Im Mai 2018 tritt die neue Datenschutz-Grundverordnung in Kraft. Doch was bedeutet das konkret für Unternehmen, die Azubis rekrutieren? Damit Sie diesbezüglich gut informiert sind, hat u-form Testsysteme Geschäftsführerin Felicia Ullrich zwei Herren befragt, die es wissen müssen: Den auf IT-Recht spezialisierten Fachanwalt Christoph Strieder und u-form Testsysteme IT-Geschäftsführer Cornelius Scheffel.

u-form: Herr Strieder, wenn ich das richtig verstehe, müssen sich Unternehmen nicht nur die Zustimmung des Bewerbers zum Speichern seiner Daten einholen, sondern ihm auch eine umfassende Datenschutzerklärung bereitstellen. Was genau sollte diese Datenschutzerklärung enthalten?

Herr Strieder: Die Datenschutzerklärungen müssen im Einzelnen darstellen, welche Daten erhoben werden und wie der individuelle Umgang im Unternehmen mit diesen Daten ausgestaltet ist. Es müssen allgemeine Angaben dazu enthalten sein, wie lange solche Daten gespeichert werden, damit dies für die betroffenen Personen jedenfalls ersichtlich ist. Es gibt ja eine Vielzahl gesetzlicher Vorschriften über die Aufbewahrungsfristen, z. B. im Sozialrecht, aber auch im Steuerrecht, und die vertraglichen Rechtfertigungen für die Dauer der Aufbewahrung können jeweils sehr individuell ausgestaltet sein.

u-form: Gibt es dafür eine Vorlage?

Herr Strieder: Mustervorlagen für Datenschutzerklärungen gibt es im Internet häufig. Insgesamt ist von einer Schematisierung abzuraten, da die Verfahrensabläufe in jedem Unternehmen anders sind. Die Datenschutzerklärungen orientieren sich aber sicherlich stark am Verzeichnis von Verarbeitungstätigkeiten (VVT, Art30 DSGVO), das ja grundsätzlich jeder Unternehmer im Rahmen der Einführung der Datenschutz-Grundverordnung ohnehin erstellen muss. In der DSGVO ist in Art.13 der Umfang der Informationspflichten gegenüber dem Bewerber geregelt. Alle Mustervorlagen müssen individuell auf das jeweilige Unternehmen und seine Abläufe angepasst werden. Wenn ein zertifiziertes Qualitätsmanagement (QM) im Unternehmen existiert, muss auch hierauf Rücksicht genommen werden. Fehler in Datenschutzerklärungen können zukünftig von Mitbewerbern als Wettbewerbsverletzung abgemahnt werden. Möglicherweise kristallisieren sich in den Monaten nach der Einführung des neuen Datenschutzrechtes bestimmte Musterformulierungen heraus, die es einfacher machen, Datenschutzerklärungen zu erstellen. Das neue Datenschutzrecht ist aber sehr darauf ausgerichtet, individuell konkret im Unternehmen die eigenen Abläufe zu erfassen, transparent zu machen und datenschutzrechtlich zu bewerten. Ich arbeite hierbei eng mit Fachleuten aus Personalabteilungen und IT zusammen, um die große Anzahl von Informationen zu kanalisieren und dem Datenschutz anzupassen.

u-form: Wo und wie stelle ich diese Datenschutzerklärung denn am besten zur Verfügung?

Herr Strieder: Hierzu machen weder die DSGVO noch das BDSG (neu) Vorgaben. Entsprechende Vorgaben dürften aber entsprechend wettbewerbsrechtlicher Bestimmungen angenommen werden. D. h. konkret, dass die Datenschutzerklärungen an das Medium angepasst werden, über das Daten erhoben werden. Auf einer Internetseite sind daher Datenschutzerklärungen unumgänglich. Bei reiner telefonischer Tätigkeit des Unternehmens reicht es wohl, auf die Datenschutzerklärungen zu verweisen oder diese zum Abruf im Internet vorzuhalten.

u-form: Macht es einen Unterschied, ob der Bewerber sich online, per E-Mail oder klassisch in Papierform bei mir bewirbt?

Herr Strieder: Dies macht einen deutlichen Unterschied. Bei der Online-Bewerbung müssen Datenschutzerklärungen über die Internetseite, über die eine solche Online-Bewerbung üblicherweise erfolgt, vorhanden sein, wenn zielgerichtet Bewerbungen erbeten werden. Bei Initiativbewerbungen, sei es elektronisch oder durch Übersendung von ausgedruckten Dokumenten, sollten die Datenschutzerklärungen per E-Mail oder, wenn bei der Bewerbung eine E-Mail-Adresse nicht angegeben ist, schriftlich mit einem Bestätigungsschreiben übersandt werden. Aus meiner Sicht dürfte aber auch ein Link auf die Datenschutzerklärungen ausreichen.

u-form: Ist dann eine Online-Bewerbung über ein Portal nicht das datenschutzrechtlich Sicherste?

Herr Strieder: Das ist richtig, wenn die Kommunikation verschlüsselt stattfindet und die Datenschutzerklärungen entsprechend aktuell, einfach verständlich und aussagekräftig sind.
Bei elektronisch angeforderten Bewerbungen über ein Portal reicht es nach dem neuen Datenschutzrecht wohl ausnahmsweise aus, wenn die Zustimmung elektronisch, z. B. durch eine Checkbox neben einem ausreichenden Text, erklärt wird. Eine Einwilligung im Rahmen des Arbeitsrechts darf nach dem BDSG (neu) aber nur in Ausnahmefällen elektronisch abgegeben werden. Im Arbeitsverhältnis müssen Einwilligungen ansonsten die Schriftform einhalten.
Häufig schreiben Bewerber, dass ihre Bewerbung auch für zukünftige Stellenausschreibungen aufbewahrt werden kann, wenn die Bewerbung (noch) nicht erfolgreich ist. Hierfür muss im Unternehmen dann ein Verfahren über die Aufbewahrungsfrist definiert werden. Die Aufbewahrungsfrist muss dem Bewerber dann zusätzlich mitgeteilt werden. Eine längere Aufbewahrung elektronischer Bewerbungsschreiben ist zudem nur mit Einwilligung des Bewerbers zulässig. Auch hier kann ausnahmsweise die elektronische Einwilligungserklärung ausreichen.

u-form: Muss der Bewerber explizit zustimmen oder reicht der Hinweis, dass mit der Bewerbung auch die Daten gespeichert werden?

Herr Strieder: Eine Zustimmung schadet jedenfalls nicht, regelmäßig ist die Speicherung der Daten aber allein durch das Vertragsverhältnis, also den beabsichtigten Arbeitsvertrag gerechtfertigt. Nach dem BDSG (neu) sind Bewerber insoweit rechtlich gleichgestellt mit Beschäftigten. Es kommt aber natürlich auf Art und Umfang der Daten an, die bei der Bewerbung erfasst werden. Hierfür sollten klare Vorgaben existieren, bei denen besonders schutzwürdige Daten im Rahmen der Bewerbung noch nicht erfasst werden. So ist z. B. die ethnische Zugehörigkeit oder religiöse Ausrichtung normalerweise nicht notwendig, um über eine Bewerbung zu entscheiden. Hierfür müsste also eine ausdrückliche Einwilligung vorliegen. Eine elektronische Einwilligung reicht hierfür nicht. Zu empfehlen sind eindeutige Bewerbungs-Richtlinien, die solche Daten ausschließen.

u-form: Und wie sieht es mit der Löschung von Bewerberdaten aus? Wann muss ich diese löschen?

Herr Strieder: Generell muss im Unternehmen dann, wenn jeder Umgang mit Daten transparent erfasst worden ist, für diese jeweils eine Aufbewahrungsfrist bzw. Löschfrist oder Sperrfrist definiert werden. Grundsätzlich sind die Bewerberdaten bei Abschluss der Bewerbungsphase oder dann, wenn ein Bewerber vollständig ausscheidet, zu löschen. Im Hinblick auf etwaige Ansprüche des Bewerbers, z. B. wegen behaupteter Verletzung des allgemeinen Gleichbehandlungsgesetzes (AGG), halte ich eine Aufbewahrungsphase von drei bis vier Monaten seit Mitteilung einer ablehnenden Entscheidung für zulässig. Bei einem angenommenen Bewerber besteht die Problematik ohnehin nicht, da die Bewerbungsunterlagen zur Personalakte zu nehmen sind und dort entsprechend etwaiger gesetzlicher Aufbewahrungsfristen oder den vertraglich notwendigen hinterlegt bleiben.

u-form: Würde das nicht auch bedeuten, dass ich eine eventuelle E-Mail-Korrespondenz mit dem Bewerber löschen muss?

Herr Strieder: Ja, für diesen Fall muss grundsätzlich auch eine E-Mail-Korrespondenz gelöscht werden. Geht dies nicht, z. B. weil Sie revisionssicher archivieren und E-Mails als Handelsbriefe definieren (wie grundsätzlich richtig), muss dies in Ihren Datenschutzrichtlinien erfasst und dem Bewerber mitgeteilt werden. Soweit Sie gesetzlich verpflichtet sind, Daten aufzubewahren, besteht ein Löschungsanspruch des Bewerbers nicht. Ich halte es aber für zulässig, reine Bewerberdaten und entsprechend den Bewerber-Schriftverkehr einem gesonderten Verfahren zu unterstellen und diese nicht mit zu archivieren, sodass die Daten abgelehnter Bewerber gelöscht werden können.

u-form: Herr Scheffel, wie stellen Sie bei Nutzung des Bewerbermanagementsystems „B-Navi“ und des Testsystems „opta3“ sicher, dass die neuen Regelungen eingehalten werden?

Herr Scheffel: Beide Systeme und unser Rechenzentrumsbetrieb sind ja bereits seit mehreren Jahren auf das bisher gültige Datenschutzgesetz (BDSG) abgestimmt. D. h. eine Löschfunktion ist bereits im System vorhanden. Diese bietet unter anderem die Möglichkeit, Bewerbungen eines zeitlichen Intervalls zu löschen. Konkret also z. B. alle Bewerbungen des abgelaufenen Bewerbungsverfahrens.
Darüber hinaus bieten die Systeme Funktionen, um die Datensätze zu anonymisieren. Durch die Anonymisierung werden alle Daten, die eine Person identifizieren, gelöscht. Statistische Daten – z. B. über die Ergebnisverteilung der Tests eines Berufes – bleiben jedoch erhalten. Dies erlaubt die Bildung einer firmeneigenen Normierung von Tests bei gleichzeitiger Einhaltung der EU-DSGVO.

u-form: Wie kann das Unternehmen sichergehen, dass die Bewerberdaten korrekt gelöscht werden? Erfolgt das automatisch?

Herr Scheffel: Eine automatische Löschung von Bewerberdaten ohne Einwirkung von Menschen findet im Bewerbernavigator nicht statt, denn letztlich kann (bzw. sollte) der Computer nicht entscheiden, wann ein Verfahren abgeschlossen ist. Es gibt in der Praxis Fälle, in denen man denkt, alle Stellen seien besetzt und dann springt nachträglich ein Bewerber ab.
Deshalb bietet der Bewerbernavigator die Lösch- und Anonymisierungsfunktion „nach Zeit“. So kann man gezielt alle archivierten Bewerbungen, die älter als 6 Monate sind, löschen. Laufende Bewerbungen oder solche, die noch potenziell gebraucht werden, bleiben davon unberührt.
Hat man sich die Bewerbungen, die noch potenziell gebraucht werden, zur Seite gelegt, findet dabei die Überwachung per Wiedervorlage statt, um keine Bewerbungen „zu vergessen“.

u-form: Der Transfer von Daten ins Ausland stellt ja offensichtlich auch ein Problem dar. Wo werden denn die Daten des Testsystems und des Bewerbermanagementsystems gespeichert?

Herr Scheffel: Wir betreiben unser Angebot auf eigenen Servern in einem professionellen Rechenzentrum in Düsseldorf. Auf die Server haben nur besonders geschulte Mitarbeiter von u-form Zugang und Zugriff. Da auch die Programme alle aus unserem Hause kommen, können wir immer sagen, wo sich die Daten gerade befinden.
Eine Datenübertragung ins Ausland findet im Rahmen der Bearbeitung nicht statt.
Um dies zu belegen, haben wir uns als Unternehmen ISO 27001:2013 zertifizieren lassen und dabei eben dieses Konzept besonders beachtet. Hierzu lassen wir uns jedes Jahr (re-)auditieren.