Datenschutz bei Bewerberdaten

Um eine gewünschte Stelle zu erhalten, stellt ein Bewerber dem potenziellen Arbeitgeber umfangreiche und teils sensible Informationen über sich zur Verfügung. Darum muss er darauf vertrauen können, dass mit seinen personenbezogenen Daten verantwortungsbewusst umgegangen wird. Das neue Datenschutzrecht versucht dies durch strenge Regelungen zum Umgang mit Bewerberdaten sicherzustellen. Grundsätzlich müssen Unternehmen Bewerberdaten im gleichen Maße schützen, wie die Daten von Angestellten. Die Neufassung des Bundesdatenschutzgesetzes (BDSG) trägt diesem Umstand auch weiterhin Rechnung. Demnach fallen Bewerber unter dem Beschäftigtenbegriff des § 26 Abs. 1 BDSG.

Welche Daten dürfen von Bewerbern erhoben werden?

Auch bei der Erhebung von Informationen über einen Bewerber gelten die Prinzipen der Datensparsamkeit und Zweckbindung im Sinne der Datenschutz-Grundverordnung (DSGVO). Es dürfen also nur solche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden, die für den vorgesehenen Zweck tatsächlich erforderlich sind. Dies gilt für das Bewerbungsgespräch ebenso wie für die Eingabefelder in Formularen bei einer Online-Bewerbung.

Dabei dürfen nur personenbezogene Informationen abgefragt werden, die für eine Entscheidung über die Begründung des konkreten Beschäftigungsverhältnisses erforderlich sind. Der Begriff der Erforderlichkeit der DSGVO ist sehr eng gefasst. Er schließt keineswegs alle Informationen ein, die für einen Arbeitgeber interessant wären, sondern nur solche Angaben, ohne die eine sachgerechte Entscheidung über eine mögliche Einstellung des Bewerbers unmöglich wäre.

Werden darüber hinaus Daten erhoben, gilt dies als Verletzung des Persönlichkeitsrechts des Bewerbers – selbst dann, wenn er diese Angaben scheinbar freiwillig macht. Bei einer Bewerbungssituation ist von einem Abhängigkeitsverhältnis auszugehen, in der ein Bewerber gegebenenfalls mehr Informationen über sich preisgibt, als ihm eigentlich recht ist, um die gewünschte Stelle zu bekommen. Darum dürfen entsprechende Fragen gar nicht erst gestellt werden.

Beispiel: Werden über ein Bewerberformular auch Hobbys abgefragt, so ist diese Information in aller Regel für ein Auswahlverfahren nicht notwendig. Selbst wenn dies als freiwillige Angabe erhoben wird, ist der Bewerber hier in einer gewissen Zwangslage, so dass er sich ggf. unter Druck gesetzt fühlt, hier etwas anzugeben, um seine Bewerbungschancen zu steigern.

Dürfen von Dritten Informationen über den Bewerber eingeholt werden?

Wie für jede Verarbeitung von personenbezogenen Daten, bedarf es auch im Bewerbungsverfahren einer Rechtgrundlage. Da in aller Regel die Daten direkt beim Bewerber erhoben werden, wird man sich hier auf § 26 Abs. 1 BDSG – der auch für die vorvertraglichen Maßnahmen zur Begründung eines Arbeitsverhältnisses gilt – stützen können.

Allerdings kann es auch vorkommen, dass ein potentieller Arbeitgeber die Daten nicht direkt vom Bewerber, sondern von einem Dritten bekommt. Auch hier gelten wieder die bestehenden Rechtgrundsätze der Datenverarbeitung, also ob die Verarbeitung für die Entscheidungsfindung im Bewerbungsverfahren (unbedingt) notwendig ist. Ein Nachfragen bei dem ehemaligen Vorgesetzten des Bewerbers oder das „Durchleuchten“ des Bewerbers auf beruflichen Social-Media-Plattformen sind sicherlich nicht für die Entscheidungsfindung notwendig, auch wenn aus Arbeitgebersicht durchaus dienlich. Dies ist durch den § 26 Abs. 1 BDSG sicherlich nicht mehr gedeckt.

Will ein Arbeitgeber solche Informationsquellen nutzen, so darf er dies nur dann, wenn der Bewerber ausdrücklich darin eingewilligt hat. Dabei gelten die gleichen Beschränkungen, wie für das direkte Gespräch mit dem Bewerber: Auch über Dritte dürfen nur die Informationen eingeholt werden, die auch als Frage gegenüber dem Kandidaten selbst zulässig wären.

Wie ist die Sicherheit von Bewerberdaten zu gewährleisten?

Speichert und verarbeitet ein Unternehmen personenbezogene Daten, dann ist es auch für deren Sicherheit verantwortlich. Dies gilt selbstverständlich auch für Bewerberdaten. Es müssen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen werden, die sicherstellen, dass die Daten nicht durch Unberechtigte eingesehen, verändert oder gelöscht werden können.

Besondere Kategorien personenbezogener Daten

Bewerbungsunterlagen enthalten eine Vielzahl von personenbezogenen Daten. Darunter können auch sog. besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO sein, wie z.B. Daten, die auf die rassische oder ethnische Herkunft von Personen schließen lassen. Dies kann durch sowohl durch ein Bewerberbild als auch durch die Angabe des Geburtsortes geschehen. Auch Gesundheitsdaten können ggf. im Rahmen von Bewerbungsunterlagen vorliegen.

Die Erlaubnis zur Verarbeitung ergibt sich hierbei auch durch die Spezialregelung des § 26 Abs. 3 BDSG, wobei der Verarbeiter, sprich der potentielle Arbeitgeber gem. § 26 Abs. 5 BDSG geeignete Maßnahmen ergreifen muss, um die Grundsätze der Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO, also Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung sicherzustellen. Hier gilt es also genau aufzupassen.

Im Rahmen der technisch-organisatorischen Maßnahmen hat der Verarbeiter  beispielsweise sicherzustellen, dass Bewerbungsunterlagen ausschließlich von den verantwortlichen Entscheidern eingesehen, sicher aufbewahrt und nach Ablauf der entsprechenden Fristen gelöscht werden. Es sollte auch sichergestellt werden, dass keine unüberschaubare Anzahl an Kopien durch das Unternehmen kreisen, weil die Bewerbungsunterlagen beispielsweise als E-Mail-Anhang und somit beliebig oft kopierbar und weiterleitbar an mehr Mitarbeiter als absolut notwendig versandt wurden.

Technische Maßnahmen beinhalten unter anderem eine verschlüsselte Datenübermittlung etwa bei Online-Bewerbungen, eine sichere Speicherung und eine ebenso sichere Löschung beziehungsweise Aktenvernichtung, die sicherstellt, dass die Daten nach ihrer Entsorgung nicht wiederherstellbar und somit durch Unbefugte einsehbar sind.

Bewerbung per E-Mail oder Onlineformular

Um die Papierflut bei Bewerbungsunterlagen auf Seiten des Unternehmens zu minimieren und andererseits die Kosten für den Bewerber für die Bewerbungsunterlagen klein zu halten, hat sich in den letzten Jahren der Versand von elektronischen Bewerbungsunterlagen per E-Mail etabliert. Online-Bewerbungen per E-Mail stellen allerding das Unternehmen datenschutzrechtlich immer vor spezielle Herausforderungen. Selbst wenn das Unternehmen eine verschlüsselte E-Mail-Übermittlung (entweder über s/mime oder PGP-Verschlüsselung) anbietet, so ist der Bewerber in den meisten Fällen nicht in der Lage, eine verschlüsselte Mail zu versenden oder zu empfangen. Bewerbungsunterlagen werden also regelmäßig unverschlüsselt per Mail über das Internet versendet.

Auch wenn sich dies insbesondere bei Initiativbewerbungen nicht immer verhindern lässt, sollte das Unternehmen doch auf diese unsichere Übermittlungsmethode hinweisen und Alternativen für den sicheren Versand von Bewerbungsunterlagen anbieten. Ob dies nun der Rückfall auf die papierhafte Bewerbungsmappe ist, sei dahingestellt.

Eine zeitgemäßere Variante ist sicherlich, ein Online-Bewerbertool zur Verfügung zu stellen. Hier kann der Bewerber über eine verschlüsselte Webseite seine Unterlagen hochladen. Gleichzeitig besteht auf diesem Weg die Möglichkeit, den Bewerber – bevor er seine Unterlagen hochgeladen hat – über die Verarbeitung seiner personenbezogenen Daten gem. Art. 13 DSGVO zu informieren. Auch dies ist eine Anforderung, die die verantwortliche Stelle, also das Unternehmen, bei dem sich die betroffene Person bewirbt, zu erfüllen hat.

Was gilt bei der Nutzung von Dienstleistern im Bewerbungsverfahren?

Wenn Sie die Leistungen von externen Unternehmen wie beispielsweise einem strikt weisungsgebundenen Recruiting-Dienstleister in Anspruch nehmen, bleibt Ihr Unternehmen als verantwortliche Stelle für die Sicherheit der Daten verantwortlich. Sie müssen also sicherstellen, dass der Dienstleister datenschutzkonform mit den Bewerberdaten umgeht. Nach Art. 28 DSGVO liegt eine sogenannte Auftragsverarbeitung vor, weil der Dienstleister in Ihrem Auftrag personenbezogene Daten Ihrer Bewerber verarbeitet. In einem solchen Fall ist bereits vor Beginn der Tätigkeit ein Vertrag zur Auftragsverarbeitung zu schließen. Darin wird festgehalten, in welcher Weise der Dienstleister die Sicherheit der verarbeiteten Daten gewährleistet.

Dies ist in aller Regel dann nicht erforderlich, wenn Sie den Recruiter bzw. Headhunter beauftragen, den Auswahlprozess ohne vorgegebene Kriterien, also weisungsfrei in seinem eigenen Namen durchzuführen. In diesem Fall liegt wohl eine sog. Datenweitergabe an Dritte vor.

Der Recruiter seinerseits hat natürlich alle datenschutzrechtlichen Bestimmungen einzuhalten. Für die Weiterleitung der Daten an Sie als Unternehmen ist dann jedoch eine Rechtsgrundlage notwendig. Dies wird im Allgemeinen die die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO des Bewerbers zur Weiterleitung seiner Bewerbung an Sie sein. Durch den Übergang der Bewerberdaten an das Unternehmen wird dieses zum Verantwortlichen und hat somit auch vollumfänglich  die  Sicherheit der Daten und die entsprechenden Betroffenenrechte zu gewährleisten.

Wie lange dürfen Bewerberdaten gespeichert werden?

Als Konsequenz aus der Zweckbindung im Umgang mit personenbezogenen Daten ergibt sich, dass Daten zu löschen sind, sobald der vorgesehene Zweck erfüllt oder entfallen ist. Wenn die ausgeschriebene Stelle besetzt ist, entfällt der Grund für die weitere Speicherung der Bewerbungsdaten.

Es ist jedoch möglich und ratsam, Bewerberdaten von abgelehnten Kandidaten bis zu sechs Monate nach Zusendung der Absage aufzubewahren. Nach § 15 AGG kann ein abgelehnter Bewerber einen Entschädigungsanspruch geltend machen, wenn eine Benachteiligung nach § 7 AGG vorliegt. Um sich gegen einen entsprechenden Vorwurf verteidigen zu können, dürfen Bewerberdaten entsprechend länger aufbewahrt werden. Die Klagefrist beträgt zwei Monate nach Eingang der Ablehnung. Da die Zustellung einer möglichen Klage durch das Gericht ebenfalls einige Zeit in Anspruch nehmen kann, ist eine Aufbewahrungsdauer von bis zu sechs Monaten nach Zusendung der Ablehnung vertretbar.

Dieser aktualisierte Artikel erschien zuerst am 2. Dezember 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.