Outlook-Kalender mit Bewerberinformationen
Einträge im Outlook Kalender zu Bewerbungsgesprächen sollten keine weitergehenden Notizen und Informationen zu den teilnehmenden Bewerber:innen enthalten.
Ein Unternehmen teilte im Rahmen einer Beratungsanfrage mit, dass es die Termine für Bewerbungsgespräche im Outlook-Kalender eintrage. Es würden dort nur Vermittlungen der Agentur für Arbeit vermerkt werden. Konkret würden der Name des Bewerbers und für welche Stelle die Zuweisung sei sowie z.B. Informationen darüber wie oft ein Bewerber schon eingeladen worden und eventuell nicht gekommen sei, hinterlegt werden. Das Unternehmen fragte an, ob diese Informationen im Outlook Kalender belassen werden dürfen.
Grundsätzlich ist es so, dass beim Verarbeiten von Bewerber:innendaten ein geeigneter Speicherort für diese Daten zu wählen ist. Ein solcher Speicherort zeichnet sich einerseits durch ein wirksames Zugriffskonzept aus, andererseits verfügt dieser aber auch über ein passendes Löschkonzept, damit sensible Daten nicht länger als nötig aufbewahrt werden. Ein Eintragen von Bewerber:innendaten bzw. Informationen zu Bewerber:innen in den OutlookKalender und eine etwaige Versendung derselben im Rahmen einer Einladung weiterer Teilnehmer:innen betrachtet die Datenschutzbehörde als kritisch, da die beiden zuvor genannten Kriterien bei Outlook-Kalendern in den meisten Anwendungsfällen der Praxis nicht erfüllt werden.
Regelmäßig genügt es stattdessen für die Erstellung und Versendung eines Termins, den Betreff und den Namen des/der Bewerber:in zu benennen. Bewerbungsunterlagen, aber auch Gesprächsnotizen bzw. Vermerke zu den Bewerber:innen oder geführten Bewerbungsgesprächen, sind entsprechend der Organisationsstruktur bei der für Personalangelegenheiten zuständigen Stelle sicher vor unbefugten Zugriffen aufzubewahren. Die an der Durchführung eines Bewerbungsverfahrens Beteiligten erhalten sodann die hierfür notwendigen Unterlagen bzw. ein Zugriffsrecht hierauf. Soweit im Rahmen des Bewerbungsverfahrens Notizen angefertigt werden, bedarf es diesbezüglich ebenso eines Berechtigungskonzeptes, so dass ein unbefugter Zugriff ausgeschlossen werden kann.
Gerade wenn Notizen oder Informationen im Outlook-Kalender vermerkt und mittels einer Outlook-Termineinladung versandt werden, kann aufgrund der verschiedenen Speicherorte nur erschwert sichergestellt werden, dass unbefugte Zugriffe verhindert und Bewerber:innendaten später tatsächlich gelöscht werden. Zu beachten ist des Weiteren, dass in vielen Organisationen großzügige Kalenderfreigaben bestehen, um Terminplanungen mit anderen Beschäftigten besser organisieren zu können. Dadurch, aber auch durch Vertretungsregelungen und Zugriffsberechtigungen auf ganze Postfächer, besteht die Möglichkeit, dass eine Einsichtnahme in Kalendereinträge unbeabsichtigt eröffnet wird.
Das anfragende Unternehmen wurde deshalb ebenso darauf hingewiesen, dass der Verantwortliche nach Art. 17 Abs. 1 Buchstabe a DSGVO personenbezogene Daten unverzüglich zu löschen hat, wenn sie für den Zweck, für den sie (rechtmäßig) erhoben oder anderweitig verarbeitet wurden, nicht mehr benötigt werden. Gerade auch vor dem Hintergrund der in der gelebten Praxis eher dürftigen Löschkonzepte bei Outlook-Kalender besteht die Gefahr von pauschalen Speicherdauern, die den Anforderungen im Umgang mit Bewerber:innendaten nicht gerecht werden. Daher wurde das anfragende Unternehmen hinsichtlich der Löschung solcher Bewerber:innendaten aus Termineinträgen im Kalender hingewiesen. Soweit eine datenschutzrechtliche Erlaubnis für das weitere Vorhalten von Bewerber:innendaten geben sollte, müssten diese, wie bereits dargestellt, an anderer geeigneter Stelle, wie z. B. durch die Personalabteilung, sicher aufbewahrt werden, d. h. wie andere Personaldaten auch durch technische und organisatorische Maßnahmen weiterhin ausreichend geschützt werden. Eine Erforderlichkeit für eine Verarbeitung der personenbezogenen Daten könnte sich z. B. aus der Berichtspflicht des Unternehmens gegenüber der Agentur für Arbeit bzw. für den Fall eines Vorgehens gegen eine ablehnende Entscheidung ergeben.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks