Datenschutz: Wie Arbeitgeber datenschutzkonform mit Bewerberdaten umgehen müssen

10 Antworten zu den relevantesten Fragen zum DSGVO-Bewerbermanagement

Seit nunmehr zwei Jahren ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Mit ihr wurden der grundsätzliche Umgang und die Verarbeitung von Bewerbungsdaten geregelt. Seitdem unterliegen Unternehmen besonderen Datenschutzvorkehrungen, wenn sie Bewerbungsunterlagen erhalten und weiterverarbeiten. Doch wie sehen die gesetzlichen Regelungen im Umgang mit Bewerbungsdaten konkret aus? Welche Fragen gilt es im Umgang mit personenbezogenen Daten im Bewerbermanagement zu beantworten und wie sind diese im Unternehmen rechtskonform umzusetzen?

Kommt Ihnen das bekannt vor?

Bewerbungsunterlagen werden gerne intern per E-Mail an diverse Mitarbeiter bzw. Abteilungen weitergeleitet. Auf Computern finden sich noch die Lebensläufe der Bewerber für Ausbildungsplätze von vor etlichen Jahren. Und für den Fall der Fälle liegen in Schränken ein Stapel mit Bewerbungsmappen von Kandidaten, die bei den letzten Besetzungen nicht berücksichtigt wurden, aber dennoch so interessant erscheinen, dass man sie vielleicht bei der nächsten freien Stelle nochmals kontaktieren möchte. Kommt Ihnen das bekannt vor? 

Dann sollten Sie sich dringend mit den gesetzlichen Regelungen zum Thema Datenschutz beschäftigen – denn all diese beispielhaft beschriebenen Praktiken sind nicht datenschutzkonform!

Seit der Inkrafttretung der DSGVO am 25. Mai 2018 haben alle Unternehmen im Bereich Datenschutz und Bewerberdaten auf zahlreiche gesetzliche Bestimmungen zu achten. Für Betriebe bedeutet die DSGVO ein Mehr an Informations- und Dokumentationspflichten. Die Bewerber als solches profitieren von weitergehenden Rechten und einem nachhaltigen Schutz ihrer persönlichen Daten. 

Die 10 wichtigsten Antworten zum Thema DSGVO-Bewerbermanagement

Was Arbeitgeber beim Recruiting beachten müssen, damit sie nicht gegen die Datenschutz-Grundverordnung verstoßen, wird anhand der wichtigsten Fragen zum Thema „Bewerbermanagement und Datenschutz“ beantwortet:

1. Ist bereits in der Stellenausschreibung auf den Datenschutz hinzuweisen?

Ja, bereits mit der Stellenausschreibung müssen Unternehmen über die Datenverarbeitung aufklären. Hierzu ist ein Verweis auf die Datenschutzerklärung auf der Unternehmenswebseite erforderlich. Darin muss erläutert werden, was mit den Bewerberdaten passiert, wenn diese im Betrieb eingehen und wie diese verarbeitet werden. Denn mit dem Eingang einer Bewerbung beginnt die Verarbeitung von personenbezogenen Daten – zum Beispiel, wenn die Daten aus der E-Mail auf dem eigenen Betriebs-Server gespeichert werden. Nach Artikel 13 DSGVO haben Betroffene, in dem Fall die Bewerber, ab diesem Zeitpunkt ein Recht darauf zu erfahren, was mit ihren Daten geschieht. Betriebe kommen somit in die Informationspflicht.

Wer Bewerbungen per E-Mail erhält, kann die Information mit der Eingangsbestätigung mitschicken. Möglich ist es auch, die Informationen auf der Datenschutzerklärung der Website unterzubringen und dahin zu verlinken. Auch Bewerbern, die ihre Bewerbungsunterlagen per Post schicken, muss man streng genommen die Datenschutzinformation zuschicken – postalisch oder per Mail.

Übrigens: Bewerber müssen nicht bestätigen, dass sie die Datenschutzinformation bekommen haben und akzeptieren. Unternehmen haben nur eine Pflicht zur Information.

2. Wie ist mit Initiativbewerbungen umzugehen, die an ein allgemein zugängliches E-Mail-Postfach gesendet werden?

Nicht selten erhalten Betriebe Initiativbewerbungen. Aus datenschutzrechtlicher Sicht können solche Bewerbungen, die als Mail versendet werden, brisant werden. Denn Bewerber schicken Blindbewerbungen in der Regel an diejenige E-Mail-Adresse, die im Impressum zu finden ist, wie z.B. info@musterunternehmen.de. Dies ist meist ein „allgemeines“ Postfach, auf das oftmals mehrere Personen Zugriff haben. Aus datenschutzrechtlicher Sicht sind hier verschiedene Fragen zu beantworten:

• Wer hat genau Zugriff auf die zugesandten Daten?
• Was passiert mit den eingehenden Bewerbungen?
• Werden diese von jemandem ausgedruckt?

Deshalb ist zu raten, für Bewerbungsverfahren eine gesonderte E-Mail-Adresse einzurichten und zu verwenden, auf die nur bestimmte Personen, wie z.B. der Chef und die Personalabteilung, Zugriff haben. Und wenn doch eine Bewerbungs-Mail über die Haupt-Mail eingehen sollte, sind die folgenden, internen Anweisungen anzuordnen, wie Mitarbeiter damit umzugehen haben:

• Derartige Bewerbungs-Mails sind unverzüglich an die Person weiterzuleiten, die im Betrieb dafür zuständig bzw. verantwortlich ist.
• Im Anschluss ist die Mail im allgemeinen Postfach, auf die mehrere Personen Zugriff haben bzw. haben könnten, sofort zu löschen bzw. durch ein spezielles Software-Programm datenschutzkonform zu „schreddern“.

3. Haben potentielle Bewerber eine Einwilligungserklärung abzugeben, damit Arbeitgeber ihre Daten für das Bewerbungsverfahren verarbeiten dürfen?

In diesem Fall ist keine Einwilligungserklärung seitens des Bewerbers abzugeben, da die Daten für den Zweck einer konkreten Bewerbung verarbeitet werden.

4. Wann benötigen Arbeitgeber zwingend eine Einwilligung des Bewerbers zur Verarbeitung seiner Daten?

Diese wird dann erforderlich, wenn die Daten des Bewerbers für eine mögliche spätere Zusammenarbeit gespeichert werden sollen. In der Regel ist dies der Fall, wenn Unternehmen zum Beispiel momentan keine Verwendung bzw. Vakanz haben, allerdings für einen späteren Zeitpunkt darauf zurückgreifen möchten. Dann sollten sich Verantwortliche vom Bewerber eine entsprechende Einwilligung zur Speicherung der Daten schriftlich einholen, damit sie dies bei einer späteren Nachfrage des Bewerbers nachweisen können. Hier bietet sich als Lösung an, die dafür erforderliche Einwilligung per E-Mail einzuholen.

5. Wer darf Bewerbungen sichten?

Generell dürfen nur Personen Einblick in Bewerbungen haben, die auch darüber entscheiden, wer die Stelle bekommen soll. Somit ist in jedem Unternehmen intern festzulegen, wer Bewerberdaten erhalten darf bzw. wer ein direktes Mitspracherecht bei der Besetzung der jeweiligen Stelle haben soll. Allen anderen Mitarbeitern ist die Offenlegung von personenbezogenen Bewerberdaten untersagt.

6. Welche zusätzlichen Informationen darf man in Bewerbungs-Fragebögen abfragen?

Hier greift der Grundsatz der Datensparsamkeit. Somit dürfen nur solche Daten abgefragt und erfasst werden, die für die Einstellungsentscheidung relevant und erforderlich sind. Daten zum Gesundheitszustand des Bewerbers dürfen nur in solchen Fällen erfragt werden, wenn diese zur Ausübung einer besonders gefährlichen Tätigkeit notwendig sind (z.B. Aufbaumonteur von  Windenergieanlagen). Nach Schwangerschaften und Familienstand dürfen Arbeitgeber im Regelfall nicht fragen. Auch die Frage nach Hobbies ist grundsätzlich nicht erlaubt, da das Wissen darüber in der Regel keine Relevanz auf die Besetzung der ausgeschriebenen Stelle hat. Wenn jedoch in den Bewerbungsunterlagen diese benannt worden sind, dürfen Unternehmen sie auch speichern. 

7. Dürfen Unternehmen Informationen von früheren Arbeitgebern einholen?

Grundsätzlich gilt, dass Unternehmen, die sich über Bewerber bei früheren Arbeitgebern informieren möchten, hierzu die schriftliche Einwilligung des Bewerbers benötigen! Ausgenommen ist hier der Punkt, wenn es einen konkreten Anhaltspunkt dafür gibt, dass etwas mit der Bewerbung nicht stimmt. Dann kann im Zweifel beim vorherigen Arbeitgeber nachgefragt werden. Dies könnte der Fall sein, wenn es Anzeichen dafür geben sollte, dass ein Zeugnis gefälscht oder sonstige zweifelhafte Angaben gemacht worden sind. 

Im Fall, dass ein Bewerber in seiner Bewerbung auf mögliche Referenzbetriebe hingewiesen hat, können Unternehmer das als Einwilligung sehen, dass sie die dort verantwortliche Person kontaktieren dürfen.

8. Ist das Recherchieren von Daten zu einem Bewerber in sozialen Netzwerken oder Suchmaschinen erlaubt?

Das Sammeln bzw. Abgleichen von Daten in beruflichen sozialen Netzwerken, wie zum Beispiel bei LinkedIn oder Xing, ist nur dann erlaubt, wenn man überprüfen möchte, ob die gemachten, frei zugänglichen Angaben auch der Wahrheit entsprechen. Jedoch ist der potentielle Arbeitgeber gesetzlich aufgefordert, den Bewerber darüber zu informieren, dass er in den sozialen Netzwerken gegebenenfalls entsprechende Daten abgleichen wird. Dies kann jedoch ebenfalls über die Datenschutzinformation auf der Webseite erfolgen.

Einen Bewerber in diversen Suchmaschinen zu „googeln“, ist hingegen nicht erlaubt, da der Arbeitgeber nicht davon ausgehen kann, dass er bei der Suche (nur) auf beschäftigungsrelevante Informationen stößt. Dies gilt gleichermaßen für die Recherche bei Facebook, Instagram, Twitter etc.

9. Wie lange dürfen bzw. müssen Bewerbungsunterlagen aufbewahrt werden?

Bei dieser Fragestellung sind zwei Fälle zu unterscheiden: Wird ein Bewerber eingestellt oder nicht.

Im Falle einer Festanstellung werden die Bewerberdaten in der Personalakte hinter verschlossenen Schränken aufbewahrt. Wenn keine Einstellung erfolgt, sind diese zu löschen, weil Bewerbungen schon rein von ihrem Inhalt her viele personenbezogene Daten enthalten.

Aber: Nach Abschluss des Bewerbungsverfahrens darf ein Unternehmen die Bewerbungsunterlagen für zwei bis maximal sechs Monate aufbewahren, um sich gegen eventuelle Diskriminierungsvorwürfe wehren zu können. Denn das Allgemeine Gleichbehandlungsgesetz verbietet die Diskriminierung von Bewerbern u.a. wegen der Hautfarbe, dem Geschlecht oder dem Alter. Fühlen sich Bewerber gegebenenfalls durch die Absage diskriminiert, können sie Entschädigungs- oder Schadenersatzansprüche geltend machen. Nach § 15 Abs. 4 AGG müssen diese jedoch innerhalb von zwei Monaten ab Zugang der Ablehnung geltend gemacht werden.

Ist diese Frist verstrichen, sind alle Bewerberdaten zu löschen, so dass die Daten unkenntlich gemacht sind und nach ihrer Löschung auch nicht mehr anderweitig existieren. Alle Teile der Bewerbung wie etwa Zeugnisse, das Anschreiben oder der Lebenslauf sind aus dem E-Mail-Postfach zu löschen bzw. die Papierunterlagen datenschutzkonform im Aktenvernichter zu vernichten. Außer die Verantwortlichen haben vom Bewerber die schriftliche Einwilligung zur Speicherung der personenbezogenen Daten bekommen, um diese zu einem späteren Zeitpunkt erneut kontaktieren zu dürfen.

10. Wie sind Bewerbungsunterlagen datenschutzkonform zu vernichten?

Ist die Frist von maximal sechs Monaten abgelaufen, sind alle Unterlagen wie Anschreiben, Lebenslauf oder Zeugniskopien, die mit der Bewerbung zu tun hatten, unkenntlich zu machen bzw. zu vernichten. Dazu gehören auch Notizen aus dem Bewerbergespräch oder Probearbeiten. Wurden Bewerbungen im Unternehmen per E-Mail herumgeschickt, müssen alle Personen, die sie bekommen haben, diese von ihrem Server löschen. Das funktioniert oft nicht zuverlässig – es sei denn, es gibt ein Löschkonzept im Unternehmen, an das sich alle halten! Hierbei ist auch zu beachten, dass die Daten nicht mit zwei Klicks wiederhergestellt werden können. 

Schriftlich eingereichte Bewerbungen sind nicht in die Mülltonne zu werfen, sondern in den Schredder! Für die DSGVO konforme Vernichtung von personenbezogenen Daten in Papierform wird hierfür ein Aktenvernichter mit der Sicherheitsstufe P-4 oder höher benötigt!

Fazit: Gesetzlichen Anforderungen nachkommen und Vorteile nutzen

Die genannten 10 Punkte zum Umgang mit Bewerberdaten sind von jedem Unternehmen zu beherzigen und intern umzusetzen, um den Bewerbungsprozess datenschutzrechtlich abzusichern. Vorteil hiervon ist, dass dadurch das generelle Bewerbermanagement im Unternehmen weiter optimiert werden kann und mögliche Beschwerden sowie daraus folgende Bußgelder abgewendet werden können. Des Weiteren kann auf dieser Basis eine breitere Vertrauensbasis zum zukünftigen Bewerber aufgebaut werden. Denn ein datenschutzkonformer Umgang mit den Unterlagen des Bewerbers bedeutet zudem auch rechtkonform zu handeln, wodurch ein Unternehmen auch nach außen hin seriös wirkt. Dieser nicht unerhebliche Vorteil sollte bei der Rekrutierung von neuen Mitarbeitern berücksichtigt und aktiv kommuniziert werden sowie auch als einen weiteren Vorteil gegenüber den Mitbewerben verstanden werden.

Auch wenn die gesetzlichen Anforderungen an die DSGVO für alle Verantwortlichen einen erheblichen Mehraufwand bedeuten, so ist auf der einen Seite deren Beachtung und Umsetzung ein „Must Have“, auf der anderen Seite aber auch ein Mehrwert, der sich wiederum in vielerlei Hinsicht auszahlen wird.

Herzlichst,
Jan Schmidt-Gehring