Wie geht man mit Bewerberdaten um?
Bei der Suche nach neuen Mitarbeitern geben sich viele Arbeitgeber sehr viel Mühe. Zurecht, denn wer fähige Mitarbeiter braucht, der muss manchmal lange suchen. Nicht jeder Job ist leicht zu besetzen. Das kann an mangelnder oder zu umfangreicher Auswahl liegen. Doch egal welcher Job, den Ausschlag für die Einstellung einer neuen Arbeitskraft geben immer etwaige, für den Job wichtige Kriterien.
Und diese Kriterien basieren auf persönlichen Eigenschaften, Abschlüssen etc.
Doch was sind diese Kriterien eigentlich?
Es sind nichts anderes als personenbezogene Daten im Sinne der Datenschutzgrundverordnung (DSGVO).
Bewerber müssen voneinander abgrenzt werden und das geht nicht ohne persönliche Informationen wie Name, Adresse, Telefonnummer, E-Mail-Adresse. All diese Daten geben Rückschlüsse auf die Person, die dahintersteht und stehen somit unter dem Schutzbereich der DSGVO. Das heißt, mit Ihnen muss sorgfältig umgegangen werden.
Rechtliche Lage bei der Bewerbung
Neben dem Datenschutz für Arbeitnehmer wird durch Bundesdatenschutzgesetz (BDSG) und DSGVO auch der Schutz für Bewerber erfasst. Da Europarecht Anwendungsvorrang vor nationalem Recht genießt, ist die DSGVO als Maßstab für das gesamte Datenschutzrecht in der EU heranzuziehen.
Auffällig ist, dass die digitale Bewerbung mehr und mehr die altmodische Bewerbungsmappe ersetzt. Aus Gründen der Einfachheit und des Datenschutzes laufen die meisten Bewerbungen über E-Mail oder ein Bewerberportal.
Vor allem über ein Bewerberportal kann die Informationspflicht des Unternehmens am besten organisiert werden. Dies umfasst die Pflicht nach Art. 12 Abs. 1 DSGVO dem Betroffenen alles Informationen der Art. 13 und 14 mitzuteilen. Beispielsweise darf er erfahren, wer die personenbezogenen Daten verarbeitet, welche Daten es sind, wie lange sie gespeichert werden und woher sie stammen.
Zudem hat das Unternehmen die Pflicht, nach Art. 12 Abs. 1 und den Art. 15 ff. den Bewerber über seine Rechte aufzuklären, wie das Recht auf Löschung, Auskunft oder das Recht auf Berichtigung der Daten. Auch Art. 34 DSGVO ist wichtig, denn das Unternehmen hat hiernach die Pflicht, bei einem Datenschutzverstoß in Zusammenhang der personenbezogenen Daten des Bewerbers, diesen darüber zu informieren.
Aufbewahrungsfristen
Datenschutzrechtlich höchst brisant sind die Aufbewahrungsfristen der Bewerberdaten. Denn die Verarbeitung von personenbezogenen Daten bedarf immer einer Rechtsgrundlage, Art. 6 Abs. 1 DSGVO. Für Bewerberdaten kommt Art. 88 Abs. 1 der Grundverordnung infrage, der die Verarbeitung der Daten von Beschäftigten ermöglicht. Wird ein Bewerber nicht angenommen, entfällt die Rechtsgrundlage und die Löschung muss sofort erfolgen.
Dies jedoch nur theoretisch, denn eine Klage gegen das Unternehmen, aufgrund von möglicher Diskriminierung, macht eine Frist dennoch notwendig. Diese Frist beläuft sich auf zwei Monate, plus die Frist für eine mögliche Klage. Mit einer Löschfrist von einem halben Jahr sollte man sich rechtlich auf der sicheren Seite befinden, eine Ausnahme bildet lediglich eine vertragliche Einigung, die in der Praxis jedoch meist keine Anwendung findet.
Die zwei Monate Frist für die potenzielle Geltendmachung des Anspruchs, die mögliche Klagefrist und die hypothetische Zeit, die für die bürokratische Aktivität und der gleichen zustande kommt, bilden die halbjährige Löschfrist.
Richtige Löschung von Daten
Für den richtigen Schutz der Daten müssen sie auch ordnungsgemäß vernichtet werden.
Wer die Unterlagen einfach löscht, beziehungsweise, bei physischen Dokumenten einfach in den Müll wirft, verstößt gegen das Gesetz.
Für körperliche Bewerbungsunterlagen, wie Ausdrucke oder zugesendete Mappen, gilt, dass sie zur Unkenntlichkeit geschreddert werden müssen. Sowohl für digitale Träger personenbezogener Daten als auch für physische Bewerberdaten gilt, dass sie nicht mehr rekonstruierbar sein dürfen.
Auch für Festplatten gilt, dass eine Löschung nicht ausreicht, sondern eine fachmännische Beseitigung der Daten erfolgen muss.
Weitergabe von Bewerberdaten
Ein weiterer, möglicher Reibungspunkt mit dem Gesetz ist die Weitergabe der Daten. Doch warum sollte das überhaupt passieren?
Beispielsweise bei Kooperationen zwischen Unternehmen. Denn wäre ein Bewerber besser geeignet für das Unternehmen eines Freundes oder für eine andere Zweigstelle der Firma, so könnte man auf die Idee kommen, die Daten an die betreffende Stelle weiterzureichen.
So etwas wäre rechtlich jedoch fatal. Hier ist zwingend eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich.
Eine solche Einwilligung muss zwingend von der Seite des Betroffenen kommen und kann nicht konkludent angenommen werden. Liegt sie nicht vor, so bleibt es nicht nur dabei, dass der Bewerber auf Schadensersatz klagen kann, denn auch die EU verhängt hohe Bußgelder für Verstöße gegen die DSGVO.
Fazit
Abschließend lässt sich sagen, dass der Arbeitgeber an vielen Stellen aufpassen muss.
Zum einen müssen die direkten Pflichten gegenüber den Bewerbern geachtet werden, wie die Auskunftspflicht darüber, welche Daten, von wem, wo und wie lange gespeichert werden. Auch bei Verstößen gegen die DSGVO, die den Bewerber direkt betreffen, muss er darüber Auskunft erhalten.
Zudem bedarf es der Einhaltung der Aufbewahrungsfrist, die bei Ablehnung eines Bewerbers nur existiert, damit dieser von rechtlichen Mitteln Gebrauch machen kann und ein halbes Jahr umfasst.
Wichtig ist es zudem, die Daten richtig zu löschen oder zu vernichten, damit keine Rekonstruktion möglich ist.
Bei der möglichen Weitergabe der Bewerberdaten an andere Unternehmen oder dergleichen, muss zwingend eine Einwilligung des Betroffenen eingeholt werden, um seine Persönlichkeitsrechte zu schützen.
Im Kern geht es darum, die Einhaltung der DSGVO auch bei Bewerbungsverfahren zu wahren, um einen leichtfertigen Umgang der Geschäftsführung mit den Informationen möglicher Arbeitnehmer zu verhindern.
Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.
Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de