Fallstricke

DSGVO-Stolperfallen im Bewerbungsverfahren

Ein Bewerbungsverfahren im Einklang mit der DSGVO transparent zu gestalten, kann im Hinblick auf den Umgang mit den Bewerberdaten eine echte Herausforderung darstellen. Wo die größten Fallstricke lauern, verraten wir in diesem Artikel.

1. Die Informationspflicht

Mit der Datenschutz-Grundverordnung müssen Unternehmen ihre Bewerber rechtzeitig und sehr ausführlich über den Umgang mit ihren Daten informieren.

Was umfasst die Informationspflicht?

Der Betroffene ist über folgende Punkte zu informieren:
• Identität des Verantwortlichen
• den Datenschutzbeauftragten
• Art, Umfang und Zweck der Datenverarbeitung
• Rechtsgrundlagen
• Interessen für die Verarbeitung
• Kategorien von Dritten, an die die Daten ggf. übermittelt werden
• Übermittlung an einen Drittstaat
• Speicherdauer
• Rechte des Betroffenen

Wann muss informiert werden?

Sobald ein Unternehmen die Daten eines Bewerbers erhält und auf dem Server speichert, beginnt die Verarbeitung personenbezogener Daten und damit auch die Informationspflicht gegenüber dem Bewerber. Unterschieden wird zunächst zwischen einer Direkterhebung und einer Erhebung über Dritte.

Direkterhebung: Bei der Direkterhebung werden die Bewerberdaten per Post oder im Bewerbungsgespräch direkt an das Unternehmen übermittelt. Eine weitere Möglichkeit ist, dass der Bewerber seine Daten eigenständig in ein Online-Bewerbungsportal eingibt und die Daten auf diesem Weg preisgibt.
Liegt eine Direkterhebung vor, muss die Information im Zeitpunkt der Erhebung erfolgen. Die Umsetzung erfolgt recht einfach, indem ein Unternehmen die Bewerberdaten direkt online über ein Bewerberportal erhebt. Dort wird dem Bewerber einfach ein Link zu Datenschutzinformationen für Bewerber zur Verfügung gestellt. Bevor der Bewerber seine Daten abschickt, sollte er die Kenntnisnahme dieser Datenschutzinformation bestätigen.

Erhebung über Dritte: Wenn ein Unternehmen einer Konzerngruppe das Online-Bewerberportal betreibt und die Bewerberdaten an die anderen Unternehmen weiterleitet, liegt eine Erhebung über Dritte vor. Diese liegt ebenfalls vor, wenn Daten über eine Personalvermittlung weitergegeben werden oder ein Arbeitgeber Daten vom ehemaligen Arbeitgeber abfragt.
Hat der Verantwortliche die Bewerberdaten über Dritte erhalten und möchte Kontakt zum Bewerber aufnehmen, muss er innerhalb eines Monats seiner Informationspflicht nachkommen. Es muss also erst zum Zeitpunkt der Kommunikation eine Information an den Bewerber erfolgen.

Möglichkeiten zur Umsetzung der Informationspflicht:

  • Link im E-Mail-Footer zu Informationen auf der Website
  • Übermittlung der Informationen in elektronischer Form
  • Übermittlung der Informationen in schriftlicher Form

2. Initiativbewerbungen

Aus datenschutzrechtlicher Sicht sind Initiativbewerbungen mit Vorsicht zu genießen. Oftmals werden diese an eine allgemein zugängliche Emailadresse verschickt, auf welche mehrere Personen Zugriff haben. Daher sollte für Bewerbungen immer eine gesonderte Emailadresse eingerichtet werden oder zumindest eine Anweisung für die Mitarbeiter zum Umgang mit Bewerbungen gegeben sein.

Interessant wird es bei Bewerbungen die per Post überliefert werden. Denn rein praktisch ist es nicht nachweisbar ob der Verantwortliche seine Informationspflicht erfüllt hat. Sobald der Arbeitgeber die Unterlagen des Bewerbers empfängt und diese in seinen Systemen speichert, sollte der Bewerber darüber informiert werden, zu welchen Zwecken seine Daten verarbeitet werden. Da reicht der Link auf der Website allein nicht aus. Der Arbeitgeber ist verpflichtet eine Eingangsbestätigung an den Betroffenen zu übermitteln. Zusätzlich ist es sinnvoll einen entsprechenden Link in den E-Mail Footer aufzunehmen.

3. Löschung der Bewerberdaten

Wann müssen die Bewerberdaten gelöscht werden?

Zu berücksichtigen ist, dass die Daten der Bewerber zweckgebunden sind und ein Unternehmen immer eine Rechtsgrundlage für die Verarbeitung von Daten benötigt. Was bedeutet das in diesem Fall? Die Daten dürfen nur im Bewerbungsverfahren genutzt werden, indem es um die Stelle geht, auf die sich der Kandidat beworben hat. Die Rechtsgrundlage entfällt, sobald die Stelle vergeben ist und es nicht zu einem Vertragsverhältnis kommt. Danach dürfen die Daten bis zu sechs Monate nach der Absage gespeichert werden. Sollen die Daten länger erhalten bleiben, wird eine Einwilligung des Bewerbers benötigt.

Weitere Tipps:

  • Technische und organisatorische Maßnahmen ergreifen
  • Verzeichnis der Verarbeitungstätigkeiten erstellen

Um im Falle einer Betroffenenanfrage fristgerecht und ausführlich antworten zu können, ist es wichtig, dass alle Verarbeitungsprozesse dokumentiert sind und die personenbezogenen Daten ausreichend geschützt sind.

Fazit:

Um das Bewerbungsverfahren DSGVO-konform zu gestalten, gilt es Transparenz zu schaffen, indem die Bewerber ausführlich über die Datenverarbeitung informiert werden. Vorsicht ist insbesondere bei Initiativbewerbungen geboten, daher ist es sinnvoll eine gesonderte Emailadresse für Bewerbungen einrichten. Um sich vor Beschwerden von Betroffenen zu schützen, müssen die Bewerberdaten fristgerecht gelöscht werden und Unternehmen sollten bei Anfragen der Betroffenen lückenlose Angaben zu den Verarbeitungsprozessen der personenbezogenen Daten machen können. Aus diesem Grund ist es hilfreich, technische und organisatorische Maßnahmen umzusetzen und ein Verarbeitungsverzeichnis zu erstellen.

Quellen: www.datenschutz-praxis.de; www.Datenschutzbeauftragter-dsgvo.com

Hinterlassen Sie einen Kommentar





Schreiben Sie uns:
0251 29794740 Schreiben Sie uns