Praxistipp: Einwilligung bei Bewerbungen und Rechtmäßigkeit laut DSGVO
Praxistipp Datenschutz 04|2021
In der Abwicklung von Bewerbungsverfahren lassen sich von Seiten der Unternehmen immer wieder Fehler bei der Anwendung des Datenschutzes beobachten. Einige sind häufiger als andere, gemeinsam ist ihnen meist, dass sie leicht zu vermeiden wären. Dabei sind manche davon durchaus gut gemeint und entstehen aus der Überzeugung, alles richtig zu machen – können aber gravierende Auswirkungen haben.
In die Verarbeitung von Bewerbungsdaten einwilligen
Was sich immer wieder beobachten lässt: Unternehmen fordern Bewerbende auf, zu einem Satz wie dem folgenden ihre Zustimmung zu erklären: „Hiermit erkläre ich mich ausdrücklich damit einverstanden, dass die Firma xy die mich betreffenden Bewerbungs- und Beschäftigtendaten erhebt, speichert, übermittelt, verändert, sperrt und löscht, wie dies für die Bearbeitung der Bewerbung und gegebenenfalls des Beschäftigungsverhältnisses erforderlich ist.“
Ergänzend werden in der Regel die Bearbeitungen erläutert, von denen die Rede ist, etwa Lohn- und Gehaltsabrechnung, die Gewährung von Urlaub oder die Bearbeitung von Zeiten der Arbeitsunfähigkeit. Gut gemeint, wie gesagt, aber nicht ratsam. Jedenfalls nicht für Unternehmen, die als kompetenter und fairer Arbeitgeber wahrgenommen werden möchten. Dieses Ziel wird nämlich verfehlt, wenn sich die bewerbende Fachkraft ein wenig mit Datenschutz auskennt. Soll ja vorkommen ...
Rechtsgrundlagen der DSGVO
Wie wir sehen werden, ist die Rechtsgrundlage Einwilligung hier nicht nur ungeeignet, sie ist auch kontraproduktiv. Bei vielen führt die Wahl der Rechtsgrundlage immer wieder zu Verunsicherung. Dabei ist sie nicht weiter schwer, wenn man die Hintergründe versteht. Die Datenschutz-Grundverordnung nennt in Artikel 6 bekanntermaßen sechs mögliche Rechtsgrundlagen für die Verarbeitung von Personendaten. Um entsprechende Daten rechtmäßig zu verarbeiten, muss eine davon erfüllt sein. Drei sind ohne Mitwirken der betroffenen Person wirksam, die übrigen sind in gewisser Weise von ihrer Beteiligung abhängig: die Einwilligung, die Wahrung berechtigter Interessen des Verantwortlichen sowie die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt. Diese drei sind aus rechtlicher Sicht „stärker“ als die übrigen.
Beteiligung Betroffener bei Rechtsgrundlagen
Die Einwilligung als Rechtsgrundlage hat eine Besonderheit: Die betroffene Person kann sie jederzeit für die Zukunft zurücknehmen. Beruht eine Verarbeitung auf den berechtigten Interessen des Verantwortlichen, können Betroffene der Verarbeitung grundsätzlich widersprechen. Die Wirksamkeit des Widerspruchs ist jedoch von objektiven Gründen abhängig, die sich aus der besonderen Situation der betroffenen Person ergeben. Gleiches gilt für die Rechtmäßigkeit aufgrund der Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt. Diese Rechtsgrundlage kommt im täglichen Gebrauch aber eher selten vor und soll hier außer Betracht bleiben. Dass diese drei Rechtsgrundlagen vom Goodwill der betroffenen Personen abhängen, macht sie für die nachhaltige Datenverarbeitung mehr (Einwilligung) oder weniger (die beiden anderen) unbrauchbar.
Rechtmäßigkeit nach DSGVO
Die DSGVO nennt Grundsätze, die bei jeder Verarbeitung von personenbezogenen oder auf Personen beziehbaren Daten erfüllt sein müssen: Zweckbindung, Datenminimierung und weitere. Alle sind zwingend zu erfüllen. Basiert ein Datenvorgang auf der verkehrten Rechtsgrundlage, ist der erste der Grundsätze durchbrochen: Rechtmäßigkeit. Damit wird die gesamte Verarbeitung zweifelhaft, wenn nicht sogar unwirksam.
Was spricht gegen die Einwilligung?
Geben betroffene Personen ihre Einwilligung, können sie davon ausgehen, dass sie ihr Einverständnis jederzeit zurückziehen und die betroffene Datenverarbeitung damit unterbinden können – genau darauf nämlich muss eine rechtsgültige Einwilligung hinweisen, Stichwort informierte Einwilligung. Besteht diese Möglichkeit in Wahrheit nicht – etwa, da der Verantwortliche die Datenverarbeitung dann nicht beendet, sondern kurzerhand auf eine andere Rechtsgrundlage stützt – kann dies als Vorspiegelung falscher Tatsachen gegen den Verantwortlichen ausgelegt werden. Entscheidet man sich für die Einwilligung, passiert man aus Sicht der Datenschutz-Aufsichtsbehörden einen Point of no Return. Man darf also nicht einfach auf eine andere umschwenken. Bedeutet: Lässt sich eine Verarbeitung auf eine andere Rechtsgrundlage stützen, sollte die Wahl von Beginn an auf diese fallen.
Alternative zur Einwilligung
Kommen wir zum Praxisfall zurück: Datenverarbeitung im Zuge eines Bewerbungsverfahrens. Die passende Rechtsgrundlage lautet hier Vertragserfüllung und vorvertragliche Maßnahmen. Wählt das Unternehmen hingegen die Einwilligung, würde es Bewerbenden vorgaukeln, im folgenden Beschäftigungsverhältnis die Verarbeitung ihrer Daten jederzeit stoppen zu können. Ein Recht, das faktisch nicht besteht, denn entsprechende Verarbeitungen sind gesetzlich vorgeschrieben.
Folgen der falschen Rechtsgrundlage
Wer im Bewerbungsverfahren eine untaugliche Rechtsgrundlage wählt, wagt ein doppeltes Risiko. Zum einen wird damit schnell die gesamte Datenverarbeitung ungültig. Zum anderen schreckt das Vorgehen möglicherweise richtig gute Bewerbende ab. Manche werden sich fragen, ob sie in einem Unternehmen arbeiten möchten, das schon die Bewerbung nicht rechtskonform gestaltet.
Tipps, den Bewerbungsprozess DSGVO-konform zu gestalten
Beim Thema Einwilligungen ist lieber zu viel als zu wenig meist der falsche Weg. Hier einige Tipps, wie Sie es besser machen.
- Stellen Sie sicher, dass als Rechtsgrundlage für Datenverarbeitung im Zusammenhang mit Bewerbungen und erst recht im Beschäftigungsverhältnis die Einwilligung nur dort verwendet wird, wo keine andere Rechtsgrundlage in Frage kommt. Ansonsten wählen Sie „vorvertragliche Maßnahmen“ oder „Vertragserfüllung“ als Rechtsgrundlage.
- Wenn die Einwilligung aktuell als Rechtsgrundlage für die Datenverarbeitung bei Bewerbung und Beschäftigungsverhältnis dient, beenden Sie diese Praxis sofort. Prüfen Sie in dieser Hinsicht alle Unternehmensbereiche, die möglicherweise eigene Bewerbungsverfahren durchführen.
- Sollte Ihnen eine Juristin, ein Jurist die Einwilligung als Rechtsgrundlage empfohlen haben, sollten Sie die Zusammenarbeit zumindest beim Datenschutz hinterfragen.
- Überprüfen Sie aus gegebenem Anlass auch alle anderen Prozesse, in denen Sie die Einwilligung nutzen. Es gibt verhältnismäßig wenige Fälle, wo diese ohne Alternative ist. Wo sie zum Einsatz kommt, sind die Bedingungen des Artikels 7 DSGVO konsequent einzuhalten.
- Bewahren Sie also dort, wo Einwilligungen unverzichtbar sind, diese gut auf.
- Stellen Sie sicher, die Informationspflichten gegenüber Bewerbenden umfassend und korrekt zu erfüllen. Verzichten Sie darauf, deren Empfang mittels Unterschrift oder einer anderen Rechtshandlung bestätigen zu lassen.
Rechtsquellen zum Nachlesen
- zur Einwilligung: Art. 6 Abs. 1 lit. a DSGVO und ihre Bedingungen: Art. 7 DSGVO
- zu den Grundsätzen der Datenverarbeitung: Art. 5 DSGVO
- zur
Informationspflicht: Art. 13 und 14 DSGVO
Lösungen zu Einwilligung und datenschutzkonformen Bewerbungsverfahren? Fragen Sie uns.
Webinare, persönliche Beratung, passgenaue Umsetzung. Mit
Team Datenschutz sind Sie in Sachen Datenschutz und Informationssicherheit einen Schritt voraus.
Hier gibts den Praxistipp als kostenlosen PDF-Download.
Hat Ihnen der Praxistipp gefallen? Empfehlen Sie ihn weiter!
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz