Personalabteilungen können also sämtliche Angaben über den schulischen und beruflichen Werdegang und entsprechende Qualifikationen, Zeugnisse und sonstige Nachweise verlangen. Angaben zu Gesundheitsdaten, Partei- oder Gewerkschaftszugehörigkeiten oder zum Familienstand oder Freizeitaktivitäten sind für die Einstellungsentscheidung nicht erforderlich und die Abfrage daher grundsätzlich datenschutzrechtlich nicht erlaubt.

Neue Webportale und die Digitalisierung haben in den letzten Jahren auch die Auswahlverfahren verändert. Unternehmen greifen nicht nur auf die vom Bewerber bereitgestellten Informationen zurück, sondern durchsuchen soziale Netzwerke oder befragen den vorherigen Arbeitgeber. Aber nicht jede Quelle ist erlaubt. So dürfen sie berufliche Netzwerke nutzen, Accounts im privaten Bereich jedoch nicht. Definitiv verboten ist es, sich aus dem im Internet zugänglichen Daten ein umfassendes Bewerber-Persönlichkeitsprofil zu erstellen.

Zugriff nur für berechtigte Personen

Doch nicht nur die Daten eines Bewerbers, die verarbeitet werden können, sind eingeschränkt. Sondern auch die Zugriffsberechtigungen auf die Bewerberdaten selbst. So dürfen nur Personen Zugriff auf die Bewerbungsunterlagen erhalten, die am Auswahlverfahren beteiligt und mitspracheberechtigt sind. Dieser Personenkreis ist grundsätzlich für jedes Bewerbungsverfahren im Einzelfall festzulegen.

Sicherer Datentransfer im Mittelstand

Erfahren Sie in unserem kostenlosen Whitepaper, warum der sichere Transfer von sensiblen Daten und großen Dateien für den Mittelstand immer mehr zum erfolgskritischen Faktor wird.

Vor allem in größeren Unternehmen ist eine Compliance-Richtlinie mit verbindlichen Regelungen für den Umgang mit Bewerberdaten ein Muss. Regelungen zur Vertraulichkeit im Umgang mit den Daten sind sinnvoll, da viele Betriebe Bewerberunterlagen ablegen, vervielfältigen und im Unternehmen verteilen. Daher macht ein sogenanntes Vervielfältigungsverbot für Bewerbungsunterlagen Sinn. Darüber hinaus kann eine Vereinbarung darüber Auskunft geben, welche Fragen beispielsweise im Bewerbungsgespräch erlaubt und welche Quellen Personalverantwortliche für die Recherche nutzen dürfen.

Informationspflicht über die Datenverarbeitung

Unabhängig von den internen Vorgaben gelten unmittelbare Pflichten gegenüber den Bewerbern. Unternehmen müssen Bewerber nach Artikel 13 und Artikel 14 der DSGVO darüber informieren, wie und zu welchem Zweck sie die Daten verarbeiten und gegebenenfalls bei welchen externen Quellen Daten erhoben werden (Soziale Medien, Anruf beim ehemaligen Arbeitgeber etc.). Außerdem müssen Arbeitgeber Kandidaten über ihre Rechte informieren und den Verantwortlichen für die Datenverarbeitung benennen.

In einem Online-Bewerbungstool kann diese Datenschutzinformation im besten Fall als Textfeld hinterlegt werden. Wer Bewerbungen per E-Mail erhält, kann die Information mit der Eingangsbestätigung mitschicken. Möglich ist es auch, die Informationen auf der Datenschutzerklärung der Website unterzubringen und dann zu verlinken. Auch Bewerbern, die ihre Unterlagen per Post schicken, muss man streng genommen die Datenschutzinformation zuschicken – postalisch oder per Mail. Für die Erfüllung der Informationspflichten ist die Einführung eines automatischen Prozesses sinnvoll, um Verstöße gegen diese Vorgaben zu vermeiden. Bewerber müssen nicht bestätigen, dass sie die Datenschutzinformation bekommen haben und akzeptieren. Unternehmen haben nur eine Pflicht zur Information.

Löschpflicht nach Abschluss der Bewerbung

Unternehmen sollten sich immer den Zweck der Verarbeitung von Bewerberdaten vor Augen halten: die Besetzung einer freien Stelle. Entscheidet sich ein Unternehmen für einen anderen Bewerber, entfällt damit der Zweck zur Bewerberdatenspeicherung des abgelehnten Kandidaten. Dementsprechend sind grundsätzlich alle Daten des abgelehnten Bewerbers zu löschen und/oder Unterlagen vollständig an diesen zurückzugeben. Was aber, wenn ein abgelehnter Bewerber nach der Absage Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz gegen das Unternehmen geltend macht? In diesem Fall haben Unternehmen ein berechtigtes Interesse und damit das Recht, die Unterlagen noch kurzzeitig zu behalten.

Leider gibt es bislang keine finale einheitliche Aussage der Datenschutzbehörden darüber, welche Frist angemessen ist. Die Aussagen reichen von drei bis sechs Monaten. Auf keinen Fall empfiehlt es sich, diese länger als sechs Monate aufzubewahren. Die Frist zur Löschung beginnt mit Abschluss des Bewerbungsverfahrens, also regelmäßig mit der Besetzung der Stelle. Da gerade die Löschung besonderer Beachtung bedarf, macht es Sinn, hier einen automatisierten internen Prozess einschließlich eines Löschkonzeptes aufzusetzen.

Die Lösung: eine Secure Content-Plattform

Um der DSGVO auch technisch gerecht zu werden, sollten Karriere-Bereiche auf Internetseiten nach dem aktuellen Stand der Technik verschlüsselt sein. Wer Bewerbungen per Mail bevorzugt, sollte dafür einen digitalen, verschlüsselten Briefkasten zur Verfügung stellen und selbst auch mittels verschlüsselter E-Mails kommunizieren. Eine Secure Content-Plattform kann diese Anforderungen problemlos erfüllen und bietet im Idealfall darüber hinaus die Möglichkeit Zugriffsberechtigungen zu verwalten und die Datenhaltung und -löschung zu automatisieren.

Auf einen Blick

• Die Verarbeitung personenbezogener Daten beginnt, sobald eine Bewerbung bei einem Betrieb eingeht und die Daten auf einem Server gespeichert werden. Ab jetzt gilt die Informationspflicht der Unternehmen gegenüber dem Bewerber.
• Bewerbungen, die an ein allgemeines Postfach gehen, auf das mehrere Mitarbeiter Zugriff haben, sind ein datenschutzrechtliches Risiko. Daher sollte möglichst eine gesonderte E-Mail-Adresse eingerichtet werden oder noch besser ein verschlüsselter elektronischer Briefkasten.
• Falls die Datenschutzerklärung auf der Website keine Informationen darüber enthält, wie das Unternehmen mit Bewerberdaten umgeht, muss das Unternehmen der Informationspflicht nach der ersten Kontaktaufnahme des Bewerbers nachkommen.
• Bewerberdaten müssen spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens gelöscht werden. Unternehmen, die Bewerberdaten dennoch länger speichern möchten, benötigen dafür die Einwilligung der Bewerber.
• Um auch technisch alle Vorgaben zu erfüllen, lohnt sich zumindest die Verschlüsselung des gesamten Bewerbungsprozesses, besser aber noch den Prozess über eine Secure Content-Plattform abzubilden