Checkliste: Was gilt für den Datenschutz bei Bewerbungen?

Nicht nur im Hinblick auf Angestellte, Kunden und Geschäftspartner sind die Vorgaben der DSGVO einzuhalten, auch bei Bewerbungen spielt Datenschutz eine wichtige Rolle. Der Grund: Auch im Rahmen eines Bewerbungsprozesses werden durch Unternehmen personenbezogene Daten verarbeitet.

Insbesondere Bewerberdaten gelangen häufig in viele Hände und werden von verschiedenen Personen unterschiedlicher Abteilungen erfasst und verarbeitet. Es ist daher wichtig, dass Unternehmen klare Richtlinien und Abläufe etablieren, wie mit Bewerberdaten umzugehen ist. Was Du über den Datenschutz bei Bewerbungen wissen musst und wie Du die Vorgaben umsetzen kannst, erfährst Du in diesem Beitrag. 

Du hast konkrete Fragen zu Datenschutz bei Bewerbungen oder suchst einen kompetenten Ansprechpartner im Datenschutz? Durch unser breit aufgestelltes Team mit umfassender Fachkompetenz in der Datenschutzberatung und Informationssicherheitsberatung unterstützen wir Dich und Dein Unternehmen bei allen offenen Fragen. Vereinbare jetzt ein unverbindliches Erstgespräch mit unseren Experten.

Die Vorschriften zum Datenschutz in Unternehmen gelten für alle personenbezogenen Daten, die innerhalb dessen verarbeitet (z. B. erhoben oder gespeichert) werden. Neben den Daten von eigenen Mitarbeitern und Kunden zählen dazu auch potenziell neue Arbeitnehmer, also die Bewerber. 

In einem Bewerbungsprozess werden typischerweise personenbezogene Daten von einer Vielzahl von unterschiedlichen Personen erhoben, die in der Regel nur für eine kurze Zeitspanne benötigt werden. Im Normalfall wird nur eine Person aus der Bewerberliste tatsächlich eingestellt und ihre Stammdaten werden separat noch einmal erhoben. Die restlichen Daten werden künftig nicht mehr benötigt, sie dienen keinem Zweck (mehr). 

Aus diesem Grund ist mit den Bewerberdaten besonders vorsichtig und sensibel umzugehen. Dafür gibt es in der DSGVO eine Öffnungsklausel, die "spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext”  durch die Mitgliedstaaten erlaubt (Art. 88 DSGVO). 

Eine solche Regelung stellt im deutschen Recht der § 26 Abs. 1 S. 1 BDSG dar. Dieser besagt: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung (…) erforderlich ist.“

Damit dürfen die Daten von Beschäftigten grundsätzlich von Arbeitgebern verarbeitet werden, jedoch in engen Grenzen (Arbeitnehmerdatenschutz). Doch was gilt jetzt für Bewerber? Auch in diesem Fall liefert das BDSG in § 26 Abs. 8 S. 2 eine Antwort: 

“Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte". 

Das bedeutet: Daten von Bewerbern dürfen grundsätzlich nur insoweit verarbeitet werden, wie das auch im Hinblick auf Arbeitnehmer erlaubt ist. Dazu zählen:

• das Einholen einer Einwilligung zur Datenverarbeitung,

• der Grundsatz der Zweckbindung,

• der Grundsatz der Datenminimierung,

• die Einhaltung von Löschfristen,

• die ausreichende Sicherung von personenbezogenen Daten und

• die Einhaltung der Betroffenenrechte.

Am 30.03.2023 hat der EuGH jedoch entschieden, dass die inhaltsgleiche Regelung im hessischen Datenschutzgesetz (§ 23 HDSIG) europarechtswidrig ist. Demnach kann eine Datenverarbeitung zukünftig wohl nicht mehr auf § 26 BDSG gestützt werden und es muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen (insbesondere zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO). 

Eine der wichtigsten Regelungen in der DSGVO ist die Zweckbindung der Datenverarbeitung. Das bedeutet, dass Daten nur verarbeitet werden dürfen, wenn dafür ein legitimer Zweck vorliegt und die Verarbeitung notwendig ist. 

Ein solcher Zweck ist in einem Bewerbungsprozess grundsätzlich gegeben, denn die Datenverarbeitung ist notwendig, um eine freie Stelle zu besetzen, also einen passenden Kandidaten zu finden. Das ist in der Regel so lange der Fall, wie die ausgeschriebene Stelle unbesetzt und der Bewerbungsprozess im Gang ist. 

Entfällt der Zweck, in der Regel durch die Besetzung der Stelle, müssen die Daten auch sofort unzugänglich gemacht werden. Das erfolgt meist durch die unwiderrufliche Löschung aller Daten. Dabei müssen sämtliche personenbezogene Informationen innerhalb des Unternehmens gelöscht werden, sodass eine Wiederherstellung nicht möglich ist. Zu diesen Daten zählen neben Namen und Adressen beispielsweise auch die angefertigten Notizen im Rahmen des Bewerbungsgesprächs. Postalisch übersandte Bewerbungsunterlagen sollten laut der Website des BfDI spätestens nach 6 Monaten an den Bewerber zurückgeschickt oder vernichtet werden.

Eine Ausnahme gilt dann, wenn Unternehmen einen Pool von Kandidaten haben, aus welchem sie immer wieder freie Stellen besetzen möchten. Gerade für größere Unternehmen oder Vermittlungsfirmen kann das eine gute Möglichkeit sein. Hier können Unternehmen die Daten auch nach einer Absage der Stelle weiterhin speichern und verwenden. Voraussetzung ist, dass die Bewerber auch tatsächlich der dauerhaften Speicherung zugestimmt haben.

Immer mehr Bewerbungen finden online statt, entweder über Bewerbungsportale oder per E-Mail. Bewerbungsunterlagen müssen dadurch nicht mehr umständlich per Post hin- und hergeschickt werden, sondern gelangen ganz bequem elektronisch an die Beteiligten.

Was für den Bewerbungsprozess eine Erleichterung sein kann, kann beim Thema Datenschutz einige Probleme bereiten. Durch die Online-Bewerbungen werden in der Regel mehr Daten generiert, die wiederum den datenschutzrechtlichen Vorschriften unterliegen. Darunter fallen nicht nur Anhänge wie der Lebenslauf oder das Anschreiben, sondern auch Fotos, E-Mail-Verkehr und Metadaten, die bei einem Upload unbemerkt mitgeliefert werden können. 

Wichtig ist dabei insbesondere die unwiderrufliche Löschung der Daten nach Wegfall des Zwecks. Es reicht nicht, die Bewerbungsunterlagen im PDF-Format in den Papierkorb zu legen. Es müssen alle Daten, wie E-Mail-Verläufe, Ausdrucke, Fotos, Metadaten, Notizen, Kopien etc. unwiederbringlich gelöscht werden, sodass niemand mehr im Unternehmen darauf zugreifen kann.

Auch online geführte Bewerbungsgespräche über Zoom und Co. unterliegen dem Datenschutz. Wichtig dabei ist, dass Arbeitgeber sich bewusst machen, dass diese Portale nicht leichtfertig zu benutzen sind. Arbeitgeber müssen vorher prüfen, ob die Software-Anbieter den Datenschutzstandards der EU genügen und entsprechend die sichersten Kommunikationswege wählen. Zudem muss hierfür eine Zustimmung der Bewerber vorliegen, denn auch ein sicherer Kommunikationskanal birgt Risiken. Wichtig ist zudem, dass auch hier keine Aufzeichnungen zurückbleiben und alle Daten nach Zweckerfüllung gelöscht werden. 

Neben den Online-Bewerbungsportalen wird auch Künstliche Intelligenz (KI) immer häufiger zur Sichtung von Bewerbungsunterlagen und Auswahl von möglichen Bewerbern eingesetzt. Auch dies birgt datenschutzrechtliche Risiken, die von Unternehmen berücksichtigt werden müssen. Was Sie beim Datenschutz und KI beachten sollten, erfahren Sie in einem anderen Beitrag.

Insbesondere die Personalabteilung sollte darüber geschult werden, wie mit den Bewerberdaten im Prozess der Bewerbung und Einstellung umzugehen ist. Eine genaue Organisation dieser Vorgänge bietet nicht nur dem Arbeitgeber Sicherheit, sondern sorgt auch für ein gutes Gefühl beim potenziellen neuen Mitarbeiter. 

Wir geben Dir im Folgenden allgemeine Handlungshinweise, wie Du als Arbeitgeber oder Personalmanager dabei vorgehen kannst. Dies ist jedoch nicht abschließend und ersetzt keine individuelle Rechtsberatung durch einen Experten. Wende Dich gerne direkt an uns für ein persönliches Gespräch.

1. Prüfung, ob das Bewerberportal oder die Bewerber-E-Mail-Adresse den Datenschutzstandards genügt

2. Erfüllung der Informationspflichten oder einen Datenschutzhinweis (Art. 12 ff. DSGVO) 

3. Speicherung und Verarbeitung der Bewerberdaten vor dem Hintergrund der Datenminimierung

4. Minimalismus bei der Personalauswahl: möglichst wenige Menschen sollten Zugriff zu den Daten erlangen

   (z. B. Personaler, Fachabteilung und Geschäftsführung)

5. Nach der Auswahl des neuen Arbeitnehmers: Löschung der Bewerberdaten innerhalb von 6 Monaten

6. Bei einer Überschreitung der 6 Monate ist eine erneute Einwilligung der Bewerber einzuholen!

1. Erfüllung der Informationspflichten durch einen Datenschutzhinweis, der dem Arbeitsvertrag beiliegt (Art. 12 ff. DSGVO)

2. Grundsatz der Datenminimierung: Möglichst nur die wichtigsten Daten abfragen

3. Einholung von Einwilligungen, z. B. Speicherung von Mitarbeiterfotos, Kopien von Unterlagen etc. 

4. Verpflichtungserklärung zu Wahrung von Vertraulichkeit und Datengeheimnissen

5. Vereinbarung einer Clean-Desk-Policy

Wir empfehlen zudem, die Personalabteilung eingehend datenschutzrechtlich zu schulen und Zugriffsbeschränkungen für Personal- und Bewerberdaten einzurichten. Außerdem sollten alle Mitarbeiter für den Datenschutz sensibilisiert werden. Insbesondere bei Lohn- und Gehaltsdaten oder persönlichen Beurteilungen sollte höchste Diskretion gewahrt sein.

Die Datenschutzregelungen bei Bewerbern unterscheiden sich nur unwesentlich von denen bestehender Arbeitnehmer. Das sagt bereits das BDSG. Wichtig ist für Arbeitgeber insbesondere, auf die Diskretion der eigenen Mitarbeiter innerhalb wie außerhalb der Personalabteilung zu achten. 

Auch online durchgeführte Bewerbungsprozesse machen keinen wesentlichen Unterschied beim Datenschutz, können die Bemühungen, datenschutzrechtliche Vorgaben einzuhalten, jedoch erschweren. Der Vorteil dabei ist, dass der Bewerbungsprozess unter Umständen schneller vonstatten geht.

Der Datenschutz im Bewerbungsprozess gestaltet sich einfacher, wenn der Kreis der Zugriffsberechtigten klein gehalten wird und nur die nötigen Daten tatsächlich gespeichert werden. Arbeitgeber sollten daher dringend Abstand von umfassenden Bewerbungsunterlagen nehmen und sich auf die wesentlichen Unterlagen wie den Lebenslauf eines Bewerbers konzentrieren. 

Du benötigst Unterstützung? Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Dich tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Dich ganzheitlich bei den Themen Datenschutz, IT-Recht und Cybersicherheit. Komm jederzeit für ein unverbindliches Erstgespräch auf uns zu.