Peinliche Befragung des BayLDA zum Umgang mit Bewerberdaten

Derzeit befragt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ausgewählte Unternehmen in Bayern zu deren Umgang mit Bewerberdaten und im Besonderen zu Maßnahmen um die Vertraulichkeit der Bewerberdaten bei Online bzw. Email-Bewerbungen sicherzustellen (Download Fragebogen).

Allgemeines

Die Daten von Bewerbern enthalten in der Regel zahlreiche persönliche Details des Bewerbers, wie Zeugnisse oder auch Gehaltsinformationen. Mit diesen Informationen muss das Unternehmen besonders sorgfältig umgehen und diese in der Regel auch wieder löschen, wenn der Bewerber nicht eingestellt wird.

Gesetzesgrundlage

Die Grundlage, die Informationen eines Bewerbers zu verarbeiten, ist in §32 (1) BDSG niedergelegt.

Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Hier werden explizit die Phasen „Begründung“, bzw. Bewerbungsphase, Anstellung und Beendigung der Anstellung aufgezählt und ausgeführt, dass die Daten nur soweit verarbeitet werden dürfen, als sie für diese Zwecke erforderlich sind. Der Zweck, dass man sie vielleicht später noch einmal brauchen könnte, ist hier „leider“ nicht angeführt J.

Zum Fragebogen

Auch wenn Sie von der Umfrage nicht direkt betroffen sind, ist es sehr sinnvoll sich mit dem Fragebogen auseinanderzusetzen, da dieser einiges über die Auslegung des Landesamtes über das gesetzeskonforme Verhalten von Unternehmen aussagt.

Nach Abschnitt 1 mit Fragen, in welcher Form Sie Möglichkeiten der Bewerbungen anbieten, wird es in Abschnitt 2 „Bewerbung per Email“ interessant: „Bieten sie bei E-Mail-Bewerbungen eine Inhaltsverschlüsselung an (z.B. PGP)?“, „Bestehen Festlegungen wie intern mit E-Mail-Bewerbungen in Ihrem Unternehmen umgegangen wird?“.

Die erste Frage zielt darauf ab, dass Bewerbungen im Grunde nur verschlüsselt übertragen werden sollten. Die zweite müssten Sie eigentlich mit ja beantworten, da diese Festlegung im Rahmen des internen Verfahrensverzeichnisses zumindest grob beschrieben sein müsste.

Die Fragen 2.3 und 2.4 erfragen ob die eingesetzten Mailserver „STARTTLS“ und „Perfect Forward Secrecy“ unterstützen. Beides gilt zumindest in Bayern als obligatorisch. Ihren Status können Sie unter der Website https://de.ssl-tools.net/mailservers selbst prüfen.

Falls Sie „Bewerbungen über (Ihre) Website“ anbieten, ist Abschnitt 3 interessant. Bieten Sie SSL Verschlüsselung für diese Seiten an und ist SSL sicher konfiguriert? Können Tools wie z.B. Google Analytics vielleicht sogar Bewerbungsdaten analysieren?

In Abschnitt 4 möchte das LDA wissen, wie Sie mit Papier-Bewerbungen abgelehnter Bewerbungen umgehen. Zurückschicken und/oder sicher vernichten (zur sichern Vernichtung siehe auch https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02435.html)?

Im 5. Abschnitt werden einige detaillierten Fragen zum allgemeinen Umgang mit den Bewerberdaten gestellt. Werden Bewerbungen fristgerecht nach Besetzen der ausgeschriebenen Stelle gelöscht, oder Bewerber gefragt ob die Daten noch aufbewahrt werden dürfen? Nutzen Sie Cloud-Dienste oder Personaldienstleister?

Interessant finde ich die Frage 5.7: „Werden Sekundärquellen (z.B. Facebook, Google, Xing, Linkedin) zur Beschaffung von Informationen über Bewerber eingesetzt?“. Im Grunde ist das BDSG in §4 (2) hier relativ klar:

Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn

1.     eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder

2.     a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde

und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

Stellenausschreibungen in den Sozialen Netzwerken sind datenschutzrechtlich unproblematisch. Recherchen bei Facebook und Co. verbieten sich aber im Grunde. Alleine die Recherche nach Kandidaten in beruflich orientierten Netzwerken wie Xing oder Linkedin ist nach häufig anzutreffender Meinung erlaubt (https://www.datenschutzbeauftragter-info.de/fachbeitraege/xing-und-datenschutz/) z.B. wenn einen Einwilligung des Bewerbers Aufgrund eines entsprechenden Eintrages im Profil (arbeitssuchend, suche neue Herausforderung) vorausgesetzt werden kann. Eine abschließend gesicherte Gesetzesgrundlage dazu ist mir dazu aber nicht bekannt.

Wenn Sie zuletzt in Abschnitt 6 die Frage nach einem Datenschutzbeauftragten noch mit „nein“ beantworten, freue ich mich auf Ihren Anruf J.

 Downloads:

Kontakt

Falls Sie noch Fragen zu dem Thema haben, freue ich mich auf Ihre Kontaktaufnahme

Dr. Stefan Krempl
089 461 3505 12
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
ISO 27001 Auditor, Datenschutzbeauftragter 

Dr. Stefan Krempl

ISO 27001 Auditor, Datenschutzbeauftragter