Die Verarbeitung personenbezogener Bewerber- und Arbeitnehmerdaten ist – neben der Arbeitnehmerüberlassung – das Kerngeschäft von Zeitarbeitsunternehmen. Datenschutz muss deshalb ernst genommen werden.
In ihrem 21. Tätigkeitsbericht 2021 (ab Seite 95) hat die LDI NRW die datenschutzrechtlichen Kernherausforderungen zusammengefasst, welche sich für alle Zeitarbeitsunternehmen stellen: Im Mittelpunkt stehen die Prozesse für die Verarbeitung und den Schutz der Bewerberdaten der Zeitarbeitnehmer. Folgende Maßnahmen empfehlen sich deshalb:
1. Bewerberdatenerhebung
- Es empfiehlt sich, ein modernes Bewerberportal in die eigene Webseite zu implementieren, das Bewerbungsunterlagen automatisiert und ohne Medienbruch in eine Bewerberdatenbank überführt. Idealerweise können Bewerberdaten von dort ohne Medienbruch direkt in das ERP-System des Zeitarbeitsunternehmens (z.B. zvoove) übertragen werden. Dies verhindert, dass Bewerbungsunterlagen händisch per E-Mail verschickt werden müssen und unkontrolliert „durchs Haus geistern“.
- Bewerber müssen in einer Datenschutzinformation gemäß Art. 13, 14 DSGVO über die Verarbeitung ihrer Daten informiert werden. Insbesondere müssen sie darüber aufgeklärt werden, dass ihre personenbezogenen Daten an Entleiher als Kunden weitergegeben werden.
- Von Bewerbern dürfen, z.B. in automatisierten Bewerberfragebögen, nur erforderliche Informationen abgefragt werden, d.h. solche, an deren Verarbeitung Verleiher und Entleiher ein berechtigtes Interesse haben. Soweit Angaben freiwillig sind, sollte darauf hingewiesen werden.
- Wenn Bewerber aufgefordert werden, eine Kopie des Personalausweises vorzulegen, muss diese als Kopie erkennbar, d.h. möglichst schwarzweiß sein (§ 20 Abs. 2 Satz 1 HS. 2 PAuswG). Bei Nicht-EU-Ausländern darf (und muss) die Aufenthalts- und Arbeitserlaubnis überprüft werden.
- Bewerbungsunterlagen sollten spätestens sechs Monate nach Absage eines Bewerbers automatisiert gelöscht werden. Eine längere Speicherung ist zulässig, wenn der Bewerber darin einwilligt, dass seine Unterlagen in einen Bewerberpool übertragen werden. Bei marktüblicher Bewerberportal-Software können solche Einwilligungsfunktion meist unkompliziert implementiert werden.
- Ausdrucke von Bewerbungsunterlagen müssen geschreddert werden, bevor sie im Hausmüll entsorgt werden.
2. Weitergabe von Bewerberdaten an Entleiher
- Für die Zeitarbeitnehmer sollte transparent sein, an welche Entleiher als potentielle Kunden ihre personenbezogenen Daten weitergegeben werden. Ideal ist es, wenn dies mit den Zeitarbeitnehmern im Einzelnen besprochen wird. Wenn allerdings die Zahl der Empfänger sehr groß oder nur schwer recherchierbar ist oder ein berechtigtes Geheimhaltungsinteresse der Preisgabe konkreter Empfänger entgegensteht, reicht es, wenn dem Zeitarbeitnehmer bloß abstrakt die Kategorien der Empfänger, z.B. die Branche, mitgeteilt wird.
- In der juristischen Diskussion besteht weitgehende Einigkeit, dass Verleiher und Entleiher die personenbezogenen Daten der Zeitarbeitnehmer grundsätzlich in jeweils eigener Verantwortlichkeit verarbeiten und sich datenschutzrechtlich als Dritte (Art. 4 Nr. 10 DSGVO) gegenüberstehen. Bei Onsite- und Master-Vendor-Management-Dienstleistungen ist allerdings denkbar, dass Verleiher und Entleiher gemeinsam verantwortlich sind (eingehend zu alledem mit weiteren Nachweisen Bissels/Singraven, ArbRAktuell 2022, 611, 612 ff.). In diesem Fall müssen sie die wechselseitigen Rechte und Pflichten in einer schriftlichen Vereinbarung regeln (Art. 26 DSGVO).
- Bei der Weitergabe personenbezogener Daten der Zeitarbeitnehmer an Entleiher sind diese zu schützen: Gut ist es, wenn zunächst Vertraulichkeitsvereinbarung geschlossen und zuvor bloß pseudonymisierte Profile weitergegeben werden. Insgesamt sollten nur Informationen weitergegeben werden, die für die Zusammenarbeit erforderlich sind. Dass der Name und die Qualifikation des Zeitarbeitnehmers weitergegeben werden, ist schon dadurch legitimiert, dass diese in den Arbeitnehmerüberlassungsvertrag aufgenommen werden müssen (§ 12 Abs. 1 Satz 4 AÜG). Keinesfalls darf die Kopie des Personalausweises eines Zeitarbeitnehmers weitergegeben werden (§ 20 Abs. 2 Satz 2 PAuswG).
3. Technische und organisatorische Maßnahmen (TOMs)
Zeitarbeitsunternehmen müssen die Bewerberdaten der Zeitarbeitnehmer durch technische und organisatorische Maßnahmen schützen (Art. 24 DSGVO). Ein Hauptrisiko besteht darin, dass ausscheidende Mitarbeiter sich große Bestände von Bewerber- und Kontaktdaten auf private Datenträger kopieren, zu einem Konkurrenzunternehmen wechseln und anschließend versuchen, die Zeitarbeitnehmer von ihrem Altarbeitgeber abzuwerben. Hierbei handelt es sich zugleich um Diebstahl von Geschäftsgeheimnissen (§ 23 GeschGehG). Gegen diesen Diebstahl sollte das Zeitarbeitsunternehmen auch im Eigeninteresse Vorkehrungen treffen, nämlich durch IT-Technik und eine Geheimhaltungs- und Datenschutzpolicy (eingehend zu dem Thema siehe hier).
Anleitungen zum Bewerberdatenmanagement sowie zur Implementierung von Daten- und Geschäftsgeheimnisschutzkonzepten mit vielen Mustervorlagen sind im Praxishandbuch Grimm/Singraven, Digitalisierung und Arbeitsrecht veröffentlicht. Online finden Sie diese hier, hier und hier (Quelle: Grimm/Singraven, Digitalisierung und Arbeitsrecht, auch abrufbar im Aktionsmodul Arbeitsrecht).
===================
Hinweis der Redaktion:
Das gerade erschienene Praxis-Handbuch von Grimm/Singraven, Digitalisierung und Arbeitsrecht, behandelt in 29 Kapiteln alle wichtigen Trends, die sich im Zuge der digitalen Transformation für den Personalbereich ergeben – praxiserprobte Formulare, Muster und Vertragsklauseln zu jedem Komplex inklusive + Online-Zugriff auf das Werk.
Besuchen Sie gerne auch unser Webinar zum Thema mit Dr. Detlef Grimm: Digitalisierung und Arbeitsrecht – Lösungen für eine flexible Personalpraxis.
