IT-Recht

Cloud-basierte Recruiting-Management-Plattformen

23.1.2014 von Business & IT

Mit Cloud-basierten Recruiting-Management-Plattformen können Unternehmen Bewerbungsprozesse schneller, effizienter und kostengünstiger gestalten.

ca. 5:05 Min
Business-it
VG Wort Pixel
Das moderne Vorstellungsgespräch
Das moderne Vorstellungsgespräch
© contrastwerkstatt - Fotolia.com

Von Mira Martz

Das gesamte Bewerbungsverfahren von der Stellenausschreibung bis hin zur Einstellung lässt sich damit verwalten und steuern. Firmen müssen dabei allerdings einige Datenschutzgrundsätze beachten. Mithilfe von Cloud-basierten Plattformen können Personalabteilungen den gesamten Bewerbungsprozess in einem Tool abwickeln, Stellenangebote erstellen und diese einfach auf Social-Media-Plattformen sowie auf Jobportalen und der eigenen Website posten.

Der Vorteil für Personalabteilungen: Der Bewerbungsprozess wird vereinfacht und Bewerbungen können schnell abgerufen werden. Der "Papierkrieg" in Form von Bewerbungsstapeln gehört der Vergangenheit an. Außerdem erhalten Personalabteilungen die - aus Datenschutzsicht kritisch zu betrachtende - Möglichkeit, elektronische Bewerbungen innerhalb des Unternehmens und der Unternehmensgruppe weiterzuleiten.

Der Vorteil für Bewerber: Sie können sich direkt über die Stelle und das Unternehmen informieren und ihre Bewerbung hochladen. Die Bewerbung wird umgehend in dem Jobportal für die Personalabteilung bereitgestellt.


Mira Martz
Die Autorin: Mira Martz, Volljuristin, ist seit 2012 für die ISiCO Datenschutz GmbH tätig und verantwortet die Presse- und Öffentlichkeitsarbeit sowie das Marketing des Beratungsunternehmens. Die ISiCO Datenschutz GmbH (www.isico-datenschutz.de) ist ein Beratungsunternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.
© Mira Martz

Um die datenschutzrechtliche Zulässigkeit solcher Recruiting-Management-Tools nach dem deutschen Datenschutzrecht zu beurteilen, ist nicht nur entscheidend, ob der Sitz des jeweiligen Plattformbetreibers innerhalb oder außerhalb der EU liegt, sondern auch, wie die Nutzung innerhalb eines Konzernverbundes aussieht.

Rechtmäßige Nutzung von Recruiting-Plattformen

Für die Verarbeitung personenbezogener Bewerberdaten durch ein deutsches Unternehmen sind die Normen des Bundesdatenschutzgesetzes (BDSG) anzuwenden. Dies gilt auch dann, wenn das Unternehmen auf ausländische Recruiting-Plattformen zurückgreift. Entscheidend ist der Sitz der verantwortlichen Stelle, welche die Bewerberdaten für die Stellenausschreibung erhebt.

Die Zulässigkeit der Datenverarbeitung im Bewerbungsverfahren bestimmt sich nach § 32 Abs.1 S.1 BDSG. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines solchen erforderlich ist. Bewerber gelten als "Beschäftigte" im Sinn des BDSG. § 32 Abs.1 S.1 BDSG bestimmt genau zwei wesentliche Voraussetzungen,die darüber entscheiden, ob die Datenverarbeitung zulässig ist:

  • Der Zweck für die Verarbeitung muss die Begründung eines Beschäftigungsverhältnisses (Bewerbungsverfahren) sein.
  • Zudem ist die Datenverarbeitung nur dann rechtmäßig, wenn sie für die Begründung eines Beschäftigungsverhältnisses auch erforderlich ist. Dabei ist eine Abwägung zwischen den Interessen des Unternehmens und des Bewerbers vorzunehmen.

Liegen die Tatbestandsmerkmale für § 32 BDSG nicht vor, ist die Datenverarbeitung grundsätzlich nicht gerechtfertigt. In diesem Fall besteht nur noch die Möglichkeit, die Datenverarbeitung über die Einwilligung des Bewerbers zu rechtfertigen.

Verantwortlichkeit für die Datenverarbeitung

Verantwortlich für die Verarbeitung von Bewerberdaten ist jede Person oder Stelle, die personenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt (§ 3 Abs. 7 BDSG). Damit ist immer das jeweilige Unternehmen, zu dem der Bewerber seine Bewerbung schickt, verantwortliche Stelle und damit verantwortlich für die persönlichen Daten des Bewerbers. Wenn das Unternehmen nun die Dienstleistungen eines Cloud-Anbieters in Anspruch nimmt, wird der Plattformbetreiber als Auftragnehmer tätig. Trotz des Abschlusses eines Auftragsdatenverarbeitungsvertrages bleibt das jeweilige Unternehmen dennoch für die Daten verantwortlich.

Tipp: Unternehmen sollten mit dem Plattformbetreiber einen schriftlichen Auftragsdatenverarbeitungsvertrag (§ 11 Abs. 2 BDSG) abschließen. Dabei ist unter anderem Folgendes zu regeln:

  • Der Plattformbetreiber wird nur auf Weisung des Unternehmens tätig. Unternehmen sollten sich Kontrollrechte einräumen lassen.
  • Der Plattformbetreiber muss sich dazu verpflichten, die eingestellten Bewerberdaten nicht an Dritte weiterzugeben.

Dies gilt allerdings nur, soweit der Plattformbetreiber seinen Sitz in der EU beziehungsweise im Europäischen Wirtschaftsraum hat. Ansonsten greifen die privilegierenden Regelungen der Auftragsverarbeitung gemäß § 11 BDSG nicht. Eine Übermittlung an Plattformbetreiber außerhalb der EU bedarf immer einer besonderen Rechtfertigung.

Diese liegt oft in der Einwilligung des Betroffenen oder aber im Abschluss der sogenannten EU-Standardvertragsklauseln, die allerdings derzeit in der Folge von PRISM & Co. stark in der Kritik stehen. Grundsätzlich muss das Unternehmen die Bewerberdaten nach Beendigung des Bewerbungsverfahrens löschen (§ 35 Abs. 2 Nr. 3 BDSG). Sollten die Daten darüber hinaus in einem Bewerberdatenpool gespeichert bleiben, bedarf es wieder einer ausdrücklichen Einwilligung des Betroffenen.

Tipp: Spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens sollten die Daten gelöscht werden, wenn der Bewerber keine Einwilligung in die Speicherung seiner Daten in einen Talent-Pool gegeben hat.

Nutzung von Recruiting-Plattformen im Konzernverbund

Die meisten datenschutzrechtlichen Fragen ergeben sich bei der Nutzung einer Recruiting-Plattform durch die einzelnen Unternehmen eines Konzernverbundes. In vielen Branchen - insbesondere in denen es einen hohen Fachkräftemangel gibt - ist es für Unternehmen attraktiv, vom Bewerberpool anderer Unternehmen im selben Konzernverbund zu profitieren und Kandidaten für ihr eigenes Unternehmen einzubeziehen.

ISiCO Datenschutz GmbH

  • Die ISiCO Datenschutz GmbH ist ein Beratungsunternehmen für IT-Sicherheit, Datenschutz und Datenschutz-Compliance.
  • Sie berät Kunden bei der Umsetzung der nationalen und internationalen Datenschutzbestimmungen im Unternehmen und der Implementierung von IT-Sicherheits- und Compliance-Systemen.
  • Zu den Kunden der ISiCO Datenschutz GmbH gehören führende Unternehmen aus der Wirtschaft, Institutionen aus dem Gesundheitswesen und Verbände.

Das Unternehmen, das in Deutschland ansässig ist und Bewerberdaten in die gemeinsame Plattform einpflegt, bleibt verantwortliche Stelle im Sinn des § 3Abs. 7 BDSG. Soll einem anderen Unternehmen Zugriff gewährt werden, liegt rechtlich eine Übermittlung an einen Dritten (§ 3 Abs. 4 Nr. 3b BDSG) vor. Dabei ist es egal, ob dieser Dritte ein fremdes oder ein konzernverbundenes Unternehmen ist. Da es für eine solche Vermittlung keine gesetzliche Rechtfertigung gibt, gilt, dass für diese Übermittlung immer eine Einwilligung des Bewerbers vorliegen muss.

Sollte die Einwilligung des Bewerbers für die Datenübermittlung nicht vorliegen, lässt sich der Vermittlungsvorgang nur noch durch den sogenannten Konzernbezug rechtfertigen (§ 32 Abs.1 S.1 BDSG). Der Konzernbezug liegt vor, wenn beispielsweise die Stellenausschreibung einen konzernweiten Einsatzort des Mitarbeiters voraussetzt und dem Bewerber dies auch erkennbar ist. Dieser fehlt dann, wenn die Stellenausschreibung des Unternehmens nicht auf einen konzernweiten Einsatz hinweist.

Fazit

Es bestehen viele Fragen in Zusammenhang mit Recruiting-Plattformen in der Cloud: Wie können sich Unternehmen absichern, wenn Plattformbetreiber nicht in der EU ansässig sind? Wann muss ein Auftragsdatenverarbeitungsvertrag geschlossen werden? Wie können Unternehmen eine verbindliche Einwilligung für die Speicherung der Bewerberdaten im Talent-Pool einholen und wie können entsprechende Berechtigungskonzepte für die Datenweitergabe aussehen?

Unternehmen sollten zur Rückversicherung, ob sie eine Cloud-basierte Recruiting-Plattform datenschutzkonform benutzen oder für andere Fragen dazu unbedingt rechtlichen Rat einholen.

Nächste passende Artikel

Apps für NAS-Systeme: Wir geben Tuning-Tipps für Netzwerkfestplatten.

Sicherheit

Western Digital: Kein Cloud-Zugang mehr bei…
Online_Haufe-X360_Einklinker_Devices

Unternehmens-Software

Haufe X360, die Unternehmens-Software aus der…
Arbeitszeiterfassung in der Cloud

Arbeitszeiterfassung in der…

Zeiterfassung in der Cloud: 6 Lösungen im…
2FA: Die Einmalpasswörter des Google Authenticators werden nach einem Update auch in der Cloud gesichert

Update

Google Authenticator: Demnächst mit…
Amazon Luna: Nach dem Aus von Google Stadia git es einen neuen Cloud-Gaming-Dienst

Cloud-Gaming

Amazon Luna: Deutschland-Start für Prime-Kunden
Cloud-Backup

Sicherheit

Synology C2 Storage im Test – NAS-Backup für die…
Kaufmännische Software-Lösungen im Test

Kaufmännische Software on- und…

Kaufmännische Software- & Cloud-Lösungen im Test
Xbox Cloud Gaming: So funktioniert das Spiele-Streaming auf verschiedenen Plattformen.

Anforderungen und wie Sie…

Xbox Cloud Gaming: So spielen Sie auf PC,…
Überrasch’ mich!
mehrweniger

Mehr zum Thema

Cloud-Lösungen im Mittelstand

IT-Cloud-Index

Cloud-Lösungen im Mittelstand

Rückenwind für die Cloud

Best Practice

Buchhaltung in der Cloud

IT-Sicherheit,Cloud

IT-Strategien

Sicherheit in der Cloud

Interview zum Thema Cloud

Interview

"Wer agil sein muss, kommt um die Cloud nicht…

Cloud Computing,Sicherheit,Deutschland

Cloud Computing nach dem NSA-Skandal

Die deutsche Cloud - eine sichere Alternative?

Weiter zur Startseite