Kurzbeitrag : Informationenspflichten gegenüber Bewerbern nach der DS-GVO : aus der RDV 1/2017, Seite 21 bis 25
Unternehmen sind gesetzlich verpflichtet, Personen, deren Daten sie erheben oder empfangen, über die Verarbeitung dieser Daten zu informieren. Diese Pflicht ergibt sich aus dem BDSG nach § 4 Abs. 3 und § 33 Abs. und demnächst nach der DS-GVO aus Art. 13 und 14, wobei die Informationspflichten nach der DS-GVO erheblich umfangreicher sind. Unterschieden wird danach, ob die Informationen beim Bewerber erhoben werden oder – mit oder ohne sein Wissen – bei anderen Stellen.
Die Ausgestaltung der Informationspflicht ist hinsichtlich Zeitpunkt (siehe Abschnitt 2), Form (siehe Abschnitt 3) und Inhalt (siehe Abschnitt 4) gesetzlich detailliert geregelt. Es gibt nur wenige Ausnahmen (siehe Abschnitt 5). Sobald personenbezogene Daten für neue Zwecke verarbeitet werden, lebt die Informationspflicht wieder auf (siehe Abschnitt 6). Eine korrekte Umsetzung bedarf einiger Vorarbeiten (siehe Abschnitt 1). Fehlerhafte, verspätete, unverständliche, unvollständige, fehlende oder anderweitig nicht gesetzeskonforme Informationen können Bußgelder nach sich ziehen (siehe Abschnitt 7).
1. Direkte und indirekte Erhebung
Um die Informationspflicht auszulösen, müssen personenbezogene Daten „erhoben“ werden. Werden Daten im rechtlichen Sinne nicht „erhoben“, besteht auch keine Informationspflicht. Da nicht jede Form des Erlangens, d.h. der technischen Erhebung, auch rechtlich eine „Erhebung“ darstellt, lohnt sich eine nähere Beschäftigung mit dem Begriff „Erheben“.
Von einer „Erhebung“ im rechtlichen Sinn wird gesprochen, wenn sich das Unternehmen Daten aktiv beschafft. Füllt bspw. ein Bewerber einen Bewerberfragebogen aus, so erfragt das Unternehmen von ihm Daten. Es liegt eine Erhebung vor. Anders verhält es sich, wenn beispielsweise ein Bewerber im Aufzug ungefragt von seinen Hobbys erzählt, dann handelt es sich um eine aufgedrängte Information. Das „Sich beschaffen“-Wollen durch das Unternehmen fehlt. Wenn im nachfolgenden Vorstellungsgespräch Fragen zu den im Aufzug erwähnten Hobbys gestellt werden, liegt jedoch wieder eine Erhebung vor.
Auf die Art und Weise der Erhebung kommt es nicht an, d.h. es reicht, dass für die betroffene Person erkennbar ist, welche Daten von ihr verlangt werden. Eine Bewerbung auf eine Stellenanzeige hin ist regelmäßig eine Erhebung, eine unverlangt erhaltene Initiativbewerbung dagegen erst dann, wenn sie wie eine Bewerbung gesichtet wird. Wird sie ungelesen zurückgesandt, liegt keine Erhebung vor.
Werden Daten bei der betroffenen Person erhoben, spricht man von einer Direkterhebung. Eine indirekte Erhebung liegt vor, wenn die Daten nicht bei der betroffenen Person erhoben werden. Beispiele für indirekte Erhebungen sind
- Gespräche mit früheren Arbeitgebern,
- Bonitätsprüfung und
- Sicherheitsüberprüfungen.
Auch die Abfrage des Xing- oder Facebook-Profils eines Bewerbers kann unter die indirekte Erhebung fallen, sofern der Bewerber in seiner Bewerbung nicht explizit auf sein Profil verweist.
2. Zeitpunkt
Der vorgeschriebene Zeitpunkt der Information unterscheidet sich zwischen Direkterhebung und indirekter Erhebung.
2.1 Direkterhebung
Die Information muss „zum Zeitpunkt der Erhebung“ erfolgen. Bei einer Datenerhebung mittels eines (elektronischen) Formulars ist der Zeitpunkt einfach bestimmbar. Sobald das Formular auf dem Bildschirm angezeigt wird, beginnt die Erhebung, die mit dem Absenden des Formulars abgeschlossen ist. Die Information kann bspw. als Erläuterung oder im Rahmen einer Einleitung ins Formular integriert werden.
Als Faustregel mag gelten, dass der Zeitpunkt der Erhebung beendet ist, sobald die Daten beim Unternehmen eingetroffen sind oder Mitarbeiter sie zur Kenntnis nehmen könnten. Bei E-Mail-Bewerbungen ist die Erhebung mit Zugang zum E-Mail-Postfach des Empfängers abgeschlossen. Die Informationspflicht ließe sich bspw. durch eine entsprechend automatisch erzeugte E-Mail – analog einer Eingangsbestätigung – umsetzen. Eine solche Gestaltung bietet sich insbesondere bei E-Mail-Adressen an, die ausschließlich für Bewerbungen gedacht sind, z.B. „karriere@unternehmen.de“.
Bei E-Mails, die an ein allgemeines Postfach gerichtet sind, bspw. „info@unternehmen.de“, endet die Erhebung mit einer Sichtung durch einen Mitarbeiter, der dabei den Zweck identifiziert. E-Mails an allgemeine Postfächer dienen üblicherweise zahlreichen Zwecken wie z.B. Angebotsanfragen, Beschwerden, Werbung, Initiativbewerbungen oder Rückfragen. Die Informationspflicht kann durch einen manuellen Versand der Informationen unmittelbar nach Zweckfeststellung durch einen Mitarbeiter umgesetzt werden. Dabei ist darauf zu achten, dass die versendeten Informationen zu dem Zweck der E-Mail passen, d.h. eine Information für Bewerber beispielsweise nicht auf eine Angebotsanfrage hin versendet wird.
2.2 Indirekte Erhebung
Lässt sich der Erhebungszeitpunkt bei einer direkten Erhebung relativ eindeutig bestimmen, so liegt dieser bei einer indirekten Erhebung regelmäßig in der Vergangenheit. Der „Datenlieferant“ hat die Daten in der Vergangenheit erhoben, die das Unternehmen heute erhält. Deshalb räumt die DS-GVO bei indirekten Erhebungen eine Frist zur Information ein.
Die betroffene Person ist innerhalb einer angemessenen Frist nach Erhalt der Daten, die einen Monat nicht überschreiten darf, zu informieren.[1] „Angemessen“ bedeutet in der Praxis so schnell wie möglich. Werden die bei der indirekten Erhebung erlangten Daten für die Kommunikation mit der Person, z.B. dem Bewerber, verwendet, muss die Person auch früher – nämlich spätestens bei der ersten Kommunikation – informiert werden (Art. 14 Abs. 3 lit. c). Sollen die erhobenen Daten anderen Unternehmen, z.B. innerhalb eines Konzerns, übermittelt werden, so muss die Person spätestens vor der Übermittlung informiert werden.[2]
Funktionspostfächer, die von verschiedenen Unternehmen innerhalb eines Konzerns gelesen oder automatisch an diese weitergeleitet werden, stellen im Regelfall eine Übermittlung dar. Je nach technischer Umsetzung schrumpft der Zeitraum zwischen Eingang der Initiativbewerbung und ihrer Übermittlung auf wenige Millisekunden. Wenn solche Funktionspostfächer eindeutigen Zwecken, wie Bewerbungen, dienen, ließe sich die Information beim E-Mail-Eingang automatisiert versenden. Auch wenn die Zwecke nicht feststehen oder zu verschieden sind, wie bei dem Beispiel info@unternehmen.de, müsste die Information trotzdem automatisiert vor der Übermittlung erfolgen. Dieses bedeutet u. U. eine sehr umfangreiche Information, deren Länge sie wieder unverständlich und damit unzulässig macht.
Solche gemeinsam genutzten Funktionspostfächer können auch eine gemeinsame Verantwortung verschiedener Unternehmen begründen (Art. 26 DS-GVO). Eine solche „gemeinsame Verantwortung“ zieht zusätzlich rechtliche Pflichten nach sich, zu denen auch eine erweiterte Informationspflicht gehört. Um diese zusätzlichen Pflichten und die skizzierten Risiken zu vermeiden, bietet es sich an, die Funktionspostfächer statt konzernweit („karriere@konzern. de“) unternehmensspezifisch (karriere@deutsche-tochter.de“) zu gestalten.
3. Form und Sprache
Das Unternehmen darf die Form der Information wählen. Zur Auswahl stehen die Schriftform, d.h. auf Papier, oder eine anderen Form, d.h. im Regelfall elektronische Optionen. Eine mündliche Information ist nur auf explizites Verlangen der betroffenen Person zulässig (Art. 12 Abs. 1 DS GVO) Angesichts der Informationsfülle (siehe Abschnitt 4) sowie der problematischen Nachweisbarkeit der Vollständigkeit ist eine mündliche Information nicht empfehlenswert. Die Wahlfreiheit hat den Vorteil, dass die Informationen in dem gleichen Medium erfolgen können, in dem auch die Daten erhoben werden, bspw. als Merkblatt, das zusammen mit einem Papierfragebogen ausgehändigt wird.
Die Information muss in „leicht zugänglicher Form“ dargeboten werden, d.h. die betroffene Person, z.B. der Bewerber oder Mitarbeiter, muss auf sie aufmerksam gemacht werden. Ein „Verstecken“ in anderen Texten wird tendenziell unzulässig sein. Das Gleiche gilt für eine leseunfreundliche Gestaltung, wie z.B. eine Schrift in Größe 8-Punkt oder eine fehlende Absatzstrukturierung.
Eine größere Herausforderung liegt in der Sprache, denn die Darstellung muss in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen (Art. 12 Abs. 1 DS-GVO). Da die Information vom Leser verstanden werden soll, sollten sich die Sprache und die Darstellung nach dessen Sprachkenntnissen und Verständnismöglichkeiten richten.
Es empfiehlt sich, die Sprache, bspw. Deutsch oder Englisch, für jeden Mitarbeiter zu wählen, in der auch die für ihn gültigen Arbeitsanweisungen und vergleichbare Dokumente verfasst sind. Für Bewerber kann analog verfahren werden. Für multinationale Unternehmen bedeutet dies, dass die Informationen in verschiedenen Sprachen dargeboten werden müssen. Struktur und Inhalt lassen sich zentral festgelegen und steuern.
Neben der Sprache entscheidet auch die Formulierung über die Verständlichkeit. Soll sich bspw. die Information an Bewerber sowohl auf Schülerpraktika als auch auf Positionen in der Rechtsabteilung beziehen – was zulässig wäre –, ist eine Orientierung an den Schülern empfehlenswert. Eine verständliche Gestaltung lässt sich z.B. durch eine gemeinsame Gestaltung mit der Zielgruppe, Azubis, Lagerarbeiter, Sachbearbeiter usw., oder durch einen Test durch die betroffenen Personen erreichen.
Bildsymbole („Icons“) dürfen im Prinzip verwendet werden.[3] Elektronische Icons müssen in maschinenlesbarer Form vorliegen, die eine automatische Auswertung erlaubt (Art. 12 Abs. 7 DS-GVO). Die EU-Kommission ist ermächtigt, diese Icons zu standardisieren. Entsprechende standardisierte Icons liegen aktuell nicht vor, so dass auf die Verwendung von Icons verzichtet werden sollte. Unternehmen müssen nachweisen können, dass die Darbietung der Information den gesetzlichen Vorgaben der DS-GVO genügt.
4. Inhalt
Da sich die Inhalte der Informationspflicht nur unwesentlich zwischen Direkterhebung und indirekter Erhebung unterscheiden, bietet sich eine kombinierte Information an. Tabelle 1 listet die darzubietenden Informationen auf. Die Kreuze in der zweiten und dritten Spalte zeigen an, dass die entsprechende Angabe jeweils bei einer Direkterhebung oder einer indirekten Erhebung zu machen ist.
Tabelle 1: Übersicht über die Inhalte der Informationspflicht[4].
Die Angabe der Zwecke setzt eine gründliche Recherche im Unternehmen voraus. Das Beispiel des Mitarbeiters Herrn Maus illustriert die Problemstellung. Die Daten von Herrn Maus werden zur Erfüllung des Arbeitsvertrags verarbeitet, d.h. für die Entgeltabrechnung, Leistungsbeurteilung, Beförderung usw. Herr Maus bedient eine Fräsmaschine. Seine Urlaubs- und Krankheitszeiten werden für die Schichtplanung benötigt. Er zeichnet die Laufkarten der einzelnen Arbeitsaufträge für die Qualitätssicherung ab. Seine Daten zu Alter und Qualifikation werden für die mittelfristige Personalplanung ausgewertet. Eine Auswertung von Fehlzeiten soll „Blaumacher“ entdecken helfen. Die Produktentwicklung nutzt seine Bearbeitungszeiten einzelner Werkstücke zur Produktoptimierung hinsichtlich kürzerer Herstellungszeiten. Die Liste der Zwecke ist in keiner Weise vollständig. Sie umfasst folgende unterschiedliche Zwecke:
- Erfüllung des Arbeitsvertrags,
- Schichtplanung,
- Qualitätssicherung,
- Personalplanung,
- Auswertung von Fehlzeiten und
Die Angabe „Speicherfrist oder Kriterien, um die Frist zu bestimmen“ verlangt regelmäßig eine komplexe Umsetzung. Die Speicherfrist gibt an, wie lange die Daten im Unternehmen vorhanden sein werden. Eventuell bestehende gesetzliche Aufbewahrungsfristen sind einzurechnen. Die Speicherfrist bezieht sich nicht auf eine konkrete Anwendung, sondern umfasst alle Anwendungen, Speichermedien und auch das Back-up des Unternehmens. E-Mails oder Dateien auf dem Fileserver sind ebenfalls zu berücksichtigen.
Da personenbezogene Daten zwingend unaufgefordert und unverzüglich zu löschen sind, sobald ihre Zwecke entfallen sind, d.h. sie nicht mehr für konkret benennbare Zwecke benötigt werden, bestimmen die Zwecke die Speicherfrist maßgeblich. Mitarbeiterdaten werden, wie oben dargestellt, für zahlreiche Zwecke verarbeitet. Jedoch sind pro Zweck meistens nur wenige Daten betroffen. Die Stammdaten werden mindestens während der Dauer des Arbeitsverhältnisses benötigt. Eine E-Mail mit Rückfragen zur Gehaltsabrechnung braucht bspw. – wenn überhaupt – nur wenige Tage gespeichert zu werden. Deshalb ist eine Betrachtung und Darstellung der Speicherfrist auf Datenfeldebene unumgänglich. Eine Darstellung im Rahmen der Information muss also die Zwecke und die betroffenen Datenfelder einbeziehen.
Unzulässige Darstellungen wären bspw.:
- „im Rahmen der gesetzlichen Fristen“,
- „nach Ablauf der gesetzlichen Aufbewahrungsfristen“,
- „wenn die Zwecke entfallen sind“ und
- „nach zehn Jahren“ ohne Nennung des Fristbeginns. Zulässige Darstellungen könnten bspw. sein:
- „Daten für die Entgeltzahlung: 6 Jahre nach Ausscheiden“ oder
- „Angaben auf Laufkarten: bis zum 23.05.2017“.
Sollte bis dato keine Datenlöschung stattfinden, ist jetzt die Zeit gekommen umzudenken. Auch nach bisherigem Recht besteht die gesetzliche Löschpflicht, d.h. die Löschpflicht ist keine Neuerung. Neu sind das gestiegene Entdeckungsrisiko und die maximale Bußgeldhöhe (siehe Abschnitt 7). Wer nicht löscht, muss entweder bei der Angabe der Speicherfrist falsche Angaben machen oder ehrlicherweise schreiben „nie“. Im ersten Fall wissen mindestens die mit der entsprechenden Datenverarbeitung betrauten Mitarbeiter, dass die Angaben falsch sind. Diese könnten eine Anzeige bei der Datenschutzaufsichtsbehörde einreichen. Im letzten Fall muss ein Mitarbeiter das Informationsschreiben nur einer Aufsichtsbehörde vorlegen, die damit bereits den Nachweis des Gesetzverstoßes „schwarz auf weiß“ vorliegen hätte. Die Informationsschreiben müssen zwingend auf die Beschwerderechte hinweisen – auch bei unzufriedenen Mitarbeitern.
5. Ausnahmen
Bei der Direkterhebung kann von einer Information abgesehen werden, wenn die betroffene Person, bspw. der Bewerber oder Mitarbeiter, bereits über die Informationen verfügt.[5] Er muss dazu über alle Informationen vollständig verfügen. Verfügt er über einen Teil der Informationen, muss er mindestens über die ihm unbekannten Angaben unterrichtet werden. Aus Praktikabilitätsgründen bietet sich eine einheitliche und standardisierte Information ohne Rücksicht auf den Informationsstand an. Ein Blick in die Liste von Tabelle 1 zeigt, dass im Regelfall ein Mitarbeiter oder Bewerber bspw. keine Kenntnis über die Speicherfrist der Daten oder alle Zwecke hat, so dass die Informationspflicht auflebt.
Auf eine Information bei indirekten Erhebungen kann verzichtet werden, wenn[6]
- die betroffene Person alle Informationen hat (wie auch schon bei der Direkterhebung),
- das Informieren unmöglich oder unverhältnismäßig aufwendig ist,
- die Erhebung oder auch die Weitergabe der Daten explizit gesetzlich vorgeschrieben ist oder
- in Fällen, in denen die Daten unter ein Berufsgeheimnis fallen.
Die Ausnahmen „unverhältnismäßiger Aufwand“ oder Unmöglichkeit dürften bei Bewerbern oder Mitarbeitern höchstens in besonderen Konstellationen zutreffen. Der Abgleich mit EU-Terrorlisten käme als Ausnahme in Betracht, da die EG-Verordnung Nr. 881/2002 diesen vorschreibt. Rechtsanwälte sind Berufsgeheimnisträger, weshalb ein Anwalt über den Empfang personenbezogener Daten nicht informieren muss. Ein Unternehmen hingegen sollte generell Anwälte als mögliche Datenempfänger nennen, da gerade arbeitsrechtliche Auseinandersetzungen immer wieder vorkommen.
6. Informationspflichten bei neuen Zwecken
Sobald Daten für andere Zwecke als die, für die sie erhoben wurden, verarbeitet werden sollen, lebt die Informationspflicht wieder auf.[7] Ob die Daten ursprünglich direkt oder indirekt erhoben wurden, ist dabei unerheblich. Beispiele für neue Zwecke sind:
- Auswertung von Stellenbörsen nach Bewerberqualität,
- Messung der durchschnittlichen Dauer des Bewerbungsprozesses,
- nachträgliche Aufnahme in einen Bewerbungsprozess oder
- Nutzung von Mitarbeiterdaten für Zufriedenheitsumfragen.
Ein häufiges „Nachschieben“ von neuen Zwecken führt schnell zu Irritationen und Misstrauen. Deshalb lohnt es sich, bei der Zusammenstellung der Zwecke nicht nur den Status quo zu betrachten, sondern auch einen Blick in die (nahe) Zukunft zu werfen. Welche Zwecke kommen in den nächsten 12 Monaten dazu? Das Aufzählen aller denkbaren Zwecke ist jedoch nicht empfehlenswert, da ein Verstoß gegen das Gebot zur Transparenz droht.[8] Die betroffene Person soll sich ein Bild über die tatsächliche Datenverarbeitung machen können.
7. Folgen bei einem Verstoß
Ein Verstoß gegen die Informationspflichten ist bußgeldbewehrt. Unvollständige, verspätete, unrichtige, unverständliche, unleserliche und fehlende Informationen zählen zu den Verstößen. Das Unternehmen muss zudem nachweisen, dass es die Informationspflicht korrekt erfüllt. Misslingt der Nachweis, liegt ein Verstoß gegen die Nachweispflicht vor. Deshalb empfiehlt es sich, die Umsetzung der Informationspflicht zu dokumentieren.
Verstöße gegen die Informationspflicht oder die Nachweispflicht können mit einem Bußgeld von bis zu 20 Mio. Euro oder – sofern höher – 4 Prozent des weltweiten Jahresumsatzes bestraft werden. Das gleiche Bußgeld droht ebenfalls bei unterlassener Datenlöschung.
* Geschäftsführer der Xamit Bewertungsgesellschaft mbH und der DSZ Datenschutz Zertifizierungsgesellschaft mbH (einem Gemeinschaftsunternehmen des BvD e.V und der GDD e.V.). Er verfügt über langjährige Erfahrung als externer Datenschutzbeauftragter und berät sowohl deutsche als auch internationale Unternehmen. Daneben lehrt er im Rahmen eines Lehrauftrags im Masterstudiengang „Medienrecht und Medienwirtschaft“ an der Technischen Hochschule Köln.
[1] Art. 14 Abs. 3 Lit. a DS-GVO.
[2] Art. 14 Abs. 3 Lit. c DS-GVO.
[3] Art. 12 Abs. 7 DS GVO.
[4] Zusammengestellt aus Art. 13, 14, 21 Abs. 4 DS-GVO.
[5] Art. 13 Abs. 4 DS-GVO.
[6] Art. 14 Abs. 5 DS-GVO: Eine gemeinsame Verantwortung kann bspw. dann vorliegen, wenn eine Bewerbung von unterschiedlichen Konzerngesellschaften im eigenen Interesse verarbeitet wird.
[7] Art. 13 Abs. 3 und Art. 14 Abs. 4 DS-GVO.
[8] Art. 5 Abs. 1 Lit. a DS-GVO.