Datenschutz bei der Bewerbung

Der datenschutzrechtliche Bewerbungsprozess

Die Bewerbungsmappe – ein Relikt aus der Vergangenheit? Anders als noch vor wenigen Jahren, ist eine klassische Bewerbung in Papierform heutzutage immer seltener, auch wenn es sie gelegentlich noch gibt. Ein großer Teil von Unternehmen bietet den Bewerbern die Möglichkeit, eine Bewerbung per E-Mail zu versenden oder stellt ein eigenes Bewerberportal zur Verfügung. Doch unabhängig von der gewählten Form sind in Zeugnissen, Lebensläufen und Bewerbungsschreiben umfangreiche Informationen über die Person enthalten, bei deren Verarbeitung auf die Grundsätze der Verarbeitung personenbezogener Daten geachtet werden muss. 

Immer häufiger werden Bewerber von Unternehmen darauf hingewiesen, ausschließlich den Weg über eine E-Mail-Bewerbung oder über ein Bewerberportal einzuschlagen. Nicht nur aus organisatorischen Gründen ist für beide Seiten der digitale Weg zu empfehlen. Besonders aus datenschutzrechtlicher Sicht bietet die digitale Bewerbung Vorteile. Zum Beispiel unterstützt ein eigens eingerichtetes E-Mail-Postfach die Personalabteilung bzw. das Recruiting bei der Einhaltung des Grundsatzes der Datenminimierung (vgl. Art. 5 Abs. 1 lit. c) DSGVO). So können im Recruiting durch ein entsprechend voreingestelltes E-Mail-Postfach oder ein Bewerbungsportal die Informationspflichten aus Art. 12 ff. DSGVO gegenüber dem Bewerber rasch und vor allem revisionssicher erfüllt werden.

Checkliste Datenschutz: Bewerbungen

Der Onboarding-Prozess eines Mitarbeiters sollte vollständig organisiert sein, besonders in datenschutzrechtlicher Hinsicht. Ein gut strukturiertes Onboarding bietet Sicherheit für den Arbeitgeber und aufseiten des Mitarbeiters ein Gefühl willkommen zu sein. Um dies in Ihrem Unternehmen erfolgreich zu meistern, haben wir Ihnen eine Checkliste mit den wichtigsten Punkten zusammengefasst:

• Bewerbungsprozess
  • Einrichten einer Bewerber-E-Mail/eines Bewerberportals
  • Erfüllung der Informationspflichten nach Art. 12 ff. DSGVO z.B. durch einen Datenschutzhinweis neben dem Arbeitsvertrag
  • Beachten der Löschfrist (6 Monate)
  • Einholen einer Einwilligung, falls Bewerberdaten länger als 6 Monate gespeichert werden sollen
  • Zugriff auf Bewerberdaten ausschließlich für HR, die betreffende Fachabteilung und die Geschäftsführung
• Einstellungsprozess
  • Verpflichtungserklärung auf die Vertraulichkeit bzw. zur Wahrung des Datengeheimnisses
  • Einholen von Einwilligungen z.B. für Mitarbeiterfotos
  • ggf. Führerscheinkontrolle
  • Vereinbarung einer Clean-Desk-Policy
• Zugriffsrechte auf Personaldaten
  • Zugriffsbeschränkung für alle Nicht-Berechtigten
  • Datenschutz-Schulung für Mitarbeiter
  • Sensibilisierung aller Mitarbeiter für Datenschutz 
  • Diskretion bei Lohn- und Gehaltsdaten sowie bei Mitarbeiterbeurteilungen

Für weitere hilfreiche Informationen zum Thema Personal können Sie sich unser eBook “Personalwesen” hier herunterladen

Die Bewerberdaten und der Datenschutz

Wann dürfen Unternehmen überhaupt Bewerberdaten verarbeiten? Als Rechtsgrundlage für die Erhebung und Verarbeitung von Bewerberdaten dient Art. 88 Abs. 1 DSGVO i.V.m. § 26 BDSG. Der Umgang mit den Bewerberdaten sollte höchst sensibel gehandhabt werden, denn in nahezu allen Fällen beinhaltet eine Bewerbung auch besondere personenbezogene Daten i.S.v. Art. 9 Abs. 1 DSGVO. Die Übersendung von besonderen Kategorien personenbezogener Daten liegt hierbei nicht im Machtbereich des Arbeitgebers. Dies liegt vor allem daran, dass Lebensläufe variieren und beispielsweise Daten über die religiöse oder weltanschauliche Überzeugung sowie Lichtbilder enthalten können. Derartige besondere personenbezogene Daten erfordern entsprechende technische und organisatorische Maßnahmen, die ein angemessenes Schutzniveau gewährleisten. 

Außerdem sind Bewerber über den Zweck, den Umfang und die Rechtsgrundlage der Datenerhebung zu informieren. Dieser Informationspflicht i.S.v. Art. 13 DSGVO muss per Mitteilung in der Datenschutzerklärung nachgegangen werden. Die Informationspflicht beinhaltet darüber hinaus die Kontaktdaten des Arbeitgebers und des Datenschutzbeauftragten, die Speicherdauer, weitere mögliche Empfänger der Bewerbung, den Drittstaatentransfer, das Beschwerderecht, einen Hinweis auf das Widerrufsrecht und eine Belehrung über die Rechte des Betroffenen.

Zudem muss eine transparente Dokumentation aller Verarbeitungstätigkeiten im Rahmen eines Verarbeitungsverzeichnisses erfolgen. Die inhaltlichen Angaben, die enthalten sein müssen, gibt der Katalog in Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO vor.

Wann müssen Bewerbungen gelöscht werden?

Unternehmen müssen Bewerbungen spätestens nach sechs Monaten löschen, da hier die standardmäßige Rechtsgrundlage entfallen ist. Die sechs Monate ergeben sich u.a. aus § 15 Abs. 4 AGG. So müssen neben dem Grundsatz der Datenminimierung (vgl. Art. 5 lit. c) DSGVO) auch Klagefristen und Entschädigungsansprüche aufseiten des Bewerbers berücksichtigt werden. Nach § 15 Abs. 4 AGG können demnach Bewerber innerhalb von zwei Monaten nach Ablehnung der Bewerbung etwaige Entschädigungsansprüche geltend machen. Darauffolgend hat der Bewerber weiterhin die Möglichkeit, innerhalb einer Frist von drei Monaten Klage am zuständigen Gericht zu erheben. Berücksichtigt man zudem etwaigen Briefverkehr zwischen den Parteien zur Klärung der Umstände und Organisation eines Prozesses, ist eine Löschfrist von sechs Monaten von personenbezogenen Daten abgelehnter Bewerber als vertretbar anzusehen.  Die Unternehmen müssen unbedingt dafür Sorge tragen, dass die maximale Speicherdauer von Bewerberunterlagen nicht überschritten wird, z.B. mit einer automatischen Löschfrist im Postfach oder im Bewerberportal. 

Mit dem Zusenden der Bewerbungsunterlagen erhalten diese Daten eine Zweckbindung. Sobald dieser Zweck erfüllt ist, müssen die Daten gemäß Art. 17 Abs. 1 lit a) DSGVO unverzüglich gelöscht werden. Die Daten dürfen also maximal so lange behalten werden, bis die Stelle, auf die sich die Bewerbung bezieht, nicht mehr zu vergeben ist. Eine längere Speicherung ist nicht erlaubt.

Probleme können sich dadurch ergeben, dass die Bewerbungsunterlagen schnell weitergeleitet oder vervielfältigt werden können, z.B. per Mail, Ausdruck oder Kopie. Auch diese Vervielfältigungen müssen gelöscht werden. Zudem spielt die richtige Art der Vernichtung eine wichtige Rolle. Zum Beispiel müssen schriftliche Daten vorschriftsgemäß geschreddert werden. Nach der Löschung von einem Datenträger dürfen die Daten nicht mehr von der Festplatte rekonstruierbar sein. Um Mitarbeiter eines Unternehmens für diese Problemfelder und den richtigen Umgang damit zu sensibilisieren, bietet sich eine Mitarbeiterschulung an. Da jeder Mitarbeiter potenziell damit konfrontiert werden kann, ist eine Sensibilisierung in Bezug auf den Umgang mit Daten umso wichtiger.

Bei der Aufnahme in einen Bewerberpool werden potenzielle Kandidaten in eine Datenbank aufgenommen, um für zukünftige, noch offene Stellen vermerkt zu werden. Hierbei können die Daten ein bis maximal zwei Jahre gespeichert werden, also deutlich länger als normalerweise. Dazu ist allerdings eine Einwilligung des Bewerbers gemäß Art. 7 DSGVO notwendig.

Es gibt viele Gründe, warum ein Bewerber nicht eingestellt wird. Oftmals geschieht dies nicht im Einvernehmen beider Parteien. Grundsätzlich und gerade wenn Konflikte zu erwarten sind, sollte man als Arbeitgeber alles Nötige tun, die Betroffenenrechte aus Art. 12 ff. DSGVO gegenüber dem Bewerber zu erfüllen (z.B. Auskunft oder Löschung der Bewerberdaten).

Erscheint ein Bewerber interessant und möchte man eine Bewerbung länger speichern, so ist dies nur mit einer speziellen Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) des Bewerbers möglich. Beachten sollte das Unternehmen die strengen Bedingungen für eine wirksame Einwilligung gemäß Art. 7 DSGVO.

Weitergabe von Bewerberdaten

Sie erhalten Bewerbungen, welche unter Umständen für eine Tochtergesellschaft oder ein befreundetes Unternehmen interessant sein könnten? Dann müssen Sie in diesem Fall ebenfalls eine Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) einholen. Sollten Sie diese Daten weitergeben, ohne vorher eine informierte Einwilligung des Bewerbers erhalten zu haben, verstoßen Sie gegen die Grundsätze der Datenschutz-Grundverordnung und es drohen hohe Bußgelder. 

Auch für Headhunter oder Jobbörsen gilt: Der Umgang mit Bewerberdaten ist aus datenschutzrechtlicher Sicht äußerst sensibel zu gestalten und es wird stets eine Rechtsgrundlage für die Weitergabe von Bewerberdaten benötigt. Hierfür kommt in der Regel nur die Einwilligung in Betracht.

Zudem sind innerhalb eines Bewerbungsprozesses oft mehrere Personen eines Unternehmens beteiligt, zum Beispiel um sich eine zweite oder dritte Meinung einzuholen. Wichtig ist, dass die Weitergabe der Bewerberdaten begrenzt sein muss. Alle beteiligten Mitarbeiter müssen zur Verschwiegenheit verpflichtet werden und dürfen die Daten nicht weitergeben. Das Zugriffsrecht sollte nur bei entscheidungsbefugten Personen liegen. Die Daten sollten also nicht in einem allgemein zugänglichen Ordner abgelegt oder per Mail weitergeleitet werden.

Datenschutzerklärung Bewerbung

Eine zentrale Rolle für das Einhalten datenschutzrechtlicher Vorgaben spielt die Datenschutzerklärung. Umso wichtiger ist es, dass diese auch bei digitalen Bewerbungsprozessen richtig platziert und so für den Bewerber leicht zugänglich gemacht wird. Bei Bewerberportalen und Anschreibungsseiten im Internet muss die Datenschutzerklärung bei der Anzeige direkt verlinkt werden. Sollte auf der Website ein Bewerbungsformular zur Verfügung gestellt werden, über das die Bewerber ihre Bewerbungen einsenden, muss dies verschlüsselt oder passwortgeschützt sein, um ein angemessenes Schutzniveau i.S.d. Art. 32 DSGVO zu gewährleisten. Bei Initiativbewerbungen hingegen werden die Daten direkt verarbeitet, sodass sofort eine Mitteilung (z.B. per Auto-Response) über den Zweck und Umfang der Verarbeitung als PDF oder Link erfolgen muss.

Datenschutz beim Bewerbungsgespräch

Um den Bewerber richtig kennenzulernen und herauszufinden, ob er in das Unternehmen passt, ist es von erheblicher Bedeutung, während eines Vorstellungsgespräches Fragen an diesen zu stellen. Dabei machen sich die Verantwortlichen oft Notizen und bewahren diese auf. Auch hierbei handelt es sich um die Verarbeitung von personenbezogenen Daten. Allerdings dürfen nur Fragen gestellt werden, die auch notwendig für die Einstellung sind. Unzulässig sind Fragen über die politische und religiöse Einstellung, zum Gesundheitsstand oder nach einer Schwangerschaft (außer dies ist notwendig für die Sicherheit wegen Aussetzungen von Strahlungen). Bisher nicht geklärt ist die Frage nach einer Schwerbehinderung.

Backgroundcheck von Bewerbern erlaubt?

Ein sogenannter Backgroundcheck des Bewerbers, also das Durchleuchten weiterer verfügbarer Daten neben den Bewerbungsunterlagen, stellt ebenfalls die Erfassung von personenbezogenen Daten dar. Auch wenn dies für das Unternehmen interessant und reizvoll sein kann, um noch mehr über den Bewerber zu erfahren, ist nicht jede Form von Backgroundcheck zulässig. Das Überprüfen sozialer Netzwerke, die freizeitorientiert ausgerichtet sind, ist nicht zulässig. Dazu gehören beispielsweise Instagram und Facebook. Zulässig ist hingegen das Überprüfen berufsorientierter Netzwerke wie LinkedIn und Xing. Eine Suche bei Google ist dann zulässig, wenn die gefundenen Daten vom Bewerber erstellt wurden, nicht älter als fünf Jahre sind und im Zusammenhang mit der Arbeitsstelle stehen. Zudem kann die Datenschutzaufsichtsbehörde fordern, dass dem Bewerber eine Richtigstellung ermöglicht werden muss, wenn er mit den im Internet gefundenen Daten konfrontiert wird. 

Sofern eine besondere Vertrauensstellung vorliegt, sind weitere Backgroundchecks zulässig. Dazu gehören das polizeiliche Führungszeugnis, eine Bankauskunft, Abfrage bei EU-Sanktionslisten oder eine Schufa-Auskunft. Die Abfrage des Gesundheitszeugnisses ist nur dann zulässig, wenn dies für die Stelle notwendig ist, also beispielsweise bei der Arbeit in einem Krankenhaus. Ob Anfragen beim ehemaligen Arbeitgeber zulässig sind, ist hingegen stark umstritten.

Bewerbung über Social Media (Active Sourcing)

Immer häufiger greifen Personalreferenten und auch Headhunter auf das sogenannte “Social Monitoring” zurück. Hierbei setzt das Recruiting auf die Recherche über das Internet und filtert Informationen des Bewerbers, insbesondere über Social Media wie Facebook, Twitter & Co. Auch aus diesem Grund ist es immer ratsam, Feingefühl bei seinen öffentlich geteilten Informationen im Internet zu beweisen.

Bei diesem Vorgehen ist allerdings Vorsicht geboten, denn die vom Bewerber allgemein zugänglich gemachten Daten dürfen nur zur Entscheidungsfindung verwendet werden, sofern keine schützenswerten Interessen des Bewerbers damit unvereinbar sind. Aus datenschutzrechtlicher Sicht empfiehlt es sich, die dafür vorgesehenen Portale wie XING oder LinkedIn für das Social Monitoring zu nutzen. 

Sollte anschließend eine Weitergabe der Bewerberdaten aus den sozialen Netzwerken an die interne Personalabteilung bzw. eine Aufnahme in die Bewerberdatenbank folgen, ist wieder eine Einwilligung erforderlich.