E-Recruiting und Datenschutz

Was bei Auswahlprozessen datenschutzrechtlich relevant ist


Ob Bewerbungen per Post bei Ihnen eintreffen oder Sie neue Mitarbeiter über einen webbasierten Recruitingprozess auswählen: In jedem Fall erheben Sie personenbezogene Daten, die dem Bundesdatenschutzgesetz (BDSG) unterliegen. Beim Online-Recruiting mittels eignungsdiagnostischer Testverfahren durch einen Dienstleister regelt der Vertrag über die Auftragsdatenverarbeitung diese gesetzlichen Anforderungen an den Umgang mit personenbezogenen Daten. Wir erläutern den datenschutzrechtlichen Umgang.

Was bedeutet die Auftragsdatenverarbeitung?

Auftragsdatenverarbeitung (ADV) bezeichnet die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister. Für Online-Recruiting mittels psychologischer Testverfahren bedeutet das: Ein Unternehmen nutzt unsere Testverfahren auf der webbasierten Systemplattform JOBMATCHER zum Beispiel für die eigene Personalauswahl. Die personenbezogenen Daten, die Bewerber im Laufe des Prozesses angeben, werden dabei in einem unserer zertifizierten Rechenzentren gespeichert und ausgewertet. Die Erlaubnis dazu ist durch den Vertrag über die Auftragsdatenverarbeitung geregelt. Um den besonderen Schutz der personenbezogenen Daten zu gewährleisten, sind an diesen Vertrag strenge Voraussetzungen geknüpft. In der ADV muss unter anderem geregelt sein, dass dem Auftraggeber sämtliche Rechte eingeräumt werden, die uns vom externen Dienstleister quasi zur internen Abteilung des Kunden machen. Dies reicht von der umfänglichen Weisungsbefugnis bis hin zur Ausübung von Kontrollrechten vor Ort – einschließlich des Besuchs unserer Rechenzentren. Da das Unternehmen als Auftraggeber in vollem Umfang rechtlich verantwortlich bleibt, nun aber die Möglichkeit hat, die personenbezogenen Daten zwischen uns als Dienstleister und dem Unternehmen legal zu übertragen, werden komplizierte Dreiecksbeziehungen mit entsprechendem Vertragswerk vermieden. Eine Auftragsdatenverarbeitung muss laut § 11 Bundesdatenschutzgesetz (BDSG) schriftlich festgehalten werden.

Datenschutzfragen vor dem Auswahlprozess

Bevor ein Unternehmen einen Auftrag zur Datenverarbeitung erteilt, sollte es sich über die Datenschutzstandards des Dienstleisters informieren. Nach § 9 BDSG sind alle Unternehmen verpflichtet, technische und organisatorische Maßnahmen zu treffen, um personenbezogene Daten zu schützen. Da im Rahmen der Auftragsdatenverarbeitung diese Pflicht beim Auftraggeber liegt, die Daten aber faktisch beim Dienstleister gespeichert und verarbeitet werden, muss er sich hierüber Klarheit verschaffen. Grundlage hierfür ist die Anlage zu § 9 Satz 1 BDSG, in der die einzelnen Maßnahmen in acht Punkten aufgelistet werden und zu denen Stellung genommen werden sollte. Fragen, die dabei zu beantworten sind, lauten zum Beispiel:

  • Wie werden die Server vor unbefugtem physischem Zutritt geschützt?
  • Welche Maßnahmen verhindern den digitalen Zugang in die Datenverarbeitungssysteme?
  • Wie werden die Daten übermittelt und welche konkreten Sicherheitsvorkehrungen gibt es?
  • Gibt es Notfallpläne um eine Verfügbarkeit zu gewährleisten?

Mit einem umfangreichen Maßnahmenkatalog tragen wir dazu bei, unseren Kunden schnell Gewissheit hinsichtlich der Erfüllung aller relevanten Punkte zu verschaffen. Dazu gehört auch, individuelle Fragebögen seitens der unternehmenseigenen Datenschützer ausführlich und verständlich zu beantworten.

Während des Auswahlprozesses: Bewerber über den Umgang mit ihren Daten informieren

Zwar ist es laut § 32 BDSG erlaubt, Daten für Zwecke eines Beschäftigungsverhältnisses zu erheben, verarbeiten und zu nutzen – grundsätzlich fallen darunter auch anforderungsbezogen zusammengestellte Eignungstests. Dennoch ist es ratsam, vorher auch das Einverständnis der Bewerber einzuholen. Dies geschieht im Fall eines Online-Bewerbungsprozesses zweckmäßigerweise durch eine in den Auswahlprozess integrierte Opt-in-Funktion. Dort müssen die Bewerber der Datenspeicherung aktiv über eine Checkbox zustimmen, um im Prozess voran zu schreiten. Die Bewerber werden bei der Gelegenheit auch über den Zweck der Datenerhebung, -verarbeitung oder -nutzung und die Folgen der Nichtteilnahme am Eignungstest aufgeklärt – und darüber, welche Daten der Test überhaupt erhebt. Eine detaillierte Information findet sich darüber hinaus häufig in den Datenschutz- und Nutzungsbestimmungen. Schließlich müssen die Kandidaten ihre freiwillige Teilnahme am Testverfahren bestätigen und werden auf die Möglichkeit des Widerrufs gesondert hingewiesen. Für etwaige Fragen, Widerrufe und sonstige Ansprüche aus dem Bundesdatenschutzgesetz erhalten die Bewerber Kontaktmöglichkeiten – sowohl vom Unternehmen, das die ADV vornimmt, als auch vom potentiellen Arbeitgeber.

Nach dem Auswahlprozess: Was passiert mit den Daten?

Bewerber können aus verschiedenen Gründen kein Interesse mehr am laufenden Prozess haben – zum Beispiel wenn sich bereits ein anderer Job für sie ergeben hat und sie deshalb das Löschen ihrer Daten wünschen. Aber auch wenn die Bewerber das nicht explizit wünschen, ist für jeden Auswahlprozess ein Löschungskonzept nötig. Nach dem BDSG müssen nämlich alle Daten gelöscht werden, die ihren Zweck erfüllt haben. Für den Auswahlprozess bedeutet das, dass die Daten spätestens nach Abschluss des Prozesses zu löschen sind. Eine Frist von weiteren 6 Monaten wird noch zugebilligt, da der Auftraggeber für fristgerechte Klagen nach dem AGG (Allgemeines Gleichbehandlungsgesetz) zur Entlastung die Bewerbungsunterlagen benötigt. Spätestens nach dieser Frist ist aber dringend eine Löschung anzuraten. Nur wenn ein spezielles Einverständnis der Bewerber eingeholt wird, darf ein Unternehmen die Daten auch über den Prozess hinaus für längere Zeit speichern. Dies ist beispielsweise im Fall eines Talentpools für beide Seiten sinnvoll, um prinzipiell passenden Bewerbern zu einem späteren Zeitpunkt eine vakante Stelle anbieten zu können.

Die Datenschutz- und Sicherheitsstandards bei HR Diagnostics

Bei einer Auftragsdatenverarbeitung (ADV) übernehmen wir das Hosting für einen Teil des Recruiting-Prozesses unserer Kunden. Die personenbezogenen Daten werden auf Servern in zwei ISO-zertifizierten Rechenzentren verwaltet, die über die höchsten Sicherheitsstandards verfügen. Für unsere Kunden in Deutschland hosten wir auch immer innerhalb Deutschlands, in München und Frankfurt. Die Standards decken alle technischen und organisatorischen Maßnahmen nach § 9 Bundesdatenschutzgesetz (BDSG) ab. Dies sind beispielsweise Vorkehrungen zum Schutz der Gebäude und Server vor unbefugten Zugriffen und technischen Ausfällen, aber auch das gesetzliche Trennungsgebot, wonach die Datenbestände verschiedener Kunden auch getrennt voneinander gespeichert werden müssen.
Nicht nur in den Rechenzentren gelten die gesetzlichen Sicherheits- und Schutzanforderungen. Auch alle Mitarbeiter von HR Diagnostics sind datenschutzrechtlich geschult und zur Geheimhaltung verpflichtet. Ein Rollen-Rechte-System stellt sicher, dass nur sehr wenige befugte Personen Zugriff auf die Daten der einzelnen Projekte haben.

Die Einhaltung des Bundesdatenschutzgesetzes ist ein sensibles Thema für alle Unternehmen, das nicht selten zu Verunsicherung im Umgang mit personenbezogenen Daten führt. Drohende Bußgelder bei Verstößen sind nur die eine Seite der Medaille, die andere ist die mögliche öffentliche Wirkung bei Verstößen. HR Diagnostics steht Datenschützern und Rechtsabteilungen ihrer Kunden bei allen Fragestellungen rund ums Thema zur Verfügung.

Wünschen Sie ausführliche Informationen zu unseren konkreten technischen und organisatorischen Maßnahmen nach dem Bundesdatenschutzgesetz? Lassen Sie uns reden.


Alle Artikel zu den Themen:

Lassen Sie uns reden

+ 49 (711) 48 60 20 10
ARTIKEL UND FACHBEITRÄGE AUS UNSEREM MAGAZIN