Datenschutz im Bewerbungsverfahren: Was Firmen beachten müssen

DatenschutzComplianceRecht
Verfasst von Sebastian Himstedt

Der Umgang mit Bewerberdaten beeinflusst das Vertrauen potenzieller Mitarbeiter in ein Unternehmen. Ein verantwortungsvoller Umgang mit sensiblen Daten und ein transparenter Datenschutz im Bewerbungsverfahren kann das Ansehen eines Unternehmens verbessern und zum attraktiven Arbeitgeber machen.

Für Unternehmen in Deutschland und Europa gibt es eine Vielzahl von datenschutzrechtlichen Fragen und rechtlichen Anforderungen, die bei der Verarbeitung von Onlinebewerbungen beachtet werden müssen. Hier sind die wichtigsten Aspekte im Überblick:

 Rechtsgrundlagen

  • DSGVO (Datenschutz-Grundverordnung): Die Hauptquelle für Datenschutzregelungen in der EU. Insbesondere Artikel 6 (Rechtmäßigkeit der Verarbeitung) und Artikel 9 (Verarbeitung besonderer Kategorien personenbezogener Daten).

  • § 26 BDSG (Bundesdatenschutzgesetz): Ergänzt die DSGVO auf nationaler Ebene in Deutschland.

Informationspflichten

Gemäß Artikel 13 DSGVO müssen Bewerber umfassend über die Verarbeitung ihrer Daten informiert werden, einschließlich:

    • Zweck der Datenverarbeitung

    • Rechtsgrundlage der Verarbeitung

    • Empfänger oder Kategorien von Empfängern der Daten

    • Dauer der Speicherung der Daten

    • Rechte der Bewerber (z.B. Auskunft, Berichtigung, Löschung)

Die erfolgte Datenschutzhinweise sollte am besten dokumentiert werden und diese Belehrung zur Personalakte genommen werden.

Ebenso ist es ratsam, die Datenschutzhinweise, die sich speziell an Bewerber und Mitarbeitende richten, auch auf der Homepage präsent zur Verfügung zu stellen.

Datenminimierung und Zweckbindung

  • Datenminimierung: Nur solche Daten dürfen erhoben werden, die für den Bewerbungsprozess notwendig sind. Daten, die für den Bewerbungsprozess notwendig sind, sind in der Regel:

·      Anrede 

·      Vorname, Nachname 

·      Adresse 

·      Telefonnummer 

·      Geburtsdatum 

·      E-Mail-Adresse 

·      frühester Arbeitsbeginn 

·      Wunschgehalt in Euro 

·      Angestrebte Wochenarbeitszeit 

·      Bewerbungsunterlagen: 

o   Anschreiben 

o   Zeugnisse 

o   Lebenslauf 

o   Fotos 

o   Sonstiges 

·      Übertragungsdaten 

o   IP-Adresse 

o   Datum der Absendung der E-Mail 

 Es ist ratsam, in der Stellenausschreibung anzugeben, welche Angaben verpflichtend sind, um eine Bewerbung abzugeben und welche freiwillig abgegeben werden.

  • Zweckbindung: Die Daten dürfen nur für den Zweck der Bewerberauswahl und Einstellung verwendet werden.

Datensicherheit

  • Technische und organisatorische Maßnahmen (TOMs): Es müssen geeignete Maßnahmen getroffen werden, um die Sicherheit der Bewerberdaten zu gewährleisten. Dazu gehören:

    • Verschlüsselung der Daten

    • Sicherstellung der Vertraulichkeit und Integrität der Daten

    • Zugriffsbeschränkungen

Aufbewahrung und Löschung

  • Aufbewahrungsfristen: Bewerberdaten dürfen nur so lange aufbewahrt werden, wie es für den Bewerbungsprozess notwendig ist. Das sind in der Regel 6 Monate nach Abschluss des Bewerbungsprozesses. Eine Aufbewahrung für zukünftige Stellenausschreibungen ist nur mit ausdrücklicher Einwilligung des Bewerbers zulässig.

  • Löschung der Daten: Nach Abschluss des Bewerbungsverfahrens müssen die Daten gelöscht werden, sofern keine rechtlichen Gründe für eine längere Aufbewahrung bestehen.

Verarbeitung durch Dritte

  • Auftragsverarbeiter: Wenn ein externer Dienstleister (z.B. ein Online-Bewerbungsportal) mit der Verarbeitung der Daten beauftragt wird, muss ein Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO abgeschlossen werden.

  • Drittländer: Datenübermittlungen in Drittländer (außerhalb der EU) sind nur unter strengen Bedingungen und bei Gewährleistung eines angemessenen Datenschutzniveaus zulässig.

Rechte der Bewerber

  • Auskunftsrecht: Bewerber haben das Recht, Auskunft über ihre verarbeiteten Daten zu erhalten.

  • Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung: Bewerber können die Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer Daten verlangen.

  • Widerspruchsrecht: Bewerber können der Verarbeitung ihrer Daten widersprechen.

  • Recht auf Datenübertragbarkeit: Bewerber haben unter bestimmten Umständen das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Datenschutzbeauftragter

  • Ernennung eines Datenschutzbeauftragten: Abhängig von der Größe und Art des Unternehmens kann die Ernennung eines Datenschutzbeauftragten erforderlich sein.

Dokumentation der Prozesse im Verarbeitungsverzeichnis 

Der Prozess des Bewerbungsverfahrens und die Aufnahme eines Bewerbers in dem Bewerberpool sind jeweils als eigene Verarbeitungsprozesse im Verarbeitungsverzeichnis zu erfassen und zu dokumentieren. 

Sebastian Himstedt
Zurück

Datenschutz im Recruiting: Was Unternehmen bei Google-Recherchen über Bewerber beachten müssen
Weiter

Datenschutz und Compliance bei Large Language Models