Datenschutz bei Bewerbung & Bewerberdaten: So wird es DSGVO-konform

Fachbeitrag

Für Unternehmen haben die Einführung der DSGVO und des neuen BDSG einige Veränderungen mit sich gebracht. Diese Auswirkungen betreffen aber nicht nur die Beziehung zu Kunden und Mitarbeitern, sondern auch zu möglichen Bewerbern. Hier sollen nun die wichtigsten Maßnahmen erläutert werden, die Unternehmen gegenüber Bewerbern einhalten müssen, um DSGVO-konform zu arbeiten.

Richtige Rechtsgrundlage wählen

Jeder Verarbeitung von personenbezogenen Daten muss sich aufgrund des Verbots mit Erlaubnisvorbehalts auf eine Rechtsgrundlage stützen. Im Bereich der Mitarbeiterdaten sieht die DSGVO die Öffnungsklausel des Art. 88 Abs. 1 DSGVO vor, von der der Gesetzgeber in § 26 BDSG Gebrauch gemacht hat. Nach § 26 Abs. 1 BDSG dürfen Daten von Beschäftigten verarbeitet werden, wenn dies dem Zweck der Entscheidung über ein Beschäftigungsverhältnis dient. Der § 26 Abs. 8 Satz 2 BDSG nennt hier auch ausdrücklich Bewerberinnen und Bewerber. Für die grundlegenden Tätigkeiten innerhalb des Bewerbungsverfahrens, wie das Sichten der Bewerbungsunterlagen oder das Einladen zum Vorstellungsgespräch ist daher § 26 Abs. 1 BDSG die einschlägige Rechtsgrundlage.

Jedoch kann, in einigen Fällen der Verarbeitung von Bewerberdaten, eine Einwilligung des Bewerbers nach § 26 Abs. 2 BDSG erforderlich sein. Dies kann z.B. der Fall sein, wenn ein Bewerber für eine mögliche spätere Zusammenarbeit in einen Bewerberpool aufgenommen werden soll.

Die Informationspflichten

Genauso wie für Kunden oder Mitarbeiter müssen auch Bewerber darüber Informiert werden, wie ihre personenbezogenen Daten verarbeitet werden. Die Informationspflichten ergeben sich aus Art. 13 und Art.14 DSGVO. Informationen die Bewerber an die Hand gegeben werden sollten sind z.B.:

  • Art der personenbezogenen Daten (Bewerberstammdaten, Qualifikationen, Zeugnisse),
  • Quelle aus der die Daten stammen (vom Bewerber selbst oder Dienstleistern),
  • An wen die Daten weitergegeben werden (z.B. Personalabteilung, Fachbereichsleiter oder Betriebsrat),
  • Speicherdauer (z.B. 6 Monate nach Beendigung des Bewerbungsverfahrens),
  • Rechte der Bewerber (Betroffenenrechte wie Löschung, Auskunft oder Recht auf Berichtigung).

Es gibt verschiedene Wege, wie Bewerber über ihre Rechte informiert werden können. Bei Online-Bewerbungen können die Informationspflichten an eine automatisierte Eingangsbestätigung angehangen werden. Bei der Nutzung eines Online-Bewerberportals können die Informationen unmittelbar zur Verfügung gestellt werden.

Bewerberdaten aus sozialen Netzwerken

Sogenanntes Social Monitoring von Bewerbern gehört heute in vielen Unternehmen zum Alltag. Dieses Mittel der Bewerberrecherche ist aber mit Vorsicht zu genießen. Auch wenn die Daten eines Bewerbers allgemein zugänglich sind, darf ein potentieller Arbeitgeber sie nur dann der Entscheidung über einen Bewerber zugrunde legen, wenn dem keine schutzwürdigen Interesse des Bewerbers entgegen stehen.

Bei der Internetrecherche zu Bewerbern sollte darauf geachtet werden, dass diese nur auf speziell dafür vorgesehenen Portalen wie XING oder LinkedIn erfolgt. Von der Nutzung privater Informationen, die auf Facebook zu finden sind, ist abzuraten.

Aufnahme ins Verzeichnis von Verarbeitungstätigkeiten

Der Verantwortliche ist nach Art. 30 Abs. 1 DSGVO dazu verpflichtet über seine Verarbeitungstätigkeiten von personenbezogenen Daten ein Verzeichnis zu führen. Auch die Prozesse des Bewerbermanagements sollten hier aufgelistet werden. Diese Übersicht kann insbesondere beim Einhalten der Betroffenenrechte hilfreich sein. Des Weiteren sind die Verzeichnisse notwendig, damit Unternehmen ihre Rechenschaftspflichten gegenüber den Aufsichtspflichten nachkommen können. Das kann dann von Nutzen sein, wenn sich ein Bewerber bei der zuständigen Datenschutzaufsicht beschwert und das Unternehmen seine Verzeichnisse der Aufsicht vorlegen muss.

Gegebenenfalls muss auch eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO angefertigt werden.

Löschen von Bewerberdaten

Wenn der Bewerber als Kandidat für eine Arbeitsstelle nicht in Frage kommt, sollten seine Daten umgehend gelöscht werden. Dies gilt nur dann nicht, wenn der Bewerber dazu eingewilligt hat, dass seine Daten länger gespeichert werden dürfen.

Jedoch sollten die Bewerberdaten auch nicht unmittelbar gelöscht werden. Denn es besteht die Möglichkeit, dass Bewerber aufgrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) gegen den potentiellen Arbeitgeber klagen. Solange der Arbeitgeber mit einer solchen Klage rechnen muss, kann er die Bewerberdaten maximal 6 Monate aufbewahren. Diese Frist ergibt sich aus § 15 Abs. 4 AGG. Hiernach muss der Kläger seinen Anspruch innerhalb von 2 Monaten nach Zugang der Ablehnung geltend machen. Danach hat der Kläger noch einmal 3 Monate Zeit, seinen Anspruch im Wege einer Klage geltend zu machen. Wenn nun noch die normalen Postlaufzeiten berücksichtigt werden, ergibt sich ein sicherer Rahmen von 6 Monaten bis zur Löschung.

In Österreich berechnet sich die Löschfrist ähnlich. Hier geht es über die sechsmonatigen Frist des § 29 Abs. 1 GlBG. In einer Entscheidung der österreichischen Datenschutzbehörde (Danke an @deltamikeplus für den Hinweis) sieht diese eine sieben monatige Frist ab Bewerbungseingang als angemessen an, da ein zusätzlich Monat für den Klageweg eingerechnet werden muss.

Limitierter Zugriff auf Bewerberdaten

Bewerbungsunterlagen dürfen im Unternehmen nur den Personen zugänglich gemacht werden, die mit der Besetzung der Stelle direkt befasst sind. Dies ist zumeist die zuständige Sachbearbeiterin in der HR-Abteilung und der unmittelbare Vorgesetzte des möglichen Arbeitnehmers.

Vorteile nutzen

Diese oben genannten Punkte sollten beherzigt werden, um den Bewerbungsprozess datenschutzrechtlich abzusichern. Datenschutz fängt schon bei den Bewerbern an. Vorteil hiervon ist, dass dadurch das Bewerbermanagement verbessert werden kann und Beschwerden und Bußgelder vermieden werden. Des Weiteren wird so auch eine Vertrauensbasis zum zukünftigen Bewerber aufgebaut und richtige Umsetzung des Datenschutzes bei Bewerbern bedeutet auch rechtkonform zu handeln, wodurch ein Unternehmen auch nach außen seriös wirkt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

7 Kommentare zu diesem Beitrag

  1. Interessanter Beitrag. Da die meisten Unternehmen ihre Unternehmenswebseite als Bewerberportal nutzen, stellt sich die Frage inwieweit dort erhobene Nutzerdaten für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses nach § 26 (1) BDSG nF erforderlich sind? Der Einsatz eines Analysedienst wie z.B. Google Analytics auf dem Bewerberportal widerspräche demnach dem Erforderlichkeitsgrundsatz – streng gesehen würde es demnach auch keinen Unterschied machen, ob die Code-Erweiterung „anonymizeIP“ verwendet wird – Browsertyp, OS usw. sind ja kaum für die Entscheidung erfoderlich?

    • Für die Entscheidung über die Begründung des Arbeitsverhältnisses werden grundsätzlich nur die Daten sein, die vom Bewerber in die Maske des Bewerberportals eingegeben werden, alle anderen Daten, die beim Besuch der Website anfallen dürften für das Bewerbungsverfahren nicht genutzt werden.

  2. § 26 Abs. 1 BDSG neue Fassung ist die speziellere Regelung (lex specialis) und daher im Bewerbungsverfahren anzuwenden.

    In der Praxis ist mir häufig das Problem begegenet, dass Bewerbungsunterlagen intern über E-Mail weitergeschickt werden. Damit sind diese Unterlagen, die ja 6 Monate nach Ende des Bewerbungsverfahrens gelöscht werden müssten, im E-Mail-Archiv enthalten.

    • Deshalb sollten die Unterlagen gar nicht per email verschickt werden, sondern auf einem Laufwerk den berechtigten Personen (HR und direkter Vorgesetzter) lesbar zur Verfügung gestellt werden. Oder mit direktem Zugriff auf die einzelne Bewerbung auf dem Bewerberportal.
      Bei der Löschung ist nicht nur das E-mail System zu beachten, sondern auch die Laufwerke auf den Laptops oder Desktops. Denn die dort von den Vorgesetzten gespeicherten Bewerbungen werden gerne vergessen.

  3. Was mir hier im Beitrag fehlt ist die Initiativbewerbung.
    Diese Bewerbungsunterlagen können m. E. nach über das berechtigte Interesse gespeichert und verarbeitet werden, vorausgesetzt, der Bewerber wird informiert, insbesondere was sein Recht auf Widerspruch angeht.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.