Online-Bewerbungsplattform auf US-Servern
Online-Bewerbungsplattform mit Datenverarbeitung auf US-amerikanischen Servern
Ein Unternehmen nutzte für das Bewerbungsmanagement eine sog. Recruiting-Plattform, die von einem Unternehmen mit Sitz in den USA betrieben wird. Die gesamte Datenverarbeitung fand auf Servern in den USA statt. Die Datenübermittlung wurde dabei hauptsächlich auf ein vorher erteiltes Einverständnis der Bewerberinnen und Bewerber gestützt. Daneben berief sich das Unternehmen auf die Erforderlichkeit der Datenübermittlung und damit auf eine Rechtsgrundlage. Für die Zukunft sei ein starkes Wachstum des Unternehmens abzusehen. Zur Vereinheitlichung der Bewerbungsverfahren innerhalb des Konzerns werde daher eine Recruiting-Plattform benötigt, die ausreichend leistungsfähig und variabel einsetzbar sei.
Die Datenübermittlung konnte nicht auf eine Einwilligung gestützt werden. Denn eine Einwilligung ist nur wirksam, wenn sie freiwillig erfolgt. Hier hingegen war die Einwilligung für das Bewerbungsverfahren zwingend vorgesehen und damit unfreiwillig, da Bewerbungen andernfalls nicht berücksichtigt wurden. Gerade im Bewerbungsverfahren ist von einer strukturellen Unterlegenheit der Bewerberinnen und Bewerber gegenüber der Beschäftigungsstelle auszugehen.
Auch konnte die Erhebung und Nutzung von Bewerberdaten nicht auf das Bundesdatenschutzgesetz gestützt werden. Dieses Gesetz knüpft die Rechtmäßigkeit der Verarbeitung von Beschäftigtendaten an deren Erforderlichkeit für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses.
Das Prinzip der Erforderlichkeit dient der Abwägung der beiderseitigen Rechtspositionen mit dem Ziel, sie im Wege eines angemessenen Ausgleichs miteinander in Einklang zu bringen. Das bedeutet in diesem Fall, dass die Verarbeitung von personenbezogenen Daten der Beschäftigten geeignet und das relativ mildeste Mittel sein muss, um den Interessen der Beschäftigungsstelle bei der Begründung, Durchführung oder Beendigung von Beschäftigungsverhältnissen Rechnung zu tragen. Das grundsätzlich nachvollziehbare Interesse von Unternehmen an einer konzernweiten Personalpolitik legitimiert jedoch nicht automatisch eine Übermittlung von Personaldaten an Dritte. Zu berücksichtigen sind vielmehr die Risiken einer Datenverarbeitung auf Servern in den USA sowie der Umstand, dass in Bewerbungsschreiben nicht selten besonders schützenswerte sensitive Daten enthalten sind.
Eine Möglichkeit zur rechtmäßigen Datenübermittlung ist der Abschluss einer Betriebsvereinbarung. Damit gäbe es eine Rechtsvorschrift im Sinne des Bundesdatenschutzgesetzes, einer Einwilligung bedürfte es dann nicht mehr. Diese müsste allerdings gleichartige Schutzvorkehrungen aufweisen wie das Bundesdatenschutzgesetz selbst. So müssten beispielsweise die Betroffenen das Rechterhalten, alle in Frage kommenden Ansprüche (Auskunfts- und Schadensersatzansprüche wegen Datenschutzverstößen) auch direkt gegenüber der Beschäftigungsstelle geltend zu machen. Zusätzlich ist die datenverarbeitende Stelle – ähnlich wie ein Auftragnehmer – durch eine Datenschutzvereinbarung zu verpflichten und zu kontrollieren. Die Kontrollen sind von der verantwortlichen Stelle zu veranlassen und von ihr selbst oder durch von ihr beauftragte Unternehmen in den USA durchzuführen. Durch diese zusätzlichen Sicherungsmaßnahmen wäre gewährleistet, dass die schutzwürdigen Interessen der Beschäftigten nicht verletzt werden.
Quelle: Berliner Datenschutzaufsicht
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks