Um einschätzen zu können, ob eine Person fachlich oder persönlich ins Team passt, muss sich das Unternehmen ein genaues Bild über den/die Bewerber/in machen. Deshalb werden gerade im Bewerbungsprozess zahlreiche personenbezogene Daten erhoben und verarbeitet. Für ein Unternehmen ist es daher unabdingbar sich vorab mit datenschutzrechtlichen Themen auseinanderzusetzen. Denn auch dieser Prozess der Datenverarbeitung unterliegt der DSGVO und dem Bundesdatenschutzgesetz (BDSG).
Rechtsgrundlage für das Erfassen von Bewerberdaten
Grundsätzlich gilt für Unternehmen, dass für die Verarbeitung personenbezogener Daten eine valide Rechtsgrundlage bestehen muss („Warum darf ich die Daten verarbeiten?“), denn diese sind schutzwürdig. Die Rechtsgrundlage ist im Bewerbungsprozess prinzipiell gegeben, da das Unternehmen auf der Suche nach einem passenden Bewerber/in ist und es sich damit um die Anbahnung eines Beschäftigungsvertrags handelt. Zugleich wäre auch der Punkt der Zweckbindung eindeutig geklärt („Warum will ich die Daten verarbeiten?“): Um aus dem Kreis der Bewerber den oder die Richtige/n für die Unterbreitung eines Vertragsangebotes zu identifizieren, sind mehrere Informationen zu Hintergrund, Qualifikation etc. schlichtweg als Bewerberdaten erforderlich.
Konkrete und für eine Abfrage zulässige Daten können üblicherweise der Lebenslauf, Zeugnisse, Qualifikationsnachweise, Angaben zu Lebenseinstellungen etc. sein. Diese Daten müssen neben der reinen Zulässigkeit aber auch DSGVO-konform erhoben und gespeichert werden. Hier gelten insbesondere die Stichworte „transparente Vorabinformation“ und „zweckbezogene Zugriffsbeschränkung“.
Welche Pflichten müssen Unternehmen im Bewerbungsprozess erfüllen?
Informationspflicht
Als Unternehmen sind Sie dazu verpflichtet, den/die Bewerber/in zum frühest möglichen Zeitpunkt darüber zu informieren, was mit seinen (ggf. auch sensiblen) Daten passiert, u.a.:
- Welche personenbezogenen Daten werden erhoben (Zeugnisse, Lebenslauf, Qualifikationen, Motivationsschreiben…)
- Wer hat Zugriff auf die Daten (Personalabteilung, bestimmter Fachbereich…)
- Speicherdauer (Wie lange werden die Daten gespeichert, wann werden sie gelöscht…)
- Rechte des Bewerbers (Recht auf Löschung der Daten, Recht auf Änderung der Angaben…)
Nutzen Sie für den Bewerbungsprozess ein Online-Bewerbungsverfahren, ist der
vermutlich einfachste Weg den/die Bewerber/in mittels einer auf diesem Portal bereitgestellten Datenschutz-Information über sämtliche der o. g. Angaben aktiv zu informieren. Zusätzlich können diese Hinweise in eine automatisierte
Eingangsantwort integriert werden.
Verzeichnis von Verarbeitungstätigkeiten
Sobald es zur Verarbeitung von personenspezifischen Daten kommt, unterstehen Unternehmen einer Dokumentations- und Rechenschaftspflicht zum Verarbeitungsprozess. Damit muss auch ein sogenanntes Verzeichnis für den Bewerbungsprozess erstellt werden, welches genau darstellt, welche Daten wie verarbeitet werden.
Einsicht und Weitergabe der Bewerbungsunterlagen
Zugang zu den Bewerbungsmappen darf ausschließlich der Mitarbeiterkreis, der Vorgesetzte und der Betriebsrat haben, die direkt mit der Besetzung der ausgeschriebenen Stelle zu tun hat.
Ist vorgesehen die Unterlagen auch an Dritte weiterzugeben (andere Abteilung/Fachbereich oder gar Tochtergesellschaft) ist der Bewerber darüber zu informieren – natürlich vorab und mit einer klaren Zweckbenennung.
Löschfristen der Bewerberdaten
Sollte der/die Bewerber/in nicht ins Unternehmen passen oder die Entscheidung aus anderen nachvollziehbaren objektiven Gründen für eine/n andere/n Kandidaten/Kandidatin gefallen sein, müssen die Bewerberdaten zeitnah gelöscht werden, denn der Zweck der Vertragsanbahnung fällt mit der Entscheidung vorerst weg.
Aufgrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) kann ein/e Bewerber/in allerdings noch gegen den ausschreibenden Arbeitgeber klagen, wenn der/die Bewerber/in von einer Ungleichbehandlung oder Diskriminierung im Bewerbungsprozess ausgeht. Um auch den Zeitraum einer solchen möglichen Klage des Bewerbers abzudecken und in diesem Fall nachweisfähig über die berechtigten Gründe für eine Absage bleiben zu können, können die Daten des/der Bewerbers/Bewerberin für 6 Monate nach Kommunikation der Entscheidung auf Basis eines berechtigten Interesses aufbewahrt werden. Nach Ablauf dieses Zeitraums sind die Daten dann aber endgültig zu löschen.
Ausnahmen von der Löschpflicht können für Bewerberpools gelten. Hier stimmen zunächst abgelehnte Bewerber in der Regel dem Angebot des Unternehmens zu, dass persönliche Daten aus ihrer Bewerbung auch länger verarbeitet werden dürfen für den Fall, dass zu einem späteren Zeitpunkt eine passende Stelle frei wird und man dann schließlich aktiv kontaktiert werden kann. Denn so kann ein neues Beschäftigungsverhältnis zustande kommen. Hier ist dann wiederum eine neue Rechtsgrundlage für die Verarbeitung relevant, nämlich die freiwillige Einwilligung.
Social Media Monitoring – die große Versuchung
Die Versuchung ist groß, mittels der sozialen Netzwerke nach weiteren Informationen über den Bewerber/in zu suchen, um sich ein noch genaueres Bild zu machen. Doch entspricht diese Recherche den DSGVO-Richtlinien?
Grundsätzlich dürfen Unternehmen Bewerberrecherche im Internet betreiben und Informationen einholen, sofern die Daten allgemein zugänglich sind und solange hierdurch keine Persönlichkeitsrechte verletzt werden. Die Suche muss allerdings einen Bezug zur ausgeschriebenen Stelle aufweisen.
In diese Richtung verhält es sich mit Berufsplattformen wie z. B. Xing und LinkedIn, die explizit als berufliche Netzwerke genutzt werden und bei welchen in der Regel keine privaten Informationen geteilt werden. Hier kann es für die ein oder andere Stelle (Social Media Manager, Vertriebsprofi, Consultant in einem Fachgebiet etc.) ganz entscheidend sein, den Bewerber genauer unter die Lupe zu nehmen. Seine Aktivitäten können hier für die Entscheidungsfindung eine essentielle Rolle spielen.
Bewerbungsgespräch
Darüber hinaus erstreckt sich der Datenschutz natürlich auch auf das Vorstellungsgespräch selbst und die von den Personalern hierbei erstellten Notizen sowie ggf. erbrachte Probearbeiten. Auch solche Daten müssen im Falle einer Absage in der Regel zusammen mit den übrigen personenbezogenen Daten der Bewerbung vernichtet werden.
Besonderes Augenmerk sollte angesichts der neuen medialen Möglichkeiten darauf gelegt werden, dass man im Bewerbungsgespräch nicht alles tut was technisch möglich ist (z. B. Aufzeichnung von Gesprächen, persönlichkeitsorientierte automatisierte Bewertung etc.). Zumindest muss hier im Vorfeld eine klare Information an den Bewerber erfolgen, und derartige Zusatz-Maßnahmen zum klassischen Vorgehen sollten nur auf Basis einer freiwilligen Einwilligung eingesetzt werden.
Datenschutz einfach & strukturiert mit DSM-Online umsetzen. 14 Tage kostenlos & unverbindlich testen!