Datenschutz Personaldienstleister: Welche DSGVO-Vorgaben zu beachten sind

Im Zuge des Fachkräftemangels ist die Unterstützung durch Personaldienstleister für viele Unternehmen unverzichtbar, um geeignete Bewerber zu finden und offene Stellen zu besetzen. Da Recruiting-Agenturen, Personalvermittler und Headhunter tagtäglich mit den Daten unterschiedlichster Bewerber arbeiten, spielt das Thema Datenschutz im Recruiting eine große Rolle. Dieser Blogartikel zum Thema Datenschutz Personaldienstleister gibt Ihnen einen Überblick darüber, was Sie als Personaldienstleister in Sachen Datenschutz beachten müssen, wie Sie sich einen datenschutzkonformen Talentpool aufbauen und welche Fallstricke die Direktansprache in sozialen Netzwerken bereithält.

Welche datenschutzrechtlichen Verantwortlichkeiten bestehen?

Der Umgang mit Daten natürlicher Personen – in diesem Fall Bewerbern – ist für Personaldienstleister tägliche Praxis. Im Rahmen der klassischen Personalvermittlung stellen Bewerber ihre Unterlagen zur Verfügung. Die Personalagentur sucht dann nach geeigneten Unternehmen. Passen Bewerberprofil und ausgeschriebene Stelle zueinander, sendet die Personalagentur relevante Informationen des Bewerbers an das Unternehmen. Für die Vermittlung des Bewerbers an das passende Unternehmen erhält die Personalagentur eine Provision. Hinsichtlich des Datenschutzes im Rahmen des Recruiting-Prozesses gilt: Die Personalagentur ist selbst für den Schutz der Verarbeitung der Daten der Bewerber verantwortlich. In der Europäischen Union müssen alle Personalagenturen die Vorgaben der DSGVO einhalten.

Personaldienstleister unterschätzen ihre Angriffsfläche

Aufsichtsbehörden schauen sich Personaldienstleister aufgrund von immer mehr werdenden Beschwerden von gereizten Bewerbern an. Viele Personaldienstleister haben teilweise Schwierigkeiten bei der Umsetzung der DSGVO-Pflichten. Typische Angriffsflächen sind:

1. Fehlende Aufklärung des Bewerbers über bevorstehende Datenverarbeitung In einigen Fällen versäumen es Personaldienstleistungsunternehmen, die angesprochenen Kandidaten rechtzeitig über die bevorstehende Datenerhebung zu informieren. Verstöße gegen Datenschutzbestimmungen in Bezug auf die Datenschutzerklärung fallen aufgrund deren öffentlicher Sichtbarkeit auf der Website nicht nur unzufriedenen Bewerbern, sondern auch Konkurrenten auf dem Markt auf, was das Risiko der Entdeckung erhöht.

2. Unvollständige und/oder nicht hinreichend individualisierte Datenschutzerklärungen Häufig greifen Personalunternehmen auf kostenlose Online-Generatoren für Datenschutzerklärungen zurück, die jedoch oft nicht auf die spezifischen Gegebenheiten des Unternehmens zugeschnitten sind und nicht alle gesetzlich geforderten Angaben enthalten.

3. Keine datenschutzkonforme Gestaltung des Bewerbungsprozesses Es fehlt an angemessenen Berechtigungskonzepten und hinreichend konfigurierten HR- und CRM-Systemen. Bewerbungsunterlagen werden intern per E-Mail weitergeleitet und das automatische Löschen somit unverhältnismäßig erschwert.

4. Webseiten mit Analyse- und Tracking-Funktionen ohne Rechtsgrundlage Personaldienstleister verwenden häufig Analyse- und Tracking-Tools wie Google Analytics oder Matomo auf ihren Websites, obwohl dafür eine vorherige Einwilligung der Nutzer erforderlich ist. Oftmals fehlt jedoch ein technisch einwandfreier Cookie-Banner.

5. Mangelnde Vorbereitung auf Betroffenenanfragen Jeder (ehemalige) Mitarbeiter, Kunde, Bewerber oder Dienstleister kann durch formlose Mitteilung Betroffenenrechte geltend machen. Unternehmen der Personalbranche sind oft unzureichend auf Anfragen von Betroffenen, wie Auskunfts- oder Löschungsanfragen, vorbereitet. Die Beantwortung erfolgt selten fristgerecht und häufig unvollständig. Durch Beschwerden bei den Datenschutz-Aufsichtsbehörden drohen weitere rechtliche Schritte.

6. Fehlender Löschprozess der personenbezogenen Daten Teilweise wird es versäumt, Löschregeln für die Daten von nicht vermittelten Leads oder von vermittelten Kandidaten festzulegen. Daten, die trotz des Wegfalls des ursprünglichen Zwecks in den Systemen gespeichert werden, stellen ein weiteres Risiko für Personaldienstleister dar.

7. Unzulässige Kontaktaufnahme ohne Rechtsgrundlage Es kommt häufig vor, dass Mitarbeiter von Personaldienstleistungsunternehmen versehentlich Kandidaten kontaktieren, obwohl diesen die Datenverarbeitung untersagt wurde oder der letzte Kontakt schon einige Jahre zurückliegt und die Daten längst hätten gelöscht werden müssen.

10 Tipps zur Einhaltung der Datenschutz-Vorgaben für Personaldienstleister

Defizite im Datenschutz können Beschwerden und Auseinandersetzungen insbesondere mit ehemaligen Bewerbern auslösen, die oft vor Gericht enden oder sogar zu Bußgeldern führen. Vor diesem Hintergrund sollten Personaldienstleister folgende Datenschutz-Praxistipps beachten.

• Verzeichnis von Verarbeitungstätigkeiten: Alle datenschutzrelevanten Geschäftsprozesse, z. B. Headhunting-Abläufe, Bewerbermanagement, Personalmanagement, Personalplanung, Datenaustausche mit Auftraggebern, buchhaltungsrelevante Prozesse, Rechnungsstellung etc. sind im sog. Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren und fortlaufend zu aktualisieren.

• Datenschutzerklärungen gegenüber Bewerbern:  Im Bewerberportal sollte das Personalberatungsunternehmen  den Bewerbern ausführliche Informationen über die bevorstehende Verarbeitung von Daten geben. Online-Bewerberportale müssen die Datenschutzinformation deutlich sichtbar verlinken.

• Cookie-Banner: Beim Einsatz von Cookies, die technisch nicht notwendig sind, ist ein Cookie Banner unerlässlich. Der Cookie-Banner muss beim erstmaligen Besuch der Website erscheinen und erst nach der erteilten Einwilligung ist es gestattet, dass Tracking Tools wie Google Analytics oder Matomo die Daten des Webseitenbesuchers erfassen.

• Einwilligungsmanagement: Für die langfristige Aufnahme in den Bewerber-Talentpool muss die betroffene Person ihre ausdrückliche Einwilligung in die Datenspeicherung abgeben. Um dies nachweisen zu können, sollten Personaldienstleister die online oder per Post eingeholten Einwilligungen dokumentieren. Betroffene Personen können jederzeit die erteilte Einwilligung zur Speicherung widerrufen. Ein Einwilligungsmanagement hilft dabei, den Überblick über die eingegangenen Widerrufe zu behalten und eine zeitgerechte Löschung zu gewährleisten.

• Datenlöschung: Anhand der gesetzlichen Aufbewahrungsfristen und des konkreten  Erhebungszwecks sind Löschregeln zu definieren. Diese müssen automatisiert oder manuell umgesetzt werden.

• Sicherheitsmaßnahmen: Es sind geeignete technische und organisatorische Datensicherheitsmaßnahmen durch den Personaldienstleister festzulegen. Sie umfassen z. B. den physischen Zutritt zu Gebäuden, die Arbeitsplatzsicherheit (Passwortrichtlinien, Endgeräte-Verschlüsselung, Zugriffsrechte)  und sichere Übertragungswege zwischen Personalvermittler und Kunden (z. B. verschlüsselter E-Mail-Versand, Datenaustausch über einen Cloud-Dienst oder anderweitigen Schnittstellen)

• Vorbereitung auf Anfragen von Betroffenen: Falsch mit den Betroffenenrechten umzugehen, kann zu hohen Bußgeldern und Klagen führen. Das lässt sich mit einer guten Vorbereitung verhindern. Legen Sie ein separates Datenschutz-Postfach für Ihren Datenschutzbeauftragten an und überlegen Sie sich vorher, welche Informationen in ein Antwortschreiben einfließen müssen.

• Nutzten Personaldienstleister  einen Bewerberfragebogen, sollte dieser nur Fragen enthalten, die für die zu vermittelnden Positionen relevant sind.

• Bei der Nutzung eines externen IT-gestützten HR-Systems (zum Beispiel SaaS) ist regelmäßig der Abschluss eines Auftragsverarbeitungsvertrages  mit dem Softwareanbieter erforderlich.

• Datenschutzbeauftragter: Wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden oder mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen. Bei der Bemessung der Beschäftigtenzahl werden alle Voll- und Teilzeitkräfte, die Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Praktikanten sowie Beschäftigte im Home-Office oder in Telearbeit voll berücksichtigt.

Wie lange dürfen Bewerberdaten gespeichert werden?

Generell sollten Bewerbungsunterlagen sechs Monate nach Ablehnung des Bewerbers gelöscht werden (LDI NRW, 26. Bericht 2021, S. 99). Diese Frist folgt aus der Möglichkeit des Bewerbers, nach dem Allgemeinen Gleichbehandlungsgesetzes (AGG) zu klagen. Nach Ablauf dieser Frist sollten dem Grunde nach keine Daten der Bewerber mehr verarbeitet werden. Dies wäre sogar nach Ansicht der Datenschutz-Aufsichtsbehörden eine unzulässige Datenverarbeitung.

Aufnahme in den Talentpool nur mit Einwilligung?

Die Speicherung von personenbezogenen Bewerberdaten in einem Talentpool überschreitet zulässigerweise die sechsmonatige Frist zur Speicherung von Bewerberdaten. Ohne eine wirksame (dokumentierte) Einwilligung ist die Nutzung eines Bewerberprofils im Talentpool nach DSGVO damit strikt untersagt. Dabei müssen alle Anforderungen an eine wirksame Einwilligung gegeben sein. Erfüllt die Einwilligungserklärung nicht alle gesetzlichen Voraussetzungen, ist sie unwirksam und das Personalberatungsunternehmen besitzt keine hinreichende Rechtsgrundlage für die Speicherung der Daten.

Recruiting über soziale Netzwerke

Eine Möglichkeit des Recruitings ist die aktive Suche nach passenden Personen in sozialen Netzwerken. Ob ein berechtigtes Interesse gegeben ist, hängt vom Einzelfall ab. Dies kann vorliegen, wenn eine Person die Jobsuche aktiviert oder Jobwünsche oder Gehaltsvorstellungen in berufsorientierten Medien wie z. B. Xing oder LinkedIn hinterlegt. In freizeitorientierten sozialen Medien (Facebook, Instagram, TikTok) dürfte das Interesse des Nutzers an der Geheimhaltung der Daten gegenüber Personalberatern und potenziellen Arbeitgebern überwiegen, mit der Folge, dass das Recruiting dort nicht zulässig ist.

FAQ zum Thema Datenschutz Personaldienstleister