Im Tätigkeitsbericht für das Jahr 2021 hat das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) — externer Link: https://www.lda.bayern.de/media/baylda_report_11.pdf — ein interessantes Thema aus dem Arbeitsalltag einer jeden Organisation beleuchtet. Nämlich den Umgang mit Bewerberdaten im Rahmen der Organisation von Bewerbungsgesprächen. An Bewerbergesprächen nehmen in den meisten Organisationen normalerweise mehrere Personen teil. Eine Termineinladung über Outlook oder vergleichbare Tools bringt die notwendigen internen Personen und den / die Bewerber zum richtigen Zeitpunkt an den Tisch. Was dabei aus Sicht des BayLDA so alles aus Sicht des Datenschutzes schiefgehen kann, findet sich ab Seite 50 des TB 2021 (oben verlinkt).
Terminvereinbarungen mit Bewerbern via (Outlook-) Kalendereinladung
Bewerbermanagement benötigt unter anderem Termine für die Vorstellungsgespräche. Aktuelle Kollaborationstools wie z.B. Outlook verwalten die Termine für die nötigen Bewerbungsgespräche samt der dazugehörigen Einladungen an die dafür notwendigen Personen im Kalender der organisierenden Personalabteilung aber auch der Teilnehmer. Die Eintragungen enthalten für gewöhnlich den Namen des Bewerbers oder der Bewerberin und zumeist Angaben zu der Stelle, auf die sich das Bewerbungsgespräch bezieht. In manchen Fällen kommen noch weitere Informationen hinzu. Gelegentlich sind zur Informationsverteilung sogar nochmals die Bewerbungsunterlagen beigefügt.
Kalender-Eintragungen geraten schnell zum Datenschutz-Problem
Das BayLDA hat keine Probleme damit, dass der Name des Bewerbers im Kalender und in der Einladung stehen. Es hat auch nichts dagegen, dass das Stichwort „Bewerbungsgespräch“ enthalten ist. Bei allem, was darüber hinausgeht, sieht das BayLDA jedoch folgende datenschutzrechtliche Probleme bzw. Anforderungen
Eingeschränkter Zugriff auf die Daten des Bewerbers (Vertraulichkeit) und Einhaltung eines geeigneten Löschkonzepts müssen sichergestellt sein
Organisationen dürfen Daten von Personen, die sich bewerben, nur an einem Speicherort speichern, der dazu aus der Sicht des Datenschutzes geeignet ist. Dafür muss dieser Speicherort zumindest zwei Kriterien genügen:
- Es muss ein Zugriffskonzept vorhanden sein. Es muss also genau definiert sein, wer auf die Daten zugreifen kann. Der Kreis der Zugriffsberechtigten muss auf ein Mindestmaß beschränkt sein.
- Es muss feststehen, wann und wie gespeicherte Daten des Bewerbers wieder gelöscht werden. Sie dürfen nur so lange gespeichert werden, wie das erforderlich ist. Auch dieses Prinzip ist im Datenschutz nicht neu.
Bei Kalender-Einträgen und geteilten Kalenders ist beides oft schwierig
Wichtig dabei: Diese Konzepte sollten nicht nur auf dem Papier vorhanden sein, sondern auch — beleg- und nachvollziehbar — gelebt werden. Nicht ganz zu Unrecht kommentiert das BayLDA dazu, dass “die beiden zuvor genannten Kriterien bei Kalendernutzungen in den meisten Anwendungsfällen der Praxis nicht erfüllt werden.” Dies scheitert zumeist schon an den üblichen Vertretungsregelungen für Mail-Postfächer und Kalender. Sie führen dazu, dass immer wieder auch solche Mitarbeiter auf Daten Zugriff haben, die überhaupt nicht an Bewerbungsgesprächen beteiligt sind.
Outlook und andere Tools verleiten zu großzügigen Zugriffsregelungen
Solche Kalenderfreigaben sind vielfach sehr großzügig ausgestaltet. Das soll Terminplanungen unter mehreren Beteiligten erleichtern, was ja durchaus praktisch ist. Es kann aber auch dazu führen, dass Mitarbeiter Zugriff auf Kalenderdaten haben, obwohl es nicht erforderlich wäre. Dasselbe gilt bei Gruppenpostfächern, auf die mehrere Personen Zugriff haben.
Konsequenz des BayLDA: Ergänzende Unterlagen gehören nicht in Outlook-Kalender
Vor diesem Hintergrund sieht es das BayLDA sehr kritisch, wenn Bewerbungsunterlagen, Gesprächsnotizen und Vorbereitungsvermerke für ein Bewerbungsgespräch im Outlook-Kalender gespeichert werden. Sie gehören dort nicht hin, sondern vielmehr in die Obhut der Stelle, die für Personalangelegenheiten der Organisation zuständig ist. Diese kann bei konkretem Bedarf den Personen einen Zugriff einräumen, die am Bewerbungsverfahren mitwirken müssen.
Die Löschung aller Daten muss sichergestellt sein (Löschkonzept)
Besonderen Wert legt das BayLDA auf die ordnungsgemäße Löschung der Daten nach dem Abschluss eines Bewerbungsverfahrens. Dabei sieht es durchaus, dass auch dann noch ein Zugriff auf Bewerberdaten erforderlich sein kann. Das gilt etwa, wenn Berichtspflichten der Organisation z.B. gegenüber der Agentur für Arbeit bestehen.
Vorsicht Falle: Der Auskunftsanspruch von Bewerbern geht sehr weit
In der Praxis sollte man sich die Frage stellen, ob man nicht sogar auf den Namen des Bewerbers im Outlook-Kalender verzichten sollte. Denn es kommt immer wieder vor, dass ein Bewerber Auskunftsansprüche nach Art. 15 DSGVO geltend macht. Dies ist besonders häufig, wenn jemand die Stelle nicht bekommen hat und beispielsweise behauptet, das liege an einer Diskriminierung seiner Person. Viele Juristen sind der Auffassung, dass sich der Auskunftsanspruch dann auch auf die Eintragungen im Outlook-Kalender erstreckt.
Der Aufwand, der dadurch entsteht, ist erheblich. Die Organisation muss nämlich den gesamten Outlook-Kalender durchsuchen lassen. Außerdem ist unter Umständen eine Abfrage dazu erforderlich, welche Mitarbeiter Eintragungen daraus übernommen und lokal abgespeichert haben. Dies alles lässt sich vermeiden, wenn der Name des Bewerbers nicht in den Outlook-Kalender aufgenommen wird.
Fazit: Struktur und organisationsweite Regelung notwendig
Im Rahmen eines strukturierten Bewerbungsprozesses sollte jede Organisation diese Aspekte bereits berücksichtigen und verbindliche Vorgehensweisen festschreiben. Das erleichtert eine einheitliche und vereinfachte Vorgehensweise gegenüber der Methode “Jeder macht, was er will” 🙂
Hahn IT Services, Schwaig
No responses yet