Von der Schere im Kopf oder Mitarbeiterdatenschutz

Inzwischen haben in den meisten Bundesländern die Ferien begonnen und es droht das Sommerloch. Dieses wollen wir füllen mit einer kleinen Reihe zum Thema Mitarbeiterdatenschutz. In diesem ersten Teil geht es um die Bewerberdaten, dann geht es weiter mit den Daten der aktuell Beschäftigten, um dann mit den Daten der Ehemaligen zu enden. 

Die Allgemeinen Grundsätze des Art. 5 DS-GVO gelten selbstverständlich auch im Beschäftigtendatenschutz. Danach sind bei der Datenverarbeitung zu beachten: 

Rechtmäßigkeit / Treu und Glauben / Transparenz 

Zweckgebundenheit 

Datenminimierung 

Richtigkeit 

Speicherbegrenzung 

Integrität / Vertraulichkeit 

Einfach ausgedrückt heißt dies: ein Verantwortlicher darf nur die Daten verarbeiten, für deren Verarbeitung eine Rechtsgrundlage existiert, und dies nur solange dies für den Zweck erforderlich ist. Die Daten müssen richtig sein sowie sicher und vertraulich verarbeitet werden. Die Rechtsgrundlage für die Verarbeitung der Mitarbeiterdaten oder auch von Bewerberdaten ist in der Regel der Arbeitsvertrag. Daneben kommen aber auch sozialversicherungsrechtliche Normen oder auch die Einwilligung in Betracht. 

Spezielle Regelungen zum Beschäftigtendatenschutz sind in der DS-GVO nicht enthalten. Allerdings sieht Art. 88 DS-GVO vor, dass die Mitgliedstaaten durch Rechtsvorschriften spezifischere Vorschriften im Hinblick auf die Verarbeitung von Beschäftigtendaten treffen können. Von dieser Öffnungsklausel hat der deutsche Gesetzgeber Gebrauch gemacht und § 26 in das BDSG aufgenommen.  

Dieser hat mehrere Regelungsinhalte. Für unser heutiges Thema sind Abs. 8 und Abs. 1 interessant. In Abs. 8 ist klargestellt, dass als Beschäftigte im Sinne des § 26 BDSG nicht nur Arbeitnehmer*innen, sondern unter anderen auch Auszubildende, Freiwillige, die den Bundesfreiwilligendienst leisten, aber auch Bewerber*innen gelten. Die Verarbeitung der Daten dieser Personen erlaubt Absatz 1, sofern dies für die Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Was bedeutet das nun konkret? 

Rechtsgrundlage für die Erhebung, Speicherung und Auswertung von Bewerberdaten ist also § 26 Abs. 1 BDSG. Zu klären ist, welche Daten verarbeitet werden dürfen und wann diese wieder gelöscht werden müssen.  

Der potentielle Arbeitgeber darf nach den Grunddaten fragen, dies sind Name, Anschrift, Telefonnummer (und E-Mail-Adresse). Ausnahmsweise darf nach Gesundheitsdaten oder nach dem Geschlecht gefragt werden, wenn diese Daten für die Berufsausübung notwendig sind. In Tendenzbetrieben oder anderen Ausnahmen darf ausnahmsweise auch nach der Religion oder politischen Absichten gefragt werden. Diese Ausnahmen sind aber eben Ausnahmen, die sehr eng zu sehen sind. Grundsätzlich dürfen bei Bewerbern diese Daten (noch) nicht erhoben werden. Eine Schufa-Auskunft oder ein polizeiliches Führungszeugnis darf ebenfalls nur in Ausnahmefällen verlangt werden, z.B. wenn es bei der Position um den Umgang mit erheblichen Vermögensgegenständen und Vermögensdispositionen geht. 

Der potentielle Arbeitgeber darf selbstverständlich nach der zeitlichen Verfügbarkeit, nach Berufsabschlüssen und Kenntnissen, die für die Ausübung der Beschäftigung erforderlich sind, fragen. Er darf Arbeitszeugnisse verlangen, nicht aber beim alten Arbeitgeber nachfragen. 

Unzulässig sind Fragen nach dem Geburtsdatum bzw. Alter, nach dem Geburtsnamen, dem Geburtsort oder dem Familienstand. Auch ein Foto darf nicht verlangt werden. Ebenfalls datenschutzrechtlich unzulässig und AGG-relevant sind Fragen nach Schwangerschaft, dem Kinderwunsch, der Pflegemöglichkeit von Familienangehörigen der Rasse bzw. Ethnie oder der sexuellen Identität. Urlaubsziele, Hobbys, Gewohnheiten („Trinken Sie Kaffee?) oder Freunden dürfen ebenfalls nicht erfragt werden. Fragen nach der Gewerkschaftszugehörigkeit dürfen dem Bewerber nicht gestellt werden, wohl aber dem Arbeitnehmer, denn hier kommt eine Tarifbindung in Betracht.  

Die Recherche in sozialen Netzwerken oder Suchmaschinen dürfte unzulässig sein. Hier steht der datenschutzrechtliche Grundsatz der Direkterhebung entgegen. 

Problematisch ist der Umgang mit ungefragten Daten, die der Bewerber von sich aus preisgibt und deren Erhebung eigentlich unzulässig wäre. Dies ist bereits immer dann der Fall, wenn, wie dies immer noch üblich ist, Bewerbungsfotos eingereicht werden. Das bloße zur Kenntnis nehmen dieser Daten ist datenschutzrechtlich unbedenklich. Die weitere Verarbeitung dieser Daten ist unzulässig, der Arbeitgeber braucht hier eine „Schere im Kopf“ (Kort: Eignungsdiagnose von Bewerbern unter der Datenschutz-Grundverordnung (DS-GVO); NZA-Beilage 2016, 62). Er muss diese Daten also ausblenden. Argumentiert werden könnte hier, dass wenn ein Bewerber diese Daten an den potentiellen Arbeitgeber übersendet, er mit der Verarbeitung dieser Daten einverstanden ist, er also eingewilligt hat (zur Einwilligung im nächsten Beitrag mehr). 

Wenn ein Bewerber sich – wie üblich – auf elektronischem Weg bewirbt und es ist ein Foto in der Datei zu finden. Dann muss diese Bewerbung selbstverständlich vollständig verarbeitet werden. Sollten die Bewerbungsunterlagen aber mehr als nur dem kleinen Personenkreis der Personalverantwortlichen zur Verfügung stehen, sollten die Fotos „ausgeschnitten“ oder geschwärzt werden, so dies technisch möglich ist. 

Bei Eingang der Bewerbung ist der Bewerber nach Art. 13 DS-GVO über die Datenerhebung und -verarbeitung zu informieren. Wir empfehlen eine standardisierte E-Mail mit Verweis auf die entsprechende Information auf der Homepage. Diese Information sollte dann (nur) über den Link zu erreichen sein, der dem Bewerber hier in dieser E-Mail übersandt wird.  

Die Verarbeitung von Bewerberdaten ist nur solange zulässig, solange ein Zweck für die Verarbeitung besteht. Daher müssen die Daten nach Abschluss des Bewerberverfahrens gelöscht werden. Hier gilt ähnliches wie für Mieterselbstauskünfte im Mietrecht, die Daten können solange aufbewahrt werden, solange Ansprüche aus dem AGG (Allgemeines Gleichbehandlungsgesetz) im Raum stehen. Im Allgemeinen wird angenommen, dass nach einer Frist von sechs Monaten die Bewerberdaten der abgelehnten Bewerber zu löschen sind.  

Daten von Bewerbern, mit denen ein Arbeitsverhältnis zustande kommt, dürfen weiter verarbeitet werden - selbstverständlich. Hier werden dann auch weitere Daten erhoben. Dazu nächste Woche mehr.