News - Arebitsrecht für Arbeitnehmer

Zur datenschutzrechtlichen Zulässigkeit der Erhebung und Speicherung von Bewerberdaten

Von einigen als praxisfern kritisiert, von anderen als unverzichtbar gepriesen – die datenschutzrechtliche Durchdringung des Arbeitsrechts nimmt immer weiter zu. Dies ist nicht primär auf die zunehmende Regulierung zurückzuführen, es ist vielmehr die zunehmend kritische Bewertung überkommener arbeitsrechtlicher Praktiken durch Aufsichtsbehörden und Gerichte anhand der eigentlich bereits seit Jahren geltenden rechtlichen Regeln, die das Bewusstsein für diverse Probleme schärft.
Eine hervorragende Inspirationsquelle für den datenschutzrechtlich Interessierten bieten die jährlichen Tätigkeitsberichte der einzelnen Landesämter für Datenschutzaufsicht. Dort wird, nach Themenbereichen sortiert – aus der Überwachungstätigkeit der Landesämter berichtet.
In seinem soeben veröffentlichten 13. Tätigkeitsbericht beschäftigt sich das Bayerische Landesamt für Datenschutzaufsicht unter anderem mit der Erhebung und Speicherung von Bewerberdaten.

Zum Fall:

Ein Arbeitgeber betrieb ein digitales Bewerberportal. Alle Bewerber, die sich auf eine konkrete Stelle oder allgemein innerhalb der weltweit agierenden Unternehmensgruppe bewarben, mussten ihre Bewerbungsunterlagen zentral auf das Bewerbungsportal hochladen. Im Rahmen dieses Vorganges wurden die Bewerber dazu aufgefordert ihre Einwilligung dazu zu erteilen, dass die Bewerberdaten drei Jahre gespeichert werden. Soweit eine sich bewerbende Person ihre Daten früher löschen lassen wollte, konnte sie dies zwar aktiv verlangen und ein Link zur Einleitung einer solchen vorzeitigen Löschung befand sich in der Einwilligungserklärung. Soweit eine Löschung begehrt wurde, erfolgte eine Löschung nach Ablauf von sechs Monaten, nachdem die Absage an die Bewerber erteilt wurde. Allerdings konnte das Bewerbungsportal nicht genutzt werden, ohne im ersten Schritt in die dreijährige Speicherung der Bewerberdaten einzuwilligen.
Die Datenschutzaufsichtsbehörde wurde im Rahmen eines Beschwerdeverfahrens auf den Sachverhalt aufmerksam. Sie nahm daraufhin eine Überprüfung vor.

Bewertung:

Nach Art. 6 Abs.1 Unterabsatz 1 b DS-GVO dürfen personenbezogene Daten von Bewerbern (künftigen Beschäftigten) zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, soweit dies erforderlich ist. Dies gestattet zunächst die Verarbeitung für das Bewerbungsverfahren selbst, also bis zu einer Einstellung oder Ablehnung. Einer Einwilligung des Bewerbers bedarf es hierfür nicht.
Nach Ablehnung einer sich auf eine konkrete Stelle bewerbenden Person erkennen die Datenschutzaufsichtsbehörden im Anwendungsbereich des AGG die Notwendigkeit an, die personenbezogenen Daten der Bewerber bis zu sechs Monate ab dem Zugang der Ablehnung zu speichern, um für den Fall einer Inanspruchnahme wegen (vermeintlicher) Diskriminierung nach dem AGG ihrer Darlegungslast genügen zu können. Nach Ablauf dieser Frist müssen die personenbezogenen Daten aktiv durch den Verantwortlichen gelöscht werden.
Eine Ausnahme gilt nur dann, wenn die Bewerber wirksam in eine weitergehende Speicherung und Verarbeitung ihrer Daten wirksam eingewilligt haben. Und an einer solchen wirksamen Einwilligung fehlte es hier. Denn notwendige Voraussetzung für die Wirksamkeit der Einwilligung ist vor allem die Freiwilligkeit der Einwilligung. Gerade aufgrund des typischen Machtgefälles im Arbeitsverhältnis – und noch mehr in einer Bewerbungssituation – ist das ein äußerst sensibler Punkt. Eine Freiwilligkeit bei der Erteilung der Einwilligung hätte hier nur angenommen werden können, wenn die betroffene Person bei der Erteilung der Einwilligung in die dreijährige Speicherung die freie Wahl gehabt hätte, ob sie diese Einwilligung erteilt oder nicht – ohne dadurch Nachteile für ihr Bewerbungsverfahren zu befürchten. Daran fehlt es jedoch vorliegend, denn es war nicht möglich, das Bewerbungsportal zur Bewerbung auf eine konkrete Stelle ohne Erteilung der entsprechenden Einwilligung zu nutzen.
Die auf diese „Einwilligung“ gestützte Speicherung und Verarbeitung der Bewerberdaten war dementsprechend unzulässig und das Unternehmen hatte ein ganz erhebliches Problem mit der Datenschutzaufsicht.
Die Beschreibung dieses Falles zeigt, wie kleinteilig die Datenschutzaufsichtsbehörden inzwischen prüfen und wie wenig zuverlässig die Einholung einer „Einwilligung“ gerade im Arbeitsrecht häufig ist. Erschwerend kam hier hinzu, dass ein für die Öffentlichkeit zugängliches Bewerberportal natürlich geradezu zu einer derartigen Überprüfung einlädt – zumal die datenschutzrechtlichen Fehler einfach festzustellen waren.
Es mag daher angeraten sein, den Umgang mit Bewerber- und Arbeitnehmerdaten im Einzelfall kritisch zu hinterfragen und gerade bei digitalisierten Vorgängen – Stichwort: Bewerberportal – nicht nur auf intuitive Bedienbarkeit und maximalen Nutzwert zu schauen, sondern auch die datenschutzrechtliche Compliance derartiger Vorgänge im Detail sicherzustellen.