Personen bei Beprechung

Datenschutz & Bewerbung - das müssen Sie wissen

Der Datenschutz bei Bewerbungen unterliegt der DSGVO. Aber was sind die genauen datenschutzrechtlichen Rahmenbedingungen? Ist Social Monitoring erlaubt? Und was sind absolute No-Gos?

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2020-10-05

Logo
  • Kathrin Strauß K-Strauss.png
    Author: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Beim Datenschutz im Unternehmen spielt der Datenschutz bei Bewerbungen eine große Rolle. Die Erhebung, Verarbeitung und Speicherung von Daten unterliegen im deutschen und europäischen Recht einer strengen Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO), da sie immer auch einen Eingriff in das informationelle Selbstbestimmungsrecht der Betroffenen bedeutet. Gerade im Bewerbungsprozess, in dessen Lauf eine Vielzahl personenbezogener Daten abgefragt und gesammelt werden, ist es Unternehmen deshalb anzuraten, sich mit den datenschutzrechtlichen Rahmenbedingungen vertraut zu machen.

 

Datenschutz & Bewerbungen

Bei der Auswahl geeigneter Arbeitnehmer:innen für eine Stelle und der Anbahnung eines Arbeitsvertrages müssen sich Arbeitgeber:innen ein ungefähres Bild über die einzustellende Person machen. Um zu klären, ob diese fachlich oder persönlich ins Unternehmen passt, müssen bestimmte Informationen über sie in Erfahrung gebracht werden. Die meisten Bewerber:innen stellen diese Informationen mit Bewerbungsunterlagen selbst zur Verfügung. Da solche Bewerbungsunterlagen viele personenbezogene Daten enthalten, unterliegen sie strengen Datenschutzregeln.

Gleichzeitig stellt sich in einem Bewerbungsprozess die Frage, in welchen Grenzen die Informationserhebung über Bewerber:innen zulässig ist. Wann überwiegt das Informationsinteresse des Unternehmens das Recht der Bewerber:innen auf informationelle Selbstbestimmung? Da diese Frage schwierig zu beantworten ist, bedürfen Datenschutz- und Arbeitsrecht einer gemeinsamen Betrachtung: Daten, die der Arbeitgeber in arbeitsrechtlich zulässiger Weise abfragen darf, müssen auch datenschutzrechtlich erhoben und gespeichert werden dürfen.

 

Rechtliche Lage bei Bewerbungen – DSGVO-Pflichten für Unternehmen

Der Beschäftigtendatenschutz regelt neben dem Schutz der Daten von Arbeitnehmer:innen auch den zulässigen Umgang mit Bewerberdaten. Während dieser bisher im Bundesdatenschutzgesetz (BDSG) geregelt war, trat vor einigen Jahren die Datenschutzgrundverordnung (DSGVO) vor das national Gesetz und gilt nun vorrangig für den Datenschutz bei Bewerbungen.

Vor allem die Zweckbindung (nach Art. 5 DSGVO) ist für die der Datenerhebung und -speicherung der Daten des Bewerbers / der Bewerberin essentiell. Der Zweck für die Erhebung von Bewerberdaten ist unter normalen Umständen die Entscheidung über ein Beschäftigungsverhältnis. Darüber sollten die Bewerber:innen informiert werden (z.B. mittels automatischer Antwort auf eine Bewerbungs-Mail oder als Hinweis in einem Bewerbungs-Portal). Um den sogenannten Informationspflichten nachzukommen (Art. 13 DSGVO und Art. 14 DSGVO), sollten Unternehmen nach Eingang der Bewerbung folgende Informationen mitteilen:

  • Welche personenbezogenen Daten erhoben wurden (Lebenslauf, Zeugnisse usw.),
  • Wer die Daten verarbeitet (HR-Bereich, Chef:in der betreffenden Abteilung, die die Stelle ausgeschrieben hat etc.),
  • Woher die Daten stammen (eigene Bewerbung, Übermittlung durch Dienstleister),
  • Speicherdauer (die Aufbewahrungsfrist der Bewerbungsunterlagen) sowie
  • Rechte der Bewerber:innen (Recht auf Auskunft (Art. 15 DSGVO), Recht auf Berichtigung der Daten (Art. 16 DSGVO), Recht auf Löschung (nach Art. 17 DSGVO)).

Arbeitgeber:innen sind zudem auch verpflichtet, ein Verarbeitungsverzeichnis (VVT) zu führen. Hier werden alle Verarbeitungen personenbezogener Daten transparent dokumentiert. Diese Übersicht erleichtert sowohl Betroffenenanfragen, Prüfungen durch Aufsichtsbehörden sowie das Einhalten der festgeschriebenen Löschfristen von Bewerbungsunterlagen.

 

Einsicht und Weitergabe von Bewerbungsunterlagen

Der Datenschutz von Bewerbungsunterlagen hört nicht bei der Weitergabe auf. So dürfen die personenbezogenen Daten einer Bewerbung also nicht einfach weitergegeben werden. Ganz im Gegenteil: Neben dem / der zuständigen Sachbearbeiter:in der Personalabteilung dürfen nur solche Unternehmensmitarbeiter:innen Zugriff auf eine Bewerbung erhalten, die direkt mit der ausgeschriebenen Stelle befasst sind. Potentielle Vorgesetzte sind hier mit eingeschlossen – allerdings pauschal keine Kolleg:innen.

Sollte sich ein:e Bewerber:in für eine andere ausgeschriebene Stelle im Unternehmen eignen, dürfen die Bewerbungsunterlagen dorthin ebenfalls erst nach Absprache mit der betroffenen Person weitergeleitet werden. Ohne die Einwilligung des Bewerbers / der Bewerberin dürfen deren Bewerbungsunterlagen also nicht aus der Hand gegeben werden.  

 

Aufbewahrungsfristen Bewerbungsunterlagen: Wann müssen Unterlagen von Bewerber:innen gelöscht werden?

Sollte eine Bewerbung nicht angenommen werden, ist der Zweck der Verarbeitung der personenbezogenen Daten erloschen. Sie müssen also daher gelöscht werden. Doch nicht umgehend – hier kommt das Allgemeinen Gleichbehandlungsgesetzes (AGG) ins Spiel: Bewerber:innen haben das Recht, gegen eine vermeintlich ungerechte Behandlung gegen potentielle Arbeitgeber:innen zu klagen. Bewerber:innen können diesen Anspruch allerdings nur innerhalb von zwei Monaten nach Erhalt der Ablehnung geltend machen. Zu dieser Frist kommen weitere drei Monate, um seine Ansprüche mittels Klage geltend zu machen. Summa summarum können sich Arbeitgeber:innen als Faustregel daher merken, dass nach einer Aufbewahrungsfrist von sechs Monaten Bewerbungsunterlagen zu löschen sind. Diese arbeits- und datenschutzrechtlichen Regeln beziehen sich auf Bewerberdaten im Bewerberpools.

Hinfällig wird diese Löschfrist nur, wenn mit den Bewerber:innen eine längere Aufbewahrungsfrist vereinbart wurde. Diese Vereinbarung sollte im besten Fall schriftlich festgehalten werden.
 

Bewerbungsprozess managen mit Datenschutzsoftware

Um den Bewerbungsprozess auch aus Datenschutz-Sicht bestmöglich zu gestalten, hilft eine Datenschutzsoftware wie Proliance 360. Sie kann den Bewerbungsprozess erheblich erleichtern, da sie den ganzen Prozess vom Eingang der Bewerbung bis hin zu einer Einstellung oder Absage begleitet. Dafür werden in der Software Datenschutzhinweise oder Einwilligungserklärungen bereitgestellt, Sie erhalten Tipps zum datenschutzkonformen Vorgehen und darüber hinaus angeleitete Hilfe bei den Dokumentationspflichten. Auch Erinnerungen an die Informations- und Löschpflichten, die Proliance 360 anbietet, hilft Ihnen und Ihren Mitarbeiter:innen dabei, Bewerbungsprozesse auch datenschutzrechtlich reibungslos ablaufen zu lassen.
 

Zusatzinformationen: Daten von Bewerber:innen aus sozialen Netzwerken und Einzelfragen im Bewerbungsgespräch

Social Monitoring bezeichnet das Einholen von weiterführenden Informationen über Bewerber:innen aus sozialen Netzwerken. Viele Unternehmen bedienen sich bereits dieser Methode – ganz unumstritten ist sie jedoch nicht: Strittig ist insofern, ob das Googeln von Bewerber:innen und die gezielte Recherche von Arbeitgeber:innen in sozialen Netzwerken datenschutzrechtlich erlaubt ist. Zwar wiegt das schutzwürdige Interesse von Bewerber:innen schwer, andererseits erlaubt die DSGVO diese Praxis insofern, da sie die Verarbeitung von Daten gestattet, die der / die Betreffende offensichtlich öffentlich gemacht hat Allgemein sollte jedoch im Hinblick auf soziale Netzwerke differenziert werden: Der Zugriff auf berufsorientierte Netzwerke wie XING und LinkedIn können insbesondere dann zulässig sein, wenn die Unterlagen von Bewerber:innen auf die jeweiligen Profile in solchen beruflichen Netzwerken verweisen. Nachforschungen zukünftiger Arbeitgeber:innen in privaten sozialen Netzwerken sind dagegen in aller Regel unzulässig, da solche Recherchen keinen Tätigkeitsbezug mehr aufweisen.

Apropos Tätigkeitsbezug: manche Einzelfragen in Bewerbungsgesprächen schießen auch über das Ziel hinaus. Grundsätzlich erlaubt sind Fragen von Arbeitgeber:innen nach Grunddaten sowie Zeugnissen früherer Arbeitgeber:innen oder Nachweisen über tätigkeitsrelevante Qualifikationen. Auskunftsersuche über das Privatleben, die sexuelle Orientierung sowie über politische Ansichten oder die Weltanschauung sind dagegen nicht gestattet und als klares No-Go zu betrachten. Daten darüber dürfen somit auch nicht erhoben, verarbeitet oder gespeichert werden. Auch eine Einwilligung des Bewerbers / der Bewerberin ändert daran nichts.

 

Autorin: Kathrin Strauß

Artikel veröffentlicht am: 05.10.2020

 

 

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portrait von Frau Nathalie Dold mit Herrn Fabian Schröder
Portrait von Frau Nathalie Dold mit Herrn Fabian Schröder

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 2000 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Weiterlesen

Impressum nach TMG

Impressum nach TMG: Das müssen Website-Betreiber beachten

Das Telemediengesetz (TMG) bestimmt, welche Angaben Unternehmen machen müssen, wenn sie im geschäftlichen Verkehr nach außen hin auftreten. Dazu…

News Vorschaubild
Logo

Weiterlesen

Symboldbild für Passwortänderungen im Unternehmen

Passwortänderungen im Unternehmen: Was das BSI jetzt empfiehlt

Das BSI hat neue Empfehlungen für Passwörter veröffentlicht. Komplexe Passwörter und häufige Passwortänderungen werden nicht mehr empfohlen. Was genau…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Zertifizierung nach Art. 42 DSGVO

Zertifizierung nach Art. 42 DSGVO: Aushängeschild für Datenschutz in Unternehmen

Eine DSGVO-Zertifizierung bringt sowohl für Unternehmen als auch für Verbraucher zahlreiche Vorteile. Lesen Sie, inwiefern Sie von einer

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Datenschutz in Verbänden

Datenschutz in Verbänden: Was müssen Vereine beachten?

Die DSGVO gilt auch für Vereine und Verbände, denn die Erfassung und Verwendung von Mitgliederdaten ist meist ein essenzieller Teil der Vereinsarbeit.…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Digitale Pflegeanwendungen

Digitale Pflegeanwendungen – Was Betroffene und Hersteller wissen müssen

Digitale Pflegeanwendungen bringen die Digitalisierung in einen Bereich, in dem bisher nur wenig mit onlinebasierten Anwendungen gearbeitet wurde –…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Datenschutz in Agenturen

Datenschutz in Agenturen: Das gilt es zu beachten

Agenturen haben tagtäglich mit personenbezogenen Daten zu tun, häufig entspricht der Datenschutz allerdings nicht den DSGVO-Regelungen. Welche…

News Vorschaubild
Logo

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr