Trennlinie

Bewerbungen aus datenschutzrechtlicher Sicht und Informationssicherheitsgesichtspunkten

Hannover im September 2018

Wir möchten Sie im Zuge dieses Aufsatzes im Hinblick auf eingehende Bewerbungen in Ihrem Unternehmen sensibilisieren. Diese müssen nicht nur in datenschutzrechtlicher Hinsicht mit besonderer Sorgfalt betrachtet, sondern auch in informationssicherheitstechnischer und arbeitsrechtlicher Hinsicht genau durchdacht werden.

Ein Beitrag von Ass. jur. Phillip Fischer, scope & focus GmbH

1. Informationssicherheit

Die Polizei in Niedersachsen warnte am 3.9.2018: Derzeit versenden Hacker ihre Malware in einer gefälschten E-Mail. Getarnt ist der Trojaner als Bewerbung mit einer Zip-Datei im Mail-Anhang. Das ist geschickt, denn einerseits kommen Bewerbungen für gewöhnlich immer von unbekannten Absendern. Andererseits sind angehängte Dateien bei Bewerbungen keine Ausnahme, sondern die Regel.

Sie konnten Fake-Bewerbungen früher noch an eher allgemein gehaltenen Bewerbungen erkennen. Die aktuelle Trojaner-Generation ist jedoch professionell aufgemacht. Persönliche Anrede, gutes Deutsch und ein freundlicher Gruß am Ende, all dies wirkt seriös. Auch der Schlusssatz erweckt nicht grundsätzlich Misstrauen: „Die vollständige Bewerbungsmappe habe ich in meine Dropbox geladen, weil die Datei für die E-Mail zu groß war – Entschuldigen Sie bitte!“ Mit dem Herunterladen aus der Dropbox wird der Verschlüsselungstrojaner aktiv. Denken Sie immer dran, dass Sie als Unternehmer sensible Daten über Ihre Kunden und Mitarbeiter speichern, die unabhängig von den Anforderungen der DSGVO Geschäftsgeheimnisse enthalten können und deren Aufdeckung zu erheblichen geschäftlichen Problemen bei Ihren Kunden führen kann.

Sorgen Sie daher dafür, dass nur ein geschulter Personenkreis die Bewerbungen ansehen kann (Stichpunkt: Funktions-E-Mail-Adresse), Anhänge nur nach vorheriger Prüfung geöffnet werden – nach Möglichkeit in einer durch die Virensoftware abgeschirmten Umgebung (Stichpunkt: Sandbox), keine Links in der Bewerbung angeklickt werden und regelmäßig Backups durchgeführt werden, die funktionsfähig, aktuell und physisch vom Produktionsserver getrennt sind.

Achtung vor Anti-Viren-Cloud-Lösungen wie „Virus-Total”, da Sie gegen das Datenschutzrecht und ggf. auch gegen das Berufsrecht verstoßen. Die Google-Tochter „Virus-Total” stellt Ihre Daten allen Personen zur Verfügung, die ein Premium Konto bei „Virus Total” haben. Bei Nutzung begehen Sie zwei Verstöße:

  • Illegale Übermittlung in ein Drittland
  • Verletzung der Vertraulichkeit durch Preisgabe an einen unüberschaubaren Personenkreis

Tipp: Bitte lassen Sie den Einsatz der Virus- Lösungen durch Ihren
Datenschutzbeauftragten und Ihre Systemtechniker prüfen.

2. DSGVO: Pflichten für Bewerber

Eine Bewerbung kann auf unterschiedlichen Wegen, z.B. per Mail, Formularen auf der Webseite, per Post und persönlich bei Ihnen eintreffen, unabhängig davon, ob es sich um eine Initiativbewerbung handelt oder nicht.

Egal, wie die Bewerbung eingeht, sind Sie – und das ist neu in der DSGVO – gem. Art 13 der DSGVO mit dem Erhalt der Bewerbung verpflichtet, den Bewerber über die nachfolgenden Punkte zu informieren:

  • den Namen und die Kontaktdaten des Verantwortlichen, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buch­stabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • Drittstaatenübermittlung
  • die Dauer der Speicherung
  • die Betroffenenrechte
  • Widerrufsmöglichkeit
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Freiwilligkeit
  • das Bestehen einer automatisierten Entscheidungsfindung

Am einfachsten können Sie den Informationspflichten gerecht werden, indem Sie die Datenschutzerklärung auf Ihrer Web­site um den nachfolgenden Mustertext ergänzen. Bitte beachten Sie, dass die zuvor genannten Informationen (u.a. Betroffenenrecht und veratwortliche Stelle) in Ihre Datenschutz­erklärung aufgenommen haben.

Des Weitern sollten Sie unter den Kontaktdaten bei der Stellenanzeige auf Ihrer Website einen Link zur Datenschutzerklärung ggf. mit einer Bestätigungsmöglichkeit einfügen.

Mustertext zur Ergänzung in der Datenschutzerklärung

Wenn Sie uns Ihre Bewerbungen zukommen lassen, speichern wir Ihre personenbezogenen Daten wie Bewerbungsunterlagen, Anschrift, Lebenslauf, Zeugnisse, Angaben zum beruflichen Werdegang, Führungszeugnis. Aufgrund von § 26 Abs. 1 BDSG-2018 ist uns dies gestattet, da es der Anbahnung eines Beschäftigungsverhältnisses dient. Sofern Sie keine Angaben zu Art. 9 DSGVO-Daten gemacht haben, speichern wir diese auch nicht. Hierbei kann es sich um bestehende Behinderung handeln. Wir geben Ihre Daten nicht an Dritte weiter. Lediglich im Rahmen der IT-Wartung und der Datenträgervernichtung ist es möglich, dass Dritte eine Kenntnisnahmemöglichkeit haben. Mit diesen Auftragsverarbeitern haben wir einen Vertrag geschlossen, so dass Ihre Daten nicht durch diese weitergeben werden dürfen. Wir speichern Ihre Daten wie folgt: 3 Jahre nach Ende des Jahres der Nichteinstellung, sonst Übernahme in die Personalakte. Diese Löschfrist ergibt sich aus § 15 Abs. 4 AGG, 2 Monate. Bei Bewerbungen beginnt diese Frist mit Ablauf des Tages, an dem der Bewerber die Absage erhalten hat. Um eventuellen Verjährungsunterbrechungen vorzubeugen, haben wir diese Frist auf 3 Jahre ab Ende des Jahres der Nichteinstellung erhöht. Wir dürfen die Daten daher so lange speichern, bis wir sicher sein können, dass alle eventuellen Ansprüche verjährt sind. Dieses kann durch Unterbrechungen der Verjährungszeit möglich sein, der letztmögliche Zeitpunkt ist gem. § 195 BGB der von uns gewählte Zeitpunkt. Wir prüfen vor endgültiger Löschung Ihrer Daten nochmals, ob eine Speicherung noch notwendig bzw. erlaubt ist.

Sie können diesen Mustertext auch in Ihrem Antwortschreiben per Mail verwenden, wenn Sie die weiteren Informationen ergänzen oder auf Ihre Datenschutzerklärung verlinken.

Bei einer schriftlichen Eingangsbestätigung per Post sollten Sie dem Bewerber alle vorgenannten Pflichtinformationen in dem Brief mitteilen. Ein Querverweis auf die Website ist hier nicht empfehlenswert.

Hinweis: Dem Bewerber sollte eine Möglichkeit zum verschlüsselten Datentransfer geboten werden, was elegant im Rahmen eines Austauschportales oder mit entsprechenden Bewerbungstools geschehen kann.

 

 

Rechenschaftspflichten
Eine der wichtigsten und am wenigsten beachteten Neuerungen in der DSGVO ist die Rechenschaftspflicht. In Art. 5 Abs. 2 heiß es: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können.“ Dieses bedeutet nunmehr für Ihr Unternehmen, dass Sie jederzeit die Befolgung aller Vorschriften der DSGVO nachweisen können müssen. Daher muss insbesondere die Personalabteilung – die mit besonders sensiblen Daten umgeht – deutlich mehr Vorgänge dokumentieren als noch vor dem 25. Mai 2018.

Die strengeren Rechenschaftspflichten bewirken de facto eine Beweislastumkehr. Das bedeutet, in einem Verfahren oder auch vor der Aufsichtsbehörde muss der Arbeitgeber nachweisen, dass er die Anforderungen der DSGVO eingehalten hat. Zum Beispiel muss er also belegen, dass eine wirksame Erlaubnisgrundlage für die Datenverarbeitung besteht oder dass geeignete Datenschutzvorkehrungen umgesetzt wurden.

Daher ist es von entscheidender Bedeutung, dass Ihr Verarbeitungsverzeichnis sauber geführt wird und die Transparenzangaben gem. Art 13 DSGVO dem Bewerber mitgeteilt werden. Auch muss Ihre IT die Informationssicherheitsgesichtspunkte nachweislich umgesetzt haben. Diese Vorgänge sollten in einem Prozess dokumentiert sein.

3. Fragerechte und Backgroundcheck

Das Fragerecht des Arbeitgebers
Unabhängig davon, ob die folgenden Fragen in einem Fragegebogen oder im direkten Gespräch gestellt werden, müssen Sie als Arbeitgeber immer die Grenzen des Fragerechtes beachten. Es folgen die häufigsten Fragen mit unserer Zulässigkeitskommentierung:

  • Berufliche Fähigkeiten: Die beruflichen und fachlichen Fähigkeiten dürfen uneingeschränkt abgefragt werden.
  • Eheschließung: unzulässig
  • Gesundheitszustand: Fragen nach früheren Erkrankungen sind nur insoweit zulässig, als an ihrer Beantwortung im Einzelfall für die Arbeit, für den Betrieb und für die übrigen Arbeitnehmer ein Interesse besteht.
  • Gewerkschafts- und Religionszugehörigkeit: grds. unzulässig
  • Höhe des bisherigen Gehalts: grds. unzulässig
  • Schwangerschaft: unzulässig
  • (Schwer-)Behinderung: Weder nach einer Behinderung noch nach der Eigenschaft als Schwerbehinderter sollte gefragt werden. Das Benachteiligungsverbot des § 81 Abs. 2 SGB IX für Schwerbehinderte und Gleichgestellte ist mit einer weitreichenden Entschädigungs- bzw. Schadensersatzpflicht verbunden. Dies gilt insbesondere auch für Bewerber, die das – weitergehende – Merkmal der „Behinderung” im Sinne von § 1 AGG erfüllen.
  • Vermögensverhältnisse: Danach darf der Arbeitgeber grundsätzlich nicht fragen. Ausnahmen sind bei besonderen Vertrauensverhältnissen denkbar.
  • Vorstrafen: Der Arbeitgeber darf danach nur fragen, wenn und soweit die künftige Tätigkeit des Bewerbers dies erfordert. Diese Frage sollten nur in Zusammenarbeit mit Ihrer Rechtsabteilung gestellt werden.
  • Wettbewerbsverbote: Muss der Arbeitnehmer selbstständig aufklären, darf somit gefragt werden.
  • Backgroundcheck: Wie verhält es sich bei Anfragen beim ehem. Arbeitgeber? Hat sich hier etwas im Rahmen der DSGVO verändert? Eigentlich nicht. Eine Einwilligung zur Auskunft muss sowohl vom Bewerber als auch vom ehem. Arbeitgeber vorliegen.
  • Hintergrundauskünfte: Arbeitgeber müssen sich an den Datenschutz und das Arbeitsrecht halten. Fragen dürfen nur in einem bestimmten Rahmen  beantwortet werden.

Erlaubte Fragen:
Ihr künftiger Arbeitgeber darf sich erkundigen nach

  • Arbeitsleistung,
  • Qualifikation und
  • Verhalten.

Weitergehende Informationen sind durch das Auskunftsrecht nicht gedeckt.
Beispiele für unerlaubte Auskünfte:

  • Informationen über den Inhalt ehemaliger Arbeitsverträge
  • Weitergabe von Personalakten

Dies gilt auch bei Fragen zu ehem. Arbeitnehmern.

Wenn Sie sich über einen potenziellen Arbeitnehmer informieren wollen, nutzen Sie bitte ebenfalls nur erlaubte Wege, z.B. über Suchmaschinen, Webseiten des Bewerbers, Zeitschriften und berufsbezogene soziale Netzwerke.

Es ist übrigens nicht erlaubt, sich in privaten sozialen Netzwerken wie Facebook über den Bewerber zu informieren, da hier seine Privatsphäre betroffen ist.

Abschließende Tipps:

Wir bitten diese noch einmal zu betrachten, da unter der
DSGVO empfindliche Strafen vorgesehen sind und Schadens­ersatzansprüche des Bewerbers geltend gemacht werden könnten.

  • Einrichtung einer Funktions-E-Mail-Adresse (Zugriff nur für bestimmte Personen)
  • gesonderte Prüfung von Dateianhängen
  • Achtung bei Links, insbesondere auf Webspeicher wie Dropbox etc.
  • Sicherstellung der Information des Bewerbers über den Umgang mit seinen Daten
  • Beachtung der Rechte der Bewerber insb. Art 15 DSGVO – Auskunftsrecht
  • Beachtung des Fragerechts
  • Anfragen an ehem. Arbeitgeber nur mit Einwilligung
  • des Bewerbers – Gleiches gilt, wenn Sie befragt werden
  • Beachtung der Rechenschaftspflichten