Datenschutz von Bewerbern – was muss im Unternehmen gewährleistet sein?
Selbst angesichts enormen Fachkräftemangels dürfen Unternehmen nicht schludern, wenn sie eine heiß ersehnte Bewerbung erhalten. Denn jede Bewerbung enthält sensible, personenbezogene Daten und muss daher DSGVO-konform behandelt werden. Hier die wichtigsten Punkte.
Eine Stelle wurde ausgeschrieben, und endlich trifft die erste schriftliche Bewerbung ein – das ist natürlich ein Grund zur Freude, löst aber gleichzeitig etliche Pflichten in Datenschutzhinsicht aus. Die beginnen nicht erst nach dem Post- oder E-Mail-Eingang der Bewerberunterlagen sondern bereits bei der Stellenausschreibung. Schon hier sollte zumindest ein deutlicher Hinweis auf die Unternehmens-Datenschutzerklärung zu sehen sein.
Treffen die Bewerbungsunterlagen per Post oder E-Mail ein, müssen alle in der Datenschutzerklärung aufgelisteten Schutzmaßnahmen umgesetzt werden. Mit Eingang der Unterlagen beginnt die interne Datenverarbeitung. Postalisch eingesendete Unterlagen müssen ohne Umweg an den Mitarbeiter gehen, der für diese Bewerbung zuständig ist. Die Bewerbung sollte also auf keinen Fall tagelang im offen zugänglichen Postfach liegen. Bei Eingang per E-Mail muss dafür gesorgt werden, dass die E-Mail sofort an den zuständigen Mitarbeiter weitergeleitet wird. Kam sie über ein allgemeines Postfach herein, auf das mehrere Mitarbeiter Zugriff haben, muss sie dort umgehend gelöscht werden.
Informationspflicht beachten
Es empfiehlt sich, bereits bei der ersten Kontaktaufnahme durch das Unternehmen zum Bewerber der Informationspflicht nachzukommen. Denn der Bewerber hat ein Recht zu erfahren, wie mit seinen personenbezogenen Daten verfahren wird. Diese Information sollte beinhalten:
- exakte Benennung des im Unternehmen Zuständigen
- Recht auf Beschwerde und Löschung der Daten
- Zweck und Dauer der Datenverarbeitung
- Rechtsgrundlage und Dauer der Datenspeicherung
Besondere Beachtung verdienen übrigens Initiativbewerbungen. Vor allem in kleineren und mittleren Unternehmen gehen diese häufig über eine allgemeine Kontakt-E-Mail-Adresse ein. Ist dies der Fall, muss das Unternehmen sicherstellen, dass diese Daten nicht in beliebig viele Hände geraten. Es ist also dafür Sorge zu tragen, dass Mitarbeiter, die Zugang zum allgemeinen Postfach haben, eine Bewerbung ohne zeitliche Verzögerung an die zuständige Abteilung oder eine zuständige Person weiterleiten und das Postfach dann sofort leeren. Idealerweise richtet das Unternehmen eine E-Mail-Adresse für Initiativ-Bewerbungen ein, auf die nur die zuständigen Personen Zugriff haben.
Löschen von Bewerberdaten
Generell dauert ein Bewerbungsverfahren in vielen Fällen ja mehrere Monate. Im gesamten Zeitraum, in dem die Stelle noch nicht besetzt ist, darf das Unternehmen die personenbezogenen Daten der Bewerber speichern und verarbeiten. Ist die Entscheidung für einen Bewerber gefallen, haben die abgewiesenen Bewerber grundsätzlich ein Recht auf Löschung ihrer personenbezogenen Daten.
Allerdings ist es üblich, Bewerberdaten auch noch über den Zeitraum des Auswahlprozesses hinaus zu behalten. Denn einerseits ist es ja denkbar, dass schon bald eine ähnliche Stelle zu besetzen ist, auf die der Bewerber ebenfalls passen würde. Andererseits hat der Bewerber natürlich bis zu zwei Monate nach der Stellenvergabe ein Recht darauf, gegen die Vergabe des Jobs vorzugehen, beispielsweise weil er hinter seinem Ablehnungsbescheid eine ungerechte Behandlung vermutet und dies gerichtlich überprüfen lassen möchte. Daher hat es sich bewährt, Bewerberunterlagen bis zu sechs Monate nach der Stellenvergabe zu speichern und sie erst nach Ablauf dieser Frist endgültig zu löschen.
Informationen aus den sozialen Netzwerken
Viele Personaler nutzen die sozialen Netzwerke, um sich ein detaillierteres Bild von Bewerbern zu machen. Das ist absolut in Ordnung, solange es sich um jobrelevante Portale, wie LinkedIn oder Xing, handelt. Denn hier sollte es natürlich im Interesse des Bewerbers liegen, sich professionell zu präsentieren und ausschließlich jobrelevante Informationen öffentlich zu machen. Recherchiert ein Entscheider über die Stellenbesetzung allerdings in rein privaten Netzwerken, wie Facebook, darf hier nicht jede Information in den Entscheidungsprozess einfließen. Denn private Netzwerkbetätigung unterliegt unter Umständen Schutzrechten, auf die der Bewerber pochen darf.
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.