DSGVO-konformes Bewerbermanagement: Das solltest du beachten

Im Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) und mit ihr das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft getreten. Doch welche Verordnungen gelten seit der Einführung und welche Auswirkungen haben diese auf das Bewerbungsverfahren von Unternehmen?

In diesem Artikel erfährst du, worauf du im Umgang mit Bewerberdaten achten musst, um den Datenschutz sicherzustellen und dein Recruiting DSGVO-konform zu meistern.

Inhalt

Bewerbermanagement und Datenschutz: Ist das problematisch?

Zugegeben: Die stundenlange Auseinandersetzung mit Datenschutzgesetzen gehört nicht unbedingt zu den Lieblingsbeschäftigungen eines Personalers. Doch seit der Einführung der DSGVO und des neuen Bundesdatenschutzgesetz gibt es einige Punkte, die du im Umgang mit Bewerberdaten beachten solltest. 

Im Laufe des Bewerbungsprozesses hast du Zugriff auf sensible Daten eines Kandidaten wie dessen Name, Kontaktdaten, Zeugnisse und Lebenslauf.

Das Bewerbermanagement ist von den Änderungen des Datenschutzgesetz also besonders betroffen: Für den Umgang mit personenbezogenen Daten gelten genaue Regeln, welche im Artikel 13 der DSGVO festgehalten sind. 

Welchen Einfluss die Verordnungen auf das Bewerbungsverfahren haben und welche Punkte du dabei genau beachten solltest, erklären wir dir hier. 

Grundsätzlich gilt: Alle erforderlichen Maßnahmen zur Gewährleistungen des Schutzes der Bewerberdaten sollten unbedingt garantiert, regelmäßig überprüft und dokumentiert werden.  

Auch kleine und mittlere Unternehmen sollten die Änderungen keinesfalls ignorieren – denn sonst drohen Geldstrafen

Bei Verstößen und anschließenden Rechtsstreits sind mögliche Sanktionen von bis zu 20 Millionen Euro oder bis zu vier Prozent des globalen Umsatz des Unternehmens möglich.

Doch nicht nur die finanziellen Folgen können schwerwiegend sein: Auch der Ruf eines Unternehmens kann unter einem Rechtsstreit zum Thema Datenschutz großen Schaden nehmen – was sich wiederum negativ auf die Mitarbeitersuche auswirken kann.

DSGVO: Auf diese Verordnungen musst du achten

Was bedeuten die Regelungen konkret für das Recruiting eines Unternehmens? Wir haben die wichtigsten Punkte für dich zusammengefasst:

Verschlüsselung: Bewerber sollten bei einer Jobbewerbung die Möglichkeit haben, ihre Unterlagen mit personenbezogenen Daten verschlüsselt zu versenden. Bei ungesichertem elektronischem Versand kann sonst nicht ausgeschlossen werden, dass Dritte Einsicht auf sensible Daten erhalten.

Transparenz und Informationspflicht: Unternehmen müssen Bewerber über die Art der Datenerhebung informieren – also beispielsweise angeben, zu welchem Zweck und für welche Dauer die Daten gespeichert werden. Auch an wen die personenbezogenen Daten weitergegeben werden und wer die Daten verarbeitet, sollte dem Bewerber mitgeteilt werden. Hier kannst du genau nachlesen, welche Informationen dem Kandidaten übermittelt werden müssen.

Einwilligung: Neben der reinen Information über die Datenerhebung wird im Normalfall auch eine Einwilligung des Kandidaten zur Datenspeicherung benötigt (Art. 6 Abs. 1 Buchstabe a)).

Werden die Daten jedoch – wie bei einem Bewerbungsprozess üblich – für die Erfüllung eines Vertrags mit der entsprechendes Person oder für die Durchführung vorvertragliche Maßnahmen genutzt, so ist die Einwilligung damit grundsätzlich schon gegeben und es bedarf keiner weiteren Zustimmung des Bewerbers (Art. 6 Abs. 1 Buchstabe b)).

Trotzdem ist es sinnvoll, sich die Einwilligung des Kandidaten bestätigen zu lassen, um diesbezüglich Schwierigkeiten vorzubeugen.

Zweckbindung: Personenbezogene Daten dürfen nur für bestimmte Zwecke gespeichert werden – also beispielsweise im Rahmen eines Bewerbungsverfahrens. Das bedeutet: Ist die freie Stelle einmal besetzt, gibt es keinen legitimen Grund mehr, die Daten der abgelehnten Bewerber aufzubewahren. Dafür bietet es sich an, die jeweiligen Daten immer direkt zweckgebunden abzuspeichern oder im Bewerbermanagementsystem eine Notiz zum Aufbewahrungsgrund zu hinterlegen.

Datenminimierung: Es sollen ausschließlich Daten erhoben werden, welche für die Kandidatenauswahl notwendig sind.

Vertraulichkeit: Personenbezogene Daten sollten jederzeit vor unbefugter und unrechtmäßiger Verarbeitung und Einsicht geschützt werden. Auch eine Weitergabe der Daten an Unbefugte ist damit verboten.

Löschung der Daten: Die Daten von Bewerbern müssen nach Ablauf des zulässigen Zeitraums gelöscht werden. Dabei ist es irrelevant, ob es sich um Papierdokumente oder eine PDF handelt: Jedes Dokument – und jede Kopie davon – muss nach Ablauf des Recruiting-Prozesses eliminiert werden.

Aber: Da Kandidaten das Recht haben, auf Grundlage des Allgemeinen Gleichbehandlungsgesetzes Klage gegen die Ablehnung einzureichen, können Unternehmen Bewerberdaten für eine gewisse Zeit aufbewahren. Sobald keine Auseinandersetzung mehr mit abgelehnten Kandidaten zu erwarten ist (nach ca. zwei bis sechs Monaten), kannst du die Daten löschen oder dir das schriftliche Einverständnis der Kandidaten zur weiteren Speicherung einholen.

Auskunftsrecht: Kandidaten haben das Recht, Auskunft über die gespeicherten Bewerberdaten zu verlangen. Auch aus diesem Grund ist es sinnvoll, den Zweck der Datenspeicherung im System zu vermerken.

Dokumentation: Die DSGVO verpflichtet Recruiter, alle Verarbeitungstätigkeiten genau zu dokumentieren.

Auch wenn es selten vorkommt: Kandidaten können bei einem Verstoß gegen das Datenschutzgesetz die zuständigen Aufsichtsbehörden einschalten. Datenschutz sollte deswegen immer oberste Priorität haben und die entsprechenden Sicherheitsvorkehrungen sollten lückenlos und einheitlich dokumentiert werden. 

Tipps für den Datenschutz von Bewerberdaten 

Oft reichen schon Kleinigkeiten aus: Bewerbungsunterlagen werden auf dem Tisch liegen gelassen oder der Name eines Kandidaten in einem öffentlichen Kalender vermerkt – sofort wird die Identität des Bewerbers preisgegeben und gegen den Datenschutz verstoßen. 

Dokumente dieser Art dürfen nicht einmal im Papierkorb landen, sondern müssen unbedingt Bekanntschaft mit dem Aktenvernichter machen, damit sie vorschriftsmäßig vernichtet werden.

Damit dir solche Fehler nicht unterlaufen, haben wir einige wichtige Tipps für dich zusammengestellt, die dir helfen können, den Datenschutz DSGVO-konform sicherzustellen:

  • Beratung: Indem du die IT-Abteilung oder einen IT-Berater an der Bestandsaufnahme der Bewerbungsprozesse beteiligst, können technische und organisatorische Abläufe auf mögliche Datenschutzrisiken geprüft werden. 

Auch der externe Datenschutzbeauftragte eines Unternehmens kann an dieser Stelle hilfreich sein und auf Lücken und Risiken hinweisen. 

  • Aktualität sicherstellen: Prozesse sollten regelmäßig überprüft, aktualisiert und an die neuesten Verordnungen angepasst werden. Alle Veränderungen sollten dabei dokumentiert werden.
  • Verbindlichkeit schaffen: Unternehmen sollten darauf achten, ein Bewusstsein für die Bedeutung von Datenschutz zu schaffen. Regelungen sollten einen gewissen Verbindlichkeitscharakter besitzen und Mitarbeiter durch regelmäßige Schulungen immer auf dem aktuellsten Stand bleiben.
  • Notizen: Hinweise wie eine Notiz zur Datenlöschung auf dem Absageschreiben kann vorbeugen, dass wichtige Handlungen vergessen werden.
  • Bewerbermanagementsysteme: Mithilfe einer Software, die Abläufe automatisiert und eine übersichtliche, zentrale Datenspeicherung garantiert, ist der Datenschutz deutlich leichter sicherzustellen, als wenn du jede Kleinigkeit selbst erledigen musst.

Bewerbermanagementsystem: So kann es dir beim Schutz von Bewerberdaten helfen

Um alle Bedingungen des Datenschutzgesetzes einzuhalten, bedarf es vieler technischer und organisatorischer Maßnahmen. Ohne eigenes IT-System oder der Verwendung eines Bewerbermanagementsystems ist die Einhaltung der Gesetzgebung kaum möglich.

Deswegen gilt: Die einfachste Lösung zur Umsetzung der Vorschriften bietet eine Software, die dir einen Teil der Arbeit abnimmt. Durch Anwendung des Tools können die Bestimmungen der DSGVO bereits größtenteils erfüllt werden – und du hast mehr Zeit und Ressourcen für die wichtigen Aufgaben des Recruitings.

Mithilfe eines Bewerbermanagementsystems lassen sich Vorgänge automatisieren und Daten zentral und übersichtlich an einem Ort speichern. Das ist nicht nur für die Verwaltung hilfreich, sondern sorgt auch dafür, dass der datenschutzkonforme Umgang mit allen Bewerberdaten lückenlos nachweisbar ist.

Ein zuverlässiges Bewerbermanagementsystem erfüllt folgende Anforderungen des Datenschutzgesetzes:

  • Informationspflicht: Über eine automatische Eingangsbestätigung können Bewerber direkt über den Verarbeitungszweck und die Dauer der Datenspeicherung informiert werden, ohne dass es für dich einen Mehraufwand bedeutet. Das Bewerbermanagementsystem übernimmt diesen Job für dich.

Erfolgen Bewerbungen über ein Online-Portal, so kannst du die Kandidaten unmittelbar auf der Plattform über die Datenerhebung informieren.

  • Einwilligungspflicht: Durch Features wie eine Checkbox zur Einwilligung der Datenschutzerklärung sind Unternehmen in der Lage, lückenlos nachweisen zu können, dass Bewerber ihrer Datenschutzerklärung zugestimmt haben. 
  • Zugriffsrechte festlegen: Durch ein individuell anpassbares Rollenkonzept kannst du unkompliziert auswählen, welcher Mitarbeiter welche Berechtigungen zur Dateneinsicht erhält und somit die Vertraulichkeit sicherstellen.
  • Vertraulichkeit: Der Austausch über Bewerber findet ausschließlich über das System statt. So können unerlaubte E-Mail-Weiterleitungen oder vergessene Akten auf dem Schreibtisch vermieden werden.
  • Auskunftsrecht: Das zeitaufwendige Zusammensuchen von Dokumenten hat ein Ende: Bewerberdaten können mit einem Klick zusammengestellt und auf Wunsch des Bewerbers mit ihm geteilt werden.
  • Automatische Datenlöschung: Eine automatische Löschfrist, die in Bewerbermanagementsystemen implementiert werden kann, sorgt dafür, dass Daten niemals länger als erlaubt gespeichert werden.

Achtung: Vorsicht gilt beim Aufbau eines Talentpools. Trotz automatischer Löschfristen ist der Aufbau eines Talentpools prinzipiell möglich. Der Kandidat muss in diesem Fall aber explizit gefragt werden, ob er einer längerfristigen Speicherung zum Zweck der Aufnahme in den Pool zustimmt. Zusätzlich muss er auf sein Widerrufsrecht der Einwilligung hingewiesen werden, beispielsweise für den Fall, dass er sich nicht weiter auf der Suche nach einem Job befindet.

DSGVO-konforme Bewerbermanagementsysteme

Die Auswahl eines geeigneten Bewerbermanagementsystems ist von verschiedenen Kriterien abhängig und je nach Anforderungen des Unternehmens unterschiedlich. Das Kriterium Datenschutz sollte bei der Auswahl jedoch unbedingt berücksichtigt werden.

Denn: Nicht jedes Bewerbermanagementsystem bietet ausreichende Datenschutzkonzepte an.

Wie kannst du sicherstellen, dass der Bewerbermanagement-Anbieter deiner Wahl die DSGVO einhält?

Im Artikel Bewerbermanagement Software Anbietervergleich findest du einen ausführlichen Anbietervergleich verschiedener Bewerbermanagementsysteme. Du kannst dich hier jeweils darüber informieren, ob Lösungen für die Datensicherheit angeboten werden.

Frage im Zweifelsfall beim jeweiligen Anbieter nach, ob oben genannte Kriterien durch das System abgedeckt werden und für ausreichend Datenschutz gesorgt ist. 

Es gilt: Bei einem DSGVO-konformen Bewerbermanagementsystem ist die Dokumentation, wie und wo die Daten gespeichert werden, klar und übersichtlich. Alle nötigen Einverständnisse werden automatisch erfragt und gespeichert.

Bewebermanagementsysteme, die ein Datenschutzkonzept beinhalten, sind beispielsweise:

  • Smartrecruiters
  • Personio
  • Recruitee
  • Prescreen
  • Softgarden
  • Join
  • Umantis
  • SAP Success Factors

Wichtige Info: Das sogenannte "Privacy Shield", welches die Grundlage für den Datenschutz zwischen der EU und den USA geregelt hat, wurde im August 2020 für ungültig erklärt. Bisher bestehen auf vielen Gebieten noch Unklarheiten über die Vermittlung personenbezogener Daten in die USA. Gegebenenfalls müssen Zusatzvereinbarungen oder besondere Datenverschlüsselung mit Anbietern getroffen werden, wenn dieser nicht innereuropäisch ist.

Bei der Auswahl eines neuen Tools kann es deswegen sinnvoll sein, einen europäischen Anbieter zu wählen. Ansonsten sollte genau dokumentiert werden, warum dies nicht möglich war, um es im Falle nachweisen zu können. Mehr Informationen dazu findest du auf der baden-württembergischen Seite für Datenschutz.

Key-Take-Aways

  • Der sichere Umgang mit den Daten der Bewerber ist erforderlich, um die rechtlichen Vorgaben im Rahmen der DSGVO zu berücksichtigen.
  • Es gilt, wie so oft: Auch wenn die Sache mit dem Bewerberdatenschutz auf den ersten Blick kompliziert und unübersichtlich scheint, sind die meisten Probleme mit guter Planung und Organisation vermeidbar. 
  • Mit einem Bewerbermanagementsystem sparst du dir viel Aufwand und sorgst durch automatisierte Prozesse und übersichtliche, dokumentierte Datenspeicherung für einen garantierten Datenschutz.

Wusstest du, dass dir Campusjäger die gleichen Benefits wie ein Bewerbermanagementsystem bietet – und wir uns dabei gleichzeitig um die komplette Betreuung der Kandidaten kümmern?

Selbstverständlich wird Datenschutz bei uns großgeschrieben: Unser Recruiting ist DSGVO-konform und wir garantieren dir und den Kandidaten einen sicheren Umgang mit allen Daten. 

Hier findest du unsere Datenschutzhinweise bei Campusjäger.

Jetzt unverbindliches Telefonat vereinbaren und passende Mitarbeiter finden

Veröffentlicht am 09.02.2021, aktualisiert am 05.03.2021

Beliebteste Artikel