Datenschutz Personaldienstleister: Welche DSGVO-Vorgaben zu beachten sind

22. März 2024

Im Zuge des Fachkräftemangels ist die Unterstützung durch Personaldienstleister für viele Unternehmen unverzichtbar, um geeignete Bewerber zu finden und offene Stellen zu besetzen. Da Recruiting-Agenturen, Personalvermittler und Headhunter tagtäglich mit den Daten unterschiedlichster Bewerber arbeiten, spielt das Thema Datenschutz im Recruiting eine große Rolle. Dieser Blogartikel zum Thema Datenschutz Personaldienstleister gibt Ihnen einen Überblick darüber, was Sie als Personaldienstleister in Sachen Datenschutz beachten müssen, wie Sie sich einen datenschutzkonformen Talentpool aufbauen und welche Fallstricke die Direktansprache in sozialen Netzwerken bereithält.

Welche datenschutzrechtlichen Verantwortlichkeiten bestehen?

Der Umgang mit Daten natürlicher Personen – in diesem Fall Bewerbern – ist für Personaldienstleister tägliche Praxis. Im Rahmen der klassischen Personalvermittlung stellen Bewerber ihre Unterlagen zur Verfügung. Die Personalagentur sucht dann nach geeigneten Unternehmen. Passen Bewerberprofil und ausgeschriebene Stelle zueinander, sendet die Personalagentur relevante Informationen des Bewerbers an das Unternehmen. Für die Vermittlung des Bewerbers an das passende Unternehmen erhält die Personalagentur eine Provision. Hinsichtlich des Datenschutzes im Rahmen des Recruiting-Prozesses gilt: Die Personalagentur ist selbst für den Schutz der Verarbeitung der Daten der Bewerber verantwortlich. In der Europäischen Union müssen alle Personalagenturen die Vorgaben der DSGVO einhalten.

Personaldienstleister unterschätzen ihre Angriffsfläche

Aufsichtsbehörden schauen sich Personaldienstleister aufgrund von immer mehr werdenden Beschwerden von gereizten Bewerbern an. Viele Personaldienstleister haben teilweise Schwierigkeiten bei der Umsetzung der DSGVO-Pflichten. Typische Angriffsflächen sind:

1. Fehlende Aufklärung des Bewerbers über bevorstehende Datenverarbeitung In einigen Fällen versäumen es Personaldienstleistungsunternehmen, die angesprochenen Kandidaten rechtzeitig über die bevorstehende Datenerhebung zu informieren. Verstöße gegen Datenschutzbestimmungen in Bezug auf die Datenschutzerklärung fallen aufgrund deren öffentlicher Sichtbarkeit auf der Website nicht nur unzufriedenen Bewerbern, sondern auch Konkurrenten auf dem Markt auf, was das Risiko der Entdeckung erhöht.

2. Unvollständige und/oder nicht hinreichend individualisierte Datenschutzerklärungen Häufig greifen Personalunternehmen auf kostenlose Online-Generatoren für Datenschutzerklärungen zurück, die jedoch oft nicht auf die spezifischen Gegebenheiten des Unternehmens zugeschnitten sind und nicht alle gesetzlich geforderten Angaben enthalten.

3. Keine datenschutzkonforme Gestaltung des Bewerbungsprozesses Es fehlt an angemessenen Berechtigungskonzepten und hinreichend konfigurierten HR- und CRM-Systemen. Bewerbungsunterlagen werden intern per E-Mail weitergeleitet und das automatische Löschen somit unverhältnismäßig erschwert.

4. Webseiten mit Analyse- und Tracking-Funktionen ohne Rechtsgrundlage Personaldienstleister verwenden häufig Analyse- und Tracking-Tools wie Google Analytics oder Matomo auf ihren Websites, obwohl dafür eine vorherige Einwilligung der Nutzer erforderlich ist. Oftmals fehlt jedoch ein technisch einwandfreier Cookie-Banner.

5. Mangelnde Vorbereitung auf Betroffenenanfragen Jeder (ehemalige) Mitarbeiter, Kunde, Bewerber oder Dienstleister kann durch formlose Mitteilung Betroffenenrechte geltend machen. Unternehmen der Personalbranche sind oft unzureichend auf Anfragen von Betroffenen, wie Auskunfts- oder Löschungsanfragen, vorbereitet. Die Beantwortung erfolgt selten fristgerecht und häufig unvollständig. Durch Beschwerden bei den Datenschutz-Aufsichtsbehörden drohen weitere rechtliche Schritte.

6. Fehlender Löschprozess der personenbezogenen Daten Teilweise wird es versäumt, Löschregeln für die Daten von nicht vermittelten Leads oder von vermittelten Kandidaten festzulegen. Daten, die trotz des Wegfalls des ursprünglichen Zwecks in den Systemen gespeichert werden, stellen ein weiteres Risiko für Personaldienstleister dar.

7. Unzulässige Kontaktaufnahme ohne Rechtsgrundlage Es kommt häufig vor, dass Mitarbeiter von Personaldienstleistungsunternehmen versehentlich Kandidaten kontaktieren, obwohl diesen die Datenverarbeitung untersagt wurde oder der letzte Kontakt schon einige Jahre zurückliegt und die Daten längst hätten gelöscht werden müssen.

10 Tipps zur Einhaltung der Datenschutz-Vorgaben für Personaldienstleister

Defizite im Datenschutz können Beschwerden und Auseinandersetzungen insbesondere mit ehemaligen Bewerbern auslösen, die oft vor Gericht enden oder sogar zu Bußgeldern führen. Vor diesem Hintergrund sollten Personaldienstleister folgende Datenschutz-Praxistipps beachten.

  • Verzeichnis von Verarbeitungstätigkeiten: Alle datenschutzrelevanten Geschäftsprozesse, z. B. Headhunting-Abläufe, Bewerbermanagement, Personalmanagement, Personalplanung, Datenaustausche mit Auftraggebern, buchhaltungsrelevante Prozesse, Rechnungsstellung etc. sind im sog. Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren und fortlaufend zu aktualisieren.
  • Datenschutzerklärungen gegenüber Bewerbern:  Im Bewerberportal sollte das Personalberatungsunternehmen  den Bewerbern ausführliche Informationen über die bevorstehende Verarbeitung von Daten geben. Online-Bewerberportale müssen die Datenschutzinformation deutlich sichtbar verlinken.
  • Cookie-Banner: Beim Einsatz von Cookies, die technisch nicht notwendig sind, ist ein Cookie Banner unerlässlich. Der Cookie-Banner muss beim erstmaligen Besuch der Website erscheinen und erst nach der erteilten Einwilligung ist es gestattet, dass Tracking Tools wie Google Analytics oder Matomo die Daten des Webseitenbesuchers erfassen.
  • Einwilligungsmanagement: Für die langfristige Aufnahme in den Bewerber-Talentpool muss die betroffene Person ihre ausdrückliche Einwilligung in die Datenspeicherung abgeben. Um dies nachweisen zu können, sollten Personaldienstleister die online oder per Post eingeholten Einwilligungen dokumentieren. Betroffene Personen können jederzeit die erteilte Einwilligung zur Speicherung widerrufen. Ein Einwilligungsmanagement hilft dabei, den Überblick über die eingegangenen Widerrufe zu behalten und eine zeitgerechte Löschung zu gewährleisten.
  • Datenlöschung: Anhand der gesetzlichen Aufbewahrungsfristen und des konkreten  Erhebungszwecks sind Löschregeln zu definieren. Diese müssen automatisiert oder manuell umgesetzt werden.
  • Sicherheitsmaßnahmen: Es sind geeignete technische und organisatorische Datensicherheitsmaßnahmen durch den Personaldienstleister festzulegen. Sie umfassen z. B. den physischen Zutritt zu Gebäuden, die Arbeitsplatzsicherheit (Passwortrichtlinien, Endgeräte-Verschlüsselung, Zugriffsrechte)  und sichere Übertragungswege zwischen Personalvermittler und Kunden (z. B. verschlüsselter E-Mail-Versand, Datenaustausch über einen Cloud-Dienst oder anderweitigen Schnittstellen)
  • Vorbereitung auf Anfragen von Betroffenen: Falsch mit den Betroffenenrechten umzugehen, kann zu hohen Bußgeldern und Klagen führen. Das lässt sich mit einer guten Vorbereitung verhindern. Legen Sie ein separates Datenschutz-Postfach für Ihren Datenschutzbeauftragten an und überlegen Sie sich vorher, welche Informationen in ein Antwortschreiben einfließen müssen.
  • Nutzten Personaldienstleister  einen Bewerberfragebogen, sollte dieser nur Fragen enthalten, die für die zu vermittelnden Positionen relevant sind.
  • Bei der Nutzung eines externen IT-gestützten HR-Systems (zum Beispiel SaaS) ist regelmäßig der Abschluss eines Auftragsverarbeitungsvertrages  mit dem Softwareanbieter erforderlich.
  • Datenschutzbeauftragter: Wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden oder mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen. Bei der Bemessung der Beschäftigtenzahl werden alle Voll- und Teilzeitkräfte, die Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Praktikanten sowie Beschäftigte im Home-Office oder in Telearbeit voll berücksichtigt.

Wie lange dürfen Bewerberdaten gespeichert werden?

Generell sollten Bewerbungsunterlagen sechs Monate nach Ablehnung des Bewerbers gelöscht werden (LDI NRW, 26. Bericht 2021, S. 99). Diese Frist folgt aus der Möglichkeit des Bewerbers, nach dem Allgemeinen Gleichbehandlungsgesetzes (AGG) zu klagen. Nach Ablauf dieser Frist sollten dem Grunde nach keine Daten der Bewerber mehr verarbeitet werden. Dies wäre sogar nach Ansicht der Datenschutz-Aufsichtsbehörden eine unzulässige Datenverarbeitung.

Aufnahme in den Talentpool nur mit Einwilligung?

Die Speicherung von personenbezogenen Bewerberdaten in einem Talentpool überschreitet zulässigerweise die sechsmonatige Frist zur Speicherung von Bewerberdaten. Ohne eine wirksame (dokumentierte) Einwilligung ist die Nutzung eines Bewerberprofils im Talentpool nach DSGVO damit strikt untersagt. Dabei müssen alle Anforderungen an eine wirksame Einwilligung gegeben sein. Erfüllt die Einwilligungserklärung nicht alle gesetzlichen Voraussetzungen, ist sie unwirksam und das Personalberatungsunternehmen besitzt keine hinreichende Rechtsgrundlage für die Speicherung der Daten.

Recruiting über soziale Netzwerke

Eine Möglichkeit des Recruitings ist die aktive Suche nach passenden Personen in sozialen Netzwerken. Ob ein berechtigtes Interesse gegeben ist, hängt vom Einzelfall ab. Dies kann vorliegen, wenn eine Person die Jobsuche aktiviert oder Jobwünsche oder Gehaltsvorstellungen in berufsorientierten Medien wie z. B. Xing oder LinkedIn hinterlegt. In freizeitorientierten sozialen Medien (Facebook, Instagram, TikTok) dürfte das Interesse des Nutzers an der Geheimhaltung der Daten gegenüber Personalberatern und potenziellen Arbeitgebern überwiegen, mit der Folge, dass das Recruiting dort nicht zulässig ist.

FAQ zum Thema Datenschutz Personaldienstleister

Wie lange darf ich eine Bewerbung speichern?

Es wird empfohlen, dass Unterlagen von Bewerbern, die nicht eingestellt wurden, spätestens sechs Monate nach der Absage vernichtet werden. Dieser Zeitraum leitet sich aus der Möglichkeit einer Klage gemäß dem Allgemeinen Gleichbehandlungsgesetz (AGG) ab. Sobald diese Sechsmonatsfrist verstrichen ist, ist es grundsätzlich nicht mehr gestattet, personenbezogene Daten der Bewerber weiterhin zu nutzen. Die Datenschutzbehörden betrachten eine darüber hinausgehende Speicherung oder Nutzung dieser Daten als unzulässig.

Wann dürfen Bewerberdaten länger als 6 Monate aufbewahrt werden? 

Es ist zulässig, Daten zum Zwecke des Talent-Pools länger als 6 Monate zu speichern. Die längere Aufbewahrung der Bewerbungsunterlagen ist dann zulässig, wenn der Bewerber seine Einwilligung abgegeben hat. In diesem Fall kann der Personaldienstleister die Unterlagen so lange aufbewahren, wie dies in der Einwilligungserklärung bzw. der beigefügten Datenschutzinformation dargelegt wurde oder bis der Bewerber sein Recht auf Löschung im Sinne des Art. 17 DSGVO begehrt. Ab dem Zeitpunkt des Löschbegehrens hat der Personaldienstleister die Bewerbungsunterlagen unverzüglich zu löschen.

Dürfen Bewerber auf sozialen Netzwerken kontaktiert werden?

In freizeitorientierten sozialen Medien (Facebook, Instagram, TikTok) ist die Kontaktaufnahme untersagt. In berufsorientierten sozialen Netzwerken sind die Interessen des Nutzers mit den Interessen des Personalberaters bzw. des potenziellen Arbeitgebers abzuwägen. Sobald ein Xing- oder LinkedIn-Nutzer durch Aktivierung der Jobsuche oder durch Angabe von Jobwünschen oder Gehaltsvorstellungen Interesse an einer Kontaktaufnahme signalisiert, dürfen Personalberater die Nutzer anschreiben.  

Darf man Bewerbungen intern weiterleiten?

Nach dem sog. Need-to-know-Prinzip dürfen Bewerbungen an jene Ansprechpartner im Unternehmen adressiert werden, welche die Daten auch benötigen. Bewerbungsunterlagen für z. B. eine Position in der Buchhaltung wird neben der HR-Abteilung von der Führungskraft der Buchhaltungs-Abteilung und der Geschäftsleitung benötigt. Das interne Weiterleiten per E-Mail sollte jedoch vermieden werden, da E-Mails regelmäßig archiviert werden. Dies erschwert eine zeitgerechte Löschung der Bewerberdaten. 

Welche Informationspflichten müssen erfüllt werden?

Einen Personaldienstleister treffen umfangreiche Informationspflichten (Art. 13 und Art. 14 DSGVO). Bewerber müssen bei der Erhebung von Bewerberdaten über die bevorstehende Datenverarbeitung aufgeklärt werden. Dies erfordert eine im Recruiting-Prozess leicht erreichbare Datenschutzinformation, die vom Bewerber zur Kenntnis genommen werden kann. Die Datenschutzerklärung muss gemäß Art. 13 insbesondere folgende Inhalte aufweisen:
•Kontaktdaten des Verantwortlichen
•Kontaktdaten des Datenschutzbeauftragten
•Informationen über die erhobenen Daten, Verarbeitungszweck und Rechtsgrundlage 
•Alle aufgeführten Informationen über die Empfänger der Daten
•Informationen zur Übermittlung an Empfänger in Drittländern
•Belehrung über die Betroffenenrechten gemäß Art. 12 ff. DSGVO

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

ÜBER DEN AUTOR

Yanick Röhricht

Yanick Röhricht ist Senior Consultant bei ALPHATECH Consulting. Als Berater unterstützt er Unternehmen bei der Umsetzung gesetzlicher Datenschutzvorgaben sowie beim Aufbau eines Informationssicherheits-Managements. Als Wirtschaftsjurist (LL.M.) und mit Zertifizierungen als Datenschutzbeauftragter (TÜV) und IT-Sicherheitsbeauftragter (DGI) verfügt er über fundierte Fachkenntnisse und langjährige Erfahrung in diesem Bereich.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Querstraße 2
65203 Wiesbaden

Telefon

+49 611 445 010 04

Wir arbeiten zertifiziert

Social Media