Datenschutzkonformer Umgang mit Bewerberdaten

_{Hannover im Oktober 2016}

Der Fachkräftemangel hat auch vor dem steuerberatenden Beruf nicht Halt gemacht, ein Nadelöhr für das Kanzleiwachstum ist Mitarbeitermangel. Umso wichtiger sind effiziente und rechtskonforme Verfahren zur Einstellung von Personal, um Bewerber nicht schon im Bewerbungsprozess von einer Bewerbung abzuschrecken.

Ein Beitrag von Stephan Rehfeld, scope & focus Service-Gesellschaft mbH.

Digitale Bewerbung

Vor dem Jahrtausendwechsel wurden Bewerbungen bei Arbeitgebern schriftlich eingereicht. Heute ist dagegen eine schriftliche Bewerbung eher unüblich. Stattdessen werden Bewerbungen per E-Mail oder über Internet-Bewerbungssysteme eingesandt.

Nimmt eine Steuerkanzlei Bewerbungen per E-Mail an, sollte dem Bewerber die Möglichkeit eingeräumt werden, seine Bewerbung verschlüsselt zu übersenden, auch wenn erfahrungsgemäß nur wenige Bewerber von dieser Möglichkeit Gebrauch machen werden. Zur E-Mail-Verschlüsselung im Bewerbungsfall kann z.B. auf bekannte E-Mail-Verschlüsselungsprogramme zurückgegriffen werden. Ein Beispiel für eine solche Software ist „Pretty Good Privacy (PGP)“. Alternativ kann dem Bewerber auch angeboten werden, seine Bewerbungsunterlagen mit Hilfe eines Kompressionsprogramms zu verschlüsseln (z.B. 7Zip) und das Passwort telefonisch durchzugeben.

Bietet eine Steuerkanzlei auf ihrer Web-Seite die Möglichkeit an, Bewerberdaten über ein Formular hochzuladen, so schreibt der Gesetzgeber vor, dass die Übertragungswege verschlüsselt (z.B. https) sein müssen. Der Web-Server und die darauf installierten Softwares müssen gegen unerlaubten Zugriff abgesichert werden. Dies schließt z.B. das zeitnahe Einspielen von Updates und auch die Umsetzung von Sicherheitshinweisen der Software-Anbieter ein.

Jobportale und Social Media

Jobportale und auch Social Media-Angebote wie z.B. Facebook können durch Steuerkanzleien zur Verbreitung von Stellenangeboten genutzt werden. Es sollte aber vermieden werden, dass die eigentliche Kommunikation mit dem Bewerber über die Nachrichtenfunktionen der Jobportale oder Social Media-Angebote erfolgt, außer es wurden vorher mit den Anbietern die entsprechenden Datenschutzverträge geschlossen (siehe „Einbindung von Dienstleistern“).

Zugriff auf Bewerberunterlagen

In der Kanzlei muss der Zugriff auf Bewerberunterlagen auf den Personenkreis begrenzt sein, der Zugriff haben muss, um die Bewerbung bearbeiten zu können (sogenanntes Erforderlichkeitsprinzip). Diese Regelung ist eng auszulegen.

Fragen durch den Arbeitgeber im Bewerbungsgespräch

Da Arbeitsverhältnisse von Fachkräften regelmäßig langfristig angelegt sind, hat der Arbeitgeber ein Interesse, möglichst viel über den Bewerber zu erfahren. Das Fragerecht des Arbeitgebers wird durch eine diffizile Rechtsprechung definiert und Beschränkungen sind unbedingt zu beachten. Es gilt: Fragen, die arbeitsrechtlich untersagt sind, können natürlich auch nicht datenschutzkonform.

Absage und Aufbewahrungsfristen

Ist eine Bewerbung erfolglos, so müssen die Bewerberunterlagen an den Bewerber zurückgegeben werden. Allerdings kann der Bewerber im Falle einer etwaigen Diskriminierung im Bewerbungsprozess Entschädigungsansprüche innerhalb von zwei Monaten nach erteilter Absage geltend machen (§ 15 Abs. 4 AGG). Damit sich ein Arbeitgeber gegen diese Ansprüche wehren kann, können Bewerbungsunterlagen und Unterlagen zum Auswahlverfahren mindestens bis zwei Monate nach der Absage aufbewahrt werden. In der Literatur werden bis zum Eintreten der Pflicht zur Vernichtung oder Rückgabe der Bewerbungsunterlagen verschiedene Fristen genannt. Das LDA Bayern z.B. hält eine Aufbewahrung der Unterlagen bis zu 6 Monate nach Absage noch für vertretbar (Tätigkeitsbericht für 2011/2012, S. 62).

Bewerberpool

Verläuft eine Bewerbung erfolglos, soll die Bewerbung aber bei kommenden Stellenausschreibungen beachtet werden (sogenannter Bewerberpool),  dann ist dies nur mit einer Einwilligung des Bewerbers möglich. Die Einwilligung hat bei analogen Bewerbungen schriftlich und freiwillig zu erfolgen. Die Einwilligungen müssen vor der Aufnahme der Bewerbung in den Pool vorliegen und müssen archiviert werden. Bei elektronischen Bewerbungen sind von der Steuerkanzlei die Vorschriften des § 13 Abs. 2 TMG zu beachten.

Datenschutzkonforme Vernichtung der Bewerbungsunterlagen

Bei der Vernichtung von Bewerbungsunterlagen gibt die DIN 66399 Auskunft über die technischen Anforderungen an die Vernichtung und den Vernichtungsprozess. Eine etwaige Vernichtung hat mindestens nach der dort definierten Schutzklasse 2 (hoher Bedarf für vertrauliche Daten) und Sicherheitsstufe 3 (Sensible Daten – Reproduktion mit erheblichem Aufwand) zu erfolgen. Eine andere Möglichkeit ist die Rücksendung an den Bewerber.

Einbindung von Dienstleistern

Im Bewerbungsprozess können diverse Dienstleister eingesetzt werden, z.B.

• Anbieter von Jobportalen mit Kommunikationsfunktionen,
• Firmen, die Bewerbungsportale für die Kanzlei-Web-Seite bereitstellen und warten,
• Systemhäuser zur Wartung der Kanzlei-EDV,
• „Head-Hunter“ oder
• Datenträgervernichter

Bei der Einbindung von Dienstleistern in den Bewerbungsprozess, müssen die Dritten sorgfältig ausgewählt und es müssen die geforderten Verträge geschlossen worden sein. Für Dienstleister aus der EU/dem EWG werden dies regelmäßig Verträge zur Auftragsdatenverarbeitung (§ 11 BDSG) sein. Bei Dienstleistern in Drittstaaten sind die Regelungen zum EU-Privacy-Shield zu beachten oder die EU-Standardvertragsklauseln anzuwenden, sofern der Dienstleister nicht in einem  sicheren Drittstaat ansässig ist.

Sanktionen bei Verlust von Bewerbungsunterlagen

Da Bewerbungsunterlagen zwangsläufig personenbezogene Daten besonderer Art enthalten, ist bei Verlust von Bewerbungsunterlagen das Vorliegen der Voraussetzungen für die Beachtung des § 42a BDSG zu prüfen. Ist der § 42a BDSG anzuwenden, muss die Steuerkanzlei bei der zuständigen Datenschutzaufsichtsbehörde eine strafbefreiende Selbstanzeige einreichen und anschließend in Abstimmung mit der Aufsichtsbehörde die Betroffenen informieren. Aus der Selbstanzeige können dann natürlich Schadenersatzansprüche abgeleitet werden.