Bewerberdaten unter der DS-GVO
Die Suche nach geeigneten Mitarbeitern kann sich in vielen Branchen als eine schwierige Aufgabe darstellen. Umso größer ist die Freude bei vielen Unternehmen, wenn Bewerbungen in großer Anzahl eingehen und die Auswahl nach dem perfekten Bewerber beginnen kann. Doch da gibt es ja noch die DS-GVO. Was ist eigentlich alles im Umgang mit Bewerberdaten zu beachten? Die Zulässigkeit der Verarbeitung von Bewerberdaten ist schnell geklärt. Hier ist Art. 6 Abs. 1 lit.b DS-GVO i.V.m. § 26 Abs. 1 BDSG-neu als Rechtsgrundlage geeignet. Hier handelt es sich um die Durchführung vorvertraglicher Maßnahmen, d.h. ein Arbeitsvertrag soll vorbereitet werden.
Eingang der Bewerbung
Zunächst einmal sollte geklärt sein, wie die Bewerbungen eingehen.
- Handelt es sich um klassische Bewerbungen, welche in Papierform das Unternehmen erreichen?
- Existiert ein Berwerberportal?
- Werden Bewerbungen per EMail zugesandt?
Bei Bewerberdaten handelt es sich um sehr sensible Daten, welche im Fall einer elektronischen Übermittlung (per Webportal oder EMail) unbedingt verschlüsselt übertragen werden sollten. Ein Bewerberportal muss auf jeden Fall verschlüsselt angeboten werden.
Für EMail Bewerbungen sollte eine spezielle Adresse eingerichtet werden, wie z.B. Berwerbungen@unternehmen.de. Auch hierfür sollte eine Möglichkeit der EMail Verschlüsselung angeboten werden.
Informationspflichten bei Bewerbungen
Mit dem Eingang der Bewerbung werden die Daten des Bewerbers selbstverständlich auch verarbeitet im Sinne der DS-GVO. Es handelt sich zweifelsfrei um personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO und eine Verarbeitung gem. Art. 4 Nr. 2 DS-GVO findet ebenfalls statt.
Damit finden die Informationspflichten gem. Art. 13 DS-GVO Anwendung. Dem Bewerber sind alle Informationen gem. Art. 13 DS-GVO zu übermitteln. Wie die Informationen dem Betroffenen mitzuteilen sind ist in der DS-GVO nicht geregelt. Hier sind verschiedene Methoden in der Praxis anzutreffen. Bei herkömmlichen postalischen Bewerbungen könnten die Informationen beispielsweise mit der Eingangsbestätigung versendet werden.
Bei Bewerbungen per Portal oder EMail gibt es derzeit verschiedene Vorgehensweisen. Teilweise werden Autoresponder verwendet, welche sofort nach Eingang der Bewerbungsdaten eine automatische Antwortmail mit den Angaben gem. Art. 13 DS-GVO versenden.
Eine andere Möglichkeit ist die sog. „Linklösung“, welche u.a. auch vom Rechtsanwalt und Datenschutzexperten Stephan Hansen-Oest empfohlen wird. Hierbei wird auf dem eigenen Server eine Datei mit den Datenschutzinformationen gem. Art. 13 DS-GVO hinterlegt. Diese Datei ist über das Menü der eignene Homepage nicht erreichbar, sondern nur über einen speziellen Link (z.B. www.unternehmen.de/datenschutz), welcher dem Betroffenen (hier Bewerber) mitgeteilt wird.
Dieser Link kann beispielsweise auch bereits in den Text der Stellenausschreibung mit aufgenommen werden.
Welche Variante sich letztendlich durchsetzen wird bleibt abzuwarten. Eventuell wird auch irgendwann eine Klärung durch die Rechtsprechung herbeigeführt werden.
Löschfristen für Bewerbungen
In vielen Unternehmen war es gängige Praxis, dass die Bewerbungsunterlagen von abgelehnten Bewerbern nicht vernichtet bzw. gelöscht wurden, sondern für zukünftige Stellenausschreibungen aufbewahrt wurden. Dies war schon nach dem alten Bundesdatenschutzgesetz unzulässig und sollte zu Zeiten der DS-GVO auf keinen Fall weiterhin so gehandhabt werden.
Auch für Bewerberdaten gelten die Vorschriften zur Löschung von personenbezogenen Daten gem. Art. 17 DS-GVO. Demzufolge sind gem. Art. 17 Abs. 1 lit. a DS-GVO die personenbezogenen Daten zu löschen, wenn sie für die Zwecke für die sie erhoben wurden nicht mehr benötigt werden. Dies ist eindeutig der Fall, wenn das Bewerbungsverfahren abgeschlossen ist.
Hier sollte jedoch beachtet werden, dass in jedem Bewerbungsverfahren die Möglichkeit einer Klage aufgrund des Allgemeinen Gleichbehandlungsgesetz (AGG) besteht. Daher sollten die Bewerbungsunterlagen noch eine angemessene Frist aufbewahrt werden. Diese Frist sollte aber nicht länger als 6 Monate sein. Danach sollten die Unterlagen unverzüglich vernichtet werden.
Für den Fall, dass die Unterlagen länger aufbewahrt werden sollen, ist auf jeden Fall eine entsprechende Einwilligung des Betroffenen hierfür notwendig.
Ein Verstoß hiergegen kann gem. Art. 83 Abs. 5 DS-GVO geahndet werden.
Rechenschaftspflicht
Die Einhaltung dieser Vorschriften muss gem. Art. 5 Abs. 2 DS-GVO auch nachgewiesen werden können. Somit ist es notwendig, dass auch hierfür ein Prozess definiert wird, welcher die Abläufe klar dokumentiert. Ein geeignetes Datenschutz Management System sollte hier eine sinnvolle Hilfe sein.