Bewerbung datenschutz

Datenschutz Bewerbungen: Das müssen Unternehmen beachten

27. Mai 2024

Tipps für einen DSGVO-konformen Bewerbungsprozess

Die reibungslose und effiziente Durchführung von Bewerbungsprozessen ist von enormer Bedeutung für Unternehmen. Viele Angestellte betrachten mehrere Arbeitsplatzwechsel im Verlauf ihrer Karriere als einen notwendigen Aspekt ihrer beruflichen Entwicklung. Das sogenannte  „Job-Hopping“ und die damit verbundene gestiegene Fluktuation führen dazu, dass Unternehmen eine wachsende Anzahl von Bewerbungen verarbeiten müssen.

Im Bewerbungsverfahren können Konfliktsituationen auftreten, insbesondere wenn Bewerber nicht eingestellt werden oder sich aufgrund vermuteter Diskriminierung benachteiligt fühlen. Aus diesem Grund ist es von erheblicher Bedeutung, dass das Bewerbungsverfahren im Einklang mit dem Datenschutz gestaltet wird. Insofern sollten Sie die Praxistipps zu Datenschutz Bewerbungen umsetzen, um Probleme mit der Datenschutz-Aufsichtsbehörde und schlimmstenfalls Bußgelder zu vermeiden.

Warum Datenschutz in der Bewerbungsphase von Bedeutung ist

Im Bewerbungsverfahren werden notwendigerweise persönliche Daten von Bewerbern verarbeitet. Um festzustellen, ob Bewerber fachlich und persönlich in das Unternehmen passen, werden zu Beginn des Auswahlprozesses bestimmte Informationen über sie gesammelt. Diese Informationen finden sich in den Bewerbungsunterlagen, wie z.B. Anschreiben, Lebensläufe und Zeugnisse und umfassen personenbezogene Daten von Alter über Adresse bis hin zur Religionszugehörigkeit. Die Verarbeitung personenbezogener Daten durch den potenziellen Arbeitgeber (datenschutzrechtlich Verantwortlicher) ist unvermeidlich. Deshalb ist der Anwendungsbereich des Datenschutzrechts eröffnet und die gesetzlichen Bestimmungen zu beachten.

Wann dürfen Bewerberdaten verarbeiten werden?

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung von personenbezogenen Daten, einschließlich der Daten von Bewerbern. Die DSGVO gilt in allen Mitgliedstaaten der Europäischen Union gleichermaßen.

Ergänzend zu den DSGVO-Vorschriften sind die Bestimmungen des deutschen Bundesdatenschutzgesetzes, insbesondere §26 Ab. 1 S. 1 BDSG  zu berücksichtigen. Danach ist die Datenverarbeitung zulässig, wenn sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses durch den potenziellen Arbeitgeber erforderlich ist. Die Verarbeitung von Bewerberdaten wie Anschreiben, Lebenslauf, Qualifikationsnachweise und Zeugnisse ist in der Regel notwendig, um die Eignung eines Bewerbers zu prüfen.

Datenschutz Bewerbungen: Informationspflichten beim Recruiting

Um einen angemessenen Datenschutz der Bewerberdaten zu gewährleisten, müssen Unternehmen alle Bewerber über die bevorstehende Datenverarbeitung informieren und sie über ihre Rechte als Betroffene in Kenntnis setzen. Dies erfolgt in einer Datenschutzinformation gemäß Artikel 13 DSGVO.

Wo ist die Datenschutzinformation zu platzieren?

Online-Bewerberportale sollten die Datenschutzinformation – umgangssprachlich auch als Datenschutzerklärung bezeichnet – für die betroffene Person (Bewerber) deutlich sichtbar verlinken. Auf eine Initiativbewerbung lässt sich beispielsweise in der Antwort, die den Eingang der Bewerbung bestätigt, entweder mit einer Datenschutzerklärung als PDF-Anhang oder einem Link zu einer Datenschutzerklärung im Footer hinweisen. Weitere Informationen zur Website-Datenschutz-Compliance finden Sie unserem Artikel „10 DSGVO-Tipps für eine datenschutzkonforme Website„.

Wer darf im Unternehmen Zugriff auf Bewerberdaten haben?

Zugriff auf Bewerberdaten sollten nur Personen erhalten, die über die Einstellung entscheiden. Dies betrifft in der Regel die zuständigen Mitarbeiter im Personalbereich sowie möglicherweise die Geschäftsführung. Die Bewerbungsunterlagen sollten keinesfalls in allgemein zugänglichen Ordnern abgelegt oder per E-Mail an Personen im Unternehmen weitergeleitet werden.

Datenschutz und Fragen im Bewerbungsgespräch

Das Fragerecht des Arbeitgebers erstreckt sich nur auf den Umfang, der für das konkrete Bewerbungsverfahren erforderlich ist. Das bedeutet, dass der Arbeitgeber ein berechtigtes Interesse an der Erhebung der Informationen haben muss und stets eine Verbindung zur ausgeschriebenen Arbeitsstelle bestehen sollte. In der Regel besteht ein Bezug zur Stelle, wenn die gestellten Fragen sich auf den beruflichen Werdegang oder die Qualifikationen des Bewerbers beziehen und somit seine fachliche Eignung für die Position in Betracht ziehen. Grundsätzlich unzulässige Fragen betreffen Schwangerschaft, rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung und Gewerkschaftszugehörigkeit.

Sind Backgroundchecks von Bewerbern trotz DSGVO erlaubt?

Die Durchführung eines sogenannten Backgroundchecks, bei dem zusätzliche Daten über den Bewerber gesucht werden, stellt eine relevante Form der Datenverarbeitung dar. Obwohl dies für das Unternehmen interessant und verlockend sein kann, um mehr über die Bewerber zu erfahren, ist nicht jede Form von Backgroundcheck erlaubt. Die Überprüfung von sozialen Netzwerken mit einem freizeitorientierten Fokus, wie zum Beispiel Instagram und Facebook, ist unzulässig. Dagegen kann das Überprüfen von berufsorientierten Netzwerken wie LinkedIn und Xing grundsätzlich als zulässig betrachtet werden, weil hier die Daten vom Bewerber eingestellt werden, um Informationen für potenzielle Arbeitgeber bereitzustellen. Das „Googeln“ von Bewerbern ist erlaubt, vorausgesetzt die Daten wurden durch den Bewerber ins Netz gestellt und stehen im Zusammenhang mit der ausgeschriebenen Stelle.

Datenschutz: Darf ich Bewerbungen im Unternehmen weiterleiten?

Das Weiterleiten von Bewerbungsunterlagen zwischen Kollegen per E-Mail kann potenziell zu Problemen führen. Insbesondere gestaltet sich die Löschung von intern weitergeleiteten E-Mails, die automatisch ins Mail-Archiv überführt werden, äußerst schwierig. Diese Herausforderungen bei der zeitnahen Löschung können zu erheblichen Datenschutzproblemen führen. In der Praxis ist es selten üblich, dass Unternehmen die zu löschenden E-Mails manuell aus dem Mail-Archiv suchen und entfernen. Dies kann für den potenziellen Arbeitgeber zu Drucksituationen führen, insbesondere wenn abgelehnte Bewerber (aus sachfremden Gründen) ihr Recht auf Auskunft (Art. 15 DSGVO) oder Löschung (Art. 17 DSGVO) geltend machen und weiterhin Daten ohne ausreichende Rechtsgrundlage gespeichert werden.  


 

Nach Absage Bewerbung löschen?

Wird der Bewerber abgelehnt, benötigt der Arbeitgeber (Verantwortlicher) die Unterlagen nicht mehr für die Vorbereitung eines Arbeitsverhältnisses. Nichtsdestotrotz ist es angemessen, in diesen Fällen eine Zeit lang mit der Löschung zu warten. Schließlich könnte es sein, dass der Bewerber Ansprüche wegen Benachteiligung gegen den potenziellen Arbeitgeber erhebt. Um sich hier rechtlich verteidigen zu können, braucht er die Bewerberunterlagen.

Bewerberdaten sollten nach sechs Monaten gelöscht werden.

Diese Sechs-Monats-Frist resultiert aus der Möglichkeit des Bewerbers infolge einer Diskriminierung nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) Klage zu erheben. Neben dem Grundsatz der Datenminimierung gemäß Artikel 5 lit. c DSGVO sind auch die Klagefristen und Entschädigungsansprüche des Bewerbers für die Dauer der Sechsmonatsfrist ausschlaggebend. Bewerber können Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz wegen möglicher Diskriminierung innerhalb von zwei Monaten schriftlich geltend machen (§ 15 Abs. 4 AGG) und innerhalb von drei Monaten Klage am zuständigen Gericht erheben (§ 61b ArbGG). Um eventuellen Verzögerungen bei Zustellungen und Prozessorganisation entgegenzuwirken, wird ein zusätzlicher Monat als Puffer gewährt. So kommt die Sechsmonatsfrist als Richtwert für die Speicherdauer von Bewerbungsunterlagen zustande. Unternehmen müssen sicherstellen, dass die maximale Speicherdauer von Bewerberunterlagen nicht überschritten wird, etwa durch eine automatische Löschfrist im Postfach oder im Bewerberportal.

Speicherdauer der Bewerberunterlagen im Talentpool

Unter bestimmten Umständen dürfen Bewerberdaten länger als sechs Monate aufbewahrt und gespeichert werden. Sollen Bewerber in einen Talentpool aufgenommen werden, weil momentan keine passende Stelle ausgeschrieben ist, dürfen die Daten länger gespeichert werden, um sie zu einem späteren Zeitpunkt zu kontaktieren.  Bewerber müssen zu diesem Zweck zuvor in die längere Speicherung der Daten einwilligen.

Bewerbungsprozess digitalisieren: DSGVO beachten

Die Ausgestaltung des Bewerbungsprozesses stellt Unternehmen oftmals vor eine Herausforderung. Zur Beschleunigung der Arbeitsabläufe bietet sich der Einsatz von Bewerbermanagement-Software an. Bereits vor der Auswahl eines geeigneten Bewerber-Tools ist der Datenschutz zu beachten. Denn nicht jeder Softwareanbieter bietet ein ausreichendes Datenschutzniveau. Deshalb sind insbesondere die folgenden Schritte in der Checkliste zu beachten und im besten Fall mit dem Datenschutzbeauftragten abzustimmen:

☐ Prüfung der Dokumentation der technische und organisatorischen Maßnahmen (Art. 32 DSGVO) 
☐ Möglichkeit zum Abschluss eines Vertrages über die Auftragsverarbeitung (Art. 28 DSGVO)
☐ Verschlüsselte Datenübertragung vom Online-Bewerbungsformular an den Webserver
☐ Vertragspartner mit Ansässigkeit in der EU/EWR
☐ Cloud-Server-Infrastruktur in der EU/EWR
☐ Berechtigungskonzept, um Zugriffsbefugnisse auf Bewerbungsdaten zu regeln und interne Weiterleitungen zu vermeiden
☐ Möglichkeit zur Festlegung automatisierter Löschregeln
☐ Möglichkeit zur Integration der unternehmenseigenen Datenschutzinformation
 ☐Ggf. Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Verzeichnis von Verarbeitungstätigkeiten ergänzen oder aktualisieren

Jedes Unternehmen (“Verantwortlicher”) ist gemäß Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Bei dem Verarbeitungsverzeichnis handelt es sich um eine Dokumentation aller datenschutzrelevanten Geschäftsprozesse. Auch die (angepassten) Prozesse des Bewerbermanagements und Personalmanagements sollten dort aufgelistet werden. Dies kann ins Spiel kommen, wenn sich ein Bewerber bei der zuständigen Datenschutzaufsichtsbehörde beschwert und das Unternehmen seine Verzeichnisse der Aufsichtsbehörde vorlegen muss.

Fazit

In einer Zeit, in der Arbeitgeberwechsel als selbstverständlicher Schritt der beruflichen Laufbahn betrachtet werden, steigt die Anzahl der Bewerbungen stetig. Umso wichtiger ist eine einfache und problemlose Abwicklung von Bewerbungsprozessen im Unternehmen. Während des Bewerbungsprozesses können Konflikte entstehen, insbesondere wenn Bewerber nicht eingestellt werden oder sich diskriminiert fühlen. Um Angriffsfläche und Datenschutzverstöße zu vermeiden, ist die Ausgestaltung des Datenschutzes im im Umgang mit Bewerbungen umso wichtiger. Andernfalls drohen Auskunftsanfragen, Schadensersatzklagen oder Beschwerden bei der Aufsichtsbehörde aufgrund unzufriedener Bewerber. Unsere Datenschutzberater unterstützen Sie bei der datenschutzkonformen Ausgestaltung Ihrer Bewerbungsprozesse.

FAQ Datenschutz Bewerbungen

Was ist bei Bewerbungen zu beachten?

Bewerbungsunterlagen enthalten personenbezogene Daten wie Alter, Adresse und Religionszugehörigkeit, weshalb das Datenschutzrecht Anwendung findet. Bewerbungen bei einem potenziellen Arbeitgeber dienen der Anbahnung eines Beschäftigungsverhältnisses und dürfen daher grundsätzlich ohne vorherige Einwilligung verarbeitet werden. Bewerber werden gemäß der Definition in § 28 Absatz 8 Bundesdatenschutzgesetz als ‚Beschäftigte‘ betrachtet.

Welche Fragen sind im Bewerbungsverfahren datenschutzrechtlich  zulässig?

Im Bewerbungsgespräch dürfen nur Fragen gestellt werden, die für den konkreten ausgeschriebenen Arbeitsplatz relevant sind. Der Arbeitgeber muss ein berechtigtes Interesse an der Erhebung der Informationen haben. Es gibt eine umfangreiche arbeitsgerichtliche Rechtsprechung zu dieser Frage.

Müssen Bewerbungsunterlagen gelöscht werden?

Wenn nach einer Bewerbung ein Beschäftigungsverhältnis zustande kommt, werden die erforderlichen Bewerbungsunterlagen in die Personalakte aufgenommen und gespeichert. Falls der Bewerber abgelehnt wird, benötigt der Arbeitgeber (Verantwortlicher) die Unterlagen nicht mehr für die Anbahnung eines Beschäftigungsverhältnisses. Dann sollten die Bewerberdaten nach sechs Monaten gelöscht werden.

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

ÜBER DEN AUTOR

Yanick Röhricht

Yanick Röhricht ist Senior Consultant bei ALPHATECH Consulting. Als Berater unterstützt er Unternehmen bei der Umsetzung gesetzlicher Datenschutzvorgaben sowie beim Aufbau eines Informationssicherheits-Managements. Als Wirtschaftsjurist (LL.M.) und mit Zertifizierungen als Datenschutzbeauftragter (TÜV) und IT-Sicherheitsbeauftragter (DGI) verfügt er über fundierte Fachkenntnisse und langjährige Erfahrung in diesem Bereich.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Betroffenenanfrage DSGVO

Betroffenenanfrage DSGVO

Haben Sie eine Datenschutzanfrage erhalten? Woran ist eine Betroffenenanfrage nach DSGVO zu erkennen und was ist in einem solchen Fall zu tun? Der korrekte Umgang mit Anfragen von Betroffenen zum Datenschutz ist ein essenzieller Bestandteil eines jeden...

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Querstraße 2
65203 Wiesbaden

Telefon

+49 611 445 010 04

Wir arbeiten zertifiziert

Social Media