Datenschutz im Bewerbungsverfahren ist für Unternehmen nichts Neues. Bereits seit 2009 ist der Beschäftigtendatenschutz geregelt. Trotz allem herrscht – spätestens seit Einführung der DSGVO im letzten Jahr – Unsicherheit in den Unternehmen, wie die datenschutzrechtlichen Anforderungen im Bewerbungsverfahren umzusetzen sind.
Im Folgenden werden die wichtigsten Maßnahmen aufgeführt, um das Bewerbungsverfahren datenschutzkonform ablaufen zu lassen:
Informationspflicht
Bereits bei der Stellenausschreibung gibt es datenschutzrechtlich etwas zu beachten: die Einhaltung der Informationspflicht. Nach Art. 12 ff. DSGVO ist der Betroffene über den Umgang mit seinen personenbezogenen Daten zu informieren. Denn nur wer weiß, dass über ihn Daten verarbeitet werden und welche Rechte er hierbei hat, kann diese Rechte auch in Anspruch nehmen.
Nachfolgende Angaben sind dabei regelmäßig zu machen:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten, sofern benannt
- Zwecke, für die die personenbezogenen Daten erhoben und verarbeitet werden
- Rechtsgrundlage (vgl. unten)
- Dauer der Speicherung (vgl. unten)
- Empfänger oder Kategorien von Empfängern (z.B. Personalabteilung, Fachbereichsleiter oder Betriebsrat)
- Verarbeitungsort/Speicherort
- das Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde für Datenschutz
- das Bestehen eines Rechts, die Einwilligung jederzeit für die Zukunft zu widerrufen (vgl. unten, Stichwort: Bewerberpool)
Aber wie kann man dem Bewerber diesen Informationstext ohne Aufwand zur Kenntnis geben?
Hierfür gibt es eine einfache Möglichkeit, nämlich die sogenannte Link-Lösung: Der Text wird auf der unternehmenseigenen Internetseite unter einer eingängigen Adresse (www.musterfirma.de/info-bewerber) veröffentlicht. Nun kann auf den Text in der Stellenausschreibung, in der (ggf. automatisierten) Eingangsbestätigung, im Online-Bewerbungsportal etc. verwiesen werden.
Rechtsgrundlage
Auch wenn häufig und gerne gewählt: Die Bewerber müssen nicht in die Verarbeitung ihrer personenbezogenen Daten einwilligen!
Nach § 26 Abs. 1 BDSG dürfen „personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigtenverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigtenverhältnisses … erforderlich ist.“ Bewerber fallen gemäß § 26 Abs. 8 Satz 2 BDSG unter den Beschäftigtenbegriff.
Die üblichen Tätigkeiten im Bewerbungsverfahren wie beispielsweise das Sichten der Unterlagen, Einladungen zum Vorstellungsgespräch etc. sind durch § 26 Abs. 1 BDSG gerechtfertigt.
In Ausnahmefällen kann es jedoch sinnvoll sein, sich vom Bewerber eine Einwilligung einzuholen. Beispiel hierfür ist die Aufnahme eines interessanten Kandidaten in einen Bewerberpool. Hier greift dann § 26 Abs. 2 BDSG.
Verarbeitungsverzeichnis
Der Verantwortliche ist nach Art. 30 Abs. 1 DSGVO dazu verpflichtet, über seine Verarbeitungstätigkeiten von personenbezogenen Daten ein Verzeichnis zu führen. Auch das Bewerbungsverfahren sollte hier aufgenommen werden.
Löschen von Bewerberdaten
Nach Abschluss des Bewerbungsverfahren sind die personenbezogenen Daten eines abgelehnten Bewerbers zu löschen, es sei denn, er hat in eine längere Speicherung (Stichwort: Bewerberpool) eingewilligt. Unternehmen müssen die Daten jedoch nicht unmittelbar löschen, da die Möglichkeit einer Klage des Bewerbers aufgrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) gegen den potenziellen Arbeitgeber besteht. Als gängige Speicherdauer werden 6 Monate angesehen.
Limitierter Zugriff auf Bewerberdaten
Bewerbungsunterlagen sind im Unternehmen vertraulich zu behandeln und nur Personen zugänglich zu machen, die in die Besetzung der Stelle involviert sind. Dies sind in der Regel Mitarbeiter der Personalabteilung, der unmittelbare Vorgesetzte und die Geschäftsführung des Unternehmens.
Praxistipps
Richten Sie im Unternehmen eine eigene E-Mail-Adresse für Bewerbungen ein (bewerbung@musterfirma.de). Dieses Postfach sollte, sofern vorhanden, von den regelmäßigen Archivierungen ausgenommen werden.
Leiten Sie die Bewerbungen nicht per Mail oder Hardcopy an die Ansprechpartner im Haus weiter. Richten Sie einen Ordner auf dem Server ein, auf den nur die Mitarbeiter Zugriff haben, die in die Besetzung der Stelle involviert sind. Auch dieser Ordner ist aus den Archivierungen auszunehmen. Legen Sie die Bewerbungsunterlagen dort ab und vergeben Sie an die Zugriffsberechtigten lediglich den Lesezugriff. Ein kurzer Hinweis an die zuständigen Mitarbeiter per Mail genügt („Neuer Bewerbungseingang“).
Auf diese Weise stellen Sie sicher, dass der Zugriff auf die Bewerbungsunterlagen beschränkt ist und diese nach 6 Monaten gelöscht werden können.
Sie wünschen weitere Informationen rund ums Thema „Datenschutz beim Bewerbungsverfahren“? Dann freuen wir uns über Ihre persönliche Kontaktaufnahme.
Jessica Stehn-Bäcker, CIPP/E
Telefon +49 40 22861374
js@beredi-datenschutz.de