Datenschutz im Bewerbungsverfahren: Was müssen Recruiter unbedingt beachten?

Striktes Datenschutzrecht in Deutschland

Recruiter in den USA haben es leichter, wird der ein oder andere HR-Experte denken: Dort sind die Datenschutzregelungen längst nicht so strikt wie bei uns in Europa. Im US-amerikanischen Raum fehlen allgemeine Gesetzesgrundlagen wie die Datenschutz-Grundverordnung (EU-DSGVO) für Europa. In Übersee gelten vornehmlich Selbstverpflichtungen. Konflikte mit europäischem Recht sind jedoch nicht ausgeblieben, Beispiel Facebook: Der Konzern stand unter anderem in der Kritik, weil er die Passwörter von Millionen von Nutzern im Klartext gespeichert und sie damit für Mitarbeiter zugänglich gemacht hat. Für Facebook sind die Bußgelder bei gravierenden Verstößen – 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes (83 Abs. 5 DSGVO) – eher Peanuts. Für Unternehmen, die nicht zu den Fortune Global 500 gehören, können die Sanktionen durchaus existenzbedrohend werden. Als Verarbeiter personenbezogener Daten spielt Datenschutz für Recruiter eine wichtige Rolle, um DSGVO-konform zu agieren. Ein Großteil der Experten Im Human Resource Bereich nutzt heutzutage eine Bewerbermanagement-Software, um das Bewerbungsverfahren digital abzubilden. Was sollten Recruiter in puncto Bewerbermanagement datenschutzrechtlich beachten?

Datenschutz im Recruiting: Die wichtigsten Pflichten im Überblick

Entscheidend für Recruiter sind das neue Bundesdatenschutzgesetz (BDSG) – insbesondere § 26 – sowie die EU-DSGVO. Im Recruiting nutzen Personaler Bewerberdaten, um über ein Beschäftigungsverhältnis zu entscheiden oder es zu begründen. Die Datenverarbeitung erfolgt zweckgebunden, so dass Daten nicht auf Vorrat oder Verdacht gespeichert werden dürfen. Recruiter dürfen nur Daten erfassen, die benötigt werden, um die Eignung, Befähigung und Leistung des Kandidaten für einen Arbeitsplatz festzustellen. Dies muss für den Bewerber erkennbar sein.

• Informationspflicht: Bei Erhebung personenbezogener Daten stehen Personaler unter einer Informationspflicht. Betroffene haben ein entsprechendes Auskunftsrecht (Art. 15 DSGVO). Das bedeutet, dass Recruiter ihre Bewerber z. B. über den Verarbeitungszweck und den Aufbewahrungszeitraum der Daten informieren müssen (Art. 13 Abs. 1 DSGVO). Um Zeit zu sparen, können sie die Informationen in einer automatischen Eingangsbestätigung platzieren. In einer entsprechenden Bewerbermanagement-Software finden Nutzer zum Beispiel konfigurierbare Vorlagen und können Eingangsbestätigungen automatisch versenden. Generell sollte über folgendes informiert werden:
• Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten
• Datenverarbeitungszweck
• Datenempfänger
• Dauer der Datenspeicherung
• Betroffenenrechte
• Widerrufsmöglichkeit der Einwilligung

Dies sollte in verständlicher und transparenter Form bzw. in einfacher Sprache erfolgen.

• Datenschutzeinwilligung: Kandidaten müssen eine Einwilligung geben, dass ihre Daten für einen oder mehrere Zwecke verarbeitet werden (Art. 6 § 1a DSGVO). Sie haben das Recht, ihre Einwilligung jederzeit zu widerrufen. Einholen lässt sich die Datenschutzeinwilligung schnell per E-Recruiting-Software, wenn diese zum Beispiel eine spezielle Vorlage bietet. In prosoftrecruiting© ist die Einwilligung mit einem Klick per E-Mail-Link oder Online-Bewerbungsformular möglich. Recruiter können einsehen:
• wann der Kandidat eingewilligt hat und bis wann die Einwilligung gilt (Löschfälligkeit) 
• wofür der Kandidat eingewilligt hat 
• in welchen Fällen eine Datenübertragung möglich ist 

• spezielle Einwilligung für Talentpool: Um Bewerberdaten für den Kandidatenpool zu speichern, ist eine Einwilligung erforderlich. Der Kandidat muss schriftlich einwilligen, dass er mit einer Datenverarbeitung und Kontaktaufnahme bei etwaigen Vakanzen einverstanden ist. Auch hier sollte er auf sein Recht auf Widerruf hingewiesen werden (z. B. für den Fall, dass er nicht mehr auf Stellensuche ist). Wegen der Zweckgebundenheit der Daten empfiehlt es sich, den Aufbewahrungsgrund festzuhalten (z. B. als Kommentar im Bewerbermanagement-System).

• klare Zuständigkeiten beachten: Im Bewerbungsprozess sind nur ausgewählte Personen dazu berechtigt, Bewerberdaten zu sichten. Der Arbeitgeber muss sicherstellen, dass die Daten nicht in die Hände unbefugter Dritter geraten. Für eine hohe Datensicherheit sollte die Software eine Passwortverschlüsselung und verschlüsselte Versendung von Dokumenten ermöglichen. Wer eine Cloud-Solution nutzt, sollte auf den Anbieter achten. Zu den sichersten Cloud-Lösungen weltweit gehört zum Beispiel die Microsoft Azure Cloud, die allerhöchsten Sicherheitsstandards verpflichtet ist. Wichtig für einen lückenlosen Schutz sind regelmäßige Updates.

• Datenkorrektur: Kandidaten haben das Recht, fehlerhafte oder unvollständige Daten korrigiere zu lassen. Dieses Recht auf Berichtigung ist in Artikel 16 der Datenschutz-Grundverordnung verankert.
• Löschpflicht: Nach Artikel 17 haben Personen, deren Daten verarbeitet werden, ein Recht auf Löschung – auch Recht auf Vergessenwerden. Daten dürfen prinzipiell nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Im Bewerbungsverfahren wäre der Löschzeitpunk somit mit der Stellenbesetzung erreicht. Im Sinne des Eigenschutzes kann es für Unternehmen sinnvoll sein, die Daten für ca. 2 Monate nach Ablehnung des Bewerbers aufzubewahren: Will ein Bewerber auf Verstoß gegen das AGG klagen, muss er seinen Anspruch im Regelfall innerhalb einer Frist von 2 Monaten nach der Ablehnung geltend machen (§ 15 Abs. 4 AGG). Danach bleiben ihm 3 Monate, um eine Klage zu erheben (§ 61b ArbGG). Für den ca. 5.-monatigen Zeitraum möglicher Klageerhebungen, kann das Unternehmen die Unterlagen als Beweismittel aufbewahren. Die Daten werden in dem Fall zur Abwehr von geltend gemachten Rechtsansprüchen aus dem Recruiting-Prozess verarbeitet.