Datenschutz stellt Personaler vor komplexe Herausforderung

Nicht, dass es schwer genug wäre, aus der Vielzahl an eigehenden Bewerbungen die richtigen Kandidaten auszuwählen. Darüber hinaus müssen Personaler die geltenden Datenschutzbestimmungen berücksichtigen. Diese betreffen viele Bereiche im Bewerbungsprozess und haben bei Verstößen ernsthafte Konsequenzen zur Folge.

Im Fokus des Datenschutzes stehen Bewerberdaten. Dies sind:

  • E-Mail Adresse des Bewerbers
  • Weitere Kontaktdaten
  • Bewerbungsunterlagen, wie z.B. Lebenslauf, Bewerberbild, Zeugnisse etc.
  • Eigens zum Bewerber angelegte Datensätze, wie z.B. Beurteilungen
  • Sonstiges Daten des Bewerbers mit Personenbezug

Die größten Risiken beim Umgang mit Bewerberdaten

Das Spektrum an Fehlerquellen beim Umgang mit den Daten erstreckt sich vorrangig über die folgende Bereiche.

  • Versäumnis von Löschfristen
    Die Aufbewahrung von Bewerberdaten darf nicht unbefristet erfolgen. Sobald für das Unternehmen keine Notwendigkeit der Speicherung mehr besteht, sind die Daten zu löschen.
  • Weitergabe von Bewerberdaten an nicht im Prozess involvierte Abteilungen
    Die Übermittlung von Bewerbungsunterlagen innerhalb des Unternehmens ist nur eingeschränkt zulässig. Die Daten sollten nur Personen, welche an der Entscheidungsfindung direkt beteiligt sind, zugänglich sein.
  • Auskunftsersuchen von abgesagten Bewerbern
    Gemäß DSGVO haben Betroffene – in diesem Fall alle Bewerber und insbesondere die abgesagten – das Recht, Auskunft über Nutzung und Verbleib ihrer personenbezogenen Daten zu erhalten. Es besteht für ein jedes Unternehmen die Verpflichtung (DSGVO Auskunftspflicht), solchen Auskunftsersuchen angemessen nachzukommen. Dies hat nicht nur fristgerecht, sondern auch im notwendigen Umfang und Detailgrad zu geschehen.
  • Bewerbermanagement über externe Dienstleister, Tools und Onlineplattformen
    Bei der Übermittlung personenbezogener Daten an externe Partner, wie z.B. Personalvermittler, gelten strenge Datenschutzbestimmungen. Oft liegen Auftragsverarbeitungen vor, denen Dienstleistungsverträge zugrunde liegen müssen (Art. 28 DSGVO sowie Art. 13, 14 und 21 DSGVO).
  • Videointerviews
    Bei Durchführung von Videointerviews ist mit dem Video-Dienstleister zu klären, ob hier auch Daten im Auftrag verarbeitet werden (Art. 28. DSGVO). Abschließend ist im Rahmen der Informationspflichten gemäß Art. 13, 14 DSGVO der Bewerber über diesen Einsatz in Kenntnis zu setzen.
  • E-Mail-Archivierung (Ausschluss des Bewerbermanagements)
    Beim Empfang von Bewerbungen per E-Mail muss sichergestellt sein, dass betroffene Postfächer aus der Archivierungsrichtlinie des Unternehmens genommen sind. Ansonsten wäre bei bei eintretender Archivierung die fristgerechte Löschung abgesagter Bewerber nicht umsetzbar (Berücksichtigung Allgemeines Gleichbehandlungsgesetz (AGG) sowie Art. 13,14 DSGVO und § 26 Abs. 1 BDSG).
  • Mangelnde Vertretungsregelungen/ Regelungen zur Einsicht in Bewerbungen
    Einsicht und Verarbeitung von Bewerberdaten sollten stets, wie oben bereits erwähnt, lediglich denen am Bewerbungsprozess direkt beteiligten Mitarbeitern ermöglicht werden. Vertretungsregelungen sind dahingehend zu prüfen und ggf. anzupassen (Wahrung der Betroffenenrechte Art. 15 ff, DSGVO, § 26 BDSG).
  • Fehlende Verschlüsselung bei Austausch elektronischer Bewerbungsdokumente
    Ob Anschreiben, Lebenslauf oder Bewerbungsfoto, die meisten Bewerbungsunterlagen werden online (z.B. via E-Mail oder Bewerberportal) eingereicht. Eine sichere Übermittlung von Bewerbungsdokumenten im Internet erfordert eine Verschlüsselung, die alle digitalen Übermittlungswege berücksichtigt.

Konsequenzen bei einem Datenschutzverstoß

Fehler im Umgang mit Bewerberdaten drohen für Unternehmen teuer zu werden. Angenommen ein Bewerber legt Beschwerde ein und die zuständige Aufsichtsbehörde stellt einen Datenschutzverstoß fest. Die Behörde kann den Verstoß mit einem umsatzgekoppelten und damit satten Bußgeld ahnden.

Hinzu kommt die Gefahr eines Imageschadens. Ob Berufseinsteiger oder Professional, die meisten Bewerber suchen im Internet gezielt nach Informationen über potenzielle Arbeitgeber. Sollten dort Hinweise auf Verstöße im Umgang mit Bewerberdaten zu finden sein, kann dies gute Kandidaten von einer Bewerbung abhalten.

Wie Sie Ihre Prozesse anpassen und Risiken minimieren

  1. Schaffen Sie einen internen Prozess, der die Wahrung geltender Löschfristen sicherstellt. Dies schließt die Benennung verantwortlicher Personen, welche die Aufbewahrung bzw. Löschung von nicht mehr benötigten Daten durchführen und oder beauftragen, ein.
  2. Entwickeln und etablieren Sie ebenso einen internen Prozess für den Umgang mit Auskunftsersuchen.
  3. Informationspflichten gemäß Art. 13, 14 DSGVO berücksichtigen. Stellen Sie Informationen bereit, in denen über die Verarbeitungszwecke sowie zugehörige Rechtsgrundlagen (Verantwortliche Stelle, Aufbewahrung, Weitergabe, Löschfrist etc.) informiert wird.
  4. Überprüfung und ggf. Schaffung weiterer Prozesse, die eine angemessene E-Mail-Archivierung sowie Regelungen zur Einsicht in Bewerbungen gewährleisten.

Mehr Sicherheit dank Unterstützung vom Datenschutzspezialisten

Gehen Sie beim Umgang mit Bewerberdaten keine Risiken ein. Unsere Spezialisten für den betrieblichen Datenschutz haben schon zahlreiche Unternehmen bei der Gestaltung Ihrer datenschutzrechtlichen Prozesse im Personalwesen erfolgreich unterstützt. Wir bieten maßgeschneiderte Datenschutzlösungen, die u.a. folgende Leistungen umfassen:

  • Gestaltung / Anpassung Ihrer Prozesse rund um den gesamten Umgang mit Bewerberdaten, von der Erfassung über Auskunftsersuchen bis zur Löschung.
  • Sensibilisierung betroffener Fachbereiche im Umgang mit Auskunftsersuchen sowie dem Umgang mit Bewerberdaten. Auf Wunsch führen wir abgestimmte Datenschutz-Schulungen durch.
  • Prüfung und Bereitstellung notwendiger Informationen, damit Sie bei Ihrer Außendarstellung (z.B. auf Bewerberportalen) die Anforderungen geltender Informationspflichten erfüllen.
  • Ganzheitliche Betrachtungsweise, um Lücken im Datenschutz auszuschließen. Ob Weitergabe von Bewerbungen innerhalb des Unternehmens oder Kommunikation von Absagen an Bewerber – wir sind mit den entscheidenden Details vertraut.

Fazit

Der Datenschutz im Umgang mit Daten von Bewerbern ist vielseitig und komplex. Den meisten Personalern fehlt es jedoch an Hintergrundwissen und der Fokus im Tagesgeschäft ista uf andere Aufgaben gerichtet. Somit können leicht Dinge übersehen und Fehler gemacht werden. Im Falle eines Verstoßes drohen erhebliche Strafen.

Sofern noch nicht geschehen, sollten Sie Ihre Datenschutzprozesse auf den Prüfstand stellen, z.B. per Datenschutzaudit. Mit uns als Partner an Ihrer Seite minimieren Sie Ihre Risiken. Unsere Datenschutzexperten arbeiten sichere und zugleich praxisorientierte Lösungen aus. Um mehr zu erfahren, nutzen Sie unsere kostenlose Erstberatung.

Fragen & Antworten zum Thema

Ab wann sind Bewerberdaten zu löschen?

Oft kommt die Frage auf, wie lange Bewerberdaten gespeichert werden dürfen. Die Antwort lautet, dass für die Personalabteilung strenge Löschfristen gelten. Sobald Daten von Bewerbern keine Notwendigkeit der Speicherung (im Hinblick auf ein mögliches Klagerisiko von abgelehnten Bewerbern kann sich eine Aufbewahrungsdauer von bis zu sechs Monaten empfehlen) mehr besteht, sind diese zu löschen.

Was ist bei der Weiterleitung von Bewerberdaten zu berücksichtigen?

Es ist im Vorfeld zu prüfen, ob eine Weiterleitung (z.B. durch externe Personaldienstleister oder Tochterunternehmen) zulässig ist. Dies setzt eine Rechtsgrundlage voraus, wie z.B. die Einwilligung des Bewerbs zur Weiterleitung seiner Unterlagen.