Datenschutz bei Bewerbung & Bewerberdaten: So wird’s DSGVO-konform

Fachbeitrag

Für Unternehmen haben die Einführung der DSGVO und des neuen BDSG einige Veränderungen mit sich gebracht. Diese Auswirkungen betreffen aber nicht nur die Beziehung zu Kunden und Mitarbeitern, sondern auch zu möglichen Bewerbern. Hier sollen nun die wichtigsten Maßnahmen erläutert werden, die Unternehmen gegenüber Bewerbern einhalten müssen, um DSGVO-konform zu arbeiten.

Richtige Rechtsgrundlage wählen

Jeder Verarbeitung von personenbezogenen Daten muss sich aufgrund des Verbots mit Erlaubnisvorbehalts auf eine Rechtsgrundlage stützen. Im Bereich der Mitarbeiterdaten sieht die DSGVO die Öffnungsklausel des Art. 88 Abs. 1 DSGVO vor, von der der Gesetzgeber in § 26 BDSG Gebrauch gemacht hat. Nach § 26 Abs. 1 BDSG dürfen Daten von Beschäftigten verarbeitet werden, wenn dies dem Zweck der Entscheidung über ein Beschäftigungsverhältnis dient. Der § 26 Abs. 8 Satz 2 BDSG nennt hier auch ausdrücklich Bewerberinnen und Bewerber. Für die grundlegenden Tätigkeiten innerhalb des Bewerbungsverfahrens, wie das Sichten der Bewerbungsunterlagen oder das Einladen zum Vorstellungsgespräch ist daher § 26 Abs. 1 BDSG die einschlägige Rechtsgrundlage.

Jedoch kann, in einigen Fällen der Verarbeitung von Bewerberdaten, eine Einwilligung des Bewerbers nach § 26 Abs. 2 BDSG erforderlich sein. Dies kann z.B. der Fall sein, wenn ein Bewerber für eine mögliche spätere Zusammenarbeit in einen Bewerberpool aufgenommen werden soll.

Die Informationspflichten

Genauso wie für Kunden oder Mitarbeiter müssen auch Bewerber darüber Informiert werden, wie ihre personenbezogenen Daten verarbeitet werden. Die Informationspflichten ergeben sich aus Art. 13 und Art.14 DSGVO. Informationen die Bewerber an die Hand gegeben werden sollten sind z.B.:

  • Art der personenbezogenen Daten (Bewerberstammdaten, Qualifikationen, Zeugnisse),
  • Quelle aus der die Daten stammen (vom Bewerber selbst oder Dienstleistern),
  • An wen die Daten weitergegeben werden (z.B. Personalabteilung, Fachbereichsleiter oder Betriebsrat),
  • Speicherdauer (z.B. 6 Monate nach Beendigung des Bewerbungsverfahrens),
  • Rechte der Bewerber (Betroffenenrechte wie Löschung, Auskunft oder Recht auf Berichtigung).

Es gibt verschiedene Wege, wie Bewerber über ihre Rechte informiert werden können. Bei Online-Bewerbungen können die Informationspflichten an eine automatisierte Eingangsbestätigung angehangen werden. Bei der Nutzung eines Online-Bewerberportals können die Informationen unmittelbar zur Verfügung gestellt werden.

Bewerberdaten aus sozialen Netzwerken

Sogenanntes Social Monitoring von Bewerbern gehört heute in vielen Unternehmen zum Alltag. Dieses Mittel der Bewerberrecherche ist aber mit Vorsicht zu genießen. Auch wenn die Daten eines Bewerbers allgemein zugänglich sind, darf ein potentieller Arbeitgeber sie nur dann der Entscheidung über einen Bewerber zugrunde legen, wenn dem keine schutzwürdigen Interesse des Bewerbers entgegen stehen.

Bei der Internetrecherche zu Bewerbern sollte darauf geachtet werden, dass diese nur auf speziell dafür vorgesehenen Portalen wie XING oder LinkedIn erfolgt. Von der Nutzung privater Informationen, die auf Facebook zu finden sind, ist abzuraten.

Aufnahme ins Verzeichnis von Verarbeitungstätigkeiten

Der Verantwortliche ist nach Art. 30 Abs. 1 DSGVO dazu verpflichtet über seine Verarbeitungstätigkeiten von personenbezogenen Daten ein Verzeichnis zu führen. Auch die Prozesse des Bewerbermanagements sollten hier aufgelistet werden. Diese Übersicht kann insbesondere beim Einhalten der Betroffenenrechte hilfreich sein. Des Weiteren sind die Verzeichnisse notwendig, damit Unternehmen ihre Rechenschaftspflichten gegenüber den Aufsichtspflichten nachkommen können. Das kann dann von Nutzen sein, wenn sich ein Bewerber bei der zuständigen Datenschutzaufsicht beschwert und das Unternehmen seine Verzeichnisse der Aufsicht vorlegen muss.

Gegebenenfalls muss auch eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO angefertigt werden.

Löschen von Bewerberdaten

Wenn der Bewerber als Kandidat für eine Arbeitsstelle nicht in Frage kommt, sollten seine Daten umgehend gelöscht werden. Dies gilt nur dann nicht, wenn der Bewerber dazu eingewilligt hat, dass seine Daten länger gespeichert werden dürfen.

Jedoch sollten die Bewerberdaten auch nicht unmittelbar gelöscht werden. Denn es besteht die Möglichkeit, dass Bewerber aufgrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) gegen den potentiellen Arbeitgeber klagen. Solange der Arbeitgeber mit einer solchen Klage rechnen muss, kann er die Bewerberdaten maximal 6 Monate aufbewahren. Diese Frist ergibt sich aus § 15 Abs. 4 AGG. Hiernach muss der Kläger seinen Anspruch innerhalb von 2 Monaten nach Zugang der Ablehnung geltend machen. Danach hat der Kläger noch einmal 3 Monate Zeit, seinen Anspruch im Wege einer Klage geltend zu machen. Wenn nun noch die normalen Postlaufzeiten berücksichtigt werden, ergibt sich ein sicherer Rahmen von 6 Monaten bis zur Löschung.

In Österreich berechnet sich die Löschfrist ähnlich. Hier geht es über die sechsmonatigen Frist des § 29 Abs. 1 GlBG. In einer Entscheidung der österreichischen Datenschutzbehörde (Danke an @deltamikeplus für den Hinweis) sieht diese eine sieben monatige Frist ab Bewerbungseingang als angemessen an, da ein zusätzlich Monat für den Klageweg eingerechnet werden muss.

Limitierter Zugriff auf Bewerberdaten

Bewerbungsunterlagen dürfen im Unternehmen nur den Personen zugänglich gemacht werden, die mit der Besetzung der Stelle direkt befasst sind. Dies ist zumeist die zuständige Sachbearbeiterin in der HR-Abteilung und der unmittelbare Vorgesetzte des möglichen Arbeitnehmers.

Vorteile nutzen

Diese oben genannten Punkte sollten beherzigt werden, um den Bewerbungsprozess datenschutzrechtlich abzusichern. Datenschutz fängt schon bei den Bewerbern an. Vorteil hiervon ist, dass dadurch das Bewerbermanagement verbessert werden kann und Beschwerden und Bußgelder vermieden werden. Des Weiteren wird so auch eine Vertrauensbasis zum zukünftigen Bewerber aufgebaut und richtige Umsetzung des Datenschutzes bei Bewerbern bedeutet auch rechtkonform zu handeln, wodurch ein Unternehmen auch nach außen seriös wirkt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

18 Kommentare zu diesem Beitrag

  1. Interessanter Beitrag. Da die meisten Unternehmen ihre Unternehmenswebseite als Bewerberportal nutzen, stellt sich die Frage inwieweit dort erhobene Nutzerdaten für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses nach § 26 (1) BDSG nF erforderlich sind? Der Einsatz eines Analysedienst wie z.B. Google Analytics auf dem Bewerberportal widerspräche demnach dem Erforderlichkeitsgrundsatz – streng gesehen würde es demnach auch keinen Unterschied machen, ob die Code-Erweiterung „anonymizeIP“ verwendet wird – Browsertyp, OS usw. sind ja kaum für die Entscheidung erfoderlich?

    • Für die Entscheidung über die Begründung des Arbeitsverhältnisses werden grundsätzlich nur die Daten sein, die vom Bewerber in die Maske des Bewerberportals eingegeben werden, alle anderen Daten, die beim Besuch der Website anfallen dürften für das Bewerbungsverfahren nicht genutzt werden.

  2. § 26 Abs. 1 BDSG neue Fassung ist die speziellere Regelung (lex specialis) und daher im Bewerbungsverfahren anzuwenden.

    In der Praxis ist mir häufig das Problem begegenet, dass Bewerbungsunterlagen intern über E-Mail weitergeschickt werden. Damit sind diese Unterlagen, die ja 6 Monate nach Ende des Bewerbungsverfahrens gelöscht werden müssten, im E-Mail-Archiv enthalten.

    • Deshalb sollten die Unterlagen gar nicht per email verschickt werden, sondern auf einem Laufwerk den berechtigten Personen (HR und direkter Vorgesetzter) lesbar zur Verfügung gestellt werden. Oder mit direktem Zugriff auf die einzelne Bewerbung auf dem Bewerberportal.
      Bei der Löschung ist nicht nur das E-mail System zu beachten, sondern auch die Laufwerke auf den Laptops oder Desktops. Denn die dort von den Vorgesetzten gespeicherten Bewerbungen werden gerne vergessen.

  3. Was mir hier im Beitrag fehlt ist die Initiativbewerbung.
    Diese Bewerbungsunterlagen können m. E. nach über das berechtigte Interesse gespeichert und verarbeitet werden, vorausgesetzt, der Bewerber wird informiert, insbesondere was sein Recht auf Widerspruch angeht.

  4. Zur österr. Entscheidung: Wäre die 7-Monatsfrist nicht zweckmäßiger ab der Absage an einen Bewerber, falls eine erfolgt, zu berechnen und nicht ab Datenübermittlung? Gleiches -und noch mehr- müsste nach einem tatsächlich durchgeführten Aufnahmeverfahren gelten, wo die Möglichkeit, dass Bewerber etwas gegen eine abschlägige Entscheidung unternehmen, deutlich größer sein dürfte. Nach der Absage hat ein Bewerber 6 Monate für Klage/Beschwerde. Eine Verwaltungsbehörde hat 6 Monate Zeit, um tätig zu werden. Wäre da nicht eine Löschfrist von 12 oder -mit Postlauf- 13 Monaten ab Absage gerechtfertigt?

    • Die Entscheidung der öster. Aufsichtsbehörde bezieht sich auf den beschiedenen Einzelfall. In diesem hielt sie eine 7 monatige Aufbewahrungsfrist unter den oben genannten Erwägungen für angemessen. Mit ausreichender Begründung kann von dieser Frist sicherlich leicht abgewichen werden.

  5. Es fehlt der Hinweis, dass auch, soweit ein Betriebsrat besteht, dieser zu dem Kreis zählt, dem die Daten zugänglich gemacht werden dürfen.

  6. Ich habe zufällig gerade so einen Fall: Ich habe mich über StepStone bei einer Firma beworben, also Anschreiben, Lebenslauf und Zeugnisse über den Bewerben-Button an die Firma xy gesendet. Man erhält dann von StepStone eine Bestätigung, dass die Bewerbung bei xy angekommen ist. Heute habe ich eine E-Mail einer Recruiter-Firma erhalten, dass Sie von xy für den Bewerberprozess beauftragt worden ist – meine Unterlagen sind offensichtlich schon dort…
    Ich habe dort erst einmal nachgehakt, wer denn die Unterlagen dahin weitergeleitet hat. Aber was nun?

  7. Guten Tag, ich habe eine Frage bezogen auf die Arbeitnehmerüberlassung. Ich habe mich per E-Mail bei einer Personaldienstleistungsagentur auf eine Stelle in einer Stadt beworben – und nun werde ich aus einer anderen Stadt (von der selben Firma, jedoch anderer Niederlassungsort) angerufen. Meine Daten müssen ja dabei von der einen Stadt in die andere gewandert sein- Ich wurde bezüglich der Verarbeitung und Speicherung meiner Daten jedoch nicht in Kenntnis gesetzt (habe keiner Datenschutzerklärung zugestimmt) oder aufgeklärt. Ist dieses Verhalten seitens der Firma DSGVO konform? Vielen Dank für Ihre Hilfe

    • Innerhalb eines Unternehmens können diejenige Stellen ihre Bewerbungsunterlagen erhalten, die sie zur Erfüllung des Bewerbungsprozesses benötigen. In der Regel werden dies die Personalabteilung und womöglich noch einzelne Fachabteilungen sein. Grundsätzlich sieht die DSGVO kein Konzernprivileg vor, sodass die Weitergabe ihrer Daten zwischen einzelnen rechtlich selbstständigen Unternehmen und Niederlassungen stets einer gesonderten Rechtsgrundlage bedarf. In Betracht käme hier eine zuvor erteilte Einwilligung. Sie müssten sich also mit der Weitergabe ihrer Daten an Dritte einverstanden erklärt haben. Ferner müssen Unternehmen die Bewerber auch im Bewerbungsprozess über die konkrete Datenverarbeitung sowie über bestehende Betroffenenrechte informieren.
      Ob womöglich aufgrund ihrer Beziehungen zur Personaldienstleistungsagentur Daten aufgrund der Bestimmungen des Arbeitnehmerüberlassungsgesetzes weitergegeben wurden kann Dr. Datenschutz im Rahmen dieses Blogs nicht abschließend beurteilen.

  8. Hallo, vielen Dank für diesen aufschlussreichen Artikel.

    In wie fern dürfen Bewerbungsunterlagen an weitere Unternehmen übermittelt werden, wenn diese im Bewerbungsprozess des potentiellen Arbeitgebers involviert sind und zum Beispiel im Auftrag als externe Personalberater arbeiten? Bzw. welche Einverständnisnachweise des Bewerbers sind nötig?

    Grüße Christian

    • Grundsätzlich dürfen Bewerbungsunterlagen im Unternehmen nur den Personen zugänglich gemacht werden, die mit der Besetzung der Stelle direkt befasst sind. Die Weitergabe an andere Personen bedarf einer gesonderten Rechtsgrundlage, z.B. einer Einwilligung des Bewerbers.

      Dass auch externe Personalberater Zugriff auf die Bewerberdaten haben, ist für den Bewerber häufig nicht ersichtlich. Er muss im Vorhinein darüber informiert werden, um wirksam einwilligen zu können. Um die Einwilligung zu dokumentieren, bietet es sich an, dem Bewerber die Möglichkeit zu geben, ein Häkchen zu setzen, dass er mit der Weitergabe an die genau bezeichnete Stelle einverstanden ist. Auf die Betroffenenrechte, u.a. das Recht auf Widerruf der Einwilligung, ist er/sie hinzuweisen.

  9. Darf ich, nach der Einstellung, die Bewerbungsunterlagen in der Personalakte aufbewahren? Falls ja, wie lange? Erlaubt die EU-DSGVO eine solche Aufbewahrung?

    • Bewerbungsunterlagen von angenommenen Bewerbern sind in der Personalakte aufzubewahren. Die DSGVO selbst enthält keine konkreten Fristen wie lange Daten aufbewahrt werden dürfen. Aufbewahrungsfristen lassen sich aber teilweise aus anderen Spezialgesetzen entnehmen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.