Datenschutz in der Personalabteilung

Datenschutz in der Personalabteilung – Bewerberdaten und Bewerbungsprozess – Welche Daten dürfen erhoben werden?

In unserem Informationsblog erhalten Sie aktuelle Datenschutz-Informationen zu folgenden Punkten:

• Welche Daten dürfen erhoben werden?
• Vorstrafen, Schwerbehinderung, Religion etc.
• Recherchen in sozialen Netzwerken
• Speicherdauer von Personaldaten
• Weitergabe von Personaldaten innerhalb der Unternehmensgruppe
• Umgang mit online-Bewerbungen
• Anforderungen an den Personalberater

Datenschutz in der Personalabteilung – Überblick

Immer zulässig: Stammdaten

Die Frage, welche personenbezogenen Daten des Bewerbers zulässigerweise erhoben werden dürften, richtet sich nach den arbeitsrechtlichen Grundsätzen zum Fragerecht des Arbeitgebers. Das Bundesarbeitsgericht hat hier in jahrzehntelanger detaillierter Rechtsprechung festgelegt, welche Fragen im Bewerbungs- und Interviewprozess gestellt werden dürfen und welche nicht.

Da es sich beim Bewerbungsprozess um ein so genanntes vorvertragliches Vertrauensverhältnis handelt, ist eine Speicherung von Daten, welche mit zulässigen Fragen erhoben wurden, datenschutzrechtlich immer unproblematisch. Diese Daten genügen den Anforderungen des § 28 Abs. 1 Nr. 1 BDSG und werden im Regelfall in entsprechenden Bewerbermanagementsystemen als so genannte Stammdaten erfasst. Unproblematisch ist daher die Erhebung der Stammdaten wie:

• Namen,
• Anschrift,
• Telefonnummer sowie
• E-Mail Adresse.

Schutzwürdige Daten – Datenschutz in der Personalabteilung

Die darüber hinausgehende Erhebung von sogenannten schutzwürdigen Daten ist datenschutzrechtlich nur eingeschränkt möglich. Hierunter fallen personenbezogene Daten über:

• rassische Herkunft,
• ethnische Herkunft,
• Religion oder Weltanschauung,
• Behinderung,
• Sexuelle Identität,
• Gesundheit,
• Vermögensverhältnisse,
• Vorstrafen,
• Laufende Ermittlungsverfahren.

Die oben genannten Daten darf der Arbeitgeber auch datenschutzrechtlich nur unter den strengen Voraussetzungen des § 8 Absatz 1 des Allgemeinen Gleichbehandlungsgesetzes (AGG) erheben. Maßgebend für die Zulässigkeit der Erhebung sind daher die aus objektiver Sicht zu bestimmenden wesentlichen und entscheidenden beruflichen Anforderungen. Es kommt also ganz stark darauf an, was das Unternehmen macht und es hat immer eine Beurteilung des Einzelfalls zu erfolgen.

Die Erhebung von Gehaltsdaten bei dem bisherigen Arbeitgeber ist nur dann zulässig, wenn das Gehalt erkennbar für die Einstellungsentscheidung von Relevanz ist. Dies ist dort nicht der Fall, wo der Arbeitgeber die Gehaltshöhe für den künftigen Arbeitnehmer bereits festgelegt hat oder wo ohnehin tarifliche Vorgaben bestehen. Im Regelfall dürfte also eine Erhebung von Daten über das bisherige Gehalt also unzulässig sein.

Vorstrafen – Datenschutz in der Personalabteilung

Hinsichtlich der Fragen nach Vorstrafen gelten spezialgesetzliche Vorschriften, die dem BDSG in der Rangfolge vorgehen: Es sind hier gemäß § 1 Absatz 3 Satz 1 die Vorschriften des Bundeszentralregistergesetzes (BZRG) anwendbar. Wichtig ist dies immer dann, wenn der Arbeitgeber bei den Bewerbern ausdrücklich bestehende Vorstrafen abfragt.

Hier besteht die Besonderheit, dass sich der Bewerber nach § 53 Absatz 1 BZRG als unbestraft bezeichnen darf und den der Verurteilung zugrunde liegenden Sachverhalt nicht zu offenbaren braucht, wenn die Voraussetzungen dieser Vorschrift vorliegen. Im Regelfall ist die gegeben, wenn der Strafrahmen neunzig Tagessätze nicht überstiegen hat, d. h. keine Eintragung in das Bundeszentralregister besteht.

§53 Abs. 1 BZRG „Offenbarungspflicht bei Verurteilungen“

(1) Der Verurteilte darf sich als unbestraft bezeichnen und braucht den der Verurteilung zugrunde liegenden Sachverhalt nicht zu offenbaren, wenn die Verurteilung

1. nicht in der Führungszeugnis nach § 32 Abs. 3, 4 aufzunehmen oder
2. zu tilgen ist.

Hiervon unabhängig ist die Frage zu beurteilen, ob ein Arbeitgeber den Bewerber überhaupt nach Vorstrafen fragen darf. Die datenschutzrechtliche Zulässigkeit der Erhebung dieser Daten orientiert sich an der arbeitsgerichtlichen Rechtsprechung des Bundesarbeitsgerichts zu diesem Themenkreis. Demnach besteht ein Fragerecht des Arbeitgeber nur dann, wenn und soweit die spezifische Art des zu besetzenden Arbeitsplatzes dies erfordert.

Schwerbehinderung und Krankheiten – Datenschutz in der Personalabteilung

Auch bei der datenschutzrechtlichen Zulässigkeit der Erhebung von Daten zur Schwerbehinderteneigenschaft folgt die datenschutzrechtliche Zulässigkeit einer solchen Erhebung den arbeitsrechtlichen Grundsätzen: Der Arbeitgeber darf grundsätzlich nicht nach der Schwerbehinderteneigenschaft fragen. Die entgegenstehende Rechtsprechung des Bundesarbeitsgericht aus der Zeit vor Inkrafttreten der Richtlinie 2000/78/EG sowie des Neunten Buches Sozialgesetzbuch (SGB IX) und des Allgemeinen Gleichbehandlungsgesetzes ist durch die dort aufgestellten Diskriminierungsverbote überholt.

Die Einstellung eines Bewerbers darf aus Gründen der Gleichbehandlung nicht wegen der Schwerbehinderten- oder Gleichstellungseigenschaft verweigert werden, wenn die zu Grund liegende Behinderung der Eignung nicht entgegensteht. Zur Erfüllung der sich aus dem Neunten Buch des Sozialgesetzbuches ergebenden Pflichten des Arbeitgebers und Rechte der Schwerbehinderten und diesen gleichgestellten behinderten Menschen ist ein Fragerechts nach der Schwerbehinderten- oder Gleichstellungseigenschaft vor Begründung des Beschäftigungsverhältnisses nicht erforderlich. Will der Arbeitgeber der Pflicht zur Beschäftigung schwerbehinderter oder gleichgestellter Menschen gemäß § 71 SGB IX nachkommen, kann er dieses Ziel z. B. durch einen entsprechenden Hinweis in der Stellenausschreibung erreichen. Das Gleiche gilt für den öffentlichen Arbeitgeber hinsichtlich der Verpflichtung gemäß § 82 Satz 2 SBG IX, schwerbehinderte und gleichgestellte Bewerber zum Vorstellungsgespräch einzuladen.

Damit bleibt es allein den Bewerbern überlassen, ob sie Angaben zur Schwerbehinderteneigenschaft machen und ob sie diese Daten dem Arbeitgeber offenlegen.

Problematisch ist insoweit die Erhebung von Gesundheitsdaten. Fragen nach spezifischen Gesundheitsdaten sind grundsätzlich nur soweit zulässig, als diese Fragen auf die dauerhafte Eignung für die vorgesehene Tätigkeit abzielen oder ansteckende Krankheiten betreffen, die Kollegen oder Kunden gefährden könnten.

Fragen nach einer akuten AIDS-Erkrankung sind im deutschen Rechtskreis zumindest zulässig, wohingegen Fragen nach der bloßen HIV-Infektion allerdings als grundsätzlich nicht zulässig angesehen werden.

Ein Alkohol- und Drogentest soll im Rahmen des Bewerbungsverhältnisses gefordert werde können. Wenn jedoch ein Arbeitsverhältnis eingegangen wurde, soll ein derartiger Alkohol- und Drogentest auch dann nicht zulässig sein, wenn dem Arbeitgeber entsprechende Verdachtsmomente vorliegen. Eine Erhebung der relevanten Daten wäre damit auch datenschutzrechtlich unzulässig.

Lässt sich ein Bewerber freiwillig auf eine Einstellungsuntersuchung durch einen Betriebsarzt ein, so gilt diesbezüglich die ärztliche Schweigepflicht; der Betriebsarzt darf dem Arbeitgeber nur das Ergebnis, ob der Bewerber für die konkrete Position geeignet ist oder nicht, mitteilen. Auch hier gilt aber der oben dargestellte Grundsatz, dass eine Untersuchung (z. B. auch Blutproben) nur dann durchgeführt werden darf, wenn es für die konkret zu besetzende Position tatsächlich erforderlich ist.

Fragen nach der Schwangerschaft sind nach neuster Rechtsprechung auch bei einer Relevanz für den Arbeitsplatz immer unzulässig. Das bedeutet nach den oben dargestellten Grundsätzen auch, dass die hiermit verbundene Datenverarbeitung unzulässig ist. Als Hauptargument wird hier aufgeführt, dass es sich lediglich um einen befristeten Zustand handelt, der auch grundsätzlich keinem Krankheitsbild entspreche. Erst nach der Einstellung hat der Arbeitgeber ein anerkennenswertes Interesse, das Bestehen einer Schwangerschaft zu kennen, etwa um Schutzvorschriften genügen zu können.

Gewerkschaftszugehörigkeit – Datenschutz in der Personalabteilung

Auch die Frage nach einer etwaigen Gewerkschaftszugehörigkeit im Bewerbungsverfahren wird arbeitsrechtlich nach ganz herrschender Meinung und Rechtsprechung für unwirksam erachtet. Die datenschutzrechtliche Konsequenz ist insoweit, dass auch eine Erhebung von personenbezogenen Daten zu Gewerkschaftszugehörigkeit als unzulässig angesehen wird. Auch nach der Einstellung obliegt allein dem Arbeitnehmer die Entscheidung, ob er seine Gewerkschaftszugehörigkeit zwecks Geltendmachung tariflicher Rechte offen legt oder nicht.

Religiöse Überzeugung – Datenschutz in der Personalabteilung

Fragen nach politischen, religiösen und philosophischen Überzeugungen sind nur bei sogenannten Tendenzbetrieben oder bei besonderen Vertrauensstellungen (zum Beispiel Frage nach Scientology-Mitgliedschaft) gerechtfertigt. Die Erhebung dieser Daten wäre also nicht datenschutzkonform:

Gleiches gilt bei einer geplanten Beschäftigung bei einer Religionsgemeinschaft, einer ihr zugeordneten Einrichtung oder einer Vereinigung, die sich die gemeinschaftliche Pflege einer Religion oder Weltanschauung zur Aufgabe gemacht hat.

Diese datenschutzrechtliche Regelung trägt dem Selbstverständnis und dem verfassungsrechtlich garantierten Selbstbestimmungsrecht der Religions- und Weltanschauungsgemeinschaften Rechnung. Eine derartig differenzierte Betrachtungsweise, die auf den religiösen Bezug des Unternehmens abstellt, ist auch nach dem Allgemeinen Gleichbehandlungsgesetz nicht zu beanstanden. Insoweit ist eine unterschiedliche Behandlung wegen der Religion oder Weltanschauung nach § 9 Abs. 1 Allgemeines Gleichbehandlungsgesetz zulässig.

Soziale Netzwerke – Datenschutz in der Personalabteilung

Arbeitgeber informieren sich über potentielle Bewerber immer häufiger über frei im Internet zugängliche Informationen und soziale Netzwerke. Im privaten und im beruflichen Bereich sind hier zu nennen soziale Netzwerke wie:

• Facebook
• Xing
• LinkedIn

Eine ausdrückliche gesetzliche Regelung, ob und inwieweit innerhalb eines Bewerbungsprozesses auf Daten in sozialen Netzwerken zurückgegriffen werden kann, besteht nicht. Die Nutzungsmöglichkeiten für den Arbeitgeber sind aber vielfältig:

Mangels einer ausdrücklichen gesetzlichen Regelung ist auf die allgemeinen datenschutzrechtlichen Grundsätze der Zulässigkeit einer Verarbeitung der Bewerberdaten zurückzugreifen. Da eine ausdrückliche Einwilligung des Bewerbers regelmäßig auszuschließen ist, benötigt der Arbeitgeber für eine rechtmäßige Verarbeitung in den oben genannten Beispielen eine gesetzliche Ausnahmevorschrift:

Nach § 32 Abs. 1 S.1 BDSG dürfen personenbezogene Bewerberdaten erhoben, verarbeitet und genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

Die Erhebung allgemein zugänglicher Daten ist demnach nicht zulässig, wenn das schutzwürdige Interesse des Beschäftigen an dem Ausschluss der Erhebung gegenüber dem berechtigten Interesse des Arbeitgebers überwiegt. Im Hinblick auf soziale Netzwerke im Internet, die der elektronischen Kommunikation dienen, werden deshalb die nachfolgenden Grundsätze anwendbar sein:

Ein Abgleich der Bewerberdaten mit einem beruflichen sozialen Netzwerk (XING, LinkedIN) dürfte vom Anwendungsbereich der Vorschrift noch gedeckt sein: Denn der Bewerber nimmt an diesen Netzwerken gerade Teil, um seine beruflichen Kontakte zu vernetzen und zu nutzen er muss bei diesen freiwillig und öffentlich preisgegebenen Daten damit rechnen, dass ein potentieller neuer Arbeitgeber einen entsprechenden Abgleich vornimmt. Insoweit ist bei rein beruflichen sozialen Netzwerken von einer datenschutzrechtlichen Zulässigkeit des in den obigen Beispielen dargestellten Vorgehens auszugehen.

Hiervon abweichend ist die datenschutzrechtliche Beurteilung bei dem Abgleich von Bewerberdaten mit Angaben in privaten sozialen Netzwerken (z. B. Facebook, StudiVZ). Hier wird eine Beurteilung der Erforderlichkeit mit einer sehr hohen Wahrscheinlichkeit zu einer Auslegung zu Gunsten des Bewerbers gelangen. Denn dieser will sich in privaten Netzwerken gerade nicht beruflich oder zum Aufbau seiner Karriere präsentieren. Die Darstellung und Texte sind fast überwiegend privat und stehen insoweit nicht im Kontext zu einer beruflichen Tätigkeit. Eine Erforderlichkeit des zukünftigen Arbeitgebers, diese Daten mit der Bewerbung abzugleichen oder weitergehende private Informationen über den Bewerber zu erhalten, liegt deshalb regelmäßig nicht vor. Die Datenverarbeitung in dem oben genannten Beispiel ist datenschutzrechtlich unzulässig.

Speicherdauer – Datenschutz in der Personalabteilung

In der datenschutzrechtlichen Literatur existieren zum Teil unterschiedliche und nicht ganz eindeutige Ansichten, ob und vor allem wie lange Bewerberdaten gespeichert werden dürfen. Insoweit ist auf die allgemeinen Bestimmungen des BDSG zurückzugreifen, die nach § 32 Abs. 1 S. 1 BDSG lediglich eine Speicherung im Rahmen der Zweckbestimmung des vertragsähnlichen Vertrauensverhältnisses zulassen. Das bedeutet für die Praxis:

• Falls sich ein Unternehmen dazu entschieden hat, den Bewerber nicht einzustellen, ist § 35 Absatz 2 Satz 2 BGB anwendbar und die Bewerberdaten sind grundsätzlich zu löschen. Eine Ausnahme hiervon würde dann vorliegen, wenn der Bewerber im Rahmen des Bewerbungsverfahrens ausdrücklich zugestimmt hat, dass seine Daten gespeichert und vorgehalten werden dürfen.
• Mangels einer ausdrücklichen gesetzlichen Regelung ist bei der Frage der Löschung von Bewerberdaten auf die Behördenpraxis der Datenschutzbehörden abzustellen. Der Zeitpunkt der Löschung liegt insoweit nach der Anwendungspraxis der Datenschutzbehörden regelmäßig bei zwei Monaten nach Zugang des ablehnenden Schreibens an den Bewerber.
• Denn innerhalb dieses Zeitraums kann ein Bewerber theoretisch noch zivilrechtlich wegen des sogenannten Diskriminierungsverbots aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) gegen das Unternehmen vorgehen. Bis zu diesem Zeitpunkt muss und soll es dem Unternehmen auch möglich sein, auf die Bewerberdaten zurückzugreifen.
• Eine Einwilligung zu einer darüber hinausgehenden längeren Speicherung kann im Bewerbungsprozess entweder online oder offline.

Weitergabe im Konzern und in der Unternehmensgruppe

Gerade bei größeren Konzernen stellt sich die in der Praxis oft die Frage der datenschutzrechtlichen Zulässigkeit der Weitergabe von Bewerberdaten im Konzern.

Insoweit ist auf die Einleitung zu verweisen und klarzustellen, dass es sich bei jeder einzelnen Konzerngesellschaft aus datenschutzrechtlicher Sicht um ein selbstständiges Datensubjekt handelt. Da der Bewerber und Mitarbeiter datenschutzrechtlich geschützt werden soll, existiert im Datenschutzrecht kein Konzernprivileg. Das bedeutet: Ohne eine ausdrückliche Einwilligung des Bewerbers in eine Weitergabe seiner personenbezogenen Daten innerhalb eines Konzerns ist eine derartige Weitergabe unzulässig.

Online-Bewerbungen – Datenschutz in der Personalabteilung

Viele Unternehmen haben ihren Bewerbungsprozess mittlerweile vollständig auf einen Online-Bewerbungsprozess umgestellt. Bei der Frage, welche personenbezogenen Daten hier erhoben und verarbeitet werden dürfen, gelten die oben dargestellten Grundlagen. Auch wenn die Verarbeitung aufgrund der gesetzlichen Vorschrift des § 35 BDSG ohne ausdrückliche Einwilligung zulässig wäre, empfiehlt es sich in der Praxis, eine entsprechende Einwilligungserklärung zusätzlich einzuholen.

Das hat für die Sicherstellung des Datenschutz in der Personalabteilung zwei Vorteile:

• Erstens schafft eine derartige Datenschutzerklärung Vertrauen beim Bewerber und zweitens kann hier eindeutig und klar geregelt werden, für welchen Zeitraum die Bewerberdaten beim Unternehmen gespeichert werden (dürfen). Denn aktuell besteht keine eindeutige gesetzliche Regelung, welche eine klare zeitliche Vorgabe für die Dauer der Speicherung der Bewerberdaten gibt. Eine Einwilligungserklärung mit einer klaren Regelung dazu, wie lange Bewerberdaten gespeichert werden dürfen, schafft mehr Rechtsklarheit für alle Beteiligten und gleichzeitig mehr Flexibilität für das Unternehmen.
• Gleichzeitig besteht mit diesem Prozess die Möglichkeit präventiv eine Einwilligungserklärung des Bewerbers für den Fall zu erhalten, dass seine Bewerbung zu einem späteren Zeitpunkt – bei Vorliegen einer dann freien Stelle – genutzt werden oder innerhalb eines Konzernunternehmens weitergegeben werden soll.

Personalberater – Datenschutz in der Personalabteilung

Komplizierter wird die Bewerbersuche unter datenschutzrechtlichen Aspekten immer dann, wenn der Arbeitgeber einen Personalberater beauftragt:

Soll der Personalberater nur die eingehenden Bewerbungsunterlagen entgegennehmen und nach arbeitgeberseitigen Vorgaben sortieren und weiterleiten, handelt es sich um Auftragsdatenverarbeitung im Sinne des § 11 BDSG. Der Arbeitgeber muss dann die spezifischen datenschutzrechtlichen Anforderungen bei der Beauftragung beachten und bleibt für die Einhaltung der datenschutzrechtlichen Vorgaben allein verantwortlich. Soll der Personalberater die Bewerber bewerten, vor- und aussortieren und den Arbeitgeber diesbezüglich beraten, so stellt dies regelmäßig eine Funktionsübertragung dar.

Der Personalberater ist zunächst unmittelbar dem BDSG unterworfen; die Übermittlung der Bewerberdaten an den Arbeitgebern ist an dem BDSG zu messen. Für das Unternehmen selbst gelten bei den Anforderungen an Datenschutz in der Personalabteilung die identischen Grundsätze wie bei Bewerberdaten, welche nicht über einen Personalberater erhoben werden. Im Innenverhältnis zum Personalberater sollte sich das Unternehmen aber in jedem Fall zusätzlich absichern, dass dieser auch tatsächlich datenschutzkonform arbeitet. Dies kann durch eine entsprechende Garantie und Freistellungsregelung im Vertrag mit dem Personalberater sichergestellt werden.

S+P Infothek Datenschutz-Compliance – Auslagerung Datenschutzbeauftragter mit S+P

Besuchen Sie auch unseren Informationsbeiträge zu folgenden Datenschutz-Themen

• Datenschutz für Unternehmer – Management in der Pflicht
• AEAO zum Steuergeheimnis – Anpassung an Datenschutz-Grundverordnung
• Neue Datenschutz-Grundverordnung – Datenschutz-Compliance im Griff?
• EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan
• Datenschutz-Compliance erfüllen

Seminare zum Thema Datenschutz finden Sie direkt beim S+P Unternehmerforum.