12.04.2017 - Online-Bewerbungen auf Servern in den USA

Bewerbungsunterlagen online in den USA speichern

(TD) Ein größeres Unternehmen nutzte für die Auswahl ihrer Bewerber eine sogenannte Recruiting-Plattform, also ein Programm, um zukünftige Mitarbeiter auszuwählen. Diese Plattform wurde jedoch in diesem Fall von einer Firma mit Sitz in den USA betrieben.

Üblicherweise werden Bewerbungsunterlagen, die über E-Mail eingegangen sind, auch auf das Portal hochgeladen, damit alle Bewerbungen an einer Stelle gespeichert sind.

Damit findet die komplette Verarbeitung der Bewerbungsdaten auf Servern in den USA statt. Ist das datenschutzrechtlich ok?

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit nimmt dazu in Ihrem Jahresbericht 2016 Stellung zu dem Fall.

Wer das Einverständnis der Bewerber hat, hat trotzdem ein Datenschutz-Problem

Das Unternehmen begründete die Datenübermittlung mit der Notwendigkeit und mit dem vorher eingeholten Einverständnis der Bewerber und stützte sich damit auf eine Rechtsgrundlage (§4 und §32, BDSG).

Man erwarte ein größeres Wachstum und benötige daher ein einheitliches Bewerbungsverfahren, das leistungsfähig und variabel einsetzbar sei, so argumentierte die Firma außerdem.

Problem: Freiwillige Einwilligung im Bewerbungsprozess

Tatsächlich konnte die Weitergabe der Bewerber-Daten in diesem Fall nicht auf die vorher gegebene Einwilligung der Kandidaten gestützt werden.

§ 4 BDSG greift hier nicht, da die Einwilligung in die Datenverarbeitung grundsätzlich freiwillig sein muss. Im vorliegenden Fall war die Zustimmung jedoch zwingend notwendig, um am weiteren Auswahlverfahren teilnehmen zu können.

Wer das JA zur Datenverarbeitung nicht gab, wurde vom Verfahren ausgeschlossen – somit war die Zustimmung im Gegenteil unfreiwillig. Hinzu kommt außerdem der Umstand, dass man von einer grundsätzlichen Unterlegenheit der Bewerber gegenüber dem Unternehmen ausgeht, sich die Bewerber also genötigt fühlen, ihre Zustimmung zu geben. Erschwerend kam hinzu, dass die Datenschutzerklärung auf der Webseite in englischer Sprache gestaltet war und nicht den Anforderungen des Bundesdatenschutzgesetzes entsprach.

Auch ist das nachträgliche Hochladen der Bewerbungsunterlagen bei einem E-Mail-Empfang auf Servern der USA nicht transparent gestaltet worden. Der Bewerber kann nicht davon ausgehen, dass seine personenbezogenen Daten auf Servern in den USA gespeichert werden.

Bewerberdaten sind besonders zu schützen

Auch § 32 BDSG kann in diesem Fall nicht zur Begründung der Datenverarbeitung in den USA herangezogen werden. Denn dieser sagt aus, dass die Daten der Beschäftigten erhoben, verarbeitet oder genutzt werden dürfen, wenn dies "für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist".

Es muss jedoch eine Abwägung erfolgen zwischen den Interessen des Unternehmens und den Interessen der Bewerber an ihren personenbezogenen Daten. Zwar ist das Interesse des Unternehmens an einer konzernweiten Personalpolitik nachzuvollziehen –  allerdings ist die Übermittlung der Daten in die USA nicht das mildeste mögliche Mittel dazu.

Hinzu kommt, dass es  bei Bewerberdaten um besonders schützenswerte sensitive Daten geht und eine Datenverarbeitung in den USA besondere Risiken mit sich bringt.

Was ist notwendig, um Bewerberdaten zu schützen?

Um sensible Bewerberdaten ausreichend zu schützen, sind folgende Punkte zu beachten:

  • Bewerbungsdaten dürfen ausschließlich verschlüsselt übertragen werden.
  • Das Bewerberportal muss über eine explizite Datenschutzerklärung zur Online-Bewerbung enthalten. Allgemeine Hinweise sind nicht ausreichend.
  • Die Weitergabe in einer Unternehmensgruppe und die Aufnahme in einen Bewerberpool muss explizit vom Bewerber nachweisbar gewollt sein.
  • Zugriffskonzept innerhalb des Unternehmens auf die Bewerberdaten.
  • Eine zentrale Speicherung der Daten erleichtert die anschließende Löschung aus allen IT-Systemen. Bedacht werden sollte auch die E-Mail-Archivierung eingehender E-Mails.
  • Datenlöschung oder Anonymisierung aus allen IT-Systemen nach der Absage und Ablauf der Einspruchsfristen des Bewerbers (siehe auch: Allgemeines Gleichbehandlungsgesetz § 15) nach 4-6 Monaten
  • Bei Einsatz eines externen Dienstleisters: Abschluss einer Datenschutzvereinbarung (z.B. ADV-Vereinbarung gem. §11 BDSG)
  • Klärung der Rechtmäßigkeit der Datenverarbeitung bei dem Einsatz von externen Dienstleistern in Drittländern, wie z.B. USA.

Fazit

Die Aufsichtsbehörde Berlin hat in ihrem Jahresbericht 2016 aufgeführt: Für eine rechtmäßige Datenübermittlung wäre eine Betriebsvereinbarung ein möglicher Weg, sofern ein Betriebsrat im Unternehmen existiert. Diese wäre eine Rechtsvorschrift im Sinne des Bundesdatenschutzgesetzes. Eine Einwilligung in die Datenverarbeitung wäre dann nicht mehr notwendig. Allerdings müsste diese Betriebsvereinbarung eine ähnliche Schutzwirkung haben wie das Bundesdatenschutzgesetz selbst.

Betroffene – in diesem Fall die Bewerber -  müssten zum Beispiel das Recht haben, alle in Frage kommenden Ansprüche direkt gegenüber der Firma geltend zu machen. Hier ist etwa an Auskunfts- und Schadenersatzansprüche bei Datenschutzverstößen zu denken.

Außerdem muss die datenverarbeitende Stelle – hier die Recruiting-Plattform in den USA- ebenso durch eine Datenschutz­vereinbarung (Auftrags­daten­verarbeitung) verpflichtet und kontrolliert werden. Diese Kontrollen wären von dem Unternehmen in Deutschland selbst zu veranlassen oder von einer von ihm beauftragten Firma in den USA durchzuführen. Nur durch diese Schutzmaßnahmen könnte gewährleistet werden, dass die schutzwürdigen Interessen der Beschäftigten nicht verletzt werden.

Dadurch wird gesichert, dass keine schutz­würdigen Interessen der Bewerber beeinträchtigt werden.

Der Einsatz von Bewerbungs-Portalen im Internet ist aufgrund der sensiblen personenbezogenen Daten alles andere als trivial. Unsere Empfehlung wäre, die Datenverarbeitung bei externen Dienstleistern in der EU/EWR oder auf eigenen Servern durchzuführen. Ein Verstoß gegen das Bundesdatenschutzgesetz oder die EU-Datenschutzgrundverordnung, die ab dem 25. Mai 2018 gilt, kann empfindliche Geldbußen nach sich ziehen.

Sie planen eine Bewerbungsplattform für das Management von Bewerbungen? Sprechen Sie uns an. Wir beraten Sie gern, praxisnah und effizient.

Kontaktieren Sie uns jetzt direkt.

Zurück

Suche