Es ist von entscheidend, dass die Bewerbungsprozesse in Unternehmen reibungslos und effizient ablaufen. Die Generationen Y und Z betrachten einen Arbeitgeberwechsel als einen natürlichen Teil ihrer beruflichen Entwicklung. Die gestiegenen Fluktuationsraten führen dazu, dass immer mehr Bewerbungen verarbeitet werden. Im Bewerbungsverfahrens können Konfliktsituationen entstehen, wenn BewerberInnen nicht eingestellt werden oder sich in irgendeiner Form diskriminiert fühlen. Daher ist die Ausgestaltung des Bewerbungsverfahrens in Übereinstimmung mit den Datenschutzgesetzen von großer Bedeutung.

Warum Datenschutz im Bewerbungsverfahren wichtig ist

Um herauszufinden, ob BewerberInnen fachlich und persönlich ins Unternehmen passen, werden zu Beginn des Bewerbungsverfahrens bestimmte Informationen über sie erhoben. Die meisten KandidatInnen liefern diese Informationen in ihren Bewerbungsunterlagen, darunter Anschreiben, Lebensläufe und Zeugnisse. Die darin enthaltenen personenbezogene Daten reichen vom Alter über die Adresse und die Ausbildung bis hin zur Religionszugehörigkeit.

Wann dürfen Unternehmen Bewerberdaten verarbeiten?

Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) regeln den Umgang von Unternehmen mit personenbezogenen Daten. Im Kontext von Beschäftigung und Bewerbung ist  insbesondere §26 Ab. 1 S. 1 BDSG die zu beachtende Rechtsgrundlage. Demnach ist die Datenverarbeitung zulässig, wenn es für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Die Verarbeitung der Bewerberdaten, wie Anschreiben, Lebenslauf, Zeugnisse und andere Qualifikationsnachweise sind üblicherweise erforderlich, um die Eignung eines Bewerbers zu überprüfen.

Informationspflichten

Für einen ausreichenden Datenschutz der Bewerberdaten müssen Unternehmen alle BewerberInnen über die bevorstehende Datenverarbeitung aufklären und sie über ihre Rechte als Betroffene informieren. Dies ist in einer Datenschutzinformation mitzuteilen (Art. 13 DSGVO).

Wo ist die Datenschutzinformation zu platzieren?

Online-Bewerberportale müssen die Datenschutzinformation deutlich sichtbar zu verlinken. Bei Bewerbungsformularen auf Unternehmenswebseiten sollte die Übertragung an den Webserver verschlüsselt erfolgen. Auf eine Initiativbewerbung lässt sich beispielsweise in der Antwort, die den Eingang der Bewerbung bestätigt, entweder mit einer Datenschutzerklärung als PDF-Anhang oder einem Link zu einer Datenschutzerklärung im Footer hinweisen.

Wer darf Zugriff auf die Bewerberdaten erhalten?

Es sollten nur die Personen Zugriff erhalten, die über die Einstellung entscheiden. Dabei handelt es sich regelmäßig um die zuständigen MitarbeiterInnen im Personalbereich und ggf. die Geschäftsleitung. Die Bewerbungsunterlagen sollten keinesfalls in einem allgemein zugänglichen Ordner gespeichert oder per E-Mail an die Personen, die am Einstellungsprozess beteiligt sind, weitergeleitet werden.

(Un)zulässige Fragen im Bewerbungsgespräch

Das Fragerecht des Arbeitgebers besteht nur in dem Umfang, in dem die gestellte Frage für das konkrete Bewerbungsverfahren erforderlich ist. Das bedeutet, dass der Arbeitgeber ein berechtigtes Interesse an der Erhebung der Informationen hat und stets eine Verbindung zur ausgeschriebenen Stelle besteht. Ein Bezug zur Stelle liegt üblicherweise vor, wenn es sich um Fragen bezüglich des beruflichen Werdegangs oder der Qualifikationen des Bewerbers handelt. Grundsätzlich unzulässige Fragen betreffen Schwangerschaft, politische oder religiöse Gesinnung, Gewerkschaftszugehörigkeit und Vermögensverhältnisse.

Sind Backgroundchecks von BewerberInnen erlaubt?

Die Durchführung eines sogenannten Backgroundchecks beim Bewerber, also das Suchen weiterer verfügbarer Daten neben den Bewerbungsunterlagen, stellt ebenfalls eine relevante Datenverarbeitung dar. Auch wenn dies für das Unternehmen interessant und verlockend sein kann, um noch mehr über die BewerberIn zu erfahren, ist nicht jede Form von Backgroundcheck zulässig. Die Überprüfung von sozialen Netzwerken mit freizeitorientiertem Fokus, wie beispielsweise Instagram und Facebook, ist unzulässig. Zulässig ist demgegenüber das Überprüfen berufsorientierter Netzwerke wie LinkedIn und Xing.

Darf ich Bewerbungen im Unternehmen weiterleiten?

Probleme können sich dadurch ergeben, dass die Bewerbungsdokumente zwischen Kollegen per E-Mail weitergeleitet werden. Die Löschung  von intern weitergeleiteten E-Mails, die automatisiert ins Mail-Archiv überführt werden, erschwert die Löschung der Bewerbungsdaten und kann zu Datenschutzproblemen führen.

Wie lange dürfen Bewerberdaten gespeichert werden?

Bewerbungen sind spätestens nach sechs Monaten zu löschen. Die Sechs-Monats-Frist ergibt sich unter anderem aus § 15 Abs. 4 AGG. Neben dem Grundsatz der Datenminimierung (Art. 5 lit. c) DSGVO) müssen auch Klagefristen und Entschädigungsansprüche des Bewerbers berücksichtigt werden. BewerberInnen können innerhalb von zwei Monaten nach Ablehnung der Bewerbung Entschädigungsansprüche geltend machen (§ 15 Abs. 4 AGG). Anschließend besteht eine Frist von drei Monaten für die Klage am zuständigen Gericht. Unter Berücksichtigung von Schriftwechsel und Prozessorganisation ist eine Löschfrist von sechs Monaten für personenbezogene Daten abgelehnter Bewerber vertretbar. Unternehmen müssen sicherstellen, dass die maximale Speicherdauer von Bewerberunterlagen nicht überschritten wird, etwa durch eine automatische Löschfrist im Postfach oder im Bewerberportal.

Aufnahme in Talentpool

In besonderen Fällen ist es erlaubt, die Bewerberdaten länger aufzubewahren. Sollen BewerberInnen in einen Bewerber- oder Talentpool aufgenommen werden, weil momentan keine passende Stelle ausgeschrieben ist, dürfen die Daten länger gespeichert werden, um sie zu einem späteren Zeitpunkt zu kontaktieren.  Voraussetzung dafür ist, dass BewerberInnen zu diesem Zweck vorher in die Speicherung der Daten einwilligen.

Bewerber-Tool

Der Bewerbungsprozess stellt Unternehmen oftmals vor Herausforderungen. Bei richtigem Einsatz ist ein softwaregestützter Bewerbungsprozess eine gute Alternative. Nicht jeder Softwareanbieter bietet ein hinreichendes Datenschutzniveau. Deshalb sollte bei der Auswahl eines geeigneten Bewerber-Tools insbesondere auf folgendes geachtet werden:

☐ Möglichkeit zum Abschluss eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO)

☐ Angemessenes technische und organisatorische Schutzniveau (Art. 32 DSGVO)

☐ Vertragspartner mit Ansässigkeit in der EU/EWR

☐ Cloud-Server-Infrastruktur in der EU/EWR

☐ Berechtigungskonzept, um Zugriffsbefugnisse auf Bewerbungsdaten zu regeln und interne Weiterleitungen zu vermeiden

☐ Möglichkeit zur Festlegung automatisierter Löschregeln

☐ Möglichkeit zur Integrationen der unternehmenseigenen Datenschutzinformation