Digitaler Kalender

Im Tätig­keits­be­richt für das Jahr 2021 hat das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) — exter­ner Link: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​b​a​y​l​d​a​_​r​e​p​o​r​t​_​1​1​.​pdf — ein inter­es­san­tes The­ma aus dem Arbeits­all­tag einer jeden Orga­ni­sa­ti­on beleuch­tet. Näm­lich den Umgang mit Bewer­ber­da­ten im Rah­men der Orga­ni­sa­ti­on von Bewer­bungs­ge­sprä­chen. An Bewer­ber­ge­sprä­chen neh­men in den meis­ten Orga­ni­sa­tio­nen nor­ma­ler­wei­se meh­re­re Per­so­nen teil. Eine Ter­min­ein­la­dung über Out­look oder ver­gleich­ba­re Tools bringt die not­wen­di­gen inter­nen Per­so­nen und den /​ die Bewer­ber zum rich­ti­gen Zeit­punkt an den Tisch. Was dabei aus Sicht des BayL­DA so alles aus Sicht des Daten­schut­zes schief­ge­hen kann, fin­det sich ab Sei­te 50 des TB 2021 (oben verlinkt).

Ter­min­ver­ein­ba­run­gen mit Bewer­bern via (Out­look-) Kalendereinladung

Bewer­ber­ma­nage­ment benö­tigt unter ande­rem Ter­mi­ne für die Vor­stel­lungs­ge­sprä­che. Aktu­el­le Kol­la­bo­ra­ti­ons­tools wie z.B. Out­look ver­wal­ten die Ter­mi­ne für die nöti­gen Bewer­bungs­ge­sprä­che samt der dazu­ge­hö­ri­gen Ein­la­dun­gen an die dafür not­wen­di­gen Per­so­nen im Kalen­der der orga­ni­sie­ren­den Per­so­nal­ab­tei­lung aber auch der Teil­neh­mer. Die Ein­tra­gun­gen ent­hal­ten für gewöhn­lich den Namen des Bewer­bers oder der Bewer­be­rin und zumeist Anga­ben zu der Stel­le, auf die sich das Bewer­bungs­ge­spräch bezieht. In man­chen Fäl­len kom­men noch wei­te­re Infor­ma­tio­nen hin­zu. Gele­gent­lich sind zur Infor­ma­ti­ons­ver­tei­lung sogar noch­mals die Bewer­bungs­un­ter­la­gen beigefügt.

Kalen­der-Ein­tra­gun­gen gera­ten schnell zum Datenschutz-Problem

Das BayL­DA hat kei­ne Pro­ble­me damit, dass der Name des Bewer­bers im Kalen­der und in der Ein­la­dung ste­hen. Es hat auch nichts dage­gen, dass das Stich­wort „Bewer­bungs­ge­spräch“ ent­hal­ten ist. Bei allem, was dar­über hin­aus­geht, sieht das BayL­DA jedoch fol­gen­de daten­schutz­recht­li­che Pro­ble­me bzw. Anforderungen

Ein­ge­schränk­ter Zugriff auf die Daten des Bewer­bers (Ver­trau­lich­keit) und Ein­hal­tung eines geeig­ne­ten Lösch­kon­zepts müs­sen sicher­ge­stellt sein

Orga­ni­sa­tio­nen dür­fen Daten von Per­so­nen, die sich bewer­ben, nur an einem Spei­cher­ort spei­chern, der dazu aus der Sicht des Daten­schut­zes geeig­net ist. Dafür muss die­ser Spei­cher­ort zumin­dest zwei Kri­te­ri­en genügen:

  • Es muss ein Zugriffs­kon­zept vor­han­den sein. Es muss also genau defi­niert sein, wer auf die Daten zugrei­fen kann. Der Kreis der Zugriffs­be­rech­tig­ten muss auf ein Min­dest­maß beschränkt sein.
  • Es muss fest­ste­hen, wann und wie gespei­cher­te Daten des Bewer­bers wie­der gelöscht wer­den. Sie dür­fen nur so lan­ge gespei­chert wer­den, wie das erfor­der­lich ist. Auch die­ses Prin­zip ist im Daten­schutz nicht neu.

Bei Kalen­der-Ein­trä­gen und geteil­ten Kalen­ders ist bei­des oft schwierig

Wich­tig dabei: Die­se Kon­zep­te soll­ten nicht nur auf dem Papier vor­han­den sein, son­dern auch — beleg- und nach­voll­zieh­bar — gelebt wer­den. Nicht ganz zu Unrecht kom­men­tiert das BayL­DA dazu, dass “die bei­den zuvor genann­ten Kri­te­ri­en bei Kalen­der­nut­zun­gen in den meis­ten Anwendungsfällen der Pra­xis nicht erfüllt wer­den.” Dies schei­tert zumeist schon an den übli­chen Ver­tre­tungs­re­ge­lun­gen für Mail-Post­fä­cher und Kalen­der. Sie füh­ren dazu, dass immer wie­der auch sol­che Mit­ar­bei­ter  auf Daten Zugriff haben, die über­haupt nicht an Bewer­bungs­ge­sprä­chen betei­ligt sind.

Out­look und ande­re Tools ver­lei­ten zu groß­zü­gi­gen Zugriffsregelungen

Sol­che Kalen­der­frei­ga­ben sind viel­fach sehr groß­zü­gig aus­ge­stal­tet. Das soll Ter­min­pla­nun­gen unter meh­re­ren Betei­lig­ten erleich­tern, was ja durch­aus prak­tisch ist. Es kann aber auch dazu füh­ren, dass Mit­ar­bei­ter Zugriff auf Kalen­der­da­ten haben, obwohl es nicht erfor­der­lich wäre. Das­sel­be gilt bei Grup­pen­post­fä­chern, auf die meh­re­re Per­so­nen Zugriff haben.

Kon­se­quenz des BayL­DA: Ergän­zen­de Unter­la­gen gehö­ren nicht in Outlook-Kalender

Vor die­sem Hin­ter­grund sieht es das BayL­DA sehr kri­tisch, wenn Bewer­bungs­un­ter­la­gen, Gesprächs­no­ti­zen und Vor­be­rei­tungs­ver­mer­ke für ein Bewer­bungs­ge­spräch im Out­look-Kalen­der gespei­chert wer­den. Sie gehö­ren dort nicht hin, son­dern viel­mehr in die Obhut der Stel­le, die für Per­so­nal­an­ge­le­gen­hei­ten der Orga­ni­sa­ti­on zustän­dig ist. Die­se kann bei kon­kre­tem Bedarf den Per­so­nen einen Zugriff ein­räu­men, die am Bewer­bungs­ver­fah­ren mit­wir­ken müssen.

Die Löschung aller Daten muss sicher­ge­stellt sein (Lösch­kon­zept)

Beson­de­ren Wert legt das BayL­DA auf die ord­nungs­ge­mä­ße Löschung der Daten nach dem Abschluss eines Bewer­bungs­ver­fah­rens. Dabei sieht es durch­aus, dass auch dann noch ein Zugriff auf Bewer­ber­da­ten erfor­der­lich sein kann. Das gilt etwa, wenn Berichts­pflich­ten der Orga­ni­sa­ti­on z.B. gegen­über der Agen­tur für Arbeit bestehen.

Vor­sicht Fal­le: Der Aus­kunfts­an­spruch von Bewer­bern geht sehr weit

In der Pra­xis soll­te man sich die Fra­ge stel­len, ob man nicht sogar auf den Namen des Bewer­bers im Out­look-Kalen­der ver­zich­ten soll­te. Denn es kommt immer wie­der vor, dass ein Bewer­ber Aus­kunfts­an­sprü­che nach Art. 15 DSGVO gel­tend macht. Dies ist beson­ders häu­fig, wenn jemand die Stel­le nicht bekom­men hat und bei­spiels­wei­se behaup­tet, das lie­ge an einer Dis­kri­mi­nie­rung sei­ner Per­son. Vie­le Juris­ten sind der Auf­fas­sung, dass sich der Aus­kunfts­an­spruch dann auch auf die Ein­tra­gun­gen im Out­look-Kalen­der erstreckt.

Der Auf­wand, der dadurch ent­steht, ist erheb­lich. Die Orga­ni­sa­ti­on muss näm­lich den gesam­ten Out­look-Kalen­der durch­su­chen las­sen. Außer­dem ist unter Umstän­den eine Abfra­ge dazu erfor­der­lich, wel­che Mit­ar­bei­ter Ein­tra­gun­gen dar­aus über­nom­men und lokal abge­spei­chert haben. Dies alles lässt sich ver­mei­den, wenn der Name des Bewer­bers nicht in den Out­look-Kalen­der auf­ge­nom­men wird.

Fazit: Struk­tur und orga­ni­sa­ti­ons­wei­te Rege­lung notwendig

Im Rah­men eines struk­tu­rier­ten Bewer­bungs­pro­zes­ses soll­te jede Orga­ni­sa­ti­on die­se Aspek­te bereits berück­sich­ti­gen und ver­bind­li­che Vor­ge­hens­wei­sen fest­schrei­ben. Das erleich­tert eine ein­heit­li­che und ver­ein­fach­te Vor­ge­hens­wei­se gegen­über der Metho­de “Jeder macht, was er will” 🙂

Categories:

Comments are closed

Über a.s.k. Daten­schutz e.K.
Mit­glied­schaf­ten