News

Umgang mit personenbezogenen Daten. Datenschutz im Bewerbungsverfahren wahren

Kategorie: Datenschutz

Umgang mit personenbezogenen Daten im Bewerbungsverfahren

Bewerbungen erhalten eine Vielzahl an personenbezogenen Daten (teilweise auch sensible Daten). So werden z. B. Lebensläufe, Zeugnisse, Gehaltsvorstellungen und Fotos verarbeitet. Für den richtigen Umgang mit diesen Daten, ist das Unternehmen, welches die Daten empfängt, verantwortlich. Dieser Beitrag soll Ihnen einen Überblick darüber verschaffen, worauf beim Bewerbungsprozess zu achten ist.

Beachten Sie die geltenden Löschfristen 

Bewerbungen sollten bei Ablehnung sechs Monaten nach Eingang gelöscht werden. Dies hat folgende Gründe:  

Gemäß Art. 17 DSGVO sind Daten zu löschen, wenn Sie für den Zweck, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind und keine anderweitigen Aufbewahrungspflichten der Löschung entgegenstehen. Nach Ablehnung eines Bewerbers, ist die Speicherung der Bewerbung nicht mehr erforderlich. Zur Verteidigung von Rechtsansprüchen, dürfen die Bewerbungen aber noch aufbewahrt werden (Art. 17 Abs. 3 DSGVO). Aus diesem Grund empfiehlt es sich, Bewerbungen erst sechs Monate nach Eingang zu löschen, um sich so gegen Ansprüche aus dem Allgemeinen Gleichbehandlungsgesetzes verteidigen zu können.  

Bei der Löschung ist zu beachten, dass die Bewerbungen von allen Systemen und Datenträgern entfernt werden müssen. Dies ist leider häufig gar nicht möglich, weil durch die Backups der E-Mail-Postfächer eine Löschung von allen Systemen ausgeschlossen wird.
Deswegen gehen immer mehr Unternehmen dazu über, eine Software für das Bewerbungsmanagement zu implementieren. Diese haben den Vorteil, dass Bewerbungen nicht mehr in den E-Mail-Postfächern gespeichert werden.

Bewerbungen in Papierform sind selbstverständlich so zu vernichten, dass es unmöglich wird, diese nachträglich zu rekonstruieren.

Bewerberpool

Falls ein Unternehmen an einem Bewerber Interesse hat, diesem aber erstmal keinen Arbeitsplatz anbieten kann ist es möglich die Bewerbung bis zu zwei weiteren Jahren aufzubewahren, um dem Bewerber auf diesem Wege später einen Arbeitsplatz anzubieten. Für eine solche Aufnahme in den „Bewerberpool“ ist aber zwingend eine Einwilligung des Bewerbers erforderlich. Aus § 26 Abs. 2 S. 3 BDSG ergibt sich, dass die Einwilligung schriftlich oder elektronisch einzuholen ist.   

Zweckbindung

Bewerbungen und die dadurch erhobenen Daten dürfen ausschließlich für den Bewerbungsprozess genutzt werden (Art. 5 Abs. b DSGVO (Zweckbindung)). Auf keinen Fall dürfen die Daten an Dritte (z. B.: befreundete Unternehmen) weitergeben werden, oder die E-Mail-Adresse für Werbezwecke oder Ähnliches genutzt werden.

Arbeitsanweisung 

Grundsätzlich empfiehlt es sich, eine Arbeitsanweisung für die Personalabteilung zu verfassen, um Missverständnissen vorzubeugen und einen einheitlichen und gesetzeskonformen Umgang mit Bewerbungsunterlagen sicher zu stellen. Ergänzend dazu sollten das Thema in der jährlichen Datenschutzschulung behandelt werden, um die Mitarbeiter so für das Thema zu sensibilisieren.  

Informationspflicht

Der Verantwortliche ist gemäß Art. 13 DSGVO verpflichtet den Bewerber zum Zeitpunkt der Erhebung über die Datenverarbeitung zu informieren. Ein solcher Datenschutzhinweis sollte dem Bewerber innerhalb der Stellenausschreibung zu Verfügung gestellt werden.
Alternativ kann auch nach dem Bewerbungseingang eine E-Mail mit den erforderlichen Informationen an den Bewerber verschickt werden. Hier biete es Sich an, die Information einer automatischen Eingangsbestätigung anzuhängen. Falls Sie bei der Erstellung eines solchen Datenschutzhinweises Hilfe benötigen, können Sie sich gerne bei uns melden.

Berechtigungskonzept

Bewerbungen sollten nur von den Personen eingesehen werden, die in den Bewerbungsprozess eingebunden sind. Dies sind in der Regel die Geschäftsführung und die Abteilungsleitung. Das Unternehmen ist dafür verantwortlich, dafür zu sorgen, dass Unberechtigte keine Einsicht in die Bewerbungen haben. 
Falls Dienstleister (z.B.: Recruiter) in den Bewerbungsprozess integriert sind, muss mit diesen ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden.

Selbstverfasste Notizen

Nicht nur die Bewerbung selbst ist von der DSGVO geschützt, sondern auch alle Notizen, die der potenzielle Arbeitgeber, im Bewerbungsprozess verfasst und die einen Rückschluss auf den Bewerber zulassen. Das bedeutet, dass die oben genannten Grundsätze auch auf die selbstverfassten Informationen anzuwenden sind. Folglich sollten diese Daten spätestens nach sechs Monaten gelöscht werden. 

 

Ihr Berater unterstützt Sie gerne zu diesem und anderen Datenschutz Themen.

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download