschaden ist auch bei Bewerberdaten nicht zu unterschätzen.