Lesezeit: 4 Min
Bewerbungsprozesse DS-GVO-konform abwickeln
Wir alle entwickeln uns beruflich weiter, egal ob als Arbeitnehmer oder Arbeitgeber – dazu gehören auch Bewerbungsprozesse. Organisationen jeglicher Art (Unternehmen, Schulen, Vereine, Praxen, Kanzleien usw.) erhalten regelmäßig Bewerbungen. Egal ob es sich dabei um Bewerbungsschreiben auf eine ausgeschriebene Stellen handelt oder eine Initiativbewerbung: Für den Umgang mit personenbezogenen Daten einer Bewerbung gelten die Vorgaben im Datenschutz.
Welche Daten dürfen bei einem Bewerbungsverfahren gesammelt werden?
Es dürfen (wie überall im Datenschutz) nur so viele Daten erhoben werden, wie für den Zweck benötigt werden (Datenminimierung). So klar, so einfach? Leider nicht, denn es bleibt natürlich schwierig zu definieren, welche Daten ausreichen, um einen Bewerbungsprozess abzuschließen.
Im Fall einer Bewerbung werden bereits viele personenbezogene Daten vom Bewerber selber zur Verfügung gestellt. In der Regel benötigt der Verantwortliche eines Unternehmens eine gewisse Reihe von Daten, darunter auch personenbezogene Daten, um herauszufinden, ob ein Bewerber für die ausgeschriebene Stelle geeignet ist oder nicht.
Dabei sollte in Bezug auf die personenbezogenen Daten immer die Frage gestellt werden: Werden die erfassten Daten wirklich für diesen Bewerbungsprozess benötigt? Es sollte immer geprüft werden, ob das Recht auf Informationsinteresse durch den möglichen Arbeitgeber gegenüber dem Recht auf informationelle Selbstbestimmung des Betroffenen, also dem Arbeitnehmer wirklich und begründet überwiegt.
Bewerbungsunterlagen und Zweckbindung nach DS-GVO
Nicht nur wie viele, sondern auch für welchen Zweck personenbezogene Daten erhoben werden, wird in der Datenschutzgrundverordnung festgelegt. Demnach ist die Verarbeitung von personenbezogenen Daten zweckgebunden. Das bedeutet die für einen Zweck erhobenen Daten dürfen auch nur für diesen Zweck verarbeitet werden (Zweckbindung).
Informationspflichten für Betroffene gelten auch bei Bewerbungsverfahren
Immer wenn personenbezogene Daten verarbeitet werden, muss der Betroffene darüber informiert werden. Bewerbungsunterlagen bilden dabei keine Ausnahme, auch wenn Sie freiwillig vom Betroffenen eingereicht wurden.
Daher sind die Informationspflichten für Betroffene auch im Fall der Bewerbungsverfahren verpflichtend. Es wird empfohlen, dass für Bewerbungen z.B. ein gesondertes Anschreiben bei der Rückantwort verfasst wird, die Signatur für Antworten auf Bewerbungen angepasst oder im Bewerberportal darauf hingewiesen wird. Auch andere Arten auf die Informationspflichten hinzuweisen können denkbar sein.
Der Verantwortliche hat die Pflicht den Betroffenen über die Erhebung direkt bei Datenerfassung (bei Erfassung durch Dritte: spätestens 4 Wochen nach Erhebung) zu informieren. Diese Information sollte mindestens folgendes enthalten:
- Name und Kontaktdaten des Verantwortlichen
- (falls gesetzlich verpflichtend) Kontaktdaten Datenschutzbeauftragter
- Verarbeitungszweck
- Rechtsgrundlage oder berechtigtes Interesse
- Empfänger
- Welche Daten bzw. Datenkategorien werden abgefragt
- Zeitraum der Speicherung
- Werden die Daten ggf. in Drittstaaten zur Erhebung weitergegeben
- Widerrufsrecht
- Beschwerderecht bei Aufsichtsbehörde
Eine Weitergabe an Dritte ist nicht erlaubt. Wenn Daten an einen neuen Empfänger (z.B. eine andere Abteilung zur Verwendung für eine andere Ausschreibung) weitergegeben werden, muss der Betroffene darüber informiert werden.
Mehr zu den Informationspflichten für Betroffene lesen Sie auch hier.
Darüber hinaus ist vom Verantwortlichen ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen, in welchem auch Bewerbungsverfahren beschrieben werden müssen.
Löschfristen für Bewerbungsunterlagen nach DS-GVO
Die personenbezogenen Daten dürfen nur so lange verarbeitet werden (dazu gehört auch die Aufebwahrung), wie sie für den Zweck benötigt werden. Bei jeder Absage bzw. bei jedem abgeschlossenen Bewerbungsverfahren bedeutet dies: der Zweck ist nach Ablehnung der Bewerbung erloschen. Sollten die Daten dann sofort gelöscht werden?
In der Regel ist dies nicht ratsam. Da der DS-GVO Gesetze gegenüberstehen, ist es sinnvoll, die Löschfristen den gesetzlichen Aufbewahrungspflichten anzupassen und auch weitere Faktoren zu berücksichtigen. Derzeit hat der Bewerber die Möglichkeit auf einen zweimonatigen Einspruch nach Erhalt der Absage plus drei Monate um seine Ansprüche geltend zu machen. Daher liegt die empfohlene Aufbewahrungsfrist bei maximal sechs Monaten. Danach endet der Zweck endgültig und die Daten müssen gelöscht bzw. vernichtet werden, sollte keine andere gesetzliche Regelung dagegensprechen.
Die Unterlagen können auf Wunsch des Betroffenen länger aufbewahrt werden, z.B. für spätere Verfahren. Dafür ist die Einholung einer Zustimmung notwendig.
Aufbewahrung der personenbezogenen Daten
Die Aufbewahrung der personenbezogenen Daten sollte mit entsprechenden technischen und organisatorischen Maßnahmen (TOM) gesichert werden. Bei Papierakten bedeutet dies, dass die Unterlagen unzugänglich für unbefugte aufbewahrt werden.
Bei der elektronischen Verarbeitung von Bewerbungsunterlagen (E-Mail oder Bewerbungsportal) sollte daher auch immer ein aktueller Virenschutz usw. installiert sein. Achten Sie auch beim Erhalt von Bewerbungsunterlagen immer auf die Sicherheit der Daten und darauf, dass es sich um eine vertrauenswürdige Absendeadresse handelt.
Immer öfter werden auch Bewerberportale für die Aufnahme der Bewerbungsunterlagen genutzt. Dabei sollte es selbstverständlich sein, dass diese auf Seriosität und Datenschutz hin geprüft werden. Gegebenenfalls auch ein sogenannter Auftragsverarbeitungsvertrag (AVV-Vertrag) notwendig sein.
Social Monitoring und Fragen im Bewerbungsgespräch
Nicht alles, was ein Arbeitgeber gerne wissen möchte, darf auch in Erfahrung gebracht werden. Das sogenannte Social Monitoring, bei dem der potentielle Arbeitnehmer in sozialen Netzwerken überprüft wird, ist nicht immer erlaubt. Grundsätzlich kann man dabei festhalten, dass soziale Netzwerke, die vor allem für berufliches Netzwerken genutzt werden, dabei unter bestimmten Voraussetzungen für eine näher Auskunft über den Betroffenen genutzt werden können. Dies sollte aber immer sehr gut überlegt sein. Private soziale Netzwerke dürfen darüber hinaus nicht für das Social Monitoring genutzt werden.
Besonders heikel wird es bei Fragen im Vorstellungsgespräch, die auf die besonderen Arten von personenbezogenen Daten abzielen. Dies ist in der Regel nicht erlaubt. Auf Fragen nach Religion, Sexualität oder politischer Gesinnung sollte in einem Vorstellungsgespräch beispielsweise verzichtet werden.
Datenschutz und Arbeitsrecht immer gemeinsam betrachten
Es zeigt sich deutlich: Auch Arbeitsrecht und Datenschutz hängen zusammen. Daher macht es immer Sinn, den entsprechenden Fachmann bei dem Umgang der Daten hinzuzuziehen. Ein (externer) Datenschutzbeauftragter sollte bei dem Umgang mit personenbezogenen Daten immer befragt werden. Auch wenn er nicht aufgrund der Vorgaben im Datenschutz verpflichtend eingesetzt werden muss, kann er durch regelmäßige Datenschutz-Audits bei der Umsetzung des Datenschutzes helfen. Dabei erfasst er den Stand des Datenschutzes im Unternehmen und bewertet ihn, findet Schwachstellen im Datenschutz und hilft dabei diese abzustellen.
Datenschutzberater.NRW mit einem Team aus Datenschutz, IT und Steuerrecht bietet Ihne neben dem Datenschutz-Audit auch eine Datenschutz-Erstberatung, IT-Audits, Mitarbeiterschulungen, Website-Scans für eine DS-GVO-konforme Homepage und weiteren projektbezogenen Datenschutz nach Bedarf an.
Wir betreuen Organisationen aus den unterschiedlichsten Bereichen im Großraum Köln, Bonn, Düsseldorf, Siegen, Gummersbach, Siegburg und ganz Nordrhein-Westfalen. Wenn Sie eine praxisorientierte Beratung im Datenschutz suchen, dann setzen Sie sich gerne mit uns in Verbindung.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz bei Bewerbungen oder anderen personellen Unterlagen ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.