Datenschutz in der Personalauswahl

Das Thema Datenschutz ist für viele Personalverantwortliche immer noch rotes Tuch. Während manche Unternehmen der Compliance-Abteilung die Verantwortung für dieses Thema zuschreiben, sehen andere den Datenschutz als Teil des Bewerbermanagements und daher als Aufgabe der Personalabteilung. Unterm Strich lässt sich sagen, dass Datenschutz, dessen Richtlinien und Konsequenzen bei vielen Unternehmen jeder Größe Unsicherheit hervorrufen. Diese Unsicherheit äußert sich in unbeantworteten Fragen zum Datenschutz, mangelnder Transparenz und häufig kostspieligen Konsequenzen. Datenschutzverstöße können Unternehmen je nach Schweregrad bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes kosten. Also gilt es hier auch aus ökonomischer Sicht ein solches Szenario unbedingt zu vermeiden. Die gute Nachricht ist: so schwer ist das Ganze nicht!

Datenschutz ist heutzutage ein allgegenwärtiger Begriff, der sich im Personalwesen auf die informationelle Selbstbestimmung bezieht. Danach soll jedem Menschen überlassen sein, welche Informationen über die eigene Person erfahren, gesammelt und verarbeitet werden dürfen. Grundlegend hierfür ist das Persönlichkeitsrecht, was wir Dir im ersten Teil vorgestellt haben. Die Regeln für den Datenschutz setzt die Datenschutzverordnung (DSGVO), die am 25. Mai 2018 in Geltung trat sowie das Bundesdatenschutzgesetz (BDSG) vom 1. Januar 1978 (!).

Welche Informationen sind datengeschützt?

Neben den allgemeinen personenbezogenen Daten sind auch bestimmte Informationskategorien geschützt und müssen gemäß der DSGVO gehandhabt werden. Laut Art. 9 DSGVO ist die Verbreitung folgender Daten untersagt:

Personenbezogene Daten (z.B. Name, Alter, Geschlecht, Herkunft)
Sexuelle Orientierung oder Daten zum Sexualleben
Genetische und biometrische Gesundheitsdaten
Politische, religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit

Die Weitergabe dieser Informationen gilt als Ordnungswidrigkeit (§ 43 BDSG) und kann bei Gewinnerzielungsabsichten sogar als Straftat verfolgt werden (§ 44 BDSG).

Um die große Besorgnis vor den Datenschutzbestimmungen zu reduzieren, erklären wir Dir hier, wie Du gemäß DSGVO und BDSG Deine Verfahren zur Personalauswahl auswählst und durchführst.

Nur die Daten, die “für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung eines Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich” sind, dürfen erhoben werden. Laut der DIN (2016) müssen die Daten einen klaren Anforderungsbezug zur Tätigkeit aufweisen. Wie genau diese Verfahren aussehen, die die zulässigen Daten erheben, wissen viele nicht. Dadurch setzen Unternehmen häufig Verfahren und Methoden ein, die Kandidat*innen falsch einstufen und somit entweder ungeeignete Mitarbeiter*innen rekrutieren oder das Potenzial von geeigneten Kandidat*innen nicht erkennen.

Die Erforderlichkeit von Methoden zur Datenerhebung

Ein umstrittenes Thema stellt die “Erforderlichkeit” mancher Methoden dar. Wie bereits erwähnt, darfst Du nur Daten erheben, die für die Begründung des Beschäftigungsverhältnisses erforderlich sind (Grundsatz der Datensparsamkeit). So sind nur Verfahren zu wählen, die einen legitimen Zweck verfolgen, der nicht mit einem milderen Mittel zu erreichen ist. Beispielsweise sind Intelligenztests, die einen Rückschluss auf den allgemeinen Intelligenzquotienten (IQ) erlauben, für die Personalauswahl unzulässig, da der Zusammenhang von IQ und der Ausübung von Arbeitstätigkeiten fehlt. Dafür sind Intelligenztests, die bestimmte Facetten der Intelligenz (z.B. rechnerische oder sprachliche Fähigkeiten) ermitteln, wiederum zulässig. Um herauszufinden, welche Daten Du für Deine Personalauswahl erheben solltest und welche Methoden dafür geeignet sind, solltest Du daher vorher den Arbeitsmarkt analysieren.

Ohne hinreichende Kenntnis über die vorhandenen Methoden zur Datenerhebung können ganz einfach Fehler geschehen, für die Du am Ende einen hohen Preis bezahlst. Setzt Du demnach weiterhin auf Grafologie, Typentests oder Sprachanalysen von Video-Interviews, wirst Du nicht nur eine unzuverlässige Personalauswahl führen, sondern auch datenschutztechnisch viele Probleme haben. Denn Methoden, die aus eignungsdiagnostischer Sicht unbrauchbar sind, können keinesfalls “erforderlich” sein.

Ebenso unzulässig ist die Nutzung und Auswertung von Daten aus privat zugänglichen, freizeitorientierten Internetquellen, wie beispielsweise Facebook oder Instagram. Verweisen Kandidat*innen jedoch gezielt und bewusst auf Websiteinhalte, so dürfen diese Informationen ausgewertet werden. Auf gleiche Weise kannst Du Profile im Internet, wie LinkedIn oder XING für Deine Personalauswahl hinzuziehen, da dies öffentlich zugängliche Profile sind.

Aufbewahrungsfristen von Bewerbungsunterlagen

Bewerbungsunterlagen dürfen grundsätzlich erstmal nur solange aufbewahrt werden wie die Stelle noch nicht besetzt ist. Dabei ist die Dauer nicht genau geregelt. Jedoch gilt: Bewerbungsunterlagen dürfen nach der Auswahl der Kandidat*innen bis zum Ablauf der Frist für die Geltendmachung von Ansprüchen auf Diskriminierungen aufbewahrt werden. Nach § 15 Abs. 4 Allgemeines Gleichbehandlungsgesetz sind das zwei Monate nach der Bekanntgabe der Personalauswahlentscheidung.

Die Speicherung von Daten der Kandidat*innen erfordert deren explizite Einwilligung. Ein solches Einverständnis sieht musterhaft so aus:

“Ich bin mir der Aufbewahrung meiner Daten über das aktuelle Bewerbungsverfahren hinaus im Bewerber/-innenpool der *Dein Unternehmen*GmbH einverstanden. Die *Dein Unternehmen*GmbH sichert zu, die Daten nur für die Zwecke von Stellenbesetzungen zu verwenden und nicht weiterzugeben.”

In der Praxis reicht es meist, wenn man das Ganze vorformuliert und die Kandidat*innen den Vorgang einmal bestätigen, z.B. per Mail.

Kandidat*innen haben darüber hinaus immer ein Recht auf Auskunft über die gespeicherten Daten nach §§ 19 und 34 BDSG. Mitarbeiter*innen haben ein Recht auf Einsicht in ihre analoge oder elektronische Personalakte nach § 83 BetrVG.

Die wichtigsten Datenschutzfragen

Zusammengefasst lassen sich die wichtigsten Datenschutzfragen auf folgende runterbrechen:

Die Qualität der Daten: Beachte bei Deiner Personalauswahl nicht mehr Daten zu erheben als nötig. Die Qualität geht – wie so häufig – vor Quantität. Setze daher Verfahren und Methoden ein, die Dir Antworten auf wirklich relevante Fragen liefern: Hat der/die Kandidat*in die nötigen Kenntnisse und Qualifikationen? Ist der/die Kandidat*in motiviert mein Unternehmen voranzubringen? Welche Potenziale verbergen sich hinter dem/der Kandidat*in?

Informationen bereitstellen: Kandidat*innen haben jederzeit ein Recht auf Auskunft. Das bedeutet, dass Du sowohl vor der Einstellung (z.B. vor und während der Bewerbung sowie im Auswahlverfahren) alle Kandidat*innen über die Erhebung, Nutzung und Aufbewahrung ihrer Daten informieren musst. Eine Ausnahme besteht beispielsweise in Bezug auf Vergleichsdaten. Kandidat*innen haben keinen Anspruch darauf zu erfahren wie sie im Vergleich zu anderen Kandidat*innen abgeschnitten haben, da diese Informationen Daten über andere Bewerber*innen beinhalten. Gleichermaßen sind Berichte, die Meinungen der Entscheidungsträger*innen beinhalten nicht Bestandteil des Rechts auf Auskunft und dürfen Kandidat*innen vorenthalten werden.

Aufbewahrungsfrist: Dein Unternehmen muss personenbezogene Daten, die während der Personalauswahl erhoben wurden, aufbewahren. Die Daten von ausgeschlossenen Kandidat*innen werden dabei früher gelöscht als diejenigen von eingestellten Kandidat*innen. Zwei Monate haben Kandidat*innen Zeit wegen Diskriminierungen zu klagen. Und so lange solltest Du die Akten über Kandidat*innen aufbewahren.

Datenschutz mit digitaler Personalauswahl

Neue digitale Lösungen für die Personalauswahl wecken hohe Erwartungen. Sowohl Kosten- als auch Zeiteffizienz sind häufig genannte Argumente, die für eine digitale Personalauswahl sprechen. Datenschutz ist dabei oft ein kritisches Thema, welches vielen Personalverantwortlichen schwer im Magen liegt.

Aus juristischer Sicht ist festzuhalten, dass die wahllose Erhebung von Daten der Kandidat*innen nicht mit der Datenschutzverordnung zu vereinbaren ist. Applysias digitale Assessment-Software bietet Dir eine einfache Lösung für das Datenschutz-Chaos. Kund*innen erhalten einen eigenen Datenbankbereich, in dem sich die Daten von Kandidat*innen automatisch DSGVO-konform anonym speichern und löschen. Dabei hält sich die Software stets an die allgemeingültigen Qualitätsstandards gemäß DIN 33430 (2016) für die Anforderungen an berufliche Eignungsdiagnostik. Einen hohen Stellenwert hat die datenschutzkonforme Verarbeitung personenbezogener Daten. Gleichermaßen folgt Applysia bei der Entwicklung der Software dem Prinzip der Datenminimierung. Mehr über die digitale Softwarelösung zur Personalauswahl findest du hier.

Akzeptieren
Name	LinkedIn Insight-Tag
Anbieter	LinkedIn Inc.
Zweck
Laufzeit

Akzeptieren
Name	Microsoft Clarity
Anbieter	Microsoft Corporation
Zweck	Mircosoft Clarity ist ein Webseiten-Analyse-Tool. Durch das Tool kann die Usability der Webseite überprüft werden.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://privacy.microsoft.com/de-de/privacystatement

Akzeptieren
Name	Bing Ads
Anbieter	Microsoft Corporation
Zweck	Microsoft Bing und wir können auf diese Weise erkennen, dass jemand auf eine Anzeige geklickt hat, zu unserer Website weitergeleitet wurde und eine vorher bestimmte Zielseite (Conversion Seite) erreicht hat. Wir erfahren dabei nur die Gesamtzahl der Nutzer, die auf eine Bing Anzeige geklickt haben und dann zu Conversion Seite weitergeleitet wurden.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://privacy.microsoft.com/de-de/privacystatement

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	CookieLaw
Anbieter	One Trust Technology Limited
Zweck	Der Betreiber dieser Website nutzt die Funktionen von Cookie Law der Firma OneTrust Technology Limited. CookieLaw ist Teil des Dienstes CookiePro und stellt dem Websitebetreiber einen gesetzlich erforderlichen Cookie Hinweis bereit und ermöglicht diesem mit Hilfe eines Cookie Consent Managers die Opt-In und Opt-Out, wie gesetzlich vorgeschrieben, zu verwalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.onetrust.com/privacy/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy