IT-Recht

Cloud-basierte Recruiting-Management-Plattformen

Mit Cloud-basierten Recruiting-Management-Plattformen können Unternehmen Bewerbungsprozesse schneller, effizienter und kostengünstiger gestalten.

Das moderne Vorstellungsgespräch

© contrastwerkstatt - Fotolia.com

Das moderne Vorstellungsgespräch

Von Mira Martz

Das gesamte Bewerbungsverfahren von der Stellenausschreibung bis hin zur Einstellung lässt sich damit verwalten und steuern. Firmen müssen dabei allerdings einige Datenschutzgrundsätze beachten. Mithilfe von Cloud-basierten Plattformen können Personalabteilungen den gesamten Bewerbungsprozess in einem Tool abwickeln, Stellenangebote erstellen und diese einfach auf Social-Media-Plattformen sowie auf Jobportalen und der eigenen Website posten.

Der Vorteil für Personalabteilungen: Der Bewerbungsprozess wird vereinfacht und Bewerbungen können schnell abgerufen werden. Der "Papierkrieg" in Form von Bewerbungsstapeln gehört der Vergangenheit an. Außerdem erhalten Personalabteilungen die - aus Datenschutzsicht kritisch zu betrachtende - Möglichkeit, elektronische Bewerbungen innerhalb des Unternehmens und der Unternehmensgruppe weiterzuleiten.

Der Vorteil für Bewerber: Sie können sich direkt über die Stelle und das Unternehmen informieren und ihre Bewerbung hochladen. Die Bewerbung wird umgehend in dem Jobportal für die Personalabteilung bereitgestellt.

Mira Martz

© Mira Martz

Die Autorin: Mira Martz, Volljuristin, ist seit 2012 für die ISiCO Datenschutz GmbH tätig und verantwortet die Presse- und Öffentlichkeitsarbeit sowie das Marketing des Beratungsunternehmens. Die ISiCO Datenschutz GmbH (www.isico-datenschutz.de) ist ein Beratungsunternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

Um die datenschutzrechtliche Zulässigkeit solcher Recruiting-Management-Tools nach dem deutschen Datenschutzrecht zu beurteilen, ist nicht nur entscheidend, ob der Sitz des jeweiligen Plattformbetreibers innerhalb oder außerhalb der EU liegt, sondern auch, wie die Nutzung innerhalb eines Konzernverbundes aussieht.

Rechtmäßige Nutzung von Recruiting-Plattformen

Für die Verarbeitung personenbezogener Bewerberdaten durch ein deutsches Unternehmen sind die Normen des Bundesdatenschutzgesetzes (BDSG) anzuwenden. Dies gilt auch dann, wenn das Unternehmen auf ausländische Recruiting-Plattformen zurückgreift. Entscheidend ist der Sitz der verantwortlichen Stelle, welche die Bewerberdaten für die Stellenausschreibung erhebt.

Die Zulässigkeit der Datenverarbeitung im Bewerbungsverfahren bestimmt sich nach § 32 Abs.1 S.1 BDSG. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines solchen erforderlich ist. Bewerber gelten als "Beschäftigte" im Sinn des BDSG. § 32 Abs.1 S.1 BDSG bestimmt genau zwei wesentliche Voraussetzungen,die darüber entscheiden, ob die Datenverarbeitung zulässig ist:

  • Der Zweck für die Verarbeitung muss die Begründung eines Beschäftigungsverhältnisses (Bewerbungsverfahren) sein.
  • Zudem ist die Datenverarbeitung nur dann rechtmäßig, wenn sie für die Begründung eines Beschäftigungsverhältnisses auch erforderlich ist. Dabei ist eine Abwägung zwischen den Interessen des Unternehmens und des Bewerbers vorzunehmen.

Liegen die Tatbestandsmerkmale für § 32 BDSG nicht vor, ist die Datenverarbeitung grundsätzlich nicht gerechtfertigt. In diesem Fall besteht nur noch die Möglichkeit, die Datenverarbeitung über die Einwilligung des Bewerbers zu rechtfertigen.

Verantwortlichkeit für die Datenverarbeitung

Verantwortlich für die Verarbeitung von Bewerberdaten ist jede Person oder Stelle, die personenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt (§ 3 Abs. 7 BDSG). Damit ist immer das jeweilige Unternehmen, zu dem der Bewerber seine Bewerbung schickt, verantwortliche Stelle und damit verantwortlich für die persönlichen Daten des Bewerbers. Wenn das Unternehmen nun die Dienstleistungen eines Cloud-Anbieters in Anspruch nimmt, wird der Plattformbetreiber als Auftragnehmer tätig. Trotz des Abschlusses eines Auftragsdatenverarbeitungsvertrages bleibt das jeweilige Unternehmen dennoch für die Daten verantwortlich.

Tipp: Unternehmen sollten mit dem Plattformbetreiber einen schriftlichen Auftragsdatenverarbeitungsvertrag (§ 11 Abs. 2 BDSG) abschließen. Dabei ist unter anderem Folgendes zu regeln:

  • Der Plattformbetreiber wird nur auf Weisung des Unternehmens tätig. Unternehmen sollten sich Kontrollrechte einräumen lassen.
  • Der Plattformbetreiber muss sich dazu verpflichten, die eingestellten Bewerberdaten nicht an Dritte weiterzugeben.

Dies gilt allerdings nur, soweit der Plattformbetreiber seinen Sitz in der EU beziehungsweise im Europäischen Wirtschaftsraum hat. Ansonsten greifen die privilegierenden Regelungen der Auftragsverarbeitung gemäß § 11 BDSG nicht. Eine Übermittlung an Plattformbetreiber außerhalb der EU bedarf immer einer besonderen Rechtfertigung.

Diese liegt oft in der Einwilligung des Betroffenen oder aber im Abschluss der sogenannten EU-Standardvertragsklauseln, die allerdings derzeit in der Folge von PRISM & Co. stark in der Kritik stehen. Grundsätzlich muss das Unternehmen die Bewerberdaten nach Beendigung des Bewerbungsverfahrens löschen (§ 35 Abs. 2 Nr. 3 BDSG). Sollten die Daten darüber hinaus in einem Bewerberdatenpool gespeichert bleiben, bedarf es wieder einer ausdrücklichen Einwilligung des Betroffenen.

Tipp: Spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens sollten die Daten gelöscht werden, wenn der Bewerber keine Einwilligung in die Speicherung seiner Daten in einen Talent-Pool gegeben hat.

Nutzung von Recruiting-Plattformen im Konzernverbund

Die meisten datenschutzrechtlichen Fragen ergeben sich bei der Nutzung einer Recruiting-Plattform durch die einzelnen Unternehmen eines Konzernverbundes. In vielen Branchen - insbesondere in denen es einen hohen Fachkräftemangel gibt - ist es für Unternehmen attraktiv, vom Bewerberpool anderer Unternehmen im selben Konzernverbund zu profitieren und Kandidaten für ihr eigenes Unternehmen einzubeziehen.

ISiCO Datenschutz GmbH

  • Die ISiCO Datenschutz GmbH ist ein Beratungsunternehmen für IT-Sicherheit, Datenschutz und Datenschutz-Compliance.
  • Sie berät Kunden bei der Umsetzung der nationalen und internationalen Datenschutzbestimmungen im Unternehmen und der Implementierung von IT-Sicherheits- und Compliance-Systemen.
  • Zu den Kunden der ISiCO Datenschutz GmbH gehören führende Unternehmen aus der Wirtschaft, Institutionen aus dem Gesundheitswesen und Verbände.

Das Unternehmen, das in Deutschland ansässig ist und Bewerberdaten in die gemeinsame Plattform einpflegt, bleibt verantwortliche Stelle im Sinn des § 3Abs. 7 BDSG. Soll einem anderen Unternehmen Zugriff gewährt werden, liegt rechtlich eine Übermittlung an einen Dritten (§ 3 Abs. 4 Nr. 3b BDSG) vor. Dabei ist es egal, ob dieser Dritte ein fremdes oder ein konzernverbundenes Unternehmen ist. Da es für eine solche Vermittlung keine gesetzliche Rechtfertigung gibt, gilt, dass für diese Übermittlung immer eine Einwilligung des Bewerbers vorliegen muss.

Sollte die Einwilligung des Bewerbers für die Datenübermittlung nicht vorliegen, lässt sich der Vermittlungsvorgang nur noch durch den sogenannten Konzernbezug rechtfertigen (§ 32 Abs.1 S.1 BDSG). Der Konzernbezug liegt vor, wenn beispielsweise die Stellenausschreibung einen konzernweiten Einsatzort des Mitarbeiters voraussetzt und dem Bewerber dies auch erkennbar ist. Dieser fehlt dann, wenn die Stellenausschreibung des Unternehmens nicht auf einen konzernweiten Einsatz hinweist.

Fazit

Es bestehen viele Fragen in Zusammenhang mit Recruiting-Plattformen in der Cloud: Wie können sich Unternehmen absichern, wenn Plattformbetreiber nicht in der EU ansässig sind? Wann muss ein Auftragsdatenverarbeitungsvertrag geschlossen werden? Wie können Unternehmen eine verbindliche Einwilligung für die Speicherung der Bewerberdaten im Talent-Pool einholen und wie können entsprechende Berechtigungskonzepte für die Datenweitergabe aussehen?

Unternehmen sollten zur Rückversicherung, ob sie eine Cloud-basierte Recruiting-Plattform datenschutzkonform benutzen oder für andere Fragen dazu unbedingt rechtlichen Rat einholen.

Mehr zum Thema

Cloud
IT-Strategien

Vielen IT-Abteilungen bietet die Cloud eine Chance, Standardservices nach Bedarf von Dienstleistern zu beziehen und sich so auf wichtigere Themen zu…
Probleme bei Cloud-Providern?
Cloud Computing

Cloud Computing bietet gerade auch kleineren und mittleren Unternehmen die Möglichkeit, flexibel zu bleiben und Ressourcen zu schonen.
print
Mobil drucken

Vom Smartphone und Tablet drucken und alte Drucker mit Google Cloud Print aufrüsten: Unser umfassender Überblick zum Thema Cloud-Printing.