Datenschutz mit Bewerbung und Bewerberdaten

Unternehmen erhalten ein überzeugendes Anschreiben, einen spannenden Lebenslauf – und doch passt der Bewerber nicht zum gesuchten Profil.

Qualifizierte Mitarbeiter sind schwer zu finden, also werden die Daten des abgelehnten Kandidaten für die Zukunft gespeichert, sollte mal eine passende Stelle ausgeschrieben werden. Mit der neuen DSGVO sind auch hier die Vorgaben zum Datenschutz im Recruiting jederzeit einzuhalten.

Der Bewerbungseingang ist heute meistens online über das Internet per E-Mail. Oder die Bewerbungsunterlagen werden gleich auf eine dafür eingerichtete Internetseite des Unternehmens hochgeladen. Eins bleibt aber, sie beinhalten in der Regel ein Anschreiben, den eigenen Lebenslauf, ein Bild, Zeugnisse und Referenzen und in manchen Fällen auch noch Arbeitsproben. Man muss sich schon auf den Datenschutz im Unternehmen verlassen, sonst dürfte man sich eben gar nicht bewerben.

Die Europäische Union hat sich Gedanken gemacht, was zum Schutz der Bewerberdaten verbessert werden könnte und einen neuen europäischen Standard verfasst. Seit dem 25.05.2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft.

Für Unternehmen bedeutet dies, dass personenbezogenen Daten einer Bewerbung noch sensibler behandelt werden müssen. Folgende Aspekte sind besonders zu beachten:

Wer darf auf die Bewerberdaten zugreifen?

Die Personengruppe der Zugangsberechtigten muss eng umrissen und klar schriftlich festgelegt sein. Es muss sichergestellt werden, dass sonst niemand im Unternehmen Zugang zu den Bewerbungsunterlagen erhält. Die Zugangsberichtigten müssen auch schriftlich bestätigen, dass sie jede Bewerbung vertraulich behandeln.

Was ändert sich bezüglich der Aufbewahrung der Bewerberdaten im Unternehmen?

Schon vor Inkrafttreten der DSGVO durfte eine Speicherung personenbezogener Daten nur zweckgebunden erfolgen. Neu ist, dass der Bewerber jetzt das Recht hat, vom Unternehmen eine ausführliche Auskunft über seine gespeicherten Daten zu verlangen. Deshalb sollten Unternehmen sicherstellen, dass diese Auskünfte mit Angaben, warum die Daten noch im Unternehmen gespeichert werden, problemlos an Bewerber gesendet werden können. Es sollte also ein Kommentar zur Begründung der Datenspeicherung an den Bewerber geliefert werden können, zum Beispiel „Bewerbungsverfahren läuft noch“. Wenn ein Bewerber einen Verstoß feststellt, hat er das Recht die zuständigen Aufsichtsbehörden einzuschalten. Falls keine umfassende Dokumentation über das gesamte Bewerbungsverfahren im Unternehmen vorliegt, kann dies neuerdings erhebliche Strafen nach sich ziehen. Bußgelder bis 20 Millionen Euro oder 4 % vom weltweiten Umsatz drohen.

Was sollten alle Unternehmen unbedingt beachten?

Sie sollten die neuen Gesetze nicht auf die leichte Schulter nehmen. Gerade für kleine Unternehmen ist es schwer, eine lückenlose Dokumentation über den Bewerbungsprozess zu erstellen. Dennoch sollte dies erfolgen. Wenn möglich sollte über die Ernennung eines Datenschutzbevollmächtigten nachgedacht werden, der die Einhaltung der neuen Gesetze sicherstellt.

Was ändert sich für den Bewerber?

Der Bewerber kann sich sicherer fühlen, dass nur eine ausgewählten Gruppe Zugang zu seiner Bewerbung erhält, die verpflichtet ist, diese vertraulich zu behandeln. Eine längere Speicherung seiner Daten im Unternehmen ohne seine Zustimmung muss er auch nicht mehr befürchten. Allgemein erhält der Bewerber einen besseren Überblick über seine herausgegebenen Daten.

 

Zusammenfassend: Für das Recruiting sind folgende Punkte zu beachten:

  1. Möglichkeit zur verschlüsselten Sendung der Daten.

Bei ungesichertem elektronischen Versand können Bewerbungen mit sensiblen personenbezogenen Daten von Dritten mitgelesen werden.

Um das Bewerbungsverfahren sicherer zu machen, sollten Unternehmen im Bewerberbereich einen verschlüsselten Kanal zur Verfügung stellen.

  1. Automatische Eingangsbestätigung:

Gemäß Art. 13 Abs. 1 und Abs. 2 DSGVO gilt: Unternehmen müssen Bewerber bei Eingang der Unterlagen über die Art der Datenerhebung informieren (Verarbeitungszweck, Dauer des Aufbewahrungszeitraums). In der Praxis zum Beispiel mithilfe einer automatischen Eingangsbestätigung zu lösen. Art. 13 DSGVO listet die Informationen auf, die darin enthalten sein müssen.

 

  1. Schriftliche Einverständniserklärung:

Schon nach aktuellem Recht darf die Speicherung personenbezogener Daten nur zweckgebunden erfolgen, beispielsweise im Rahmen eines Bewerbungsverfahrens. Das heißt: Ist die Stelle einmal besetzt, besteht kein Grund mehr, die Informationen der abgelehnten Kandidaten aufzubewahren. Da es jedoch auf der Grundlage des Allgemeinen Gleichbehandlungsgesetzes (AGG) zu einer Klage von Seiten der Bewerber kommen kann, dürfen Unternehmen die Daten aufbewahren, solange sie mit Auseinandersetzungen mit nicht berücksichtigten Kandidaten rechnen müssen. Die zulässige Aufbewahrungsdauer ist generell mit zwei bis sechs Monaten veranschlagt. Bei längerer Aufbewahrung können Unternehmen eine schriftliche Einverständniserklärung des Kandidaten einholen.

 

  1. Speicherung der Daten jederzeit dokumentieren

Gemäß Artikel 15 DSGVO haben Bewerber künftig das Recht, von den Unternehmen umfangreiche Auskunft über die gespeicherten Daten zu verlangen. Daher ist die Zweckgebundenheit bei der Speicherung der Daten jederzeit zu dokumentieren. So können in Personalmanagement-Systemen Kommentare zum Aufbewahrungsgrund hinterlegt werden, wie zum Beispiel „Zustimmung zum Verbleib im Bewerberpool“. Sieht ein Kandidat einen Verstoß gegen den Bewerberdatenschutz als gegeben an, kann er die zuständigen Aufsichtsbehörden einschalten. Die Unternehmen sind gemäß Datenschutzgesetz verpflichtet, Bewerbungsunterlagen so zu vernichten, dass dies nicht mehr möglich ist. Für Ausdrucke denkbar wäre etwa das Schreddern.

  1. Beweislast zum Bewerberdatenschutz liegt bei den Unternehmen.

Im Fall eines Rechtsstreits muss nachweisbar sein, dass alle erforderlichen Maßnahmen zur Gewährleistung des Schutzes der personenbezogenen Daten getroffen sind. Aus diesem Grund sind die entsprechenden Sicherheitsvorkehrungen im Unternehmen einheitlich und lückenlos zu dokumentieren.

  1. Bußgelder:

Hohe Strafen bis zu 20 Millionen Euro beziehungsweise vier Prozent des globalen Umsatzes stehen an. Unter anderem für fehlende Dokumentation, unterlassene Information der Bewerber oder unterlassene regelmäßige Überprüfung der Sicherheit von HR-Systemen.

 

Daher sollten die Firmen ihr aktuelles Bewerberdatenmanagement genau prüfen und gegebenenfalls neue Prozesse und Standards für den Recruiting-Prozess einführen. Dabei ist der Grundsatz der Angemessenheit nicht zu verlieren. Die Maßnahmen sollten zur Größe des Betriebes passen und innerhalb eines realistischen Budgetrahmens mit den vorhandenen Kapazitäten durchführbar sein.

 

Weitere News zur DSGVO:

DSGVO: Datenschutzbeauftrager

https://datenschutzbeauftragter-dsgvo.com/datenschutzbeauftragter-pflicht-was-sagt-die-dsgvo-wirklich/

DSGVO: Was Unternehmen jetzt beachten müssen

https://datenschutzbeauftragter-dsgvo.com/dsgvo-umsetzung-was-unternehmer-jetzt-beachten-sollten/