Die seit dem 25.05.2018 anzuwendende EU-Datenschutzgrundverordnung (DSGVO) stellt auch neue Anforderungen an Arbeitgeber im Umgang mit Daten von Bewerbern. Bereits vor Begründung eines Arbeitsverhältnisses sind zahlreiche datenschutzrechtliche Vorgaben zu beachten, da Bewerbungsunterlagen personenbezogene Daten enthalten.
Die wichtigsten Neuerungen und Praxistipps im Überblick:
Stellenausschreibung
Der Datenschutz spielt bereits bei der Stellenausschreibung eine Rolle. So muss nach Art. 32 DSGVO die Sicherheit der Verarbeitung personenbezogener Daten u.a. durch eine Verschlüsselung der Daten gewährleistet werden.
Praxistipp: Sofern eine Bewerbung über ein Online-Portal möglich ist, sollte sichergestellt werden, dass die Übertragung der Bewerberdaten nach dem aktuellen Stand der Technik verschlüsselt ist. In diesem Fall sowie auch bei einer Übermittlung der Bewerbungsunterlagen per E-Mail ist zudem bei der Speicherung der Daten auf eine entsprechende Verschlüsselung zu achten.
Eingang von Bewerbungsunterlagen
§ 13 DSGVO enthält eine Reihe von Informationen, die dem Bewerber nach Eingang der Bewerbungsunterlagen mitgeteilt werden müssen. Dazu gehören z.B. die Art der Datenverarbeitung und Angaben zum Verwendungszweck sowie zur Dauer des Aufbewahrungszeitraums.
Bewerberdaten dürfen sodann nur denjenigen Personen zugänglich gemacht werden, die am Auswahlverfahren beteiligt sind (z.B. Geschäftsführer, Personalsachbearbeiter, ggf. Betriebsrat).
Praxistipp: Die dem Bewerber zur Verfügung zu stellenden Informationen sollten bei Nutzung eines Online-Portals bereits auf der entsprechenden Seite (z.B. über einen Link) abrufbar sein. Bei per E-Mail übermittelten Bewerbungen bietet sich aus praktischer Sicht an, die Informationen mit einer Eingangsbestätigung der Bewerbung per E-Mail zu übermitteln.
Um einen Zugriff von unbefugten Personen zu vermeiden, sollten Bewerberdaten dann von anderen Datensätzen getrennt aufbewahrt und verwaltet werden. Sofern die Daten auf einem gemeinsamen Netzwerk gesichert werden, ist sicherzustellen, dass der Zugriff hierauf auf den zulässigen Personenkreis beschränkt wird. Im Fall von Bewerbungen, die in Papierform zugehen, sollte sichergestellt werden, dass diese nicht offen gelagert, sondern z.B. in einem Schrank verschlossen aufbewahrt werden.
Einbeziehung von Dienstleistern
Wird im Rahmen des Bewerbungsprozesses auf Dienste Dritter (Dienstleister) zurückgegriffen, liegt regelmäßig eine Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) vor. Dementsprechend ist eine den Anforderungen der DSGVO genügende Vereinbarung zwischen dem Dienstleister und dem Arbeitgeber zu schließen, in der unter anderem Zweck, Art und Umfang der Datenverarbeitung genau festgelegt werden.
Praxistipp: Arbeitgeber, die (Teil-)Prozesse des Bewerbungsverfahrens auslagern, ist zu raten, eine auf sie zugeschnittene Vereinbarung zur Auftragsverarbeitung zu verwenden und so ein hinreichendes Datenschutzniveau sicherzustellen. Dies ist vor allem vor dem Hintergrund zu empfehlen, dass Arbeitgeber und Auftragnehmer (Dienstleister) im Fall eines Verstoßes gegen die DSGVO gleichermaßen haften. Sollen die Daten außerhalb der EU verarbeitet werden, ist im Übrigen sicherzustellen, dass die empfangende Stelle ein angemessenes Datenschutzniveau gewährleistet (z.B. durch Standarddatenschutzklauseln, früher: EU-Standardvertragsklauseln).
Löschen von Bewerberdaten
Bewerberdaten (in Bewerbungsunterlagen oder z.B. Mitschriften der Personalverantwortlichen) dürfen nur zweckgebunden, also nur so lange aufbewahrt werden, wie der Zweck der Stellenbesetzung es erforderlich macht. Dies bedeutet allerdings nicht, dass die Daten sofort mit der Besetzung der Stelle gelöscht werden müssen. Um sich z.B. im Falle der Geltendmachung von Ansprüchen eines abgelehnten Bewerbers aufgrund eines behaupteten Verstoßes gegen das Allgemeine Gleichbehandlungsgesetz verteidigen zu können, sollten die Unterlagen jedenfalls für weitere sechs Monate nach der Absage aufbewahrt werden.
Praxistipp: Postalisch eingegangene Bewerbungsunterlagen sollten an eine verantwortliche Person übergeben und von ihr datenschutzgerecht entsorgt werden. Bei digital eingegangenen Bewerbungsunterlagen ist insbesondere sicherzustellen, dass auch alle Kopien gelöscht werden.
Sofern der Arbeitgeber die Daten für längere Zeit (insbesondere über sechs Monate hinaus) aufbewahren möchte, um den Bewerber z.B. in eine Bewerberdatenbank aufzunehmen, sollte er unbedingt eine schriftliche Einverständniserklärung des Bewerbers einholen, die z.B. zusammen mit einer Eingangsbestätigung versandt oder schon vor Übermittlung einer Online-Bewerbung durch Setzen eines entsprechenden Häkchens durch den Bewerber abgegeben werden kann.
Auskunftsrecht und Dokumentation
Bewerber haben zudem nach § 15 DSGVO das Recht, eine umfangreiche Auskunft von Arbeitgebern über die gespeicherten Daten zu erhalten. Dieses Auskunftsrecht umfasst z.B. den Verwendungszweck, die geplante Dauer der Speicherung oder welchen Dritten die Daten zugänglich gemacht worden sind.
Praxistipp: Um einem etwaigen Auskunftsersuchen nachkommen zu können, sollten alle im Zusammenhang mit einer Bewerbung stehenden, datenschutzrelevanten Vorgänge dokumentiert werden.
Die Auskunft kann dem Bewerber im Übrigen entweder auf dessen Anfrage oder auch freiwillig z.B. im Rahmen eines Ablehnungsschreibens erteilt werden.
To Do:
Zusammenfassend gilt, dass die DSGVO erhöhte Anforderungen im Rahmen des Bewerbungsprozesses für Arbeitgeber aufstellt. Unerlässlich ist daher eine Überarbeitung der bisherigen Prozesse. Die datenschutzrechtlichen Vorgaben sollten dabei unbedingt erstgenommen werden, da die Sanktionen bei Verstößen erheblich verschärft wurden. Ein sorgsamer Umgang mit den Daten der Bewerber ist daher unumgänglich.