Bewerbungsprozess – Die fünf größten DSGVO-Punkte

Betriebe müssen zwingend die Vorschriften der DSGVO einhalten, wenn sie Bewerbungsunterlagen erhalten. Wo die fünf größten Fallstricke lauern, verrät ein Experte in paar Punkten:

Vorab ein kurzer Überblick:

  • Sobald eine Bewerbung per Email bei einem Betrieb eingeht und auf einem Server gespeichert werden, beginnt die Verarbeitung personenbezogener Daten. Es gilt ab jetzt die Informationspflicht der Betriebe gegenüber der Bewerber.
  • Ein datenschutzrechtliches Risiko sind Bewerbungen die an ein allgemeines Postfach gehen, auf das mehrere Mitarbeiter Zugriff haben. Expertentipp: Möglichst eine gesonderte Emailadresse für Bewerbungen nutzen.
  • Informationen wie der Betrieb mit Bewerberdaten umgeht steht nicht in der Datenschutzerklärung auf der Website. Nach der ersten Kontaktaufnahme des Bewerbers müssen die Betriebe ihrer Informationspflicht nachkommen.
  • Vorsicht: Eine Falle könnte es sein, wenn sich ein Bewerber sieben Monate nach Abschluss des Bewerbungsverfahrens meldet. Denn spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens müssen die Bewerberdaten gelöscht werden.
  • Eine Einwilligung des Bewerbers wird benötigt, wenn die Bewerberdaten durch den Betrieb länger gespeichert werden.

 

Während des gesamten Bewerbungsprozesses verarbeiten Handwerksbetriebe personenbezogene Daten, ob Eingang einer Bewerbung per Mail oder die Absage an einen Bewerber. Klaus-Dieter Franzen, Fachanwalt für Arbeitsrecht, sagt: „Sie müssen deshalb dabei zwingend die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten. Das gilt sowohl für Bewerbungen per Post als auch per Email, Handwerksbetriebe können dabei so einiges falsch machen.

 

Punkt 1: Die Stellenausschreibung ohne Datenschutzhinweis

Rechtsanwalt Franzen, welcher auch zertifizierter Datenschutzbeauftragter ist sagt: „Über die Datenschutzverordnung müssen Betriebe bereits bei der Stellenausschreibung aufklären“. Ein absolutes Minimum ist seiner Einschätzung nach, auf der Firmenwebsite einen Verweis auf die Datenschutzerklärung. Was mit den Bewerberdaten passiert, müsse hier erläutert werden. Doch warum ist das nötig?

In der Regel beginnt die Verarbeitung der personenbezogenen Daten beim Eingang der Bewerbung – da beispielsweise die Daten aus der Email auf einem Server gespeichert werden. Die Betroffenen haben ab diesem Zeitpunkt ein Recht darauf zu erfahren was mit ihren Daten geschieht, nach Artikel 13 DSGVO. Somit sind die Betriebe in der Informationspflicht.

 

Punkt 2: Im allgemein zugänglichen Postfach landet die Initiativbewerbung

Betriebe erhalten auch immer wieder Initiativbewerbungen. Aus datenschutzrechtlicher Sicht sind die Blindbewerbungen tückisch, so die Sicht des Arbeitsrechtlers Klaus Dieter Franzen. Die Initiativbewerbungen werden meist an die Emailadresse, die der Bewerber im Impressum findet geschickt, diese lautet zum Beispiel info@beispielbetrieb.de. Oftmals haben mehrere Personen auf das meist allgemeine Postfach Zugriff. Das wirft aus datenschutzrechlicher Sicht verschiedene Fragen auf:

  • Wer genau hat Zugriff auf die Daten?
  • Was passiert mit den eingehenden Bewerbungen?
  • Werden sie von jemandem ausgedruckt?

Für Bewerbungsverfahren sollte daher eine gesonderte E-Mail-Adresse veröffentlicht werden auf die nur ein eingeschränkter Personenkreis Zugriff hat, wie zum Beispiel der Chef und die Personalabteilung. Wenn dies nicht möglich ist, was können Betriebe dann machen? „Damit die datenschutzrechtlichen Vorgaben eingehalten werden, brauchen Mitarbeiter eine interne Anweisung, wie sie mit eingehenden Bewerbungen umgehen müssen“, betont der Arbeitsrechtler. Diese kann wie folgt lauten:

  1. Die Bewerbung ist unverzüglich, an die zuständige Person per E-Mail weiter zu leiten.
  2. Anschließend ist die Bewerbung im Postfach, auf das mehrere Personen Zugriff haben unverzüglich zu löschen.

 

Punkt 3: Bewerber nicht über ihre Rechte aufklären

In Zeiten von Fachkräftemangel ist eine Bewerbung, die durch den Bewerber von sich aus in den Betrieb kommt, sicher eine gute Nachricht. Die datenschutzrechtlichen Pflichten sollten die Verantwortlichen dadurch aber nicht vergessen. Wenn die Datenschutzerklärung auf der Firmenwebsite keine Angaben zum Umgang mit Bewerberdaten enthält ist dies besonders wichtig. Der Arbeitsrechtler Franzen sagt: „Spätestens nach der ersten Kontaktaufnahme müsse der betrieb den Bewerber in solchen Fällen informieren“. Angaben die der Artikel 13 DSGVO vorschreibt sollten enthalten sein. Unteranderem gehören dazu Hinweise auf:

  • Den Namen und die Kontaktdaten des im Betriebs Datenverarbeitenden Verantwortlichen
  • Die Rechtsgrundlage und der Zweck auf der die Daten verarbeitet werden
  • Die Speicherdauer
  • Das Recht auf Auskunft über die Datenverarbeitung
  • Das bestehende Beschwerderecht bei einer Aufsichtsbehörde

 

Punkt 4: Personenbezogene Daten nicht löschen

Grundsätzlich sind Bewerberdaten zweckgebunden. Das bedeutet: Nur im Bewerbungsfahren um die Stelle dürfen die Daten von Betrieben berücksichtigt werden, in dem sich ein Kandidat beworben hat. Doch warum ist das so? „Betrieb brauchen für die Verarbeitung von Daten immer eine Rechtsgrundlage“, so der Rechtsanwalt Klaus-Dieter Franzen. Es besteht eine Anbahnung eines Vertragsverhältnisses, wenn sich ein Bewerber um eine neue Stelle Bewirbt. Diese Rechtsgrundlage entfällt sobald die Stelle vergeben ist. Müssen die Daten unverzüglich gelöscht werden, sobald die Absage an den Bewerber raus ist?

„Nein“, meint Franzen. „Denn wenn ein Bewerber einen Verstoß gegen das allgemeine Gleichbehandlungsgesetz (AGG) wittert und deshalb gerichtlich gegen die Absage vorgeht, können die Daten bis zu sechs Monate nach der Absage gespeichert werden, danach sei allerdings endgültig Schluss“. Dasselbe gilt auch wenn der Bewerber zwar interessant für den Betrieb aber nicht geeignet für die ausgeschriebene Stelle ist!

 

Tipp: Eine längere Speicherung ist nicht unmöglich, die Betriebe müssen sich dafür allerdings eine Einwilligung des Bewerbers einholen, so der Rechtsanwalt.

 

Punkt 5: Datenverstoß begehen und ihn zugeben müssen

Ein Recht auf Auskunft haben Betroffene laut Artikel 15 DSGVO. Für Rechtsanwalt Klaus-Dieter Franzen ist dies eine Regelung, die missbräuchlich durch abgelehnte Bewerber genutzt werden könnte. Ein mögliches Szenario:

 

Sieben Monaten nach der Absage meldet sich ein Bewerber und will wissen, welche personenbezogenen Daten von ihm noch beim Handwerksbetrieb gespeichert sind.

 

Betriebe müssen eine solche Anfrage innerhalb eines Monats beantworten, so schreibt es das Datenschutzgesetz vor. Und wenn sie auflisten welche personenbezogene Daten nach sieben Monaten noch gespeichert sind? Franzen meint: „Dann landet der Fall sicher bei der zuständigen Datenschutzbehörde“. Die prüfen dann einen möglichen Datenschutzverstoß.

Um sich gegen solche Unannehmlichkeiten zu schützen gibt es eine einfache Möglichkeit.  „Was das Gesetz vorschreibt, muss einfach befolgt werden“, so der Arbeitsrechtler. Das heißt: Nach sechs Monaten müssen sie regelmäßig die Bewerberdaten löschen.

 

Expertentipp: Unbedingt organisatorische und technische Maßnahmen ergreifen

 

Das „Verzeichnis der Verarbeitungstätigkeit“ gehört auch zu den Vorgaben der DSGVO. sämtliche Verarbeitungsprozesse im Betrieb müssen darin dokumentiert werden. Viele Unternehmer finden diese Pflicht sicherlich lästig. Schließlich kostet sie Zeit und damit Geld. Rechtsanwalt Klaus-Dieter Franzen appelliert an die Unternehmer, „Im Endeffekt ist das Gesetz ein gegossenes Qualitätsmanagement“, diese Pflicht sollte als eine Chance angesehen werden. Betriebe müssten sich schließlich bei der Einstellung mit weit bedeutenderen Fragen befassen. Dazu gehören Fragen wie:

  • Sind die Server des Unternehmens abgesichert?
  • Sind die gespeicherten personenbezogenen Daten ausreichend geschützt?

Lesen Sie auch unseren weiteren Beitrag zu Thema DSGVO Bewerberdaten:

Datenschutz mit Bewerberdaten und Recruting