180 Grad Datenschutz Bildmarke

Datenschutz bei Online-Bewerbungen: So verhält sich ein Unternehmen richtig!

Allgemein

Heutzutage schreiben viele Unternehmen ihre offenen Stellen nur noch im Internet aus. Sei es auf der eigenen Homepage oder in einem entsprechenden Stellenportal. Davon gibt es mittlerweile so viele wie Sand am Meer: große und kleine, kostenpflichtige und kostenlose aber auch viele branchenspezifische Portale. Sucht ein Unternehmen also online nach einer neuen Fachkraft ist damit zu rechnen, dass daraufhin sehr viele Online-Bewerbungen in das E-Mail Postfach flattern. Abgesehen von der Aufgabe, diese zu sichten, auszuwerten und zu beantworten, gibt es auch datenschutzrechtliche Auflagen, die es während eines solchen Prozesses zu beachten gilt. Im weiteren Verlauf soll es also darum gehen, wie man als Betrieb richtig mit Bewerberdaten umgeht, ohne gegen den Datenschutz zu verstoßen.

Aller Anfang heißt Stellenausschreibung

Bereits im ersten Schritt des Bewerbungsprozesses, dem Erstellen einer Stellenausschreibung, müssen Unternehmen mögliche Bewerber über die Verarbeitung ihrer Daten aufklären. Der Hintergrund ist natürlich, dass Jobanwärter dem potenziellen Arbeitgeber Informationen über sich mitteilen, die zu den personenbezogenen Daten zählen. Diese Informationen sind umfassend und weitreichend und in besonderem Maße schutzwürdig. Bereits die Tatsache, dass sich eine bestimmte, identifizierbare Person beworben hat, ist ein sensibles Datum. Auch wenn die Bewerber diese Daten freiwillig preisgeben, so ist das Unternehmen in der Pflicht damit besonders achtsam umzugehen.

Im Verlauf des Auswahlprozesses werden die Daten der Bewerber vom Betrieb verarbeitet. Ein Beispiel dafür wäre etwa der Download eines E-Mail-Anhangs auf den Unternehmensserver. Bereits der Empfang der Mail auf den vom Unternehmen oder einem Dienstleister betriebenen Server stellt eine Verarbeitung in Form der Speicherung dar. Seit dem 25. Mai 2018 gilt die EU-weite Datenschutzgrundverordnung (DSGVO), die dem Arbeitgeber für solche Prozesse eine „Informationspflicht (…) bei der betroffenen Person“ (Art. 13 DSGVO) über die Handhabung ihrer Daten vorschreibt, also ein spezieller Datenschutzhinweis für Bewerber.

Wie genau sieht ein solcher Datenschutzhinweis aus?

Auf jeder Unternehmenshomepage muss es Datenschutzhinweise geben. Grundsätzlich kann ein Betrieb auch hier auf die Verarbeitung von Bewerberdaten hinweisen. Die DSGVO gibt vor, dass diese Informationen leicht verständlich und zugänglich auf der Homepage bereitgestellt werden müssen. Im Ergebnis findet man eben diese Informationen somit häufig im Footer und im Impressum. Enthält die Datenschutzerklärung keine Hinweise auf die in den Stellenanzeigen verwiesen werden kann, muss das Unternehmen den Bewerber nach der ersten Kontaktaufnahme über die Verarbeitung seiner Daten informieren.

Ein solcher Datenschutzhinweis sollte u. a. folgende Informationen beinhalten:

  • Den Namen und die entsprechenden Kontaktdaten des mit der Stellenausschreibung suchenden Unternehmens, welches für die Verarbeitung der Bewerberdaten zuständig ist,
  • den Zweck der Datenverarbeitung und die zugehörige Rechtsgrundlage,
  • die Dauer der Datenspeicherung,
  • den Anspruch des Bewerbers auf Auskunft und über die weiteren Betroffenenrechte der DSGVO bzgl. der Verarbeitung seiner Daten,
  • das Recht auf Beschwerde bei einer Aufsichtsbehörde.

An die richtige E-Mail-Adresse denken

Besonders für Stellenausschreibungen ist es ratsam, dass Unternehmen eine spezielle E-Mail-Adresse einrichten. So lässt sich das datenschutzrechtliche Problem vermeiden, dass unbefugte Mitarbeiter Zugriff auf das Postfach und somit auf die personenbezogenen Daten der Jobanwärter haben.

Dennoch kommt es vor, dass sich Interessenten initiativ bewerben, d. h. ohne, dass es eine Stellenausschreibung gegeben hat. Diese Art von Bewerbung wird oft an Kontakt- oder Informations-E-Mail-Adressen gesendet, die auf der Unternehmenshomepage zu finden sind. Für einen solchen Fall sollte ein Betrieb daher seine Mitarbeiter einweisen, wie mit dem Erhalt einer Bewerbung in einem allgemeinen Postfach umzugehen ist. So ist es etwa möglich, die jeweilige E-Mail unverzüglich an die zuständige Person (z. B. in der Personalabteilung) weiterzuleiten und sie anschließend aus dem für alle zugänglichen E-Mail-Postfach zu löschen.

„Guck Dir mal diesen Bewerber an ...!“

Der Zugriff auf personenbezogene Daten ist laut DSGVO grundsätzlich streng zu limitieren. Dies gilt auch für den Auswahlprozess derjenigen, die zu einem Bewerbungsgespräch eingeladen werden. Bis allerdings eine solche Einladung erfolgt, ist die Bewerbung häufig durch einige Hände gegangen. Das liegt daran, dass die Entscheidung nicht immer nur von einer Person getroffen wird. Oftmals haben auch die Geschäftsführung, der Betriebsrat oder Projektleiter ein Mitspracherecht bei der Auswahl. Allerdings gilt in Bezug auf die DSGVO, dass nur jene Personen die Bewerbungsunterlagen einsehen dürfen, die Teil des Auswahlverfahrens sind. Dadurch ist die Weitergabe und Einsicht der Unterlagen streng begrenzt und zweckgebunden. Darüber hinaus gilt für alle Beteiligten eine Schweigepflicht.

Vorstellungsgespräch

Wird ein Bewerber zu einem Vorstellungsgespräch eingeladen, zählen auch die Gesprächsnotizen zu seinen personenbezogenen Daten.

Wie lange darf man Bewerberdaten speichern?

Personenbezogene Daten dürfen laut DSGVO nur dann erhoben, verarbeitet und aufbewahrt werden, wenn es dafür eine bestimmte Zweckbindung gibt. Also beispielsweise die Ausschreibung einer vakanten Stelle und die daraufhin eingehenden Bewerbungen. Doch damit ist es nicht getan. In der DSGVO ist außerdem festgehalten, dass nach Erfüllung des Zwecks, die dazu gesammelten Daten nicht mehr zugänglich sein dürfen. Damit ist folglich die Löschung des Datenpools – also die gesammelten Daten aller Bewerber auf diese Stelle – gemeint.

Wie lange dürfen also Bewerberdaten genau gespeichert werden? Tatsächlich nur bis die ausgeschriebene Stelle besetzt und ein angemessener Zeitrahmen zur internen Organisation verstrichen ist (ca. 2 – 6 Monate). Dabei ist auch zu berücksichtigen, dass das Unternehmen aus eigenem Interesse berücksichtigt und verpflichtet sein kann, Bewerberdaten in einem solchen Zeitraum aufzubewahren. Beispielsweise aus Gründen im Hinblick auf das AGG, dort § 15 Abs. 4. Eine Datenspeicherung darüber hinaus gilt als unzulässig. Eine Ausnahme gibt es allerdings, und zwar, wenn Bewerber im Auswahlprozess ausdrücklich zugestimmt haben, dass ihre Daten über den Bewerbungszeitraum hinaus gespeichert werden dürfen. Dies könnte beispielsweise den Hintergrund haben, dass das Unternehmen dadurch bei einer erneut zu besetzenden Position auf den Bewerber zurückkommen möchte.

Nach Zweckerfüllung, also der erfolgreichen Besetzung einer ausgeschriebenen Stelle, sind alle personenbezogenen Daten (E-Mails, Ausdrucke, etc.) zu vernichten. Das bedeutet auch den Papierkorb des Computers oder Download Ordner zu leeren und ebenfalls alle analogen Dokumente datenschutzkonform zu shreddern. Ansonsten handelt es sich um einen Verstoß gegen die DSGVO.

Für eine solche Situation ist es hilfreich, wenn der interne oder externe Datenschutzbeauftragte die zuständigen Mitarbeiter schult. Eine solche Schulung kann Antworten auf Fragen geben, wie grundsätzlich mit Bewerberdaten umgegangen werden soll. Auf diese Weise stellt ein Unternehmen sicher, dass es nicht gegen die DSGVO verstößt und im Zweifel ein Bußgeld zahlen muss.

Sind Pre-Employment-Screenings bei der Bewerberauswahl erlaubt?

Sogenannte Pre-Employment-Screenings oder auch Background-Checks sind eine Methode, bei der sich Arbeitgeber über Bewerber informieren. Dazu nehmen sie beispielsweise die Social Media Kanäle der Bewerber genauestens unter die Lupe bevor es zu einem Jobangebot kommt. Dies dient einerseits der Verifikation, ob ein potenzieller neuer Mitarbeiter im Rahmen seiner Bewerbung auch korrekte Angaben gemacht hat und soll andererseits auch weitergehende Informationen über die Person an sich sammeln. Ein solches Screening zählt bereits zur Datenerhebung und daher stellt sich in Bezug auf den Datenschutz die Frage der Rechtmäßigkeit. Bislang ist dies in Deutschland noch nicht gesetzlich eindeutig geklärt.

Grundsätzlich ist jedoch hervorzuheben, dass auch hier immer die Zweck- und Verhältnismäßigkeit gilt. Das bedeutet, dass nur solche Daten erhoben oder gesammelt werden dürfen, die dem Zwecke des Beschäftigungsverhältnisses dienen und dies darüber hinaus in einem verhältnismäßigen Rahmen stattfindet, also keiner Ausforschung gleichkommt. Das bedeutet auch, dass die zu besetzende Stelle eine entsprechende Qualifikation des Bewerbers vorsieht und demnach als schutzwürdig gilt. Dann rechtfertigt sie eine Überprüfung der fachlichen Eignung des Bewerbers, welche über die Daten der eingereichten Bewerbung hinausgehen. Im Umkehrschluss bedeutet das ebenfalls, dass das jeweilige Screening immer eine Einzelfallentscheidung ist.

Etwas anders wird hier die Bewertung durch berufsorientierte Netzwerke wie Xing oder LinkedIn gesehen. Dadurch, dass ein Bewerber auf diesen Plattformen ein Profil besitzt, präsentiert er sich seinen beruflichen Kontakten oder Interessenten und ist sich bewusst, dass potenzielle Arbeitgeber jederzeit sein Profil einsehen können. Ein Screening dieser berufsorientierten Social Media Profile ist demnach weniger kritisch, als eines von z. B. privaten Facebook oder Instagram Profilen. Dennoch gilt hier generell die zukünftige Entwicklung im Bereich des Pre-Employment-Screenings in Verbindung mit der DSGVO zu beobachten und abzuwarten.

Kurz und knapp

Im 21. Jahrhundert sind Online-Bewerbungen die übliche Art, sich für eine ausgeschriebene Stelle zu bewerben. Dabei gibt es insbesondere für Unternehmen, die nach neuen Fachkräften suchen, einige nicht unerhebliche Details in Bezug auf den Datenschutz zu beachten.

So ist es beispielsweise wichtig, Bewerber von Anfang an über die Verarbeitung ihrer Daten zu informieren. Dies geschieht am besten schon mit der Ausschreibung der Stelle, spätestens jedoch nach Erhalt einer Bewerbung. Dazu muss jedes Unternehmen korrekte Datenschutzhinweise anbieten, die entweder auf der Homepage zu finden sind, oder dem Bewerber gesondert zugesendet werden. Das Stichwort E-Mail ist ebenfalls wichtig. Ein Unternehmen sollte für Stellenausschreibungen immer spezielle E-Mail-Adressen einrichten, damit die personenbezogenen Daten der potenziellen Bewerber nicht in unbefugte Hände geraten. Darüber hinaus dürfen nur all jene die Daten der Jobanwärter einsehen, die direkt in den Auswahlprozess involviert sind. Eine Weitergabe der Daten ist nicht datenschutzkonform. Wurde schließlich eine geeignete Fachkraft gefunden, müssen alle Bewerbungen auf diese Ausschreibung nach einem vorgeschriebenen Zeitrahmen vom Computer gelöscht und analoge Unterlagen geshreddert werden.

Datenschutz-Schulung

Tauschen Sie sich mit uns aus!

Auch interessant

Vorheriger Beitrag
Verstoß gegen den Datenschutz – Aufsichtsbehörden bitten zur Kasse
Nächster Beitrag
Darauf ist bei Personalakten in Sachen Datenschutz zu achten

Ähnliche Beiträge

Menü