Um bei der Beschaffung von qualifizierten Arbeitskräften eine größere Reichweite zu erzielen, greifen immer mehr Unternehmen auf die Möglichkeit des live Bewerber-Videointerviews zurück. Der beliebteste Video-Messengerdienst Skype steht jedoch in der Kritik, nicht datenschutzkonform genutzt werden zu können. Ein datenschutzkonformer Einsatz von Skype für Bewerberinterviews kann jedoch unter gewissen Bedingungen möglich sein. Die richtige Rechtsgrundlage Der Frage, ob Skype datenschutzkonform ist, vorgeschaltet ist die Frage, ob Bewerbungsgespräche per Videointerview grundsätzlich datenschutzrechtlich zulässig sind. Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Im Falle des Bewerbungsgesprächs über einen Video-Messengerdienst kommen sowohl § 26 Abs. 1 BDSG („zur Begründung des Beschäftigungsverhältnisses erforderlich“) als auch die Einwilligung (§ 26 Abs. 2 BDSG) in Betracht. Bei der Einwilligung ist jedoch speziell das Tatbestandsmerkmal der Freiwilligkeit zu beachten. Diese wird regelmäßig zu verneinen sein, wenn die Teilnahme am Video-Messengerdienst Voraussetzung für die Teilnahme Bewerbungsverfahren ist. Vorgegebene Bewerbungsprozesse schließen eine freiwillige Teilnahme des Bewerbers aus. Fragt der Bewerber hingegen von sich aus nach einem Videointerviews, wird man von einer Freiwilligkeit ausgehen können. Aufsichtsbehörde Bayern Der Landesdatenschutzbeauftragte von Bayern hat in seinem Tätigkeitsbericht 2017/2018 (Punkt 15.3 Videointerviews bei Personalentscheidungen, S. 89) Stellung genommen und die Zulässigkeit von Bewerber-Videointerviews eindeutig bejaht. Die Zulässigkeit wird jedoch von Bedingungen begleitet: Zusendung von Datenschutzhinweisen und Hinweisen zu den technischen Voraussetzungen vor der Vereinbarung des Videointerviews, um Einstellungen an den Endgeräten vornehmen zu können Verschlüsselung der Kommunikation (Ende-zu-Ende-Verschlüsselung) Keine Übermittlung von Gesprächsinhalten und personenbezogenen Daten an Dritte durch Einsatz der unternehmenseigenen Infrastruktur mit eigenen On-Premise-Servern Keine Aufzeichnung der Gesprächsinhalte Transparenz während des Videointerviews durch Kommunikation und Sichtbarkeit aller Gesprächspartner und Anwesenden auf dem Bildschirm Alternativen anbieten, z.B. persönliches Interview Skype oder Skype for Business Zunächst muss zwischen der kostenlosen Skype-Version und der kostenpflichtigen Skype-Version Skype für Business unterschieden werden. Der Hauptunterschied liegt darin, dass in der Bezahlversion auf den Support von Skype zurückgegriffen werden kann. Ein weiterer und ganz entscheidender Punkt für die Zulässigkeit von Skype ist jedoch, dass für Skype for Business die Möglichkeit des Hostings oder der lokalen Installation auf einem On-Premesis-Server besteht. Das ist unter datenschutzrechtlichen Gesichtspunkten besonders sicher, da sich Verantwortliche den Hoster selbst aussuchen können. Optimalerweise hat der Hoster oder der On-Premesis-Server des Verantwortlichen den Datenstandort in Deutschland. Vor allem solche Verantwortliche, in deren Alltag Skype nicht regelmäßig zum Einsatz kommt, werden auf die Business-Version verzichten und die kostenlose Software nutzen. Um dennoch einen zulässigen Einsatz von Skype sicher zu stellen, sollten sich Verantwortliche vor dem Videointerview von dem Bewerber die oben angesprochene Einwilligung in die Nutzung von Skype zum Zwecke der Bewerberauswahl im laufenden Bewerbungsverfahren einholen. Nicht weniger wichtig ist jedoch auch der Gesprächspartner auf Seiten des Unternehmens. Grundsätzlich kann nicht davon ausgegangen werden, dass das Führen von Videointerviews zu den arbeitsvertraglichen Pflichten eines jeden Beschäftigten gehört. Nehmen Beschäftigte am Videointerview teil, die nicht zur Geschäftsführung oder zur Personalabteilung gehören, kann es notwendig sein, auch von diesen Arbeitnehmern eine Einwilligung einzuholen. Der Umstand müsste jedoch im Einzelfall genau geprüft werden. Die Anforderungen an die Einwilligung unterstehen dabei denselben rechtlichen Bedingungen wie die oben beschriebenen datenschutzrechtlichen Hinweise. Die Einwilligung muss transparente und leicht verständliche Informationen darüber enthalten, in welche Datenverarbeitung der Bewerber und ggf. der Beschäftigte einwilligt sowie den Hinweis geben, dass die Einwilligung jederzeit widerrufen werden kann, ohne dass dem Bewerber hieraus Nachteile entstehen. Ein abgesagtes Videointerview aus datenschutzrechtlichen Bedenken darf dem Bewerber nicht zur Last gelegt werden. Alternativer Video-Messengerdienst Skype kann nach dem oben Beschriebenen unter dem Blickwinkel eines Datenschützers nicht bedenkenlos genutzt werden. Die Möglichkeit, aufgezeichnete Videointerviews zu führen, bietet keine echte Alternative. Eine Aufzeichnung steht für eine widerholte Zugriffsmöglichkeit, was faktisch noch weniger zulässig sein kann als der Einsatz über Skype. Zumindest sind an die technischen und organisatorischen Maßnahmen weitaus höhere Anforderungen zu stellen. Als Alternative zu Skype kommt Wire in Betracht. Wire ist ein Messenger-Dienst der Firma Wire Swiss GmbH mit Hauptsitz in der Schweiz und bietet, genau wie Skype, eine Nachrichtenfunktion, Sprach- und Videoanrufe sowie Gruppenunterhaltungen. Wichtig im Rahmen der Datenspeicherung ist der Datenstandort. Die Server von Wire stehen nach eigenen Angaben in der EU. Wire bietet jedoch ebenfalls die Möglichkeit, den Dienst auf eigenen Servern hosten zu können. Verantwortliche, für die außer Skype keine wirkliche Alternative in Frage kommt, können den Messengerdienst datenschutzkonform nutzen. Der rechtliche Rahmen ist dabei aber sauber zu gestalten, mindestens die oben benannten, vom Landesdatenschutzbeauftragen Bayerns angeführten Bedingungen sind nicht nur zu beachten, sondern auch in aller Sorgfalt umzusetzen. Eine Erleichterung schafft die Möglichkeit, Skype for Business auf den eigenen Servern zu hosten oder auf einen alternativen Anbieter wie Wire zurückzugreifen. Wird die kostenlose Skype-Version genutzt, ist eine Einwilligung des Bewerbers einzuholen. Autor: Eileen Binder, Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Fachnews vom 20. Juni 2023 Datenschutz Gruppenpostfächer – Personendaten in vielen Händen Jedes Unternehmen hat mindestens eins davon: Ein Gruppenpostfach. Mit dem Allrounder unter den E‑Mail-Postfächern lassen sich mit wenig Aufwand mehrere Fliegen mit einer Klappe schlagen. Um das datenschutzrechtliche Niveau zu halten, muss bereits bei der Anlage eines Gruppenpostfachs Sorgfalt … Weiterlesen … Gruppenpostfächer – Personendaten in vielen Händen Fachnews vom 07. Juni 2023 Datenschutz Das Verbandbuch und der Datenschutz Die erforderliche Aufzeichnung geleisteter Erste-Hilfe-Maßnahmen in Unternehmen, Behörden, Kindertageseinrichtungen und in Schulen erfolgen in der Praxis meist in sogenannten Verbandbüchern. Wie sind diese Aufzeichnungen datenschutzrechtlich zu bewerten und was gilt es bei der Organisation der … Weiterlesen … Das Verbandbuch und der Datenschutz Fachnews vom 16. Mai 2023 Datenschutz Die Revision der ISO/IEC 27001:2022 und der Datenschutz Die im Oktober 2022 veröffentlichte ISO/IEC 27001 in der Version 2022 löst die ISO/IEC 27001:2013, wohl wichtigste Norm zur Informationssicherheit, ab und rückt den Datenschutz stärker in den Fokus. Weiterlesen … Die Revision der ISO/IEC 27001:2022 und der Datenschutz < >