In Sachen Datenschutz greifen ergänzend zur EU-Datenschutz-Grundverordnung weiterhin bestimmte Regelungen des Bundesdatenschutzgesetzes. Ein Überblick.
Mit Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Doch es wurde nicht gänzlich abgeschafft, sondern stattdessen einer Novelle unterzogen.
Die neue Fassung des BDSG enthält nunmehr neben einer kompakten Erfassung wichtiger Vorschriften ergänzende Datenschutzregelungen, die auf nationaler Ebene zum Tragen kommen.
Auch im Umgang mit Bewerber- und Mitarbeiterdaten enthält das BDSG ergänzende Vorschriften. Welche Datenschutzgrundsätze müssen Sie im Recruiting neben den in der DS-GVO getroffenen also beachten?
Wichtig: § 26 Abs. 7 BDSG-neu bestimmt eindeutig, dass die Regelungen zur Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses nicht nur automatisiert erhobene Daten erfasst. Damit gelten diese etwa auch für nicht digitalisierte Bewerbungsmappen und Personalakten.
Umgang mit Bewerber- und Arbeitnehmerdaten
Die Verarbeitung von personenbezogenen Daten ist nicht allein dann erlaubt, wenn der Betroffene hierin eingewilligt hat. DS-GVO und BDSG gestatten beziehungsweise gebieten sogar in Einzelfällen die Datenverarbeitung. Dies gilt unter anderem auch für die Verarbeitung personenbezogener Daten im Rahmen von (sich anbahnenden) Beschäftigungsverhältnissen.
Nach § 26 Abs. 1 BDSG ist die Verarbeitung von personenbezogenen Daten dann grundsätzlich gestattet, wenn diese für
- die Aufnahme eines Beschäftigungsverhältnisses bzw. der Entscheidung hierüber (etwa Bewerberdaten, für den Vertragsabschluss notwendige Informationen) oder
- die Durchführung eines bestehenden Beschäftigungsverhältnisses (zum Beispiel Versicherungsdaten, Adressdaten, Kontodaten, Personalakten) oder
- die Beendigung eines Beschäftigungsverhältnisses
erforderlich ist. Dies kann im Einzelfall auch Vorgaben umfassen, die sich aus Betriebsvereinbarungen, Tarif- oder Gewerkschaftsverträgen ergeben.
Sollen personenbezogene Daten von Arbeitnehmern verarbeitet werden, die nicht in diese Kategorien fallen, bedarf es in der Regel der Einwilligung der Betroffenen. Dies kann etwa für das Aushängen von Dienstplänen, Einrichtungen zur Videoüberwachung oder die Bereitstellung von Fotos der Beschäftigten auf der unternehmenseigenen Website erforderlich sein.
Welchen Anforderungen eine solche Einwilligung von Arbeitnehmern genügen muss, erfahren Sie im Artikel „Einwilligungserklärung im Arbeitsverhältnis: Welche Form ist erforderlich?“
Wann müssen Bewerberdaten gelöscht werden?
Das Recht der Betroffenen auf Löschung erfasst auch Bewerberdaten. Hier müssen Recruiter und Arbeitgeber insbesondere dann wichtige Löschfristen beachten, wenn eine Bewerbung nicht in einem Angestelltenverhältnis mündete.
Während die Daten von Angestellten oder ehemaligen Arbeitnehmern – etwa je nach steuerrechtlicher Einordnung – verpflichtend über mehrere Jahre aufbewahrt werden müssen, gelten für Bewerberdaten strengere Löschfristen.
Die personenbezogenen Daten von abgelehnten Bewerbern dürfen in der Regel maximal sechs Monate aufbewahrt werden, sofern der Betroffene nicht explizit in eine längere Speicherung eingewilligt hat (etwa zur Aufnahme in einen Bewerberpool).
Umgang mit besonderen Kategorien personenbezogener Daten
Die Verarbeitung von besonderen Kategorien personenbezogener Daten untersagt Artikel 9 Abs. 1 DS-GVO grundsätzlich. In Absatz 2 jedoch nennt sie mögliche Ausnahmen, unter die auch die Verarbeitung zum Zwecke der Erfüllung arbeitsrechtlicher Vorgaben fällt. Diesen Ausnahmefall greift § 26 Abs. 3 BDSG-neu explizit auf und gestattet die Verarbeitung besonderer Kategorien von personenbezogenen Daten abweichend von Artikel 9 Abs. 1 DS-GVO – unter der Maßgabe, dass dies entweder
- zum Zwecke der Aufnahme, Durchführung oder Beendigung eines Beschäftigungsverhältnisses im Einzelfall erforderlich ist oder
- der betroffene Arbeitnehmer oder Bewerber hierin eingewilligt hat.
Verpflichtung auf das Datengeheimnis auch weiterhin erforderlich
Gemäß § 53 BDSG-neu müssen Arbeitnehmer, die personenbezogene Daten verarbeiten, auch nach Umsetzung der DS-GVO auf das Datengeheimnis verpflichtet werden. Das betrifft Arbeitnehmer im Bereich Human Resources im Besonderen, da diese intensiven Umgang mit personenbezogenen Daten – auch besonderen Kategorien (z. B. Gesundheitsdaten) – von Bewerbern und Angestellten pflegen.
Die Verpflichtung geht dabei in der Regel einher mit einer Belehrung etwa über folgende Sachverhalte:
- Voraussetzung für die Datenverarbeitung (Einwilligung des Betroffenen oder gesetzliche Erlaubnistatbestände bzw. Gebote)
- Umfang und Art der Datenverarbeitung
- Zweck der Verarbeitung (inkl. Zweckentfremdungsverbot)
- Verbot der unbefugten Datenweitergabe
Weitere Informationen zur neuen Fassung des Bundesdatenschutzgesetzes finden Sie unter hier.