Personen bei Beprechung

Bewerbung & Datenschutz: Das müssen Unternehmen beachten

In Personalabteilungen spielt der Datenschutz eine große Rolle: Neben Daten der Mitarbeitenden unterliegen auch Daten aus dem Lebenslauf und anderen Bewerbungsunterlagen dem Datenschutz und den Vorgaben der DSGVO.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2023-07-24

Logo
  • Author: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Welche datenschutzrechtlichen Rahmenbedingungen sind im HR-Bereich relevant? Welche Aufbewahrungsfristen gelten für Bewerbungsunterlagen? Ist Social Monitoring erlaubt? Alles rund um Bewerbung, DSGVO und die größten No-Gos.

Warum Datenschutz bei Bewerbungen wichtig ist

Um sich ein Bild davon zu machen, ob Bewerber:innen zum eigenen Unternehmen passen, sind Personalverantwortliche auf die Informationen aus Anschreiben, Lebensläufen und Zeugnissen angewiesen. Oft sind darin personenbezogene Daten enthalten – vom Alter über die Adresse und die Schullaufbahn bis hin zur Religionszugehörigkeit.

Da einige dieser Daten auch für Mitarbeitende außerhalb der HR-Abteilung interessant sind, muss der Datenschutz bei der berechtigten Weitergabe der Bewerbungsunterlagen dafür sorgen, dass keine Unbeteiligten von den Daten Kenntnis erlangen können. Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) spielen hier eine wichtige Rolle: Die Datenschutzgesetze schützen sowohl die Daten von Bewerber:innen als auch der Beschäftigten im Unternehmen.

Die Erhebung, Verarbeitung und Speicherung von Daten unterliegen im deutschen und europäischen Recht einer strengen Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO), da sie immer auch einen Eingriff in das informationelle Selbstbestimmungsrecht der Betroffenen bedeutet. Gerade im Bewerbungsprozess, in dessen Lauf eine Vielzahl personenbezogener Daten abgefragt und gesammelt werden, ist es Unternehmen deshalb anzuraten, sich mit den datenschutzrechtlichen Rahmenbedingungen vertraut zu machen.

Die Rolle von Daten im Bewerbungsprozess

Um zu klären, ob Bewerber:innen fachlich oder persönlich ins Unternehmen passen, müssen bestimmte Informationen über sie in Erfahrung gebracht werden. Die meisten Kandidat:innen stellen diese Informationen im Rahmen ihrer Bewerbungsunterlagen zur Verfügung. Da solche Unterlagen viele personenbezogene Daten enthalten, unterliegen ihre Verwendung und Verarbeitung strengen Datenschutzregeln.

Außerdem ist in einem Bewerbungsprozess zu klären, in welchem Rahmen die Informationserhebung über Bewerber:innen zulässig ist: Wann überwiegt das Informationsinteresse des Unternehmens das Recht der Bewerber:innen auf informationelle Selbstbestimmung?

Da diese Frage schwierig zu beantworten ist, bedürfen Datenschutz- und Arbeitsrecht einer gemeinsamen Betrachtung: Daten, die der Arbeitgeber in arbeitsrechtlich zulässiger Weise abfragen darf, müssen auch datenschutzrechtlich erhoben und gespeichert werden dürfen.

Datenschutz bei Bewerbungen: DSGVO Pflichten im Überblick

Die DSGVO und das BDSG regeln den Umgang von Unternehmen mit personenbezogenen Daten. Sie betrifft somit auch den Datenschutz bei Bewerberdaten. Unternehmen müssen die Bewerbungsunterlagen von potenziellen Arbeitnehmer:innen bestmöglich schützen – das gilt während des gesamten Bewerbungsprozesses. Besonders wichtig rund um Bewerbungsunterlagen und Datenschutz sind dabei die folgenden Punkte.

Verarbeitung von Bewerberdaten

Für einen ausreichenden Datenschutz der Bewerberdaten müssen Unternehmen alle Bewerber:innen über die nachfolgende Datenverarbeitung aufklären und sie über ihre Rechte als Betroffene informieren. Das kann beispielsweise mittels einer automatischen Antwort-E-Mail auf eine Bewerbung via E-Mail erfolgen.

Tipp: Nutzen Sie unsere kostenlose Datenschutzerklärung für Bewerber:innen.

Vor allem die Zweckbindung (nach Art. 5 DSGVO) ist für die der Datenerhebung und -speicherung der Daten von Bewerbenden wichtig. Der Zweck für die Erhebung von Bewerberdaten ist unter normalen Umständen die Entscheidung über ein Beschäftigungsverhältnis. Darüber sollten die Bewerber:innen zum Beispiel mittels automatischer Antwort auf eine Bewerbungs-Mail oder als Hinweis in einem Bewerbungs-Portal informiert werden.

Um ihren Informationspflichten nach Art. 13 und 14 DSGVO nachzukommen, sollten Unternehmen nach Eingang der Bewerbung u.a. folgende Informationen mitteilen:

  • Welche personenbezogenen Daten erhoben wurden (Lebenslauf, Zeugnisse usw.),
  • Wer die Daten verarbeitet (HR-Bereich, Chef:in der betreffenden Abteilung, die die Stelle ausgeschrieben hat etc.),
  • Woher die Daten stammen (eigene Bewerbung, Übermittlung durch Dienstleister),
  • Speicherdauer (die Aufbewahrungsfrist der Bewerbungsunterlagen) sowie
  • Rechte der Bewerber:innen. Dazu gehören das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung der Daten (Art. 16 DSGVO) und das Recht auf Löschung (nach Art. 17 DSGVO).

Arbeitgeber:innen sind zudem auch verpflichtet, ein Verarbeitungsverzeichnis (VVT) zu führen. Hier werden alle Verarbeitungen personenbezogener Daten transparent dokumentiert. Diese Übersicht erleichtert sowohl Betroffenenanfragen, Prüfungen durch Aufsichtsbehörden sowie das Einhalten der festgeschriebenen Löschfristen von Bewerbungsunterlagen.

Weitergabe von Daten: Nicht ohne Zustimmung

Eine Herausforderung für viele Unternehmen ist die Gewährleistung des Datenschutzes bei der Weitergabe von personenbezogenen Daten in Form von Bewerbungsunterlagen. Verantwortliche müssen darauf achten, dass die Bewerbung nur an die für den Bewerbungsprozess erforderlichen firmeninternen Stellen weitergeleitet wird. Neben zuständigen Sachbearbeiter:innen der Personalabteilung gehören dazu nur Mitarbeitende, die direkt mit der ausgeschriebenen Stelle befasst sind. Potenzielle Vorgesetzte sind hier mit eingeschlossen – allerdings pauschal keine Kolleg:innen.

Sollte sich ein:e Bewerber:in für eine andere ausgeschriebene Stelle im Unternehmen eignen, dürfen die Bewerbungsunterlagen dorthin ebenfalls erst nach Absprache mit der betroffenen Person weitergeleitet werden. Ohne die Einwilligung des Bewerbers / der Bewerberin dürfen deren Bewerbungsunterlagen also nicht aus der Hand gegeben werden.

Achtung: Sollen Bewerbungsunterlagen intern für eine andere ausgeschriebene Stelle weitergeleitet werden, könnten Sie dafür bereits die Einwilligung des Bewerbers oder der Bewerberin benötigen.

Persönliche Empfehlungen und die Weitergabe von etwaigen Kontaktdaten ohne entsprechende (schriftliche) Einwilligung von Bewerber:innen sind demnach ebenfalls nicht möglich. Denn die Verantwortlichen wissen nicht, ob ein:e Bewerber:in mit der Weitergabe der Kontaktdaten oder der Bewerbung einverstanden ist.

Die unbedachte Weitergabe von Bewerberdaten kann dazu führen, dass das Unternehmen den notwendigen Datenschutz der Bewerberdaten nicht gewährleistet.

Datensparsamkeit: Weniger Daten sind mehr

Zu den Grundsätzen der DSGVO gehört auch der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), der ebenfalls eine Beschränkung bei den zu erhebenden Daten vorsieht.

Bei Absage Bewerbung löschen? DSGVO und AGG beachten

Die DSGVO gilt nicht nur während des Bewerbungsprozesses und über die Einstellung hinaus: Auch bei einer Absage der Bewerbung gilt der Datenschutz. In diesem Fall sind für die Aufbewahrung der Bewerbung wichtige Fristen zu beachten.

Wichtig für HR-Verantwortliche: Sollte eine Bewerbung nicht angenommen werden, ist der Zweck der Verarbeitung der personenbezogenen Daten erloschen. Eine Speicherung der Bewerbungsunterlagen nach Absage ist nicht vorgesehen. Die Daten müssen deshalb gelöscht und Bewerbungsunterlagen vernichtet werden.

Welche Fristen dabei gelten, richtet sich nach den Vorgaben des Allgemeinen Gleichbehandlungsgesetzes (AGG). Daraus ergeben sich zwar keine festen rechtlichen Aufbewahrungsfristen, doch Arbeitgeber sollten schon aus eigenem Interesse bestimmte Unterlagen aufbewahren. Denn: Bewerber:innen haben das Recht, gegen eine vermeintlich ungerechte Behandlung durch potenzielle Arbeitgeber zu klagen. Bewerber:innen können diesen Anspruch allerdings nur innerhalb von zwei Monaten nach Erhalt der Ablehnung geltend machen. Zu dieser Frist kommen weitere drei Monate, um die Ansprüche mittels Klage geltend zu machen.

Das bedeutet: Arbeitgeber können sich als Faustregel merken, dass Bewerbungsunterlagen nach einer Aufbewahrungsfrist von sechs Monaten zu löschen sind.

Hinfällig wird diese Löschfrist nur, wenn mit den Bewerber:innen eine längere Aufbewahrungsfrist vereinbart wurde, z. B. für die Speicherung in einem Bewerberpool. Diese Vereinbarung sollte im besten Fall schriftlich festgehalten werden.

Sonderfälle Social Monitoring und Einzelfragen im Bewerbungsgespräch: Was ist erlaubt?

Mit Social Monitoring bezeichnet man das Einholen von weiterführenden Informationen über Bewerber:innen aus sozialen Netzwerken. Viele Unternehmen bedienen sich bereits dieser Methode – ganz unumstritten ist sie jedoch nicht: Strittig ist insofern, ob das Googeln von Bewerber:innen und die gezielte Recherche durch den Arbeitgeber in sozialen Netzwerken datenschutzrechtlich erlaubt ist.

Zwar wiegt das schutzwürdige Interesse von Bewerber:innen an ihrer Privatsphäre schwer, andererseits wurden die Daten von den Bewerber:innen bewusst veröffentlicht.

Allgemein sollte jedoch im Hinblick auf soziale Netzwerke differenziert werden:

  • Der Zugriff auf berufsorientierte Netzwerke wie XING und LinkedIn kann insbesondere dann zulässig sein, wenn die Unterlagen von Bewerber:innen auf die jeweiligen Profile in solchen beruflichen Netzwerken verweisen.
  • Nachforschungen zukünftiger Arbeitgeber:innen in privaten sozialen Netzwerken sind dagegen in aller Regel unzulässig, da solche Recherchen keinen Tätigkeitsbezug mehr aufweisen.

Stichwort Tätigkeitsbezug: Manche Einzelfragen in Bewerbungsgesprächen, bei denen dieser Bezug fehlt, schießen über das Ziel hinaus. Grundsätzlich dürfen Arbeitgeber nach Grunddaten und Zeugnissen früherer Arbeitgeber oder Nachweise über tätigkeitsrelevante Qualifikationen fragen. Auskunftsersuche über das Privatleben, die sexuelle Orientierung oder über politische Ansichten und die persönliche Weltanschauung sind dagegen als klares No-Go zu betrachten. Diese Daten dürfen somit auch nicht erhoben, verarbeitet oder gespeichert werden. Selbst eine Einwilligung der Bewerber:innen ändert daran nichts.

Bewerbungsprozess digital managen

Personaler:innen tragen im Umgang mit Bewerberdaten eine große Verantwortung und müssen sich an strenge Datenschutzregeln halten. Unterstützung bekommen sie von der fortschreitenden Digitalisierung: Digitale Bewerbermanagementsysteme vereinfachen die Berücksichtigung der DSGVO-Vorschriften und gewährleisten den erforderlichen Schutz der Bewerberdaten.

So gibt es zum Beispiel automatische Löschmechanismen. Zudem wird in solchen Systemen genau protokolliert, wann welche Daten weitergegeben oder verwendet wurden. Dies erleichtert es HR-Profis, den hohen Ansprüchen der Datenschutzgrundverordnung gerecht zu werden.

Effizienter Schutz für Bewerberdaten effizient Datenschutzsoftware

Um den Bewerbungsprozess auch aus Datenschutzsicht bestmöglich zu gestalten, unterstützt die Datenschutzsoftware Proliance 360 Ihr HR-Team. Sie vereinfacht den Bewerbungsprozess erheblich, da sie den Prozess vom Eingang der Bewerbung bis hin zur Einstellung oder Absage datenschutzrechtlich begleitet.

So nimmt Proliance 360 Ihnen Arbeit ab:

  • In der Software stehen Datenschutzhinweise oder Einwilligungserklärungen bereit.
  • Sie erhalten Tipps zum datenschutzkonformen Vorgehen und angeleitete Hilfen bei Dokumentationspflichten.
  • Proliance 360 erinnert Sie an Informations- und Löschpflichten.
  • Sie erhalten Tipps für datenschutzkonformes Verhalten.

Das ist Proliance 360

Erfahren Sie mehr über die Vorteile einer Datenschutzsoftware und wie Proliance 360 auch anderen Teams im Unternehmen beim Datenschutz Arbeit abnimmt.

Software kennenlernen

Fazit: DSGVO im Recruiting unbedingt beachten – und mit Software vereinfachen

Von Informationspflichten bis hin zu Dokumentationspflichten – seit Inkrafttreten der DSGVO und des BDSG gelten für Unternehmen in puncto Datenschutz und Bewerberdaten klare Vorgaben. Personaler:innen genauestens auf alle Einzelheiten im Bewerbungsprozess achten und den datenschutzkonformen Ablauf eines jeden Bewerbungsverfahrens einzeln prüfen – doch je größer das Unternehmen und umso mehr Bewerbungsverfahren laufen, umso schwieriger wird es, alle Fristen und Vorgaben ohne digitale Unterstützung einzuhalten.

Digitale Bewerbermanagementsysteme und Datenschutzsoftware helfen HR-Teams dabei, alle Vorgaben entsprechend der DSGVO und des BDSG umzusetzen. Bewerberdaten digital zu managen bringt nicht nur eine große Arbeitserleichterung, sondern steht darüber hinaus für gelebten Datenschutz.

Nicht nur HR-Experten stehen immer mehr Tools rund um die Bewerbung zur Verfügung. Auch Bewerbende haben immer mehr Möglichkeiten, sich schnell und unkompliziert bei Unternehmen zu bewerben. Was gilt bei einer Bewerbung per Whatsapp im Datenschutz? Oder bei einem Bewerbungsgespräch per Skype? Welche Rolle spielt Künstliche Intelligenz für die HR-Abteilung? Bei speziellen Fragen wie diesen sollten Unternehmen sich an ihre:n Datenschuztbeauftragte:n wenden, um vom Fortschritt sicher profitieren und den Datenschutz dennoch sicher einhalten können.

FAQ zu Bewerbung & Datenschutz

Was gilt bei Bewerbungen im Datenschutz? Bei Bewerbungen gelten die DSGVO sowie die speziellen Vorgaben des BDSG. Diese schützen alle personenbezogenen Angaben, die Bewerber:innen in ihren Bewerbungsunterlagen an potenzielle Arbeitgeber übermitteln vor einer unrechtmäßigen Verarbeitung. Die Regelungen der DSGVO und des BDSG schreiben Unternehmen vor, wann welche Daten in welchem Umfang genutzt und an wen sie weitergegeben werden dürfen. Die Einhaltung der Vorgaben schützt Unternehmen nicht nur vor Strafen, sondern unterstreicht ihr Image als vertrauenswürdiger und zuverlässiger Arbeitgeber.

Wie informiere ich über den Datenschutz in einer Bewerbung? Wenn Unternehmen Stellen ausschreiben, müssen Sie Ihre Bewerber:innen auf die anschließende Verarbeitung der Bewerberdaten hinweisen und Bewerbende über ihre Rechte als Betroffene aufklären. Das kann zum Beispiel per Antwort-E-Mail auf eine Bewerbung erfolgen. Damit Sie auf der sicheren Seite bei der Formulierung sind, stellen wir Ihnen eine kostenlose Datenschutzerklärung für Bewerber:innen zur Verfügung.

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Weiterlesen

Symboldbild für Datenschutztrends

Infografik: Datenschutztrends 2024

Im Bereich Datenschutz gibt es kein "fertig". Alles ist in Entwicklung, Richtlinien und Gesetze verändern sich, passen sich an. Damit Sie in diesem…

News Vorschaubild
Logo

Weiterlesen

Eine elektronische Gesundheitskarte

Digitalisierung vs. Datenschutz: Die elektronische Gesundheitskarte

Die fortschreitende Digitalisierung im Gesundheitswesen, insbesondere im Umgang mit Patientendaten auf der elektronischen Gesundheitskarte (eGK),…

News Vorschaubild
Logo

Weiterlesen

Datenschutz im Advent: Weihnachtszeit mit der DSGVO in Unternehmen

Die festliche Weihnachtszeit steht vor der Tür, und während Unternehmen sich auf Urlaube, eine besinnliche Zeit und eventuell auch eine eigene…

News Vorschaubild
Logo

Weiterlesen

Externen Datenschutzbeauftragten wechseln: Wie geht das?

Viele Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu benennen. Externe Datenschutzbeauftragte bieten Unternehmen verschiedene…

News Vorschaubild
Logo

Weiterlesen

Case Study: Pflegedienst Dominikus meistert mit uns den Datenschutz

In keinem Bereich spielt der Datenschutz so eine Rolle wie im Gesundheitssektor. Medizinische Daten oder die persönlichen Daten der Patienten und…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Datenschutz im Gesundheitswesen

Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO

Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick…

News Vorschaubild
Logo

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr