E-Recruiting-Software: Was gilt es aus datenschutzrechtlicher Sicht zu beachten?
Marcel Isch
Marcel Isch, Rechtsanwalt, LL.M., ist Partner bei der Scope Law AG und vorwiegend in den Bereichen des Arbeitsrechts, inkl. datenschutz- und sozialversicherungsrechtlicher Themen, tätig.
Michael Kuhn
Michael Kuhn, Rechtsanwalt, LL.M., ist Partner bei der Scope Law AG und vorwiegend in den Bereichen Start-up & Venture Capital, Immaterialgüter, Technologie & IT sowie Datenschutzrecht tätig.
Einleitung
Beim Einsatz einer solchen E-Recruiting-Software gilt es einiges zu beachten, um sicherzustellen, dass die Datenschutzrechte der Mitarbeitenden resp. Bewerbenden gewahrt werden, denn dadurch werden Personendaten durch ein Drittunternehmen bearbeitet und gespeichert. Wie sich zeigen wird, betreffen die datenschutzrechtlich notwendigen Massnahmen primär die Transparenz, die Regelung des Auftragsbearbeitungsverhältnisses und die Wahrung der Datensicherheit.
Wie kann eine E-Recruiting-Software eingesetzt werden?
Eine solche E-Recruiting-Software kann den gesamten Recruiting-Workflow abbilden: von der Stellenausschreibung auf der eigenen Website, in Jobbörsen und relevanten Foren über die Ablage und das Prüfen der eingereichten Bewerbungsunterlagen, die Vereinbarung eines Vorstellungsgespräches, das Abhalten eines Videointerviews bis zur Personalauswahl und allenfalls sogar bis zur Vertragsgestaltung (Erstellen eines Arbeitsvertrages). Zudem decken solche Tools teilweise auch die Analyse und Auswertung der Bewerbungsprozesse ab (z.B. welches sind die effektivsten Ausschreibungskanäle und Bewerberquellen oder wie präsentiert sich der Time-To-Hire-Durchschnitt?).
Relevanz im Lichte des neuen totalrevidierten Schweizer Datenschutzgesetzes
Mitarbeiterdatenschutz ist ein zentrales Thema, welches oft in den Hintergrund gerät, weil regelmässig vergessen resp. unterschätzt wird, dass das Datenschutzrecht auch auf die Bearbeitung eines Unternehmens der Personendaten ihrer Mitarbeitenden und Bewerbenden Anwendung findet.
Das Thema Mitarbeiterdatenschutz wurde in der Schweiz bisher wenig beachtet, weil das geltende Schweizer Datenschutzgesetz (nachfolgend DSG) die Erkennbarkeit einer Personendatenbearbeitung als ausreichend betrachtet. Das neue totalrevidierte Schweizer Datenschutzrecht, welches voraussichtlich am 1. September 2023 in Kraft gesetzt wird (nachfolgend E-DSG), sieht in Art. 19 dahingegen eine aktive Informationspflicht vor, insbesondere was den Bearbeitungszweck und die Weitergabe der Personendaten betrifft.
Hinzu kommt, dass das E-DSG im Vergleich zum DSG die Datenschutzrechte der Datensubjekte (und damit eben auch der Bewerbenden und Mitarbeitenden) deutlich ausweitet. Zu denken ist hier bspw. an das Auskunftsrecht (Art. 25 E-DSG), das Recht auf Datenherausgabe oder -übertragung (Art. 28 E-DSG), das Recht auf Datenberichtigung (Art. 6 Abs. 5 E-DSG und Art. 32 Abs. 1 E-DSG) sowie das Recht auf Datenlöschung (Art. 32 Abs. 2 lit. c E-DSG).
Hinsichtlich der Inkraftsetzung des E-DSG ist der Handlungsbedarf im Zusammenhang mit dem Mitarbeiterdatenschutz deshalb gross.
Nicht im Anwendungsbereich der EU-Datenschutz-Grundverordnung
Der erwähnte Handlungsbedarf für Schweizer Arbeitgebende rührt dabei auch daher, dass Unternehmen, welche bereits Massnahmen zur Umsetzung der am 25. Mai 2018 in Kraft getretenen EU-Datenschutz-Grundverordnung (nachfolgend DSGVO) ergriffen, den Mitarbeiter- resp. Bewerberdatenschutz regelmässig ausgeklammert haben. Grund dafür ist, dass die Bearbeitung von Mitarbeiter- resp. Bewerberpersonendaten durch Schweizer Arbeitgebende resp. Stellenausschreibende in der Regel nicht in den extraterritorialen Geltungsbereich der DSGVO fällt, welcher sich auf die Bearbeitung von Personendaten von Datensubjekten, welche sich in der EU befinden, beschränkt (was oftmals nicht auf Arbeitnehmende resp. Bewerbende von Schweizer Unternehmen zutrifft). Der vorgenannte extraterritoriale Geltungsbereich greift ferner nur dann, wenn die Personendatenbearbeitung im Zusammenhang mit dem Anbieten von Waren und Dienstleistungen in der EU oder mit dem Beobachten des Verhaltens solcher Datensubjekte in der EU geschieht, was im Falle der Mitarbeiterpersonendatenbearbeitung durch Arbeitgebende mit Sitz in der Schweiz i.d.R. nicht gegeben ist, denn der Zweck der Datenbearbeitung liegt hier in der Durchführung des Arbeitsverhältnisses resp. des Bewerbungsprozesses in der Schweiz und nicht darin, den europäischen Markt mit gewissen Produkten oder Dienstleistungen zu erschliessen.
Was sind die konkreten relevanten datenschutzrechtlichen Anforderungen?
Mitarbeiter- und Bewerberdatenschutzerklärung erstellen und aufschalten
Personendaten dürfen nur zu einem bestimmten und für die betroffene Person (Bewerber) erkennbaren Zweck beschafft werden und sie dürfen nur so bearbeitet werden, wie es mit diesem Zweck vereinbar ist (Art. 6 Abs. 3 E-DSG). Zudem bestehen (wie oben angesprochen) bestimmte explizite Informationspflichten gemäss Art. 19 E-DSG, insbesondere bezüglich den Bearbeitungszweck und die Weitergabe der Personendaten. Wird mit einem Anbieter einer E-Recruiting-Software im Ausland zusammengearbeitet, müssen der betroffenen Person (Bewerber) auch der betreffende Staat (Ansässigkeitsland des Anbieters, falls dort die Personendaten gespeichert werden) und gegebenenfalls die Garantien nach Art. 16 Abs. 2 lit. d E-DSG (Standarddatenschutzklauseln, siehe unten) mitgeteilt werden. Es empfiehlt sich deshalb, die betroffenen Personen (Bewerber) z.B. mittels Mitarbeiter- und Bewerberdatenschutzerklärung auf die Nutzung des oben genannten Tools zu den oben genannten Zwecken aufmerksam zu machen. Alternativ kann auch die generelle Datenschutzerklärung um diese Mitarbeiter- und Bewerber-Personendatenbearbeitungen ergänzt werden.
Passende Produkt-Empfehlungen
Auftragsbearbeitungsvertrag abschliessen
Der Anbieter dieser E-Recruiting-Software ist wohl in den meisten Fällen Auftragsbearbeiter im Sinne von Art. 5 lit. k E-DSG i.V.m Art. 9 E-DSG, was den Abschluss eines Auftragsbearbeitungsvertrages mit dem gesetzlichen Mindestinhalt notwendig macht. Der Software-Anbieter ist in der Regel wohl Auftragsbearbeiter und eben nicht (gemeinsamer) Verantwortlicher gemäss Art. 5 lit. j E-DSG, weil es letztlich die Arbeitgebenden resp. Stellenausschreibenden sind, die entscheiden, ob und wie sie diese Dienstleistung für ihre Mitarbeiter- resp. Bewerber-Personendatenbearbeitungen nutzen möchten und wie sie sie im Rahmen der vom Software-Anbieter definierten Möglichkeiten konfigurieren bzw. einsetzen. Der Abschluss eines solchen Auftragsbearbeitungsvertrages geschieht in der Regel über die AGB des Software-Anbieters, welche zu überprüfen wären, um herauszufinden, ob sie den Anforderungen des E-DSG genügen (insb., dass die Personendaten nur so bearbeitet werden, wie es die Verantwortlichen, d.h. die Arbeitgebenden resp. Stellenausschreibenden, es selbst tun dürften).
Standarddatenschutzklauseln abschliessen
Befindet sich der Anbieter dieser E-Recruiting-Software im Ausland (d.h. insbesondere ausserhalb der Schweiz, dem Vereinigten Königreich, der EU und dem EWR), dann ist zu prüfen, ob gemäss Schweizer Bundesrat, die Gesetzgebung des betreffenden Staates einen geeigneten Datenschutz gewährleistet (unter edoeb.admin.ch). Ist dies nicht gegeben, wie z.B. im Fall der USA[1], so dürfen Personendaten nur dann ins Ausland bekanntgegeben werden (resp. darf nur dann mit diesem einer E-Recruiting-Software-Anbieter zusammengearbeitet werden), wenn ein geeigneter Datenschutz gewährleistet wird. Letzteres wird in der Regel durch die Vereinbarung von Standarddatenschutzklausel, die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (nachfolgend EDÖB) vorgängig anerkannt hat, sichergestellt (Art. 16 Abs. 2 lit. d E-DSG). Zu beachten ist jedoch, dass für eine Verwendung unter Schweizer Datenschutzrecht gewisse Anpassungen und Ergänzungen an diesen (auf der Grundlage der DSGVO erstellten) Standarddatenschutzklauseln vorgenommen werden müssen. Zudem müssen die Arbeitgebenden resp. Stellenausschreibenden zusätzlich angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger (d.h. der Software-Anbieter) diese Standarddatenschutzklauseln tatsächlich auch beachtet. Was letzteres unter dem E-DSG konkret heisst, ist derzeit noch nicht ganz klar und vom Einzelfall abhängig.
Meldung an den EDÖB machen
Datenübermittlungen, die gestützt auf vertragliche Garantien erfolgen (Standarddatenschutzklauseln, siehe oben), müssen gemäss geltendem Recht (Art. 6 Abs. 3 DSG und Art. 34 Abs. 2 lit. a DSG) dem EDÖB gemeldet werden. Mit dem E-DSG, d.h. mangels einer Übergangsfrist per 1. September 2023, wird die Meldepflicht jedoch gänzlich entfallen, wenn anerkannte Standardvertragsklauseln verwendet werden (Art. 16 Abs. 2 lit. d E-DSG).
Datensicherheit gewährleisten
Die Arbeitgebenden resp. Stellenausschreibenden bleiben datenschutzrechtlich verantwortlich und müssen sich vergewissern, dass der Auftragsbearbeiter in der Lage ist, eine dem Risiko angemessene Datensicherheit zu gewährleisten (art. 9 Abs. 2 E-DSG), insbesondere durch Vorkehren geeigneter technischer und organisatorischer Massnahmen (Art. 8 E-DSG). Konkret heisst dies, dass sich die Arbeitgebenden resp. Stellenausschreibenden entsprechende Zertifikate (z.B. ISO) und Nachweise (betreffend die Verwendung von angemessenen und aktuellen IT-Sicherheitsmechanismen) vorlegen lassen sollten.
Löschung sicherstellen
Mit dem Softwareanbieter soll sichergestellt werden (mittels Abschlusses eines entsprechenden Auftragsbearbeitungsvertrages und mittels Vorkehren entsprechender technischer und organisatorischer Massnahmen, siehe oben), dass die Personendaten gelöscht oder vernichtet werden, sobald der Zweck erreicht ist bzw. keine gesetzliche Aufbewahrungspflicht mehr besteht (Art. 6 Abs. 4 E-DSG). Bei Bewerbungsunterlagen wird dies im Falle einer Nicht-Anstellung i.d.R. 3 Monate nach Ablehnung der Fall sein, es sei denn, es wurde die Einwilligung des Bewerbers eingeholt, die Bewerbungsunterlagen zum Zwecke potenziell zukünftig freiwerdender Stellen zu verwenden.
Muss eine Einwilligung der Mitarbeitenden resp. Bewerbenden eingeholt werden?
Nach der hierin vertretenen Auffassung: nein.
Diese Antwort liegt nicht unbedingt auf der Hand, weil Bewerbungsdaten sog. "besonders schützenswerte Personendaten" darstellen können, falls sie z.B. Strafregisterauszüge (Daten über strafrechtliche Verfolgungen oder Sanktionen) oder ethnische, religiöse oder gewerkschaftliche Angaben beinhalten (Art. 5 E-DSG). Diesbezüglich muss im Zusammenhang mit der Bekanntgabe an Dritte eine Einwilligung eingeholt werden (Art. 30 Abs. 2 lit. c E-DSG i.V.m. Art. 31 Abs. 1 E-DSG), welche ausdrücklich erfolgen muss (Art. 6 Abs. 7 lit. a E-DSG). Nun ist jedoch – falls ein Auftragsbearbeitungsvertrag gemäss Absatz 3b) abgeschlossen wird – die Zusammenarbeit mit dem E-Recruiting-Softwareanbieter als "Bearbeitung durch Auftragsbearbeiter" gemäss Art. 9 E-DSG zu qualifizieren, was zur Folge hat, dass die Verantwortlichen (die Arbeitgebenden resp. Stellenausschreibenden) dem Auftragsbearbeiter (dem E-Recruiting-Software-Anbieter) seine Personendaten "privilegiert" bekanntgeben darf, was wiederum bedeutet, dass er hierfür keine Einwilligung der betroffenen Personen (Mitarbeitenden resp. Bewerbenden) einholen oder sich auf einen anderen Rechtfertigungsgrund stützen muss (sog. Bekanntgabeprivileg).
Möchten die Arbeitgebenden resp. Stellenausschreibenden (auf freiwilliger Basis oder zum Zwecke der längeren Aufbewahrung und Verwendung der Bewerbungsunterlagen gemäss oben) trotzdem eine Einwilligung der Mitarbeitenden resp. Bewerbenden einholen, so ist zu beachten, dass eine gültige Einwilligung auf einer informierten Basis erfolgen muss, weshalb es empfehlenswert ist, dieser eine Mitarbeiter- und Bewerberdatenschutzerklärung (oder generelle Datenschutzerklärung mit entsprechendem Inhalt) oder eine ähnliche Informationsbasis zugrunde zu legen (siehe oben). Zudem sollte die Einwilligung ausdrücklich erfolgen (siehe oben), was insbesondere bedeutet, dass ein vorangekreuztes Kästchen (Checkbox) mit der Aussage "ich stimme zu", welches im Falle der Nicht-Zustimmung weggeklickt resp. deaktiviert werden kann, nicht ausreicht. Vielmehr soll ein aktiver Klick der Zustimmung verlangt werden.
Fazit und Handlungsempfehlungen
Dem Einsatz von E-Recruiting-Software-Anbietern steht gemäss dem E-DSG (und auch dem DSG) datenschutzrechtlich grundsätzlich nichts entgegen, es müssen jedoch gewisse Vorkehrungen getroffen werden. Die Arbeitgebenden resp. Stellenausschreibenden sollen dabei insbesondere sicherstellen, dass
- eine Mitarbeiter- und Bewerberdatenschutzerklärung (oder eine generelle Datenschutzerklärung ergänzt mit diesen Bearbeitungszwecken) erstellt und gut ersichtlich und einfach abrufbar online aufgeschaltet wird (dort, wo die Bewerbenden ihre Daten eingeben und ihre Bewerbung erfassen);
- ein Auftragsbearbeitungsvertrag mit dem E-Recruiting-Software-Anbieter abgeschlossen wird, welche allenfalls bereits Teil der AGB des E-Recruiting-Software-Anbieters ist, was geprüft werden soll;
- der Softwareanbieter technisch und organisatorisch auf dem aktuellen und höchsten Industriestandard ist, um die Datensicherheit zu gewährleisten (mittels Prüfung resp. Einholung relevanter ISO-Zertifizierungen oder ähnlich);
- Standarddatenschutzklauseln abgeschlossen werden, falls sich der E-Recruiting-Software-Anbieter resp. seine Server in einem "Land ohne angemessenes Datenschutzniveau" wie z.B. den USA befinden, welche allenfalls bereits Teil der AGB des E-Recruiting-Software-Anbieters sind, was geprüft werden soll; und
- die Bewerbenden aktiv und auf der Grundlage der oben beschriebenen Datenschutzerklärung zustimmen, falls die Arbeitgebenden resp. Stellenausschreibenden die Bewerbungsunterlagen für potenzielle andere in Zukunft entstehende Vakanzen behalten möchten.
