Was sagen Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) zum Schutz personenbezogener Daten von Bewerbern? Wir geben Antworten auf die Fragen, die uns immer wieder erreichen!
Gilt das Datenschutzrecht auch für Daten von Bewerbern?
Um eine gewünschte Stelle zu erhalten, stellt ein Bewerber dem potenziellen Arbeitgeber umfangreiche und teils sensible Informationen über sich zur Verfügung. Darum muss er darauf vertrauen können, dass mit seinen personenbezogenen Daten verantwortungsbewusst umgegangen wird.
Das Datenschutzrecht versucht dies durch strenge Regelungen zum Umgang mit Bewerberdaten sicherzustellen. Grundsätzlich müssen Unternehmen Bewerberdaten im gleichen Maße schützen, wie die Daten von Angestellten.
Rechtsgrundlage: Ist § 26 BDSG noch anwendbar?
Im März 2023 urteilte der Europäische Gerichtshof, dass nationale Vorschriften wie § 26 Abs. 1 S.1 BDSG unionsrechtswidrig sind, wenn sie die europäischen Regelungen lediglich wiederholen und materiell nicht weiter konkretisieren.
Obwohl § 26 BDSG nicht direkt Teil des Verfahrens war, gelten die gleichen rechtlichen Bedenken, da die hessische Regelung nahezu wortgleich mit der des BDSG ist.
Tipp: Die Hintergründe erfahren Sie in der Urteilsbesprechung zu § 26 BDSG bei activeMind.legal Rechtsanwälte.
Allerdings sind die praktischen Auswirkungen dieser Entscheidung gering, da potenzielle Arbeitgeber auf die inhaltsgleiche Norm aus der DSGVO zurückgreifen können. Da das Bewerbungsverfahren eine Anbahnungsphase für ein zukünftiges Arbeitsverhältnis darstellt, gilt hier ebenfalls die Rechtsgrundlage aus Art. 6 Abs.1 lit. b) DSGVO.
Darüber hinaus gelten Bewerber nach Maßgabe des § 26 Abs. 7 BDSG als Beschäftigte. Somit greifen für Bewerbende alle sonstigen Anforderungen aus § 26 BDSG, die auch sonst für Beschäftigte gelten.
Welche Daten dürfen von Bewerbern erhoben werden?
Auch bei der Erhebung von Informationen über einen Bewerber gelten die Prinzipen der Datensparsamkeit und Zweckbindung im Sinne der DSGVO. Es dürfen also nur solche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden, die für den vorgesehenen Zweck tatsächlich erforderlich sind. Dies gilt für das Bewerbungsgespräch ebenso wie für die Eingabefelder in Formularen bei einer Online-Bewerbung.
Dabei dürfen nur personenbezogene Informationen abgefragt werden, die für eine Entscheidung über die Begründung des konkreten Beschäftigungsverhältnisses erforderlich sind. Der Begriff der Erforderlichkeit der DSGVO ist sehr eng gefasst. Er schließt keineswegs alle Informationen ein, die für einen Arbeitgeber interessant wären, sondern nur solche Angaben, ohne die eine sachgerechte Entscheidung über eine mögliche Einstellung des Bewerbers unmöglich wäre.
Werden darüber hinaus Daten erhoben, gilt dies als Verletzung des Persönlichkeitsrechts des Bewerbers – selbst dann, wenn er diese Angaben scheinbar freiwillig macht. Bei einer Bewerbungssituation ist von einem Abhängigkeitsverhältnis auszugehen, in der ein Bewerber gegebenenfalls mehr Informationen über sich preisgibt, als ihm eigentlich recht ist, um die gewünschte Stelle zu bekommen. Darum dürfen entsprechende Fragen gar nicht erst gestellt werden.
Beispiel: Werden über ein Bewerberformular auch Hobbys abgefragt, so ist diese Information in aller Regel für ein Auswahlverfahren nicht notwendig. Selbst wenn dies als freiwillige Angabe erhoben wird, ist der Bewerber hier in einer gewissen Zwangslage, so dass er sich ggf. unter Druck gesetzt fühlt, hier etwas anzugeben, um seine Bewerbungschancen zu steigern.
Dürfen von Dritten Informationen über den Bewerber eingeholt werden?
Es ist durchaus üblich, dass ein potenzieller Arbeitgeber die Daten nicht direkt vom Bewerber, sondern von einem Dritten bekommt. Auch hier gelten die bestehenden Rechtgrundsätze der Datenverarbeitung, also ob die Verarbeitung für die Entscheidungsfindung im Bewerbungsverfahren (unbedingt) notwendig ist. Ein Nachfragen bei dem ehemaligen Vorgesetzten des Bewerbers oder das „Durchleuchten“ des Bewerbers auf beruflichen Social-Media-Plattformen sind sicherlich nicht für die Entscheidungsfindung notwendig, auch wenn aus Arbeitgebersicht durchaus dienlich. Dies ist durch Art. 6 Abs. 1 lit. b) DSGVO nicht mehr gedeckt.
Will ein Arbeitgeber solche Informationsquellen nutzen, so darf er dies nur dann, wenn der Bewerber ausdrücklich darin eingewilligt hat. Dabei gelten die gleichen Beschränkungen, wie für das direkte Gespräch mit dem Bewerber: Auch über Dritte dürfen nur die Informationen eingeholt werden, die auch als Frage gegenüber dem Kandidaten selbst zulässig wären.
Wie ist die Sicherheit von Bewerberdaten zu gewährleisten?
Speichert und verarbeitet ein Unternehmen personenbezogene Daten, dann ist es auch für deren Sicherheit verantwortlich. Dies gilt selbstverständlich auch für Bewerberdaten.
Es müssen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen werden, die sicherstellen, dass die Daten nicht durch Unberechtigte eingesehen, verändert oder gelöscht werden können.
Was ist mit besonderen Kategorien personenbezogener Daten?
Bewerbungsunterlagen enthalten eine Vielzahl personenbezogener Daten. Darunter können auch besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO sein, wie z.B. Daten, die auf die rassische oder ethnische Herkunft von Personen schließen lassen. Dies kann sowohl durch ein Bewerberbild als auch durch die Angabe des Geburtsortes geschehen. Auch Gesundheitsdaten können ggf. im Rahmen von Bewerbungsunterlagen vorliegen.
Die Erlaubnis zur Verarbeitung ergibt sich hierbei aus § 26 Abs. 3 BDSG, wobei der Verarbeiter, sprich der potenzielle Arbeitgeber gem. § 26 Abs. 5 BDSG geeignete Maßnahmen ergreifen muss, um die Grundsätze der Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO, also Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung sicherzustellen. Hier gilt es also genau aufzupassen.
Im Rahmen der technisch-organisatorischen Maßnahmen hat der Verarbeiter beispielsweise sicherzustellen, dass Bewerbungsunterlagen ausschließlich von den verantwortlichen Entscheidern eingesehen, sicher aufbewahrt und nach Ablauf der entsprechenden Fristen gelöscht werden. Es sollte auch sichergestellt werden, dass keine unüberschaubare Anzahl an Kopien durch das Unternehmen kreisen, weil die Bewerbungsunterlagen beispielsweise als E-Mail-Anhang und somit beliebig oft kopierbar und weiterleitbar an mehr Mitarbeiter als absolut notwendig versandt wurden.
Technische Maßnahmen beinhalten unter anderem eine verschlüsselte Datenübermittlung etwa bei Online-Bewerbungen, eine sichere Speicherung und eine ebenso sichere Löschung beziehungsweise Aktenvernichtung, die sicherstellt, dass die Daten nach ihrer Entsorgung nicht wiederherstellbar und somit durch Unbefugte einsehbar sind.
Was gilt für Bewerbungen per E-Mail oder Onlineformular?
Die allermeisten Unternehmen bevorzugen heutzutage digitale Bewerbungen, zahlreiche Unternehmen akzeptieren sogar nur noch diese Form.
Bewerbungen per E-Mail stellen Unternehmen datenschutzrechtlich allerdings vor spezielle Herausforderungen. Selbst wenn das Unternehmen eine verschlüsselte E-Mail-Übermittlung (entweder über s/mime oder PGP-Verschlüsselung) anbietet, so ist der Bewerber in den meisten Fällen nicht in der Lage, eine Ende-zu-Ende-verschlüsselte E-Mail zu versenden oder zu empfangen. Bewerbungsunterlagen werden daher zwar regelmäßig transportverschlüsselt, aber nicht Ende-zu-Ende-verschlüsselt per E-Mail über das Internet versendet.
Auch wenn sich dies insbesondere bei Initiativbewerbungen nicht immer verhindern lässt, sollten Unternehmen doch auf diese unsichere Übermittlungsmethode hinweisen und Alternativen für den sicheren Versand von Bewerbungsunterlagen anbieten.
Eine zeitgemäßere Variante ist es, ein Online-Bewerbungstool zur Verfügung zu stellen. Hier können Bewerber über eine verschlüsselte Website ihre Daten eingeben und Unterlagen hochladen. Gleichzeitig besteht auf diesem Weg die Möglichkeit, die Bewerber bevor sie ihre Unterlagen hochgeladen haben über die Verarbeitung ihrer personenbezogenen Daten gem. Art. 13 DSGVO zu informieren. Auch dies ist eine Anforderung, die die verantwortliche Stelle, also das Unternehmen, bei dem sich die betroffene Person bewirbt, zu erfüllen hat.
Was gilt bei der Nutzung von Dienstleistern im Bewerbungsverfahren?
Wenn Sie die Leistungen von externen Unternehmen wie beispielsweise einem strikt weisungsgebundenen Recruiting-Dienstleister in Anspruch nehmen, bleibt Ihr Unternehmen als verantwortliche Stelle für die Sicherheit der Daten verantwortlich. Sie müssen also sicherstellen, dass der Dienstleister datenschutzkonform mit den Bewerberdaten umgeht. Nach Art. 28 DSGVO liegt eine sogenannte Auftragsverarbeitung vor, weil der Dienstleister in Ihrem Auftrag personenbezogene Daten Ihrer Bewerber verarbeitet. In einem solchen Fall ist bereits vor Beginn der Tätigkeit ein Vertrag zur Auftragsverarbeitung zu schließen. Darin wird festgehalten, in welcher Weise der Dienstleister die Sicherheit der verarbeiteten Daten gewährleistet.
Dies ist in aller Regel dann nicht erforderlich, wenn Sie den Recruiter bzw. Headhunter beauftragen, den Auswahlprozess weisungsfrei in seinem eigenen Namen durchzuführen. Insbesondere dann, wenn aussichtsreiche Kandidaten aus dem Pool des Dienstleisters stammen. In diesem Fall liegt in der Regel eine Datenweitergabe an Dritte, also einen weiteren Verantwortlichen, vor.
Der Recruiter seinerseits hat natürlich alle datenschutzrechtlichen Bestimmungen einzuhalten. Für die Weiterleitung der Daten an das Unternehmen ist dann jedoch eine Rechtsgrundlage notwendig. Dies wird im Allgemeinen die die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO des Bewerbers zur Weiterleitung seiner Bewerbung sein. Durch den Übergang der Bewerberdaten an das Unternehmen wird dieses zum Verantwortlichen und hat somit auch vollumfänglich die Sicherheit der Daten und die entsprechenden Betroffenenrechte zu gewährleisten.
Wie lange dürfen Bewerberdaten gespeichert werden?
Als Konsequenz aus der Zweckbindung im Umgang mit personenbezogenen Daten ergibt sich, dass Daten zu löschen sind, sobald der vorgesehene Zweck erfüllt oder entfallen ist. Wenn die ausgeschriebene Stelle besetzt ist, entfällt der Grund für die weitere Speicherung der Bewerbungsdaten.
Es ist jedoch möglich und ratsam, Bewerberdaten von abgelehnten Kandidaten bis zu sechs Monate nach Zusendung der Absage aufzubewahren. Nach § 15 AGG kann ein abgelehnter Bewerber einen Entschädigungsanspruch geltend machen, wenn eine Benachteiligung nach § 7 AGG vorliegt. Um sich gegen einen entsprechenden Vorwurf verteidigen zu können, dürfen Bewerberdaten entsprechend länger aufbewahrt werden. Die Klagefrist beträgt zwei Monate nach Eingang der Ablehnung. Da die Zustellung einer möglichen Klage durch das Gericht ebenfalls einige Zeit in Anspruch nehmen kann, ist eine Aufbewahrungsdauer von bis zu sechs Monaten nach Zusendung der Ablehnung vertretbar.