Skip to main content
  1. Tipps
  2. Personalmanagement
  3. Arbeitsrecht
  4. Datenschutz: Das ändert sich im Umgang mit Bewerberdaten

Datenschutz: Das ändert sich im Umgang mit Bewerberdaten

Datenschutz: Das ändert sich im Umgang mit Bewerberdaten

Ein überzeugendes Anschreiben, ein spannender Lebenslauf – und doch passt der Bewerber nicht zum gesuchten Profil. Da qualifizierte Mitarbeiter schwer zu finden sind, liegt es nahe, die Daten des abgelehnten Kandidaten für die Zukunft abzuspeichern. Denn möglicherweise wird bald eine Stelle ausgeschrieben, für die er geeignet ist. Doch ist das überhaupt zulässig? Diesen und anderen Fragen müssen sich Unternehmen stellen und dafür sorgen, dass die Vorgaben zum Datenschutz im Recruiting jederzeit eingehalten werden.

 

Von Volker Reitler und Christoph Buluschek

 

Datenschutz: Ab 2018 gilt die neue Gesetzgebung

Zugegeben: Datenschutzgesetze zählen nicht zu den Schriftstücken mit hohem Unterhaltungswert. Die Auseinandersetzung mit den einzelnen Paragraphen und ihren Details ist ein oft mühsamer und langwieriger Prozess. Wahrscheinlich ist das der Grund, warum viele kleine und mittlere Unternehmen ignorieren, was in weniger als einem Jahr beim Bewerberdatenschutz auf Sie zukommt.

Rechtlich geregelt ist der Beschäftigtendatenschutz, und damit auch der Bewerberdatenschutz, noch bis zum 24.05.2018 nach § 32 Bundesdatenschutzgesetz 2009. Ab dem 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) gemeinsam mit dem neuen Bundesdatenschutzgesetz (BDSG-neu) in Kraft und löst die bisherige Gesetzgebung ab. Für den Bewerberdatenschutz in Unternehmen sind vor allem Art. 88 DSGVO und § 26 BDSG-neu relevant.

Datenschutz: Was beinhaltet die neue Regelung? 

Für das Recruiting sollten kleine und mittlere Unternehmen folgende Punkte beachten:

  • Jedem Kandidaten sollte die Möglichkeit gegeben werden, seine Unterlagen verschlüsselt zu versenden. Denn Bewerbungen enthalten sensible personenbezogene Daten, die bei ungesichertem elektronischen Versand von Dritten mitgelesen werden können. Um das Bewerbungsverfahren sicherer zu machen, sollten Unternehmen im Bewerberbereich einen verschlüsselten Kanal zur Verfügung stellen.

  • Gemäß Art. 13 Abs. 1 und Abs. 2 DSGVO gilt künftig: Unternehmen müssen Bewerber bei Eingang der Unterlagen über die Art der Datenerhebung informieren. Das beinhaltet unter anderem Angaben zum Verarbeitungszweck sowie zur Dauer des Aufbewahrungszeitraums. In der Praxis könnte dies zum Beispiel mithilfe einer automatischen Eingangsbestätigung gelöst werden. Art. 13 DSGVO listet die Informationen auf, die darin enthalten sein müssen.
  • Schon nach aktuellem Recht darf die Speicherung personenbezogener Daten nur zweckgebunden erfolgen, also beispielsweise im Rahmen eines Bewerbungsverfahrens. Das gilt weiterhin im Rahmen der DSGVO und des BDSG-neu. Das heißt: Ist die Stelle einmal besetzt, besteht kein Grund mehr, die Informationen der abgelehnten Kandidaten aufzubewahren. Da es jedoch auf der Grundlage des Allgemeinen Gleichbehandlungsgesetzes (AGG) zu einer Klage von Seiten der Bewerber kommen kann, dürfen Unternehmen die Daten aufbewahren, solange sie mit Auseinandersetzungen mit nicht berücksichtigten Kandidaten rechnen müssen. Über die zulässige Aufbewahrungsdauer besteht keine einheitliche rechtliche Regelung, sie wird jedoch generell mit zwei bis sechs Monaten veranschlagt.[1]
  • Möchten Sie die Daten länger aufbewahren, können Unternehmen eine schriftliche Einverständniserklärung des Kandidaten einholen.
  • Gemäß Artikel 15 DSGVO haben Bewerber künftig das Recht, von den Unternehmen umfangreiche Auskunft über die gespeicherten Daten zu verlangen. Daher sollte die Zweckgebundenheit bei der Speicherung der Daten jederzeit dokumentiert werden. So können in Personalmanagement-Systemen Kommentare zum Aufbewahrungsgrund hinterlegt werden, wie zum Beispiel „Zustimmung zum Verbleib im Bewerberpool“.
  • Sieht ein Kandidat einen Verstoß gegen den Bewerberdatenschutz als gegeben an, kann er die zuständigen Aufsichtsbehörden einschalten.
  • Die Beweislast zum Bewerberdatenschutz liegt bei den Unternehmen. Im Fall eines Rechtsstreits müssen sie nachweisen können, dass alle erforderlichen Maßnahmen zur Gewährleistung des Schutzes der personenbezogenen Daten getroffen wurden. Aus diesem Grund sollten die entsprechenden Sicherheitsvorkehrungen im Unternehmen einheitlich und lückenlos dokumentiert werden.
  • Die Höhe der möglichen Sanktionen nimmt mit Inkrafttreten der DSGVO erheblich zu. Bußgelder von bis zu 20 Millionen Euro beziehungsweise vier Prozent des globalen Umsatzes können unter anderem für fehlende Dokumentation, unterlassene Information der Bewerber oder unterlassene regelmäßige Überprüfung der Sicherheit von HR-Systemen verhängt werden.

Datenschutz: Ok … und was jetzt?

Da die Regelungen, die den Bewerberdatenschutz betreffen, mit Inkrafttreten der DSGVO und des BDSG-neu wesentlich schärfer werden, sollten kleine und mittlere Unternehmen die gesetzlichen Änderungen keinesfalls ignorieren. Denn ein Verstoß kann empfindliche finanzielle Sanktionen nach sich ziehen. Darüber hinaus führt ein Rechtsstreit zum Datenschutz nicht selten zu einem Reputationsverlust – und das wiederum kann das Recruiting spürbar erschweren.

Daher sollten die Firmen ihr aktuelles Bewerberdatenmanagement genau prüfen und gegebenenfalls neue Prozesse und Standards für den Recruiting-Prozess einführen. Dabei sollte jedoch der Grundsatz der Angemessenheit nicht aus den Augen verloren werden: Die Maßnahmen sollten zur Größe des Betriebes passen und innerhalb eines realistischen Budgetrahmens mit den vorhandenen Kapazitäten durchführbar sein.

Mit den folgenden Schritten wappnen sich Unternehmen für die Änderungen der DGSVO und des BDSG-neu:

  • An der Bestandsaufnahme der bestehenden Bewerbungsprozesse sollten neben dem Geschäftsführer, der Personalleitung und dem Betriebsrat (sofern vorhanden) auch die IT-Abteilung oder ein IT-Berater beteiligt sein. Des Weiteren kann ein interner oder externer Datenschutzbeauftragter hinzugezogen werden. Dabei sollten die technischen und organisatorischen Maßnahmen auf mögliche Datenschutzrisiken geprüft werden.
  • Um den neuen Pflichtvoraussetzungen der DSGVO gerecht zu werden, muss das Unternehmen gegebenenfalls neue Prozesse einrichten. Hierbei handelt es sich zum Beispiel um die Vergabe von Zugriffsmöglichkeiten auf Bewerber-E-Mails oder die Einrichtung der automatischen Eingangsbestätigung mit den nötigen Informationen nach Art. 13 DSGVO. Die Löschung der Daten abgelehnter Bewerber nach Ablauf des zulässigen Aufbewahrungszeitraums muss ebenfalls sichergestellt werden.
  • Der gesamte Prozess sollte in einer Verfahrensdokumentation aufgenommen werden.
  • Um sicherzustellen, dass alle Mitarbeiter an einem Strang ziehen, sollten die Firmen darüber hinaus ein Bewusstsein für die Bedeutung des Datenschutzes im Recruiting-Prozess schaffen. Die hausinternen Prozesse und Regelungen sollten für alle Mitarbeiter, insbesondere die in der Personalabteilung, Verbindlichkeitscharakter haben. Unternehmen sollten ihre Angestellten regelmäßig schulen und diese Maßnahmen dokumentieren.

Auch beim Bewerberdatenschutz gilt: Was auf den ersten Blick abschreckend wirken mag, gestaltet sich bei guter Planung und Organisation als überschaubarer Prozess. Vor allem sollten Unternehmen sich frühzeitig mit den neuen Datenschutzregelungen auseinandersetzen, um einem bösen Erwachen vorzubeugen. Denn das Risiko eines teuren Rechtsstreits können Firmen jetzt mit entsprechender Vorbereitung aus dem Weg räumen.

 

ÜBER DIE AUTOREN____________________________

Volker Reitler, Unternehmensberater, Externer Datenschutzbeauftragter und Inhaber von Reitler Beraterwerk in Berg; Christoph Buluschek, Abteilungsleiter Produktmarketing bei Agenda Informationssysteme GmbH & Co. KG in Rosenheim

 


[1] Gola, Peter/ Pötters, Stephan/ Wronka, Georg, „Handbuch Arbeitnehmerdatenschutz“, 2016, S.229, Textziffer 782

Back to top