Lesezeit: 3 Min
Bewerberdatenbanken und Datenweitergabe und die DS-GVO
Die Anfragen von Headhuntern oder Recruitern bei möglichen Arbeitnehmern nehmen immer mehr zu. Anfragen kommen dabei auf den unterschiedlichsten Wegen bei möglichen Job-Suchenden an. Dabei werden in der Regel auch personenbezogene Daten verarbeitet, das bedeutet es ist zu klären, wie der Datenschutz nach Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) umgesetzt werden kann.
Woher kommen die personenbezogenen Daten?
Wer neue Mitarbeiter sucht und über die klassischen Stellengesuche keine passenden Kandidaten findet, der kann auf einen Headhunter zurückgreifen. Diese suchen dann gezielt nach möglichen Arbeitnehmern. Dabei sollte aber genau geprüft werden, wie professionell der Anbieter mit den personenbezogenen Daten umgeht. Es stellt sich also im ersten Schritt die Frage: Woher hat der Dienstleister die Daten und ist er berechtigt, diese zu verarbeiten?
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Betroffenenanfragen können sich häufen
Ein Headhunter greift dabei auf einen Pool von potentiellen Bewerbern zurück, den er sich in der Vergangenheit aufgebaut hat oder kontaktiert gezielt neue Personen. Gerade wenn ein Headhunter potentielle Arbeitnehmer kontaktiert, kann das dazu führen, dass die Betroffenen überprüfen wollen, ob die damit verbundene Verarbeitung von personenbezogenen Daten auch rechtmäßig ist. Es ist also unter Umständen mit einer erhöhten Anfrage von Betroffenen zu rechnen.
BLOG-TIPP: BETROFFENENRECHTE – WAS BESAGT DAS RECHT AUF AUSKUNFT?
Dies bedeutet, dass sowohl der Headhunter als unter Umständen auch das Unternehmen darauf vorbereitet sein muss, wenn Betroffene das Recht auf Auskunft anwenden. Die sogenannten Betroffenenanfragen unterliegen festen Vorgaben durch die DS-GVO und müssen entsprechend bearbeitet werden.
BLOG-TIPP: UMGANG MIT BETROFFENENANFRAGEN FÜR UNTERNEHMEN IN NRW
AV-Vertrag für Headhunter, ja oder nein?
Ob ein Auftragsverarbeitungsvertrag (AV-Vertrag) zwischen Unternehmen und Headhunter abgeschlossen werden muss, sollte immer durch einen Fachmann geprüft werden, denn so einfach wie man denkt ist es nicht unbedingt.
Ein AV-Vertrag wird immer dann nötig, wenn die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden. Er dient dazu, den Datenschutz sicherzustellen. Meistens geht man davon aus, dass der Verantwortliche den Headhunter beauftragt, die personenbezogenen Daten zu verarbeiten. Mit dieser Argumentation müsste ein AV-Vertrag abgeschlossen werden.
Im Fall eines Headhunters ist es aber nicht immer so eindeutig. Vor allem dann, wenn er auf seinen eigenen Bewerberpool zurückgreift. Gerade dann, hat er die personenbezogenen Daten bereits vor der Beauftragung durch den Verantwortlichen angelegt. Es würde also im Sinne der DS-GVO keine Auftragsdatenverarbeitung vorliegen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Datenverarbeitung durch Fachmann prüfen lassen
Auch dann, wenn der Kandidatenpool sich durch die Beauftragung durch den Verantwortlichen erweitert, könnte man die Datenverarbeitung anders bewerten als eine Auftragsverarbeitung, da der Headhunter die personenbezogenen Daten vermutlich auch noch nach der Beauftragung weiterverarbeiten wird. Er nutzt sie unter anderem weiter für andere Aufträge.
In der Regel ist der Headhunter eher als Verantwortlicher zu sehen. Das Unternehmen, also auch ein Verantwortlicher im Sinne des Datenschutzes, ist dem Headhunter nicht in dem Maße weisungsbefugt, dass eine Auftragsverarbeitung vorliegt. Es sind also zwei Verantwortliche bei dieser Art von Beauftragung zu sehen, die beide unabhängig voneinander personenbezogene Daten verarbeiten und sich um die Umsetzung des Datenschutzes in ihrer Verarbeitung der personenbezogenen Daten kümmern müssen.
Da die Bewertung unter Umständen komplex ist, sollte vor der Beauftragung des Headhunters oder Recruiters, immer auch der (externe) Datenschutzbeauftragte hinzugezogen werden.
BLOG-TIPP: WER MUSS SICH AN DEN DATENSCHUTZ HALTEN?
Headhunter als Verantwortliche im Datenschutz
Wenn der Headhunter als Verantwortlicher im Datenschutz angesehen wird, dann muss sich dieser auch vollumfänglich und eigenverantwortlich um die entsprechenden Vorgaben im Datenschutz kümmern. Als Verantwortlicher im Datenschutz hat er verschiedene Vorgaben zu erfüllen, dazu gehören zum Beispiel:
- führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT)
- implementieren von entsprechenden technischen und organisatorischen Maßnahmen (TOM)
- Umsetzung der Betroffenenrechte (z.B. Auskunftsrecht, Informationspflichten, Recht auf Löschung usw.)
BLOG-TIPP: DATENSCHUTZ: PFLICHTEN DES VERANTWORTLICHEN
Ein (externer) Datenschutzbeauftragter kann dabei hilfreich sein, den Datenschutz umzusetzen und alle Vorgaben und Tools zu implementieren.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.