Unternehmen erhalten ständig Bewerbungen – sei es auf ausgeschriebene Stellen oder initiativ. Doch seit dem Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, gelten im Umgang mit Lebensläufen, Anschreiben und Zeugnissen neue Regeln. Um einen datenschutzkonformen Umgang mit diesen Informationen sicherzustellen, empfiehlt es sich, das Bewerberdatenmanagement detailliert zu überprüfen und die Mitarbeiter in den Personalabteilungen regelmäßig zu schulen. „Der ordnungsgemäße Umgang mit Bewerberdaten kann eine Herausforderung darstellen, wenn Mitarbeiter nicht wissen, wo Fallstricke lauern. Doch nach Implementierung entsprechender Prozesse ist das Datenmanagement in der Regel kaum mit Mehraufwand verbunden. Außerdem wünscht sich jeder im Falle einer Bewerbung auch einen angemessenen Umgang mit den eigenen Unterlagen“, so Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.
Wieso, weshalb, warum
Artikel 13 der DSGVO schreibt eine Informationspflicht bei Erhebung von personenbezogenen Daten vor – sobald die Unterlagen eingehen, müssen die Bewerber Informationen über die Datenerhebung erhalten. Hierzu zählen unter anderem Details darüber, welche Daten die Personalverantwortlichen verarbeiten, den Verarbeitungszweck und die Dauer des Aufbewahrungszeitraums. Bei der Suche nach einem neuen Mitarbeiter erfolgt meist die Verarbeitung von Daten, wie Namen, Kontaktdaten, Zeugnissen, Anschreiben sowie Lebensläufen. Unternehmen kommen dieser Pflicht nach, indem sie beispielsweise eine automatisch generierte Eingangsbestätigung mit den entsprechenden Angaben versenden. Erfolgt die Bewerbung über ein Online-Portal, können potenzielle Arbeitgeber die Kandidaten unmittelbar über diese Plattform über die Datenerhebung informieren. Artikel 30 der DSGVO zufolge müssen Unternehmen zudem ein Verzeichnis von Verarbeitungstätigkeiten führen. „Auch hier sollte eine Auflistung aller Prozesse, die im Rahmen des Bewerbermanagements stattfinden, erfolgen. Nur auf diese Weise können sich Verantwortliche absichern, für den Fall, dass sich Bewerber bei der Datenschutzaufsichtsbehörde beschweren“, so der Datenschutzexperte.
Löschung ist Pflicht
Sobald ein passender Kandidat gefunden und die offene Stelle besetzt wurde, müssen Verantwortliche die personenbezogenen Daten der nicht ausgewählten löschen, wenn Einspruchsfristen abgelaufen sind, da dann keine Notwendigkeit mehr besteht, diese Daten zu speichern. Sollten Unternehmen Unterlagen per Post erhalten haben, müssen sie diese dem Bewerber wieder aushändigen – in der Regel innerhalb von zwei bis spätestens sechs Monaten.
Vorsicht beim Kandidatenpool
In manchen Fällen erhalten Unternehmen Unterlagen von vielversprechenden Kandidaten, für die sie nur augenblicklich keine offenen Stellen haben. Viele Firmen möchten die Bewerbung dann für einen späteren Zeitraum in einem sogenannten Kandidatenpool speichern. Hierfür benötigen sie jedoch eine ausdrückliche Einwilligung des Kandidaten. „Eine entsprechende Einwilligung zu erhalten, stellt in den meisten Fällen kein Problem dar, wenn Kandidaten Interesse an einer Anstellung haben. Verantwortliche dürfen nur nicht vergessen, den potenziellen Mitarbeiter auf sein Recht auf Widerruf hinzuweisen, beispielsweise für den Fall, dass er nicht mehr auf Jobsuche ist“, erklärt Hösel.
Nicht jeder darf Bewerbungsunterlagen lesen
Geht eine Bewerbung ein, darf nicht jeder Mitarbeiter im Unternehmen diese lesen. Im Rahmen des Bewerbungsverfahrens darf nur derjenige Zugriff auf die Daten haben, der sich unmittelbar mit der Vergabe der Position beschäftigt. In der Regel zählen die Verantwortlichen der Personalabteilung und gegebenenfalls noch der Vorgesetzte der entsprechenden Abteilung dazu. „Aus diesem Grund empfiehlt es sich, die Zugriffsrechte auf Bewerbermanagement-Systeme genauestens zu prüfen. Gehen die Bewerbungen unter einer allgemeinen E-Mail-Adresse ein, gilt es auch hier vorher festzulegen, wer die erste Sichtung übernehmen darf“, erklärt Hösel abschließend.