Datenschutz im Bewerbungsverfahren
Mitteilung von Zweck und Rechtsgrundlage der Datenverarbeitung
Bei den Daten von Bewerbern ist neben der Datenschutzgrundverordnung (DSGVO) zusätzlich §26 Ab. 1 S. 1 Bundesdatenschutzgesetz (BDSG) die zu beachtende Rechtsgrundlage. Danach ist die Datenverarbeitung zulässig, wenn es für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Die Verarbeitung der Bewerberdaten, wie Anschreiben, Lebenslauf und Zeugnisse sind üblicherweise erforderlich um ein Beschäftigungsverhältnis einzugehen.
Bewerber sind bei Erhebung der Daten über Zweck, Umfang und Rechtsgrundlage zu informieren. Dies ist in einer Datenschutzerklärung gemäß Art. 13 DSGVO mitzuteilen. Inhalt der Informationspflicht ist unter anderem:
Bewerber sind bei Erhebung der Daten über Zweck, Umfang und Rechtsgrundlage zu informieren. Dies ist in einer Datenschutzerklärung gemäß Art. 13 DSGVO mitzuteilen. Inhalt der Informationspflicht ist unter anderem:
- Kontaktdaten des potenziellen Arbeitgebers und des Datenschutzbeauftragten (sofern ein solcher bestellt werden muss, oder freiwillig bestellt ist)
- Rechtsgrundlage und Zweck der Verarbeitung (dies ist in der Regel §26 Abs. 1 S. 1 BDSG)
- Speicherungsdauer der Bewerbungsunterlagen bzw. die Kriterien für die Aufbewahrungsdauer
- Mögliche Empfänger der Bewerbung (zum Beispiel andere Niederlassungen oder Tochterfirmen innerhalb der Unternehmensgruppe)
- Mögliche Drittstaatentransfers (zum Beispiel in die USA) und die hierfür verwendeten Datenschutz-Garantien (zum Beispiel sog. EU-Standardvertragsklauseln oder die Einwilligung des Bewerbers)
- Beschwerderecht des Betroffenen bei der zuständigen Aufsichtsbehörde
- Hinweis auf das Widerrufsrecht bei Einwilligung des Betroffenen
- Belehrung über die Rechte des Betroffenen (zum Beispiel Auskunftsrecht, Art. 15 DSGVO, Recht auf Datenberichtigung, Art. 16 DSGVO, Recht auf Löschung, Art. 17 DSGVO Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO, Widerspruchsrecht, Art. 21 DSGVO, Recht auf Datenübertragbarkeit, Art. 20 DSGVO).
Wo ist die Datenschutzerklärung zu platzieren?
Wenn man online eine Anschreibungsseite für Interessenten benutzt, oder ein Bewerberportal, so ist die Datenschutzerklärung bei der Anzeige deutlich sichtbar zu verlinken. Stellt der Arbeitgeber ein Bewerbungsformular auf der Unternehmenshomepage bereit, indem Interessierte ihre Bewerbungsunterlagen direkt über das Formular absenden können, sollte die Übertragung und die Speicherung auf dem Webserver verschlüsselt und/oder passwortgeschützt erfolgen.
Erhält man als Arbeitgeber eine unaufgeforderte Initiativbewerbung werden mit Eingang der Bewerbung die Daten verarbeitet. Spätestens nach Eingang unaufgeforderter Bewerbungen ist der Bewerber also über die Zweck und Umfang der Datenverarbeitung zu informieren (zum Beispiel in der Rückantwort, dass die Bewerbung eingegangen ist, entweder mit einer Datenschutzerklärung als PDF-Anhang, oder als Link zu einer Datenschutzerklärung im Footer einer Antwort-E-Mail).
Erhält man als Arbeitgeber eine unaufgeforderte Initiativbewerbung werden mit Eingang der Bewerbung die Daten verarbeitet. Spätestens nach Eingang unaufgeforderter Bewerbungen ist der Bewerber also über die Zweck und Umfang der Datenverarbeitung zu informieren (zum Beispiel in der Rückantwort, dass die Bewerbung eingegangen ist, entweder mit einer Datenschutzerklärung als PDF-Anhang, oder als Link zu einer Datenschutzerklärung im Footer einer Antwort-E-Mail).
Wer hat Zugriff auf die Bewerberdaten?
Zugriffsrechte auf die Bewerberdaten sind im Rahmen eines Berechtigungskonzepts zu beschränken. Nur Personen, die über die Einstellung entscheiden, sollten Zugriff bekommen (zuständiger Sachbearbeiter im Personalbereich, Teamleiter, ggf. Geschäftsführer). Keinesfalls sollten die Daten in einem allgemein zugänglichen Ordner abgelegt, oder per E-Mail an die bei der Einstellung zu beteiligenden Personen weitergeleitet werden.
(Un)zulässige Fragen im Bewerbungsgespräch
Im Bewerbungsgespräch stellt der Arbeitgeber Fragen, um mehr über den Kandidaten zu erfahren (zum Beispiel beruflicher Werdegang, Privatleben und Freizeitaktivitäten). Dabei werden häufig handschriftliche Notizen angefertigt, die anschließend üblicherweise in einem Ordner abgelegt werden. Hierbei werden personenbezogene Daten des Bewerbers handschriftlich erhoben und in einer geordneten Struktur abgelegt, wodurch eine Datenverarbeitung im Sinne der DSGVO vorliegt.
Das Fragerecht des Arbeitgebers besteht nur insoweit die Frage für das konkrete Bewerbungsverfahren erforderlich ist, d.h. im Einzelfall kommt es darauf an, ob der Arbeitgeber ein berechtigtes Interesse an der Angabe einer bestimmten Information hat und ein Bezug zum Anforderungsprofil der Stelle ist stets notwendig. Ein Bezug zur Stelle ist in der Regel gegeben, wenn es sich um Fragen über den beruflichen Werdegang oder für die Stelle relevante Qualifikationen des Bewerbers handelt, sowie um Fragen bzgl. des noch bestehenden Beschäftigungsverhältnisses und Fragen nach Nebentätigkeiten.
Das Fragerecht des Arbeitgebers besteht nur insoweit die Frage für das konkrete Bewerbungsverfahren erforderlich ist, d.h. im Einzelfall kommt es darauf an, ob der Arbeitgeber ein berechtigtes Interesse an der Angabe einer bestimmten Information hat und ein Bezug zum Anforderungsprofil der Stelle ist stets notwendig. Ein Bezug zur Stelle ist in der Regel gegeben, wenn es sich um Fragen über den beruflichen Werdegang oder für die Stelle relevante Qualifikationen des Bewerbers handelt, sowie um Fragen bzgl. des noch bestehenden Beschäftigungsverhältnisses und Fragen nach Nebentätigkeiten.
Beispiele für grundsätzlich unzulässige Fragen im Bewerbungsverfahren:
- Frage nach Schwangerschaft (Ausnahme: Stelle kann sich auf die Gesundheit der Bewerberin auswirken, wie Radiolaborarbeit, schwere körperliche Tätigkeiten)
- Frage nach politischer oder religiöser Gesinnung oder Aktivität, oder Gewerkschaftszugehörigkeit des Bewerbers (Ausnahmsweise zulässig bei sog. Tendenzbetrieben wie Gewerkschaft, Kirche, Partei)
- Frage nach Vorstrafen, wenn kein unmittelbarer Bezug zum Arbeitsverhältnis besteht
- Fragen nach dem Gesundheitszustand (ausnahmsweise zulässig, soweit Tauglichkeit für den konkreten Arbeitsplatz ermittelt werden soll)
- Frage nach Vermögensverhältnissen (ausnahmsweise kann dies zulässig sein gegenüber Führungskräften wie Geschäftsführern und Vorstand, oder wenn der der Bewerber eine Vermögensbetreuungspflicht übernehmen soll
Ein nicht eindeutig geklärtes Problem ist die Frage nach einer Schwerbehinderung. Das Unternehmen hat ein berechtigtes Interesse an dieser Frage, wenn der Bewerber körperlich und/oder geistig in der Lage sein muss, die Anforderungen an die konkrete Stelle zu erfüllen. Ob die Frage allerdings auch ohne (tatsächlich vorliegende) Relevanz zur konkreten Tätigkeit, die ausgeübt werden soll, zulässig ist, wurde bisher nicht höchstrichterlich geklärt. Die Frage kann zur Erfüllung bestimmter Vorschriften nach Sozialgesetzbuch IX (SGB IX) für den Arbeitgeber relevant sein. So muss der Arbeitgeber wissen, ob er die Anzahl an Pflichtarbeitsplätzen erfüllt oder eine Ausgleichsabgabe zu zahlen hat. Schwerbehinderte Arbeitnehmern steht ein Zusatzurlaub und ein Sonderkündigungsschutz nach sechs Monaten Betriebszugehörigkeit zu (eine Kündigung darf nur mit Zustimmung des Integrationsamts ausgesprochen werden). Allerdings hat das Bundesarbeitsgericht bisher nur entschieden, dass die Frage nach sechsmonatiger Betriebszugehörigkeitsdauer, und somit mit dem Erwerb des Sonderkündigungsschutzes, zulässig ist. Ob die Frage vor Ablauf der sechs Monate Betriebszugehörigkeit zulässig ist, wurde offen gelassen. Sicherer dürfte es daher für den Arbeitgeber sein nach Ablauf von sechs Monaten zu fragen, ob eine Schwerbehinderteneigenschaft besteht.
Auch im Rahmen sog. “Background-Checks” werden personenbezogene Daten erfasst. Dies kann geschehen durch Zugriff auf freizeitorientierte Netzwerke, wie Facebook und berufsorientierte Netzwerke (z.B. Xing, LinkedIn). Das Durchsuchen nach privaten Informationen freizeitorientierter Netzwerke ist nicht zulässig. Anders ist es bei berufsorientierten Netzwerken, da hier die Daten vom Bewerber eingestellt werden, um Informationen für potentielle Arbeitgeber bereitzustellen.
Ein anderes Mittel ist eine Google-Suche. Das „googlen“ ist zulässig, vorausgesetzt
Ein anderes Mittel ist eine Google-Suche. Das „googlen“ ist zulässig, vorausgesetzt
- Die Daten wurden durch Bewerber ins Internet gestellt;
- Die Daten sind nicht älter als fünf Jahre; und
- Die Daten stehen im Zusammenhang mit der Arbeitsstelle
Die Datenschutzaufsichtsbehörden verlangen zum Teil, dass der Bewerber mit im Internet erhobenen Daten konfrontiert wird und die Möglichkeit einer Richtigstellung hat.
Weitere Backgroundchecks können sein:
- Volage eines polizeilichen Führungszeugnis
- Vorlage einer Bankauskunft
- Vorlage einer Schufa-Auskunft
Dies kann wiederum zulässig sein, soweit die Tätigkeit mit einer besonderen Vertrauensstellung verbunden ist (zum Beispiel beim Geschäftsführer oder bei Vermögensbetreuungspflichten).
- Vorlage eines Gesundheitszeugnisses
Dies ist allerdings nur zulässig zur Bewertung als „geeignet“ bzw. „ungeeignet“ in Bezug auf Krankheiten, die für die körperliche und geistige Eignung für die in Aussicht genommene Tätigkeit relevant sein können.
- Anfrage beim ehemaligen Arbeitgeber
Hierzu bestehen vielfältige Meinungen. Eine abschließende Entscheidung, ob dies zulässig ist oder nicht, gibt es derzeit nicht. Daher ist es empfehlenswert vor Nachfrage beim vorherigen Arbeitgeber die Einwilligung des Bewerbers einzuholen. Da dieser sich in der Regel davon eher einen Vorteil erhofft, dürfte der Bewerber in der Regel einwilligen. Allerdings bleibt dies letztlich eine rechtlich nicht abschließend geklärte Grauzone.
Wie lange dürfen Bewerberdaten gespeichert werden?
Sobald die Daten nicht mehr erforderlich sind, sind sie zu löschen. (Art. 17 Abs. 1 S. 1 DSGVO). Entweder wird der Bewerber eingestellt, dann erfolgt eine Übernahme der Bewerbungsunterlagen in die Personalakte, allerdings nicht pauschal, sondern nur soweit es zur Durchführung des Beschäftigungsverhältnisses erforderlich ist.
Wird der Bewerber abgelehnt, sind die Daten zu löschen bzw. zu vernichten. Entsprechend ist zu verfahren, wenn eine Bewerbung von sich aus zurückgezogen wird, oder auch wenn es sich um eine Initiativbewerbung handelt (es sei denn es wurde etwas anderes vereinbart, wie die Aufnahme in einen Bewerberpool, siehe dazu unten). Die Daten sind elektronisch vollständig zu löschen, d.h. auch aus E-Mail-Konten und Sicherheitskopien. Papierunterlagen sind datenschutzgerecht zu „schreddern“. Für die zu wählende Zerkleinerungsstufe eingesetzter Aktenvernichter sollte man sich an der DIN 66399 für eine datenschutzgerechte und gesetzeskonforme Vernichtung von schutzwürdigen Unterlagen und Informationen orientieren.
Wird der Bewerber abgelehnt, sind die Daten zu löschen bzw. zu vernichten. Entsprechend ist zu verfahren, wenn eine Bewerbung von sich aus zurückgezogen wird, oder auch wenn es sich um eine Initiativbewerbung handelt (es sei denn es wurde etwas anderes vereinbart, wie die Aufnahme in einen Bewerberpool, siehe dazu unten). Die Daten sind elektronisch vollständig zu löschen, d.h. auch aus E-Mail-Konten und Sicherheitskopien. Papierunterlagen sind datenschutzgerecht zu „schreddern“. Für die zu wählende Zerkleinerungsstufe eingesetzter Aktenvernichter sollte man sich an der DIN 66399 für eine datenschutzgerechte und gesetzeskonforme Vernichtung von schutzwürdigen Unterlagen und Informationen orientieren.
Es kann vorkommen, dass ein abgelehnter Bewerber einen Schadensersatzanspruch wegen Verstoßes gegen das Allgemeine Gleichbehandlungsgesetz (AGG) geltend machen möchte, weil er eine Benachteiligung, zum Bespiel aufgrund ethnischer Herkunft, des Geschlechts, der Religion oder Weltanschauung, oder des Alters behauptet.
Um sich gegen eine solche Klage zu verteidigen ist häufig ein Rückgriff auf die Bewerbungsunterlagen erforderlich.
Aufgrund der Fristen und gerichtlichen Abläufe kann ein solches Verfahren (Klageeingang bei Gericht, interne Zuweisung bei Gericht, Ladung der Beteiligten und Versand der Klageunterlagen) mehrere Monate dauern, sodass gesamt eine Speicherfrist der Bewerbungsunterlagen von vier bis maximal sechs Monaten für zulässig erachtet werden dürfte (für sechs Monate votiert beispielsweise das Bayrische Landesamt für Datenschutz in seinem Tätigkeitsbericht 2011/2012).
Achtung: Der Landesdatenschutzbeauftragte für Baden-Württemberg hält in seinem Ratgeber für Beschäftigtendatenschutz eine Speicherung von Bewerbungsunterlagen nach Abschluss des Auswahlverfahrens über vier Monate hinaus für nicht erforderlich und empfiehlt die Löschung nach Ablauf dieser Zeitspanne. Im Zweifel sollte man sich an der Vorgabe, der für sich zuständigen Aufsichtsbehörde orientieren.
Um sich gegen eine solche Klage zu verteidigen ist häufig ein Rückgriff auf die Bewerbungsunterlagen erforderlich.
Aufgrund der Fristen und gerichtlichen Abläufe kann ein solches Verfahren (Klageeingang bei Gericht, interne Zuweisung bei Gericht, Ladung der Beteiligten und Versand der Klageunterlagen) mehrere Monate dauern, sodass gesamt eine Speicherfrist der Bewerbungsunterlagen von vier bis maximal sechs Monaten für zulässig erachtet werden dürfte (für sechs Monate votiert beispielsweise das Bayrische Landesamt für Datenschutz in seinem Tätigkeitsbericht 2011/2012).
Achtung: Der Landesdatenschutzbeauftragte für Baden-Württemberg hält in seinem Ratgeber für Beschäftigtendatenschutz eine Speicherung von Bewerbungsunterlagen nach Abschluss des Auswahlverfahrens über vier Monate hinaus für nicht erforderlich und empfiehlt die Löschung nach Ablauf dieser Zeitspanne. Im Zweifel sollte man sich an der Vorgabe, der für sich zuständigen Aufsichtsbehörde orientieren.
Aufnahme in Bewerberpool
Ausnahmsweise können die Daten länger aufbewahrt werden, wenn der Bewerber in einen Bewerber- oder Talentpool übernommen wird, um ihn zu einem späteren Zeitpunkt zu kontaktieren, wenn eine passende Stelle im Unternehmen frei wird. Voraussetzung hierfür ist, dass der Bewerber zu diesem Zweck vorher in die Speicherung seiner Daten eingewilligt hat. Auch die Datenaufnahme in einen Talentpool kann nicht zeitlich unbegrenzt erfolgen. Ausreichend dürfte hier die Speicherung für einen Zeitraum von ein bis maximal zwei Jahren sein, sofern der Bewerber in diesen Zeitraum einwilligt. Die Person muss eine informierte Entscheidung treffen können, d.h. bevor sie einwilligt, ist sie auch darüber zu informieren, wie ihre personenbezogenen Daten verarbeitet werden, ggf. auch an welche Dritte (zum Beispiel innerhalb einer Unternehmensgruppe) die Daten übermittelt werden, und wie lange die Datenspeicherung erfolgt.
Wichtig: Wie bei jeder Einwilligung ist auf die jederzeitige Widerrufsmöglichkeit mit Wirkung für die Zukunft hinzuweisen. Ohne Hinweis auf das Widerrufsrecht ist die Einwilligung unzulässig.
Wichtig: Wie bei jeder Einwilligung ist auf die jederzeitige Widerrufsmöglichkeit mit Wirkung für die Zukunft hinzuweisen. Ohne Hinweis auf das Widerrufsrecht ist die Einwilligung unzulässig.
Dieser Artikel soll – als Service Ihrer IHK Region Stuttgart – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl der Artikel mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.