­
Datenschutz: Bewerberdaten DSGVO-konform verarbeiten - Campusjäger

Zurück zum HR-Blog

Datenschutz: Bewerberdaten DSGVO-konform verarbeiten

So gehen Sie mit den sensiblen Daten richtig um

Und mal wieder zurück zu einem trockenen Thema: Der richtige (sprich: DSGVO-konforme) Umgang mit sensiblen Bewerberdaten.

Am 25. Mai 2018 trat die neue europäische Datenschutz-Grundverordnung (DSGVO) sowie das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft.

Was macht die DSGVO?

Die DSGVO regelt den Umgang mit personenbezogenen Daten – Daten, die sich einem Menschen zuordnen lassen und über die er identifiziert werden kann. Das können beispielsweise der Name, das Geburtsdatum, Kontaktdaten (Adresse, E-Mail, Telefonnummer, …) sein, aber auch Informationen wie Kontodaten, Versicherungsnummern und Zeugnisse.

Zwar sollen alle personenbezogenen Daten geschützt werden, einige sind aber besonders schützenswert: ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität, Gewerkschaftszugehörigkeit.

Ein wesentlicher Punkt ist in diesem Zusammenhang die Verarbeitung von Daten. Im Grunde fällt darunter jeder Prozess, in dem personenbezogenen Daten in irgendeiner Form eine Rolle spielen. Dazu gehören zum Beispiel die Erhebung, die Speicherung, die Organisation, das Auslesen, das Übermitteln und die Löschung von Daten.

Liegt nicht die ausdrückliche Erlaubnis der betroffenen Person vor, ist die Verarbeitung verboten (Verbot mit Erlaubnisvorbehalt).

DSGVO: Bewerberdaten und Bewerbungen

Im Bewerbungsprozess kommt es unweigerlich zu einem Austausch von personenbezogenen Daten: unter anderem der Lebenslauf mit umfassenden biographischen Daten, das Bewerbungsbild sowie Abschluss- und Arbeitszeugnisse. Gegebenenfalls sind auch direkte oder indirekte Rückschlüsse auf besonders schützenswerte Daten möglich.

Sie müssen jetzt aber nicht jeden Kandidaten um Erlaubnis bitten, seine Daten verarbeiten zu dürfen. Bei Bewerbungen greift § 26 BDSG – Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses: Für die Dauer des Bewerbungsprozesses können Sie daher die Daten der Bewerber verarbeiten, “wenn dies erforderlich ist für die Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses oder auf Grundlage von Kollektivvereinbarungen.”

Ist die Stelle besetzt, entfällt dieser Zweck und sie müssen die Daten löschen. Möchten Sie die Daten darüber hinaus speichern, beispielsweise für einen Talentpool, bedarf es einer schriftlichen Einwilligung des Kandidaten.

Im Umgang mit Bewerbungsunterlagen kommen durch die neuen Gesetze noch weitere Änderungen und Verantwortungen auf Sie zu:

  • Gewährleistung sicherer Kommunikationskanäle
  • Welche Daten werden erhoben?
  • Informationen über Verwendungszweck und Aufbewahrungsdauer
  • Speicherung der Bewerberdaten
  • Recht auf Auskunft der Bewerber
  • Beweislast liegt bei Unternehmen
  • höhere Strafen bei Nicht-Einhaltung

Verschlüsselte Kommunikation

Bei Online-Bewerbungen sollten Sie die technischen Mittel bereitstellen, sodass Kandidaten die Bewerbung verschlüsselt versenden können. Nicht verschlüsselte Kanäle können im Extremfall von Dritten mitgelesen werden – wofür Sie gegebenenfalls geradestehen müssen.

Erhobene Daten – Nur das Nötigste

Alle Daten, die Sie erheben, sollten einem Zweck dienen, der objektiv nachvollzogen werden kann. Informationen, die für die Auswahl des passenden Kandidaten irrelevant sind, sollten Sie auch gar nicht erst abfragen.

Speicherung der Bewerberdaten

Schon vor der DSGVO schrieb der Datenschutz vor, dass Bewerberdaten nur zweckgebunden gespeichert werden durften. Das ist auch weiterhin der Fall.

Der Zweck ist hier die Bewerbung an sich. Das heißt umgekehrt, dass es keinen Grund gibt, die Daten weiterhin zu speichern, wenn die Stelle erfolgreich besetzt wurde.

E-Book 5 mal mehr Bewerber – 5 Tipps im modernen Recruiting

Die Aufbewahrungsfrist von Bewerberdaten richtet sich auch nach dem Allgemeinen Gleichbehandlungsgesetz (AGG). Da Kandidaten basierend auf dem AGG theoretisch klagen können, dürfen Unternehmen Bewerberdaten so lange speichern, wie sie mit der Auseinandersetzung abgelehnter Kandidaten rechnen müssen. Es gibt hierbei zwar keine einheitliche Regelung, allerdings wird oft von 2–6 Monaten ausgegangen.

Möchten Sie die Bewerberdaten länger speichern, beispielsweise weil Sie einen Talentpool aufbauen und gegebenenfalls später auf den Bewerber zurückkommen möchten, benötigen Sie eine explizite Einverständniserklärung des Kandidaten – am besten schriftlich, mindestens aber durch einen separaten Punkt im Online-Formular. Die Zustimmung zur Speicherung kann der Kandidat jederzeit widerrufen.

Recht auf Auskunft der Bewerber

Bewerber können jederzeit Auskunft darüber verlangen, welche Daten Unternehmen über sie gespeichert haben (Art. 15 DSGVO). Sie sind in dem Fall auch dazu verpflichtet, Auskunft zu geben.

Meint ein Kandidat, dass Sie gegen den Datenschutz verstoßen haben, kann er dies den zuständigen Behörden melden. Daher tun Sie gut daran, wenn Sie die Verarbeitung der Daten sorgfältig und lückenlos dokumentieren.

Einzelne Schritte im Prozess können Sie entsprechend kommentieren, beispielsweise bei Aufnahme des Bewerbers in den Talentpool.

Beweislast liegt bei Unternehmen

Die sorgfältige Dokumentation ist auch deswegen sinnvoll, da Sie im Falle einer Klage beweisen müssen, dass Sie alles in Ihrer Macht stehende getan haben, um den Schutz der Bewerberdaten zu gewährleisten.

Gefahr hoher Strafen

Halten sich Unternehmen nicht an die Datenschutzgrundverordnung, sieht das neue Gesetz deutlich höhere Strafen vor. Bußgelder von bis zu 20 Millionen Euro beziehungsweise 4 Prozent des globalen Umsatzes können verhängt werden.

Der DSGVO begegnen

Und jetzt? Wie gehen Sie mit den Anforderungen am besten um?

Die DSGVO ist nicht neu. Sie haben also wahrscheinlich schon die wichtigsten Änderungen hinter sich. Trotzdem ist es wichtig, dass Sie den Ist-Zustand und die Prozesse dahinter immer im Blick haben.

Ein interner oder externen Datenschutzbeauftragter kann bei Bedarf hinzugezogen werden – gegebenenfalls kommen Sie auch gar nicht drum herum. Denn sobald zehn Mitarbeiter in Ihrem Unternehmen dauerhaft in der automatisierten Datenverarbeitung beschäftigt sind, beziehungsweise 20 Mitarbeiter in der nichtautomatisierten Datenverarbeitung, müssen Sie einen Datenschutzbeauftragten hinzuziehen.

Was macht ein Datenschutzbeauftragter?

Er soll sicherstellen, dass personenbezogene Daten gemäß dem Datenschutz verarbeitet werden.

Dazu kontrolliert er laufend die Prozesse, schult Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten, muss über Änderungen in Arbeitsabläufen in Kenntnis gesetzt werden und sorgt für die fristgerechte Löschung nicht mehr gebrauchter Daten.

Trotzdem haftet in der Regel die Geschäftsführung für Verstöße gegen die DSGVO, da sie für die finalen Entscheidungen verantwortlich ist. Anders natürlich bei grob fahrlässigem oder vorsätzlichem Fehlverhalten.

Wer sieht die Bewerbungen?

Mal eben den Kollegen nach seiner Meinung zu einem Bewerber zu fragen, funktioniert nicht.

Bewerbungen dürfen nur von Personen gelesen werden, die an der Entscheidung über die Einstellung beteiligt sind. Das ist der Arbeitgeber selbst, der Personalverantwortliche, (potentielle) Vorgesetzte und gegebenenfalls der Betriebsrat.

Bewerbungen leiten Sie auch am besten nicht in E-Mails weiter, da hier jedes Mal eine neue Kopie erstellt wird, die alle wieder gelöscht werden müssen – was sich durchaus als schwierig erweisen kann.

Nutzen Sie im Unternehmen stattdessen lieber ein Bewerbermanagementsystem, in dem Sie zentral alle Bewerbungen speichern und einsehen können. Hier sollten Sie genau festlegen, welcher Mitarbeiter welche Zugangsberechtigung hat.

Verzeichnis von Verarbeitungstätigkeiten

Die lückenlose Dokumentation der verschiedenen Prozesse ist aber nicht nur nice-to-have – das sogenannte “Verzeichnis von Verarbeitungstätigkeiten” ist verpflichtend.

Artikel 30 der DSGVO baut auf dem Bundesdatenschutzgesetz (BDSG) auf und verlangt, dass Sie alle Vorgänge aufführen, in denen personenbezogene Daten verarbeitet werden.

Dort muss unter anderem festgehalten sein, um welche Datenkategorien es sich handelt, welche Personen involviert sind, welchem Zweck die Datenverarbeitung dient und wer die Daten empfängt.

Veröffentlicht am 19. December 2018, zuletzt aktualisiert am 19. December 2018

Beliebteste Artikel

Diese Artikel fanden andere besonders hilfreich:

Die perfekte Stellenanzeige schreiben – Muster und Beispiele [2019]

Stellenanzeigen sind oft der erste Kontakt zu möglichen Bewerbern. Lesen Sie jetzt, wie Sie Ihre Stellenanzeige optimal gestalten.

Das Telefoninterview: Leitfaden für Personaler

Unser Leitfaden für ein erfolgreiches Telefoninterview mit dem Sie die besten Bewerber finden. Lesen Sie jetzt, wie Sie eine geeignete Vorauswahl treffen.

Das AGG bei der Stellenausschreibung

Verstöße gegen das Allgemeine Gleichbehandlungsgesetz können teuer werden. Wir zeigen Ihnen, wie Sie Ihre Stellenanzeigen AGG-konform formulieren.

Warum flexible Arbeitszeiten für Arbeitgeber interessant sind

Flexible Arbeitszeiten erfreuen nicht nur Arbeitnehmer, auch als Arbeitgeber können Sie davon profitieren. Wir zeigen Ihnen die Vor- und Nachteile!

Bewerbungsgespräch als Arbeitgeber vorbereiten

Um das meiste aus einem Bewerbungsgespräch zu holen, sollten Sie sich auch als Arbeitgeber darauf vorbereiten.

Bewerbungsgespräch führen – Leitfaden und Fragenkatalog

Ein Bewerbungsgespräch zu führen ist wesentlicher Bestandteil, wenn Sie neue Mitarbeiter gewinnen wollen. Erfahren Sie jetzt, worauf Sie achten müssen.

Praktikanten einstellen: Was Sie als Arbeitgeber wissen müssen

Praktikanten beschäftigen leicht gemacht: In diesem Guide erfahren Sie, was Sie wissen müssen, wenn Sie Praktikanten einstellen wollen. Klicken Sie rein!

Was ist Personalplanung: Aufgaben und Ziele

Um zukünftigen Veränderungen auf Augenhöhe begegnen zu können, ist eine strategische Personalplanung wichtig. Wagen Sie jetzt einen Blick in die Zukunft.

E-Mail Adresse finden – Mit diesem Guide klappt's

Sie haben eine E-Mail Adresse verlegt oder wollen einer Person direkt schreiben? In diesem Guide zeigen wir, wie Sie E-Mail Adressen herausfinden können.

Onboarding: Diese typischen Fehler müssen Sie vermeiden

Mit dem richtigen Onboarding begeistern Sie neue Mitarbeiter und binden Sie langfristig an Ihr Unternehmen. Erfahren Sie jetzt, wie Sie das hinkriegen.

Der Arbeitsvertrag – Tipps zum Erstellen & Muster

Erfahren Sie alles über den Arbeitsvertrag: Wofür ist er da, wann brauchen Sie einen, was muss rein? Inklusive kostenlosem Muster zum downloaden.

Die Kündigung: Arbeitgeber müssen viel beachten

Als Personalverantwortlicher ist nicht jede Entscheidung leicht – vor allem wenn Sie Arbeitnehmer entlassen müssen. Erfahren Sie, worauf Sie achten müssen.

Personalmarketing – Definition und Instrumente

Was Personalmarketing ist und wie Sie interne und externe Instrumente des Personalmarketings optimal für sich nutzen? Erfahren Sie es jetzt.

Personalvermittlung: Definition, Kosten und Vorteile

Sie spielen mit dem Gedanken eine Personalvermittlung zu engagieren? Dann erfahren Sie hier, was Sie erwarten können und was Sie beachten müssen.

Werkstudentenvertrag: Muster als Download & Infos

Wie sieht eigentlich der Arbeitsvertrag für Werkstudenten aus? Schauen Sie sich jetzt einen Mustervertrag an und laden Sie ihn als PDF oder Word runter.

Werkstudenten finden – Holen Sie sich die richtigen [5 Tipps]

Top informiert, wissbegierig und motiviert: Werkstudenten machen Unternehmen erfolgreicher. Finden Sie den perfekten Werkstudenten, mit unseren Tipps.

Kununu: Was Sie bei negativen Bewertungen tun können

Bewertungen auf kununu können für einen Kandidaten bei dem Bewerbungsprozess entscheidend sein. Wie Sie auf diese reagieren sollten, erfahren Sie hier.

Personalrecruiting – Definition, Aufgaben, Kanäle, Auswahlverfahren

Social-Media Recruiting und Active Sourcing sind die Trends im Personalrecruiting. Erfahren Sie jetzt, welche Methoden und Kanäle es noch gibt.

Die vier besten Applicant Tracking Systeme (ATS) im Vergleich

Wir zeigen Ihnen vier der beliebtesten ATS, die besonders benutzerfreundlich sind und Ihr Bewerbermanagement verbessern.

Robot Recruiting: Ersetzt der Roboter den Personaler?

Robot Recruiting ist der neue Trend in der Personalbeschaffung. Was dahinter steckt und welche Vorteile Sie daraus ziehen können, lesen Sie hier.