Newsletter

100.000 EUR Bußgeld wegen Abfrage von Bewerberdaten

Das Bewerbungsverfahren ist für Unternehmen eine zentrale Schnittstelle zu potenziellen neuen Mitarbeitern. Zugleich ergeben sich aber auch besondere datenschutzrechtliche Anforderungen. Gerade in der frühen Phase des Auswahlprozesses besteht die Gefahr, dass Arbeitgeber Informationen erheben und verarbeiten, die für die Entscheidung nicht erforderlich sind. Ein aktueller Fall aus Spanien verdeutlicht, dass bereits vermeintliche Routinen zu erheblichen Sanktionen führen können. Die spanische Datenschutzbehörde AEPD verhängte hier ein Bußgeld in Höhe von 100.000 Euro gegen ein Logistikunternehmen wegen einer datenschutzwidrigen Abfrage von Bewerberdaten.

Weiterlesen: 100.000 EUR Bußgeld wegen Abfrage von Bewerberdaten

Datenschutz im Bewerbungsverfahren

In der Regel enthält eine Bewerbung eine Vielzahl personenbezogener Daten. Die Zulässigkeit dieser Datenverarbeitung durch die Personalabteilung richtet sich nach der Datenschutzgrundverordnung (DSGVO) und § 26 Bundesdatenschutzgesetz (BDSG), nach dem nach § 26 Abs. 8 S. 2 BDSG auch Bewerber umfasst sind. Die Verarbeitung der personenbezogenen Daten kann erlaubt sein, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. In der Regel gehören hierzu jedenfalls die Stammdaten des Bewerbers, also Name, Anschrift sowie gegebenenfalls seine E-Mail-Adresse. Daneben treten meist Informationen über die Eignung des Bewerbers. Konkret ist im Einzelfall zu entscheiden, welche Aufgaben und Anforderungen die vakante Position im Unternehmen stellen wird. Daneben bedarf es einer Rechtsgrundlage. In Betracht kommt hierfür etwa eine Einwilligung nach § 26 Abs. 2 BDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO oder das berechtigte Interesse nach Art. 6 Abs. 1 lit. b DSGVO.

Der konkrete Fall

Ausgangspunkt war die Beschwerde eines Bewerbers bei der spanischen Datenschutzbehörde gegen ein Logistikunternehmen. Der Bewerber war von seinem möglichen zukünftigen Arbeitgeber aufgefordert worden, neben den regulären Bewerberdaten ein Führungszeugnis vorzulegen, bevor er überhaupt am Vorstellungsgespräch teilnehmen konnte. Darüber hinaus verlangte das Unternehmen Informationen über den Familienstand.

Bewertung der spanischen Datenschutzbehörde

Die spanische Datenschutzbehörde beurteilte dieses Vorgehen als Verstoß gegen die DSGVO. Konkret sei der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO missachtet worden. Nach diesem dürfen nur solche Daten erhoben werden, die für den konkreten Zweck tatsächlich erforderlich sind. Weder Informationen aus dem Führungszeugnis noch Angaben zum Familienstand seien im vorliegenden Fall notwendig gewesen, um eine fundierte Entscheidung über die Bewerbung zu treffen. Mit der Verhängung eines Bußgelds in Höhe von 100.000 Euro unterstrich die AEPD die Bedeutung des Grundsatzes der Datenminimierung.

Einholung von Führungszeugnissen

Auch im deutschen Recht, kann für Arbeitgeber die Einholung von Führungszeugnissen im Laufe des Bewerbungsprozesses von Relevanz sein. Eine pauschale oder routinemäßige Abfrage ist jedoch meist unzulässig. Vielmehr bedarf es hierfür einer gesetzlichen Grundlage in Verbindung mit einem berechtigten Interesse. Der Fall macht deutlich, dass sich Arbeitgeber nicht darauf berufen können, ein generelles Interesse an einer „sauberen“ Personalakte zu haben. Neugier oder pauschale Risikovermutungen reichen somit nicht aus. Vielmehr muss stets dargelegt werden, warum die Kenntnis über etwaige Vorstrafen für die konkrete Tätigkeit unverzichtbar ist. Das kann etwa der Fall sein, wenn es um sicherheitsrelevante Bereiche, den Umgang mit schutzbedürftigen Personen, wie Kindern, oder hohe Vermögenswerte geht.

In Deutschland wird außerdem zwischen regulären und erweiterten Führungszeugnissen unterschieden. Der Unterschied besteht darin, dass in letzterem auch „geringfügigere“ Verurteilungen, häufig wegen Erstverurteilungen für Sexualdelikten, festgehalten sind. Eine gesetzliche Grundlage zur Anfrage eines solchen erweiterten Zeugnisses ergibt sich etwa aus § 72a Abs. 2 und 4 Sozialgesetzbuch VIII. Diese Vorschrift verpflichtet Träger der freien Jugendhilfe dazu, sicherzustellen, dass keine einschlägig vorbestraften Personen im Rahmen ihrer Tätigkeit mit Kindern und Jugendlichen in Kontakt kommen.

Fazit

Der Fall aus Spanien macht deutlich, dass Bewerbungsverfahren datenschutzrechtlich kein rechtsfreier Raum sind. Arbeitgeber sind verpflichtet, sich auf das Wesentliche zu beschränken und den Grundsatz der Datenminimierung konsequent umzusetzen. Die Abfrage von Führungszeugnissen oder privaten Informationen wie dem Familienstand darf nur erfolgen, wenn sie aufgrund des Zwecks der Bewerbung zwingend erforderlich sind. Andernfalls drohen, wie der Fall zeigt, empfindliche Bußgelder. Unternehmen sollten deshalb ihre Recruiting-Prozesse datenschutzkonform ausgestalten und transparent darlegen, warum bestimmte Informationen benötigt werden. Als Externe Datenschutzbeauftragte unterstützen wir Sie dabei.

Das könnte Sie auch interessieren..

Im Trend

Signal warnt: KI-Agenten bedrohen Datenschutz und Cybersicherheit
Signal warnt: KI-Agenten bedrohen Datenschutz und Cybersicherheit
Cybersicherheit: BSI warnt vor Bias in der Künstlichen Intelligenz
Cybersicherheit: BSI warnt vor Bias in der Künstlichen Intelligenz
Palantir: Übermittlung in die USA technisch ausgeschlossen
Data Act: Standardvertragsklauseln für Cloud Switching & Exit
Data Act: Standardvertragsklauseln für Cloud Switching & Exit