Datenschutz im Bewerbungsmanagement DSGVO: So sollten Handwerksbetriebe mit Bewerbungen umgehen

Zugehörige Themenseiten:
Datenschutz, Fachkräftemangel und IT-Recht

Selten hat eine gesetzliche Bestimmung für so viel Aufregung und Verwirrung gesorgt, wie die EU-Datenschutzgrundverordnung (DSGVO). Im Fokus stehen dabei meist die Datenbanken für Massenaussendungen (Newsletter etc.). Doch auch individuell erfasste Daten unterliegen den Bestimmungen der DSGVO – beispielsweise, wenn es um die Bewerbungsunterlagen geht. So machen Sie alles richtig.

Personalakte, Bewerbung, Datenschutz, DSGVO
Sobald Sie die wichtigsten Bewerbungsdaten in einer Tabelle oder Ordner zusammenfassen, findet eine DSGVO-relevante Datenverarbeitung statt. - © made_by_nana - stock.adobe.com

Zunächst einmal sind aus datenschutzrechtlicher Sicht der Artikel 88 der DSGVO und der § 26 des Bundesdatenschutzgesetzes (BDSG) ausschlaggebend. Wenn Sie den Paragraf nachlesen wollen, achten Sie darauf, dass Sie die aktuelle Fassung des BDSG (BDSG-neu) vor sich haben, denn auch das Bundesdatenschutzgesetz wurde mit der Einführung der DSGVO novelliert.

Bewerbungsunterlagen per Post:

Bewerbungsunterlagen, die mit der Post kommen, machen Ihnen derzeit zunächst die wenigste Arbeit, da mit dem Eingang der Unterlagen noch keine Erfassung erfolgte. Aber schon, wenn Sie oder ein Mitarbeiter die wichtigsten Daten in einer Tabelle mit anderen Bewerberdaten zusammenfasst, findet eine Datenverarbeitung statt. Was dann zu beachten wird, besprechen wir weiter unten in diesem Artikel.

Bewerbungsunterlagen per Mail:

Wenn Bewerbungen per E-Mail zugesandt werden, sollten Sie sicherstellen, dass die Unterlagen über einen verschlüsselten Kanal zu Ihnen gelangen können und hierfür einen entsprechenden Kanal zur Verfügung zu stellen. Die Verschlüsselung von E-Mails wird auch in anderen Bereichen Ihrer geschäftlichen Kommunikation immer mehr an Bedeutung gewinnen.

Folgende Punkte gehören in die Eingangsbestätigung der Bewerbung:

Nach Artikel 13 Absatz 1 und 2 der DSGBO müssen Sie jeden Bewerber darüber informieren, dass und wie eine Datenerhebung (-verarbeitung) erfolgt. Hierzu sollten Sie eine Eingangsbestätigung vorbereiten, in der die folgenden Punkte aufgeführt werden müssen:

  • Name und Kontaktdaten Ihres Unternehmens als "Verantwortlicher" nach der DSGVO. Danach ist ein Verantwortlicher jede "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" (Artikel 4 Nr. 7 DSGVO). Es sollte auch eine natürliche Person (zumindest als Vertreter des Verantwortlichen) mit den entsprechenden Kontaktdaten genannt werden.
  • Name und Kontaktdaten des Datenschutzbeauftragten, falls Sie über einen Datenschutzbeauftragten verfügen. Ein Datenschutzbeauftragter ist nach § 38 BDSG vorgeschrieben, wenn # in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind ; # Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen; # personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Dann muss unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein Datenschutzbeauftragter benannt werden.
  • Warum die personenbezogenen Daten verarbeitet werden und auf welcher Rechtsgrundlage dies geschieht. Bei der Erfassung von Bewerbungsunterlagen können Sie sich auf Artikel 88 DSGVO (Datenverarbeitung im Beschäftigungskontext) und § 26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) berufen.
  • Wer ( für welche Abteilungen) Zugang zu den Daten hat.
  • Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer. Grundsätzlich sind die Daten zu löschen, wenn die Stelle besetzt wurde. Allerdings müssen Sie damit rechnen, dass abgelehnte Bewerber beispielsweise auf Grundlage des Allgemeinen Gleichbehandlungsgesetzes gegen Sie versuchen zu klagen, was eine verlängerte Aufbewahrung der Bewerbung notwendig machen würde. Sie können die Daten also so lange archivieren, wie Sie mit einer Klage rechnen müssen. Wie lange diese Frist ist, ist gesetzlich nicht geregelt. Man kann jedoch davon ausgehen, dass eine Frist von zwei bis sechs Monaten zulässig ist. Bei einer längeren Speicherung (beispielsweise, um bei einer neuen Stellenausschreibung auf die Bewerbung zurückzugreifen) benötigen Sie die schriftliche Einwilligung des Bewerbers.
  • Der Hinweis auf wichtige Rechte des Bewerbers: # Auf Antrag Auskunft über die verarbeiteten personenbezogenen Daten zu erhalten; # die Berichtigung oder Löschung der Daten zu verlangen; # die Einschränkung der Verarbeitung auf bestimmte Daten zu verlangen; # beim Verantwortlichen der Verarbeitung zu widersprechen.
  • Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde. Aufsichtsbehörden sind die Datenschutzbehörden der Bundesländer.
  • Hinweis, dass die Daten ausschließlich zur Abwicklung der Bewerbung verarbeitet werden und eine Berücksichtigung des Bewerbers bei einer Nichtbereitstellung nicht möglich ist.
Sie sollten die Daten wirklich nur ausschließlich für die Abwicklung der Bewerbung nutzen. Sonst müsste diese Liste noch erweitert werden. Außerdem kann es dann zu weiteren rechtlichen Problemen kommen, die Sie vermeiden sollten.

Umfassende Dokumentation des Datenschutzes im Personalsystem nötig:

Nicht nur Bewerber, letztlich alle Inhaber personenbezogener Daten haben Ihnen gegenüber ein umfassendes Auskunftsrecht bezüglich der persönlichen gespeicherten Daten. Darum ist eine umfassende Dokumentation unumgänglich. So sollten Sie in Ihrem Personalsystem Aufbewahrungsgründe für die Datensätze hinterlegen, beispielsweise "Laufendes Bewerbungsverfahren" oder "Verbleibt im Bewerberpool – Zustimmung des Bewerbers liegt vor".

Vermutet der Bewerber einen Datenschutzverstoß, kann er die zuständige Datenschutzbehörde des Landes als Aufsichtsbehörde einschalten (siehe Download) . Die Beweislast liegt dann bei Ihnen. Darum ist es wichtig, dass Sie Ihre für die Datensicherheit getroffenen Maßnahmen lückenlos dokumentiert und die entsprechenden Unterlagen jederzeit vorgelegt werden können.

Datenschutz-Maßnahmen möglichst kostengünstig realisieren:

Allerdings sollten Sie sich auch nicht verrückt machen lassen: Strafen von mehreren Millionen Euro drohen Unternehmen wie facebook, google und Co. – aber nicht dem kleinen oder mittelständischen Unternehmen. Deshalb sollten Ihre Maßnahmen auch der Größe Ihres Betriebes angepasst sein und möglichst kostengünstig realisiert werden.

Betriebliche Datenschutz-Prozesse optimieren:

Bei der Festlegung der Prozesse zur Verarbeitung von Bewerbungsdaten sollten nicht nur die Geschäftsführung, Personalabteilung und – falls vorhanden – der Betriebsrat beteiligt sein. Auch die IT-Abteilung oder ein IT-Berater sollte involviert sein. Sollte Ihr Betrieb einen Datenschutzbeauftragten haben, gehört auch dieser mit ins Team. Im Zweifelsfall kann auch ein externer Datenschutzexperte hinzugezogen werden.

Prüfen Sie auch, ob eventuell neue Prozesse beziehungsweise Zugriffsrechte definiert werden müssen. Dabei geht es meist um die Zugriffsrechte auf die Daten. Hier gilt der Grundsatz: Je weniger, umso besser. Auch eine automatisierte Empfangsbestätigung sollte angelegt werden. Außerdem wichtig: Die Regelung und Dokumentation der Datenlöschung. Halten Sie diese Prozesse und Maßnahmen in einer schriftlichen Dokumentation fest. Außerdem sollten Sie die betroffenen Mitarbeiter ausführlich einweisen und auf die Bedeutung der Maßnahmen hinweisen. Diese Schulungen sollten regelmäßig wiederholt und ebenfalls dokumentiert werden.