Datenschutzkonformer Umgang mit Bewerbungen im Unternehmen

Wie auch bei vielen anderen Tätigkeiten im Unternehmen benötigen auch die Datenverarbeitungsvorgänge im Rahmen des Bewerbungsprozesses eine Rechtsgrundlage.

Die Datenverarbeitung im Bewerberprozess wird überwiegend auf § 26 Abs. 1 S. 1 BDSG gestützt. Welcher Folgendes besagt:

"Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist."

In § 26 BDSG wird uns nicht nur die Rechtsgrundlage für die Datenverarbeitung für den Bewerberprozess gegeben, sondern auch, dass Bewerber und Bewerberinnen unter den Begriff „Beschäftigte“ des § 26 BDSG fallen.

In vielen Unternehmen werden Bewerbermanagementtools für das Bewerbungsverfahren genutzt. Diese Verarbeitung kann in der Regel ebenfalls auf § 26 Abs. 1 S. 1 BDSG gestützt werden. Hierbei gilt es allerdings zu beachten, dass nur notwendige Daten, welche tatsächlich für den Bewerbungsprozess notwendig sind, abgefragt und verarbeitet werden. Dies gilt z.B. für Qualifikationsnachweise, Arbeitszeugnis, Lebenslauf etc. Des Weiteren müssen die Zugriffsrechte im Bewerbertool so eingeschränkt werden, dass nur berechtigte Personen die Daten einsehen können (Personalleiter, Ausbilder etc.).

In der Praxis weiß man allerdings auch, dass viele solcher Applikationen mehr Funktionalitäten bieten als eig. zwingend erforderlich sind, um einen neuen Beschäftigten für das Unternehmen zu finden z.B. wenn der Bewerber via SMS über den Status seiner Bewerbung informiert wird oder mehr Daten abgefragt werden als für den Zweck der Bewerbung notwendig sind. Diese Funktionalitäten können daher nicht mehr auf § 26 Abs. 1 S. 1 BDSG gestützt werden, da diese nicht zwingend für die Anbahnung eines Arbeitsverhältnisses erforderlich sind. Bei der Einführung einer Bewerbermanagementsoftware empfehlen wir, den Datenschutzbeauftragten mit einzubinden. Dieser ist mit der Praxis vertraut und kann Sie dabei unterstützen, ein passendes Programm für das Unternehmen auszuwählen beziehungsweise zu entscheiden, welche Funktionalitäten einer Software tatsächlich eingesetzt werden.

Da in der Regel die Hersteller einer Bewerbermanagementsoftware im Sinne von Wartung und Support Zugriff auf die personenbezogenen Daten, darunter ggf. auch sensible Daten haben, ist es erforderlich, eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO mit dem Dienstleister abzuschließen.

Bewerbungen von nicht berücksichtigten Bewerbern dürfen nach Ende des Bewerbungsprozesses max. 4 Monaten im Unternehmen gespeichert werden. Doch was ist mit interessanten Bewerbungen, für welche aktuell keine offenen Stellen zur Verfügung stehen? Dürfen diese Bewerbungen länger gespeichert und aufbewahrt werden?

Für eine Speicherung über den Bearbeitungszeitraum hinaus darf das Unternehmen die Unterlagen nur aufbewahren/speichern, wenn der Bewerber hierfür seine Einwilligung erteilt hat. Die Speicherung der Bewerbungsunterlagen über den Bewerbungsprozess hinaus stützt sich somit auf § 26 Abs 2 S. 1 BDSG.

Zu beachten gilt es, dass nach erteilter Einwilligung die Unterlagen nicht auf unbestimmte Zeit vorgehalten werden dürfen. Es genügt meist die Unterlagen für max. 2 Jahre zu speichern.

Des Weiteren müssen die Daten des Bewerbers, wenn dieser seine Einwilligung widerruft, unverzüglich gelöscht bzw. vernichtet werden.

Hierbei gilt es zu beachten, dass Fragen, welche in einem persönlichen Bewerbungsgespräch nicht gestellt werden dürfen, auch im Bewerbermanagementsystem tabu sind. Wir raten hierzu, im Vorfeld einen entsprechenden Fragenkatalog mit rechtlich zulässigen Fragen zu erarbeiten und die für die zu besetzende Stelle relevanten Fragen bei der individuellen Bewerbung zu verwenden.

Wie auch Mitarbeiter, Kunden und Lieferanten über die Datenverarbeitung im Unternehmen informiert werden müssen, ist dies auch für die Bewerber erforderlich.

Gemäß der DSGVO fallen die Bewerber unter dem Begriff der Beschäftigten. Allerdings empfiehlt es sich, gesonderte Datenschutzinformationen für die Bewerber auszuarbeiten, da sich hier der Verarbeitungsprozess anders gestaltet als bei Mitarbeitern. Bei Verwendung eines Bewerbermanagementtools muss auch in den Datenschutzinformationen darauf hingewiesen werden und deren Zweck der Verarbeitung erläutert werden.

Die Datenschutzinformationen müssen für den Bewerber leicht einsehbar sein. Dies kann am besten umgesetzt werden, wenn die Datenschutzinformationen auf der Homepage veröffentlicht werden.

Um die Dokumentationspflicht der DSGVO zu erfüllen, ist auch für den Bewerbungsprozess eine entsprechende Verarbeitungstätigkeit gemäß Art. 30 DSGVO zu dokumentieren.

Wie sich das Verzeichnis der Verarbeitungstätigkeit aufbaut, wird in unserem Video „die wichtigste Dokumentationspflicht der DSGVO – das Verzeichnis von Verarbeitungstätigkeiten“ erklärt.

Falls Sie Fragen zum Thema Bewerbermanagement oder zu anderen datenschutzrechtlichen Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.