Viele Unternehmen erhalten tagtäglich Bewerbungen. Das freut Unternehmen natürlich, denn es zeigt, dass sie ein interessantes Unternehmensprofil aufweisen und bei Bewerbern begehrt sind. Im besten Falle führen diese Bewerbungen zu Anstellungen, wenn alle Parteien die gegenseitigen Erwartungen und Voraussetzungen erfüllen. Aber was ist, wenn ein Bewerber so gar nicht den Geschmack des Arbeitgebers trifft oder sonstige Gründe dazu führen, dass er auf einer sogenannte Blacklist landet? Ist das Führen einer solchen Liste mit unerwünschten Bewerbern erlaubt oder verstößt es gegen Grundsätze der DSGVO?
Das Führen einer Blacklist ist datenschutzrechtlich relevant
Das Führen einer sog. Blacklist stellt eine Datenverarbeitung im Sinne der DSGVO dar. Denn sobald eine Blacklist personenbezogene Daten enthält, wie z. B. den Namen einer Person, ist der Anwendungsbereich der DSGVO eröffnet. Diese Datenverarbeitung bedarf einer Rechtsgrundlage. Nun könnte man davon ausgehen, dass die Datenverarbeitung aufgrund der Zusendung der Bewerbung gerechtfertigt ist. Denn Informationen und Daten in einer Bewerbung dürfen, abgesehen von besonders sensiblen personenbezogenen Daten, zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden. Natürlich jedoch nur unter der Prämisse, dass sie auch erforderlich sind, um vorvertragliche Maßnahmen durchzuführen.
Wenn jetzt jedoch ein Bewerber nicht den Anforderungen eines Arbeitgebers entspricht oder aus sonstigen Gründen eine Anstellung für den Arbeitgeber nicht in Betracht kommt, dann gibt es ab dieser Entscheidung keine durchzuführenden vorvertraglichen Maßnahmen mehr. Eine weitere Verarbeitung der Bewerbung wäre daher aufgrund dieser Rechtsgrundlage nicht mehr gerechtfertigt und müsste sofort mittels Datenlöschung enden. Sofern eine Person, ohne sich vorher beworben zu haben, bereits auf der Blacklist steht, bestand diese Rechtsgrundlage noch nicht einmal.
Da jedoch ein abgelehnter Bewerber drei Monate nach Absage noch Klage gegen die Ablehnung erheben kann, geht man davon aus, dass eine gesetzliche Aufbewahrungsfrist von drei Monaten besteht und nach einem Puffer von weiteren drei Monaten, also nach spätestens sechs Monaten die Bewerbung zu löschen ist. Wenn man die Unterlagen für die Besetzung einer künftigen Stelle für maximal drei Jahre aufbewahren möchte, benötigt man hierfür eine Einwilligung des Bewerbers.
Heißt das nun, dass eine Blacklist von Bewerbern grundsätzlich nicht möglich ist?
Das alles lässt nun vermuten, dass es Unternehmen nicht möglich ist, solche Blacklists zu führen.
Das widerspricht jedoch dem Grundsatz der Privatautonomie, nach dem es jedem freistehen muss, Verträge einzugehen oder auch nicht, soweit kein Kontrahierungszwang besteht.
Insbesondere für große Unternehmen, die tagtäglich Bewerbungen erhalten oder Personalwechsel in der Geschäftsführung oder Personalabteilung haben, kann es wichtig sein, einmal abgelehnte Bewerber möglicherweise nicht noch einmal zu berücksichtigen, also vor allem die Ablehnungsgründe zu kennen. Denn es ist nicht zu erwarten, dass dort jeder Bewerber in Erinnerung bleibt.
Aber reichen diese Gründe schon für ein berechtigtes Interesse eines Unternehmens aus, so dass das Führen der Blacklist gerechtfertigt wäre?
Grundsätzlich ja, soweit ein Unternehmen nachweisen kann, dass es ein gesteigertes berechtigtes Interesse daran hat, bestimmte Bewerber zukünftig nicht mehr zu berücksichtigen. Im Rahmen dieser Blacklist dürfen dann aber selbstverständlich nicht alle personenbezogenen Daten, die von dem Bewerber vorliegen, aufgeführt werden. Ausreichend und erforderlich erscheinen hier nur der Vor- und Nachname und ggf. das Geburtsdatum des Bewerbers, um diesen identifizieren zu können. Sämtliche sonstigen Daten sind fristgerecht zu löschen.
Dieses berechtigte Interesse stellt eine Rechtsgrundlage für eine Datenverarbeitung nach Art. 6 Abs.1 S.1 lit. f DSGVO dar und erfordert eine dokumentierte Interessensabwägung zwischen den Interessen des Verantwortlichen an der Datenverarbeitung und denen des Betroffenen an informationeller Selbstbestimmung.
Voraussetzung für eine Rechtfertigung über dieses berechtigte Interesse ist jedoch, dass zum Zeitpunkt der Datenerhebung schon dieser Zweck verfolgt wird. Denn nach Art. 5 DSGVO dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
Das bedeutet im Gegenzug, dass auch die Bewerber bereits im Zeitpunkt der Datenerhebung, also der Einreichung der Bewerbung darüber informiert werden müssen, dass ihre Daten gegebenenfalls zum Zwecke einer Blacklist verarbeitet werden.
Was ist ansonsten im Umgang mit Bewerberdaten zu beachten?
Wie bereits angesprochen, müssen Unternehmen Bewerber mit Hilfe einer speziellen Datenschutzbelehrung darüber informieren, welche Daten sie wofür und auf welcher Rechtsgrundlage verarbeiten. Diese Belehrung sollte ebenfalls über die Betroffenenrechte wie auch über Löschfristen in Bezug auf die Daten informieren.
Hierfür sollten Unternehmen einen internen Prozess aufsetzen, mit dem sichergestellt wird, dass jeder Bewerber rechtzeitig die Datenschutzbelehrung für Bewerber erhält. Bei Stellenausschreibungen bietet es sich an, die Belehrung direkt in der jeweiligen Stellenanzeige zu verlinken. Wenn Sie ein eigenes Bewerberformular auf der Webseite integriert haben, können Sie die Belehrung auch oberhalb des „Absende-Buttons“ hinterlegen bzw. verlinken. Nach Eingang einer Initiativbewerbung sollten Sie mit einer E-Mail antworten, die die Datenschutzbelehrung enthält oder auf diese verlinkt.
Rechtsgrundlage der Datenverarbeitung bei Bewerbungen ist in aller Regel die Durchführung vorvertraglicher Maßnahmen.
Allerdings ist Vorsicht bei besonders sensiblen Daten, wie Gesundheitsdaten oder Religionsdaten, geboten. Solche Daten dürfen grundsätzlich nicht verarbeitet werden und sollten daher geschwärzt werden. Eine Ausnahme hierfür besteht, wenn der Betroffene ausdrücklich in die Datenverarbeitung einwilligt. Dabei ist unerheblich, dass der Bewerber dem Unternehmen die Informationen „freiwillig geschickt“ hat.
Unsere Empfehlung: Blacklists unter Umständen möglich
Wir empfehlen unseren Kunden jede geplante Datenverarbeitung genau zu prüfen und ihren Datenschutzbeauftragten frühzeitig mit einzubinden. Besonders Datenverarbeitungen aufgrund berechtigten Interesses bedürfen einer ausführlichen Interessensabwägung und Bewertung. Dies gilt insbesondere für das Führen einer Blacklist. Ob eine solche möglich ist, bedarf daher einer konkreten Einzelfallabwägung und kann nicht pauschal beantwortet werden.
Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.
[…] in unseren Blogbeiträgen Bewerberdatenschutz und Blacklists – was ist erlaubt? und Backround-Check von Bewerbern – geht das? sind wir auf die Frage eingegangen, welche […]
[…] Herr Gründlich, der Zweifel an der Rechtmäßigkeit dieser Liste hat, stieß auf unseren Artikel Bewerberdatenschutz und Blacklists – was ist erlaubt? Aus diesem erfuhr er, dass eine solche Liste grundsätzlich dann zulässig ist, wenn das […]