Datenschutz bei Bewerbungen

7 Schritte zum DSGVO-konformen Bewerbungsverfahren

Bei Bewerbungen möchte man sich von seiner besten Seite präsentieren. Und ausloten, ob Arbeitsplatz und potenzielle*r Arbeitnehmer*in zueinander passen. In diesem Prozess werden zahlreiche personenbezogene Daten verarbeitet – daher ist die Gewährleistung des Datenschutzes bei Bewerbungen besonders wichtig.

In der Regel ist davon auszugehen, dass Bewerber*innen ein Interesse an der Stelle haben, auf die sie sich bewerben. Aus diesem Grund sind sie dazu bereit, für das Bewerbungsverfahren notwendige Daten preiszugeben. Umso wichtiger ist deshalb ein verantwortungsbewusster Umgang mit den Bewerberdaten während des gesamten Bewerbungsprozesses. Dieser ist in der Datenschutzgrundverordnung (DSGVO) an unterschiedlichen Stellen geregelt.

Unser Blogbeitrag führt Sie in 7 Schritten durch den datenschutzgerechten Bewerbungsprozess. Erfahren Sie heute alles Wichtige über den Datenschutz bei Bewerbungen und optimieren Sie Ihre Prozesse für ein DSGVO-konformes Personalwesen.

Schritt 1: Die Stellenausschreibung

Zu Beginn eines Bewerbungsprozesses steht gewöhnlich die Sichtung einer Stellenausschreibung durch eine interessierte Person. Und genau hier fängt Ihre Pflicht als Arbeitgeber*in an, über Ihre Maßnahmen zum Datenschutz aufzuklären. Das machen Sie am besten mit einer Datenschutzerklärung für Bewerbungen. Zunächst mag das vielleicht etwas merkwürdig erscheinen, denn schließlich erheben Sie zu diesem Zeitpunkt ja noch gar keine personenbezogenen Daten. Allein die Tatsache, dass sich eine identifizierbare Person auf eine bestimmte Stelle bewirbt, ist allerdings ein personenbezogenes Datum. Aus diesem Grund gilt es, Kandidat*innen bereits vor der Bewerbung über den Datenschutz zu informieren.

Natürlich umfassen auch die Bewerbungsunterlagen selbst verschiedene, unter Umständen besonders schützenswerte, personenbezogene Daten. Gemäß den Bestimmungen der DSGVO ist die datenverarbeitende Person, in diesem Fall also Ihr Unternehmen, dazu verpflichtet, Bewerber*innen über Umfang und Zweck der Verarbeitung sowie die Betroffenenrechte zu informieren (Informationspflichten). Werden personenbezogene Daten an Dienstleistende übermittelt (z. B. an eine Bewerbermanagement-Software), ist darüber in jedem Fall aufzuklären. Zu den Angaben, die unter die Informationspflichten zum Datenschutz bei Bewerbung fallen, gehören folgende:

  • Identität des/der Verantwortlichen
  • Art, Umfang und Zweck der Datenverarbeitung
  • Weitergabe der Daten (z. B. an die Personalabteilung oder Übermittlung an Dritte)
  • Speicherdauer
  • Betroffenenrechte (z. B. Recht auf Löschung und Recht auf Auskunft)
Informationspflichten nach Art. 13 DSGVO
light-bulb-shine

Verlinken Sie Ihre Datenschutzerklärung direkt in der Stellenausschreibung. So haben Bewerber*innen transparente Einsicht in die Art der Verarbeitung ihrer Daten und in ihre Rechte.

Schritt 2: Datenschutz bei Bewerbungseingang

Bewerbungen gehen am häufigsten über einen dieser vier Kanäle ein:

Für beide erstgenannten Varianten lässt sich die Einwilligung zur Datenverarbeitung via Opt-in einholen. Dabei müssen sich Bewerber*innen aktiv mit der Datenschutzerklärung einverstanden erklären. Bei Übermittlung von Bewerbungen über ein Online-Portal gilt es sicherzustellen, dass die genutzte Software die datenschutzrechtlichen Anforderungen der DSGVO erfüllt. Eine verschlüsselte Datenübertragung gehört dabei zu den absoluten Voraussetzungen.

Bei Bewerbung per E-Mail oder auf dem Postweg entfällt die Möglichkeit, ein Opt-in der Bewerber*innen einzufordern. Um Bewerber*innen in diesem Fall dennoch alle Informationen zur Verarbeitung ihrer Daten zur Verfügung zu stellen, empfiehlt es sich, die Datenschutzerklärung um einen entsprechenden Absatz zu erweitern. Da sie für die allgemeine Nutzung der Webseite Anwendung findet und gemäß der DSGVO für alle zugänglich sein muss, ist die Datenschutzerklärung der geeignetste Ort, um dort auch über Ihre Datenverarbeitung von Bewerberdaten aufzuklären.

Da Sie Ihre Informationspflichten gegenüber Bewerber*innen bereits bei Einreichung der Bewerbung geltend machen, können Sie eingehende Bewerbungen DSGVO-konform nach den dokumentierten Prozessen verarbeiten. Generell ist der Versand einer Eingangsbestätigung über den Erhalt einer Bewerbung zu empfehlen. So bleiben Kandidat*innen informiert und können zusätzlich Infos über die kommenden Schritte erhalten. Um insbesondere bei Bewerbungen per E-Mail oder Post alle Anforderungen an den Datenschutz zu erfüllen, können Sie die Eingangsbestätigung auch nutzen, um Hinweise zum Datenschutz bei der Bewerbung zu ergänzen.

DSGVO-konformer Bewerbungseingang mit Datenschutzhinweis
pin

Häufig wird irrtümlich angenommen, dass Bewerber*innen aktiv in die Datenverarbeitung einwilligen müssen. Dies ist gemäß DSGVO nicht vorgeschrieben. Hier genügt es, dass Bewerber*innen umfassend informiert wurden.

Schritt 3: Datenschutz im Bewerbungsverfahren

Grundsätzlich müssen für das Bewerbungsverfahren alle Verarbeitungsprozesse in einem Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Schriftlich festzuhalten ist auch, welche technischen und organisatorischen Maßnahmen für den Datenschutz bei Bewerbungen getroffen werden. Ohne die Einhaltung dieser festgelegten Grundsätze ist die Verarbeitung von Bewerberdaten gemäß DSGVO nicht zulässig. Eine Verarbeitung ist außerdem nur dann erlaubt, wenn die Daten ausschließlich für den Bewerbungsprozess genutzt werden. Zu keinem Zeitpunkt haben Unternehmen ein Recht darauf, Bewerberdaten zu einem anderen Zweck zu nutzen. Sofern diese Voraussetzungen erfüllt sind, ist eine Datenverarbeitung im Rahmen der definierten Prozesse zulässig.

Für die Sicherstellung des Datenschutzes bei Bewerbungen ist in folgenden Punkten besondere Vorsicht geboten:

Wer darf die Bewerbungsunterlagen einsehen?

Auch bei Bewerbungen gilt der DSGVO-Grundsatz der Datensparsamkeit und Datenvermeidung. Im Falle der Handhabe von Bewerbungsunterlagen bedeutet das, dass nur Personen, die in die Personalentscheidung involviert sind, ein Recht zur Einsicht in die Bewerbungsunterlagen erhalten sollten. Dabei ist ferner zu prüfen, ob die Einsicht für einzelne beteiligte Personen eingeschränkt werden kann. So sind Angaben zum Gehalt beispielsweise für eine Person, die die fachlichen Fähigkeiten des/der Bewerber*in bewerten soll, nicht relevant und sollten daher für diese auch nicht offen zugänglich sein.

Bei der Weitergabe von Bewerberdaten ist in jedem Fall darauf zu achten, die gesetzlichen Vorgaben und Löschpflichten einzuhalten. Werden Unterlagen zur Sichtung z. B. per E-Mail an alle Beteiligten verschickt, ist es für Arbeitgeber*innen kaum möglich nachzuprüfen, ob die Daten nach Ende des Bewerbungsverfahrens auch wirklich von jedem Computer gelöscht wurden. In diesem Fall wird ein Datenverstoß begangen. Auch bei Mehrfach-Ausdruck der Unterlagen können ähnliche Probleme bezüglich der Nachverfolgung auftreten. Praktisch sind digitale Tools für das Bewerbungsmanagement. Mithilfe von Software können Akten digital mit einem entsprechenden Berechtigungskonzept versehen werden. Auch die Einhaltung der Löschfristen lässt sich so automatisieren.

Einsicht der Bewerbungsunterlagen DSGVO-konform

Wie werden Datenschutz und Datensicherheit gewährleistet?

Alle Maßnahmen, die Sie von Unternehmensseite treffen, um den Schutz personenbezogener Bewerberdaten zu gewährleisten, müssen Sie als technische und organisatorische Maßnahmen (TOMs) dokumentieren. Dabei legen Sie im Bereich der organisatorischen Maßnahmen fest, zu welchem Zweck Bewerberdaten verarbeitet werden und wer daran beteiligt ist. Im Bereich der technischen Maßnahmen wird u. a. der Prozess zur DSGVO-konformen Löschung von Bewerbungsunterlagen festgelegt. Im besten Fall sind allen am Bewerbungsprozess beteiligten Personen die TOMs bekannt.

Wie wird der Schutz personenbezogener Daten bei Dienstleistenden sichergestellt?

Setzen Sie eine Bewerbungsmanagement-Software ein, liegt eine Auftragsverarbeitung nach Art. 29 DSGVO vor. Sie sind dazu verpflichtet sicherzustellen, dass ausgewählte Dienstleistende die personenbezogenen Daten DSGVO-konform und in Ihrem Auftrag verarbeiten. Dazu sollten Sie, unbedingt vor Beginn der Softwarenutzung, einen Vertrag zur Auftragsverarbeitung abschließen. Dieser Vertrag hält alle Maßnahmen, Rechte und Regeln fest, die eine Sicherheit der Bewerberdaten gewährleisten.

Sind Background-Checks von Bewerber*innen erlaubt?

Von Background-Checks oder Pre-Employment-Screenings für die Bewerberauswahl ist grundsätzlich abzuraten. In der Regel fehlt es für diese Maßnahmen an einer rechtsgültigen Grundlage zur Datenerhebung. Auch einfache Recherchen im Web sind allein auf Basis eines vorliegenden Interesses nicht zulässig. Denn Arbeitgeber*innen können nicht davon ausgehen, bei Ihrer Recherche ausschließlich auf beschäftigungsrelevante Informationen zu stoßen. Haben Sie als Arbeitgeber*in einen berechtigten Verdacht anzunehmen, dass im Lebenslauf getroffene Angaben nicht der Wahrheit entsprechen, kann damit die Voraussetzung für einen Backgroundcheck gegeben sein. In diesem Fall können Informationen über berufliche Netzwerke verifiziert werden, sofern die Daten öffentlich zugänglich sind (z. B. bei Xing oder LinkedIn). Sprechen Sie sich hierzu mit Ihren Datenschutzbeauftragten ab.
E-Learning-Kurs Datenschutz Personalwesen
Alle Prozesse im Personalwesen DSGVO-konform gestalten?
Bewerbungsunterlagen, Zeiterfassung, Lohnabrechnung und Co – lernen Sie Grundlagen und wichtige Praxisbeispiele in unserem E-Learning-Kurs zum Datenschutz für die Personalabteilung kennen.

Schritt 4: Datenschutz im Vorstellungsgespräch

Werden Bewerber*innen zum Vorstellungsgespräch eingeladen, haben diese bereits die erste Hürde gemeistert. Aus Sicht des Datenschutzes entstehen jedoch einige neue Herausforderungen. Um Qualifikation und Fähigkeiten der Bewerber*innen mit dem Anforderungsprofil der ausgeschriebenen Stelle abzugleichen, werden in der Regel eine Vielzahl an Fragen gestellt. Dabei geht es darum, Ziele, Motivation, Fähigkeiten, Arbeitsweisen und andere Themen zu erörtern. Die Antworten hierauf fallen fast immer in die Kategorie der personenbezogenen Daten. Die DSGVO und das Allgemeine Gleichbehandlungsgesetz (AGG) definieren daher klar, welche Fragen in Bewerbungsgesprächen zulässig sind und welche nicht. Grundsätzlich gilt, dass hinter allen Fragen ein berechtigtes Interesse zur Begründung eines Beschäftigungsverhältnisses stehen muss.

Schritt 5: Entscheidung über Einstellung

Bei der Entscheidung über die Einstellung ist vor allem das Allgemeine Gleichbehandlungsgesetz zu berücksichtigen. Die Vorgaben der DSGVO sind für Ihren Entscheidungsprozess weniger relevant. In jedem Fall sollten Sie aber alle Bewerber*innen über Ihre Entscheidung informieren und jenen, die Sie nicht einstellen, eine höfliche Absage zusenden.

Sie haben die passenden Kandidat*innen für Ihr Team gefunden? Was Sie bezüglich des Datenschutzes bei Einstellung neuer Mitarbeitender beachten sollten, lesen Sie hier in unserem Blogbeitrag zum Beschäftigtendatenschutz.

Schritt 6: Aufbewahrungsfristen von Bewerbungsunterlagen

Wie lange dürfen Bewerberdaten nach DSGVO gespeichert werden? Auch dafür gibt es klare Vorschriften. Bewerberdaten dürfen bis höchstens 2 Monate nach Besetzung einer neuen Stelle gespeichert werden. Hintergrund hierfür ist, dass Bewerber*innen bis zu 2 Monaten nach Übermittlung der Absage ein Recht darauf haben, Entschädigungsansprüche geltend zu machen, sofern die Absage nicht mit dem Allgemeinen Gleichbehandlungsgesetz vereinbar ist. Je nach Bundesland kann die Speicherungszeit auch bei bis zu 6 Monaten liegen (z. B. in Bayern). Nach Zweckerfüllung der Datenspeicherung und Verstreichen der Frist müssen alle Bewerbungsunterlagen gelöscht werden. Arbeitgeber*innen sind in diesem Zuge auch dazu verpflichtet, zu kontrollieren, dass alle am Bewerbungsprozess beteiligten Personen die Bewerbungsdokumente gemäß der Aufbewahrungsfristen vernichten. Bei Einwilligung der Bewerber*innen können die Bewerberdaten in einen Talent Pool aufgenommen werden. Damit wird die Frist zum Löschen der Daten außer Kraft gesetzt. So hat das Unternehmen die Option, bei neuen Stellenausschreibungen proaktiv an die Bewerber*innen heranzutreten.

Anders gestalten sich die Aufbewahrungsfristen im Falle einer Zusage für die ausgeschriebene Stelle. Die Bewerbungsunterlagen werden dann der entsprechenden Personalakte zugeordnet.

Mitarbeitende in den rechtlichen Anforderungen der DSGVO schulen
Sorgen Sie mit VINYAs E-Learning-Kursen für transparente Richtlinien zum Datenschutz.

Schritt 7: Löschpflichten nach DSGVO

Das Recht auf Löschung der DSGVO (Art. 17) gilt auch für Bewerberdaten. Nach Ablauf der Aufbewahrungsfristen sind personenbezogene Daten unverzüglich und unwiderruflich zu löschen. Eine Ausnahme besteht, sofern Bewerber*innen dazu eingewilligt haben, dass eine weitere Verarbeitung ihrer Bewerberdaten stattfinden darf. Bewerber*innen können ihre Einwilligung jederzeit widerrufen. Als Arbeitgeber*in sind dann dazu verpflichtet, die Daten zu löschen und dies den betreffenden Personen zu bestätigen.

Fazit

Seit Einführung der DSGVO gelten auch für den Datenschutz bei Bewerbung neue Anforderungen. Keine Sorge: Sie müssen Ihren Bewerbungsprozess nicht vollständig neu aufrollen. Da im Bewerbungsverfahren aber besonders viele sensible und personenbezogene Daten verarbeitet werden, sollten Sie verantwortungsbewusst mit Bewerberdaten umgehen. Halten Sie sich dazu an die 7 in diesem Blogartikel vorgestellten Maßnahmen, um den Datenschutz bei Bewerbungen sicherzustellen. Viel Erfolg bei der Suche nach den geeigneten Kandidat*innen!

Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben. 

Weitere spannende Beiträge
Über den Autor
Manuel Schrenk VINYA
Manuel Schrenk

Manuel ist Gründer und Geschäftsführer von VINYA. Mit mehrjähriger Erfahrung im Management und strategischem Produktmanagement in der Softwareentwicklung beschäftigt Manuel sich mit den Chancen und Herausforderungen digitaler Arbeit. Ganz vorne stehen für ihn dabei die Themen Datenschutz und IT-Sicherheit.

Manuel finden Sie auch hier:

Jetzt zum Newsletter anmelden!
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Vielen Dank! Wir senden Ihnen eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.