Umgang mit Bewerberdaten

Grundsätzlich müssen Unternehmen Bewerberdaten im gleichen Maße schützen, wie die Daten von Angestellten. Unter den Beschäftigtenbegriff des Bundesdatenschutzgesetzes (BDSG) aus § 32 Abs. 1 Satz 1 fallen nämlich auch Bewerber.

Welche Daten dürfen von Bewerbern erhoben werden?

Datensparsamkeit und Zweckbindung

Auch bei der Erhebung von Informationen über einen Bewerber gilt das Prinzip der Datensparsamkeit und Zweckbindung im Sinne des BDSG. Das bedeutet, dass nur solche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden dürfen, die für den vorgesehenen Zweck tatsächlich erforderlich sind. Dies gilt für das Bewerbungsgespräch ebenso wie für die Eingabefelder in Webformularen bei einer Online-Bewerbung.

Dabei dürfen nur personenbezogene Informationen abgefragt werden, die für eine Entscheidung über die Begründung des konkreten Beschäftigungsverhältnisses erforderlich sind. Der Begriff der Erforderlichkeit des BDSG ist sehr eng gefasst. Er schließt keineswegs alle Informationen ein, die für einen Arbeitgeber interessant wären, sondern nur solche Angaben, ohne die eine sachgerechte Entscheidung über eine mögliche Einstellung unmöglich wäre.

Werden darüber hinaus Daten erhoben, gilt dies als Verletzung des Persönlichkeitsrechts des Bewerbers – selbst dann, wenn er diese Angaben scheinbar freiwillig macht. Bei einer Bewerbungssituation ist von einem Abhängigkeitsverhältnis auszugehen, in der ein Bewerber gegebenenfalls mehr Informationen über sich preisgibt als ihm eigentlich recht ist, um die gewünschte Stelle zu bekommen. Darum dürfen entsprechende Fragen gar nicht erst gestellt werden.

Datenerhebung über Dritte

Alle Informationen über einen Bewerber sind grundsätzlich bei diesem persönlich einzuholen. § 4 Abs. 2 BDSG scheibt nämlich vor, dass personenbezogene Daten beim Betroffenen zu erheben sind. Will ein Arbeitgeber beispielsweise mit dem ehemaligen Vorgesetzten des Bewerbers sprechen, darf er dies nur dann, wenn der Bewerber ausdrücklich darin eingewilligt hat. Dabei gelten die gleichen Beschränkungen wie für das direkte Gespräch mit dem Bewerber: Auch über Dritte dürfen nur die Informationen eingeholt werden, die auch als Frage gegenüber dem Kandidaten selbst zulässig wären.

Sicherheit von Bewerberdaten

Speichert und verarbeitet ein Unternehmen personenbezogene Daten, dann ist es auch für deren Sicherheit verantwortlich. Dies gilt selbstverständlich auch für Bewerberdaten. Es müssen technische und organisatorische Maßnahmen im Sinne des § 9 BDSG getroffen werden, die sicherstellen, dass die Daten nicht durch Unberechtigte eingesehen, verändert oder gelöscht werden können.

Organisatorische Maßnahmen sind gelebte verbindliche Regelungen, die beispielsweise sicherstellen, dass Bewerbungsunterlagen ausschließlich von den verantwortlichen Entscheidern eingesehen, sicher aufbewahrt und nach Ablauf der entsprechenden Fristen gelöscht werden. Es sollte auch sichergestellt werden, dass keine unüberschaubare Anzahl an Kopien durch das Unternehmen kreisen, weil die Bewerbungsunterlagen beispielsweise als E-Mail-Anhang und somit beliebig oft kopierbar und weiterleitbar an mehr Mitarbeiter als absolut notwendig versandt wurden.

Technische Maßnahmen beinhalten unter anderem eine verschlüsselte Datenübermittlung etwa bei Online-Bewerbungen, eine sichere Speicherung und eine ebenso sichere Löschung beziehungsweise Aktenvernichtung, die sicherstellt, dass die Daten nach ihrer Entsorgung nicht wiederherstellbar und somit durch Unbefugte einsehbar sind.

Wenn Sie die Leistungen von externen Unternehmen wie beispielsweise einem strikt weisungsgebundenen Recruiting-Dienstleister in Anspruch nehmen, bleibt Ihr Unternehmen als verantwortliche Stelle für die Sicherheit der Daten verantwortlich. Das bedeutet, dass Sie sicherstellen müssen, dass der Dienstleister datenschutzkonform mit den Bewerberdaten umgeht. Nach § 11 BDSG liegt eine sogenannte Auftragsdatenverarbeitung vor, weil der Dienstleister in Ihrem Auftrag personenbezogene Daten Ihrer Bewerber verarbeitet. In einem solchen Fall ist bereits vor Beginn der Tätigkeit ein Vertrag zur Auftragsdatenverarbeitung zu schließen. Darin wird festgehalten, in welcher Weise der Dienstleister die Sicherheit der verarbeiteten Daten gewährleistet.

Dies ist dann nicht erforderlich, wenn Sie den Recruiter beauftragen, den Auswahlprozess ohne vorgegebene Kriterien, also weisungsfrei in seinem eigenen Namen durchzuführen. In diesem Fall liegt wohl ein sogenanntes Outsourcing vor. Eine Auftragsdatenverarbeitung ist dann ausgeschlossen. Der Recruiter seinerseits hat dann alle datenschutzrechtlichen Bestimmungen einzuhalten. Dies betrifft auch die Zustimmung des Bewerbers zur Weiterleitung seiner Bewerbung an Sie. Sie sind dennoch für den Schutz der nach Ende seines Auswahlprozesses vom Dienstleister an Sie übermittelten persönlichen Daten verantwortlich.

Wie lange dürfen Bewerberdaten gespeichert werden?

Als Konsequenz aus der Zweckbindung im Umgang mit personenbezogenen Daten ergibt sich, dass Daten zu löschen sind, sobald der vorgesehene Zweck erfüllt oder entfallen ist. Wenn die ausgeschriebene Stelle besetzt ist, entfällt der Grund für die weitere Speicherung der Bewerbungsdaten.

Es ist jedoch möglich und ratsam, Bewerberdaten von abgelehnten Kandidaten bis zu sechs Monate nach Zusendung der Absage aufzubewahren. Nach § 15 AGG kann ein abgelehnter Bewerber einen Entschädigungsanspruch geltend machen, wenn eine Benachteiligung nach § 7 AGG vorliegt. Um sich gegen einen entsprechenden Vorwurf verteidigen zu können, dürfen Bewerberdaten entsprechend länger aufbewahrt werden. Die Klagefrist beträgt zwei Monate nach Eingang der Ablehnung. Da die Zustellung einer möglichen Klage durch das Gericht ebenfalls einige Zeit in Anspruch nehmen kann, ist eine Aufbewahrungsdauer von bis zu sechs Monaten nach Zusendung der Ablehnung vertretbar.