Interview mit Dr. Timo Karsten von Osborne Clarke zum Thema Datenschutz bei Online-Bewerbungsverfahren
Dr. Timo Karsten ist Fachanwalt für Arbeitsrecht. Er berät nationale und internationale Unternehmen im Kollektiv- und Individual-Arbeitsrecht und ist Lehrbeauftragter der Hochschule Fresenius mit entsprechenden Veröffentlichungen.
Doktor Karsten, wir sehen es oft in der Praxis, dass Unternehmen Ihre Bewerberdaten mit dem gleichen Softwaresystem verwalten wie andere Daten, z.B. Verträge. Wir haben schon gesehen, dass z.B. eine VertragsArchivierungs-Software oder ein Ticket-System, welche in einer internationalen Cloud liegen, verwendet werden. Ist es ein Unterschied, ob ein Vertrag oder eine Bewerbung verwaltet wird?
Grundsätzlich können Bewerberdaten und Vertragsdaten in demselben System gespeichert werden. Das Unternehmen muss aber sicherstellen, dass die gesetzlichen Vorgaben an Sicherheit und Verlässlichkeit in Bezug auf personenbezogene Daten eingehalten werden. Diese Pflicht trifft das Unternehmen auch dann, wenn es Systeme Dritter zur Speicherung der Daten benutzt. Besondere Schwierigkeiten treten dabei in Bezug auf die Aufbewahrungspflichten auf. Während manche Daten aufgrund steuerrechtlicher oder handelsrechtlicher Vorgaben über mehrere Jahre gespeichert werden müssen, dürfen personenbezogene Daten nur so lange gespeichert werden, wie sie benötigt werden.
Doktor Karsten, oft sehen wir auch, dass Bewerbungen in einem Mail-Programm (z.B. Outlook) gepflegt werden. Diese werden dann per E-Mail an die Kollegen weitergeleitet. Kann das problematisch sein? Immerhin werden die Daten dezentral verteilt.
Bewerbungen müssen spätestens dann gelöscht werden, sobald sie für den Auswahlprozess nicht mehr benötigt werden und eine kurze Frist abgelaufen ist, binnen derer Klagen nach dem AGG erhoben werden können. Ist eine Bewerbung einmal per Email an mehrere Empfänger verteilt worden, lässt sich kaum sicherstellen, dass alle Kopien dieser Bewerbung gelöscht werden. Denn sie sind aus jedem Konto, dem Eingangs- und „Gesendet“-Ordner sowie aus allen Backups zu löschen. In der Praxis lässt sich das kaum durchführen. Deswegen geben wir die klare Empfehlung an Arbeitgeber, saubere Prozesse und dezidierte Bewerbungssysteme zu nutzen, sodass Bewerbungen nicht per Email zirkuliert werden müssen.
Wenn ein Unternehmen Bewerberdaten nicht löscht und sich ein Bewerber beschwert, kommt es in jedem Fall zu einem erheblichen Imageschaden an der Arbeitgebermarke. Welche rechtlichen Konsequenzen können sich darüber hinaus noch ergeben?
Auf rechtlicher Ebene drohen einem Arbeitgeber, der gegen die Verpflichtungen aus dem Datenschutzrecht verstoßen, eine Reihe möglicher Konsequenzen. Könnte der Bewerber einen Schaden durch die überlange Aufbewahrung der Bewerbung nachweisen, hat er einen Anspruch auf Schadenersatz. Die Aufsichtsbehörden können eine Unterlassungsverfügung erlassen sowie ein Bußgeld, das im schlimmsten Fall einen Betrag von bis zur EUR 300.000,00 erreichen kann. Ganz aktuell sehen wir seit einigen Tagen anlassunabhängige Stichprobenkontrollen der bayrischen Aufsichtsbehörde.
Hat prinzipiell jeder im Unternehmen das Recht, Bewerbungen von Kandidaten und damit potentiellen neuen Kollegen einzusehen? Oder sollten dies nur Personen sein, die auch etwas mit dem Auswahlprozess zu tun haben?
Der potentielle Arbeitgeber darf Bewerbungsunterlagen nur den Mitarbeitern zugänglich machen, die Einfluss auf den Einstellungsprozess nehmen. Personen, die nicht mitentscheiden, ob ein Bewerber einzustellen ist, dürfen die Bewerbungsunterlagen hingegen nicht einsehen.“
Wie wichtig finden Sie eine Dokumentation und klare Prozesse beim Umgang mit Bewerberdaten?
Die Dokumentation des Umgangs mit Bewerbungsunterlagen und die Einführung klarer Prozesse für diesen Umgang sind notwendig, damit Unternehmen sicherstellen können, dass die Bewerbungsunterlagen stets im Einklang mit den datenschutzrechtlichen Vorschriften verwendet werden. Verlässt man sich darauf, dass die Bewerberdaten auch ohne Dokumentation und die Einführung besonderer Prozesse schon ordnungsgemäß behandelt werden, drohen unweigerlich Rechtsverstöße. Beide Elemente, Dokumentation und klare Prozesse, werden zudem als Teil einer modernen Compliance erwartet und sind als Standard zu betrachten.
