Die Personalgewinnung spielt für Unternehmen eine zentrale Rolle. Doch auch im Bewerbungsprozess sind datenschutzrechtliche Aspekte zu beachten. Es stellt sich demnach die Frage, wie eine datenschutz-konforme Verarbeitung von Bewerberdaten erfolgen kann.
Rechtsgrundlage
Im Hinblick auf die einschlägige Rechtsgrundlage ist zu unterscheiden, ob die Daten im Rahmen einer Bewerbung auf eine konkrete Stelle verarbeitet werden, oder ob diese in einen sog. Talent-Pool aufgenommen werden.
Im erstgenannten Fall kann die Verarbeitung personenbezogener Bewerberdaten auf § 26 Abs. 1 BDSG gestützt werden. Demnach dürfen Daten von Beschäftigten verarbeitet werden, wenn dies dem Zweck der Entscheidung über ein Beschäftigungsverhältnis dient. Als Beschäftigte im Sinne der Vorschrift gelten dabei nach § 26 Abs. 8 Satz 2 BDSG auch Bewerberinnen und Bewerber. Die Rechtsgrundlage deckt die zentralen Verarbeitungstätigkeiten im Rahmen eines Bewerbungsverfahrens ab. Darunter fallen insbesondere das Sichten der Bewerbungsunterlagen oder das Einladen zum Vorstellungsgespräch.
Sollen die Daten der Bewerber für eine mögliche spätere Zusammenarbeit in einen Bewerberpool aufgenommen werden, kann die Datenverarbeitung nicht auf § 26 Abs. 1 BDSG gestützt werden. Hierzu ist vielmehr eine Einwilligung des Bewerbers nach § 26 Abs. 2 BDSG erforderlich.
Information der Bewerber
Werden personenbezogene Daten verarbeitet, müssen die Bewerber hierüber im Rahmen einer Transparenzerklärung gemäß Art. 13 DSGVO oder Art. 14 DSGVO informiert werden.
Zu den notwendigen Informationen zählen insbesondere:
- Art der personenbezogenen Daten (Bewerberstammdaten, Qualifikationen, Zeugnisse),
- Herkunft der Daten (vom Bewerber selbst oder Dienstleistern),
- Weitergabe an Dritte (z.B. Personalabteilung, Fachbereichsleiter oder Betriebsrat),
- Speicherdauer (z.B. 6 Monate nach Beendigung des Bewerbungsverfahrens),
- Rechte der Bewerber (Löschung, Auskunft oder Recht auf Berichtigung).
Auf welche Weise den Bewerbern diese Informationen mitgeteilt werden, ist gesetzlich nicht vorgeschrieben. Bei Online-Bewerbungen können die Informationen zum Beispiel an eine automatisierte Eingangsbestätigung angehängt werden. Bei der Nutzung eines Online-Bewerberportals können die Informationen hingegen unmittelbar zur Verfügung gestellt werden.
Speicherdauer
Kommt der Bewerber für die vakante Stelle nicht in Betracht oder kann diese nicht besetzt werden, fällt der Zweck der Datenverarbeitung – die Besetzung der Stelle – weg. Hat der Kandidat nicht in die Aufnahme in einen Talent-Pool eingewilligt, sollten seine Daten zeitnah nach Abschluss des Bewerbungsverfahrens gelöscht werden. Dies gilt sowohl für Unterlagen in Papier- als auch in digitalisierter Form.
Hier sollte man allerdings nicht voreilig handeln und die Daten unmittelbar nach Abschluss des Verfahrens löschen. Denn die abgelehnten Bewerber haben nach § 15 AGG die Möglichkeit gegen den potentiellen Arbeitgeber zu klagen. Die Bewerberdaten sollten daher auch nach Abschluss des Auswahlverfahrens für einen gewissen Zeitraum aufbewahrt werden. Über dessen Umfang besteht Uneinigkeit zwischen den einzelnen Aufsichtsbehörden. So hält beispielsweise der Landesbeauftragte für Datenschutz und Informationssicherheit Baden Württemberg Dr. Stefan Brink im Ratgeber Beschäftigtendatenschutz (dort Seite 32) eine Aufbewahrungsfrist von 4 Monaten für ausreichend. Das Bayerische Landesamt für Datenschutzaufsicht hat im Gegensatz dazu in seinem 5. Tätigkeitsbericht (dort Seite 62) aus dem Jahre 2011/2012 eine Aufbewahrungsfrist von 6 Monaten genügen lassen.
Doch auch die Aufnahme in einen Bewerber-Pool ermöglicht keine unbegrenzte Speicherung der betreffenden Daten. Zwar gibt es hier keine starren Fristen, nach denen eine Löschung der Bewerberdaten zu erfolgen hat, es empfiehlt sich dennoch die erteilte Einwilligung in regelmäßigen Abständen von dem betreffenden Kandidaten erneut bestätigen zu lassen. Dies kann beispielsweise jährlich erfolgen.
Wird ein Bewerber eingestellt, sind alle Bewerbungsunterlagen, die nicht für seine Berufsausübung erforderlich sind, zurückzugeben oder zu vernichten. Dazu zählen das Anschreiben, Schul- und Ausbildungszeugnisse, allgemeine Praktikumsbescheinigungen und Zeugnisse. Nach dem Grundsatz der Speicherbegrenzung darf in der Personalakte nur das gespeichert werden, was für die Beschäftigung erforderlich ist.
Need-to-know-Prinzip
Für eine datenschutz-konforme Verarbeitung von Bewerberdaten ist außerdem das sog. Need-to-know-Prinzip zu beachten, nach dem nur die Personen Zugriff auf die betreffenden Daten erhalten dürfen, die mit der Besetzung der Stelle direkt befasst sind. Dies sind zumeist die zuständigen Sachbearbeiter in der HR-Abteilung und die unmittelbaren Vorgesetzten des möglichen Arbeitnehmers.
Stand 02.06.2021
Weiterer interessanter Artikel: Fax nicht Datenschutz-konform