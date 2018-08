21.08.2018

DSGVO bei Bewerbungen Bewerbung erhalten: 8 Punkte, die Sie nach der DSGVO beachten müssen

Achtung: rechtliche Stolperfalle. Die DSGVO macht auch zum Umgang mit Bewerbungsunterlagen datenschutzrechtliche Vorgaben. Worauf Sie achten müssen.

Von Hartmut Fischer

Selten hat eine gesetzliche Bestimmung für so viel Aufregung und Verwirrung gesorgt, wie die Datenschutzgrundverordnung. Im Fokus standen dabei meist die Datenbanken für Massenaussendungen wie Newsletter und Mailingaktionen. Doch auch individuell erfasste Daten unterliegen den Bestimmungen der DSGVO – beispielsweise wenn es um Bewerbungsunterlagen geht. Auf diese 8 Punkte müssen Sie dabei achten:

1. Welche Rechte gelten für Bewerbungen?

Aus datenschutzrechtlicher Sicht sind der Artikel 88 der DSGVO und der § 26 des Bundesdatenschutzgesetzes (BDSG) ausschlaggebend. Wenn Sie den Paragrafen nachlesen wollen, achten Sie darauf, dass Sie die aktuelle Fassung des BDSG vor sich haben, denn auch das Bundesdatenschutzgesetz wurde mit Einführung der DSGVO novelliert.

2. Unterschiede zwischen postalischen & elektronischen Bewerbungen

Bewerbungsunterlagen, die mit der Post kommen, machen Ihnen derzeit zunächst die wenigste Arbeit, da mit dem Eingang der Unterlagen noch keine Erfassung erfolgte. Aber schon, wenn Sie oder ein Mitarbeiter die wichtigsten Daten in einer Tabelle mit anderen Bewerberdaten zusammenfasst, findet eine Datenverarbeitung statt.

Wenn Bewerbungen per E-Mail zugesandt werden, sollten Sie sicherstellen, dass die Unterlagen über einen verschlüsselten Kanal zu Ihnen gelangen können und hierfür einen entsprechenden Kanal zur Verfügung zu stellen.

3. Diese Rechte haben Bewerber

Durch die DSGVO haben Bewerber zudem neue Rechte in Bezug auf ihre Daten bekommen. Auf Antrag erhalten sie Auskunft über die verarbeiteten personenbezogenen Daten. Außerdem können sie die Berichtigung oder Löschung der Daten verlangen sowie die Einschränkung der Verarbeitung auf bestimmte Daten. Beim Verantwortlichen dürfen sie auch vollständig der Verarbeitung widersprechen.

4. Das muss in die Eingangsbestätigung

Nach Artikel 13 Absatz 1 und 2 der DSGVO müssen Sie jeden Bewerber darüber informieren, dass und wie eine Datenverarbeitung erfolgt. Hierzu sollten Sie eine Eingangsbestätigung vorbereiten, in der die folgenden Punkte aufgeführt werden müssen:

Name und Kontaktdaten Ihres Unternehmens als "Verantwortlicher" nach der DSGVO. Es sollte auch eine natürliche Person (zumindest als Vertreter des Verantwortlichen) mit den entsprechenden Kontaktdaten genannt werden.

Falls Sie über einen Datenschutzbeauftragten verfügen, dessen Kontaktdaten.

Warum die personenbezogenen Daten verarbeitet werden und auf welcher Rechtsgrundlage dies geschieht. Bei der Erfassung von Bewerbungsunterlagen können Sie sich auf Artikel 88 DSGVO (Datenverarbeitung im Beschäftigungskontext) und § 26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) berufen.

Wer bzw. welche Abteilung Zugang zu den Daten hat.

Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

Der Hinweis auf die oben genannten Rechte des Bewerbers.

Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde. Aufsichtsbehörden sind die Datenschutzbehörden der Länder.

Dass die Daten ausschließlich zur Abwicklung der Bewerbung verarbeitet werden und eine Berücksichtigung des Bewerbers bei einer Nichtbereitstellung nicht möglich ist.

5. Wofür Sie die Daten nutzen dürfen

Sie sollten die Daten ausschließlich für die Abwicklung der Bewerbung nutzen. Sonst müsste die Liste noch erweitert werden. Außerdem kann es dann zu weiteren rechtlichen Problemen kommen, die Sie vermeiden sollten.

Grundsätzlich sind die Bewerberdaten zu löschen, wenn die Stelle besetzt wurde. Allerdings müssen Sie damit rechnen, das abgelehnte Bewerber beispielsweise auf Grundlage des Allgemeinen Gleichbehandlungsgesetzes gegen Sie klagen, was eine verlängerte Aufbewahrung der Bewerbung notwendig macht: Sie können die Daten so lange archivieren, wie Sie mit einer Klage rechnen müssen. Wie lange diese Frist ist, ist gesetzlich nicht geregelt. Man kann jedoch davon ausgehen, dass eine Frist von zwei bis sechs Monaten zulässig ist. Bei einer längeren Speicherung (beispielsweise um bei einer neuen Stellenausschreibung auf die Bewerbung zurückzugreifen) benötigen Sie die schriftliche Einwilligung des Bewerbers.

6. Wann Sie einen Datenschutzbeauftragten brauchen

Seit die DSGVO am 25. Mai in Kraft getreten ist, gibt es einige allgemeine Regeln, an die Sie sich auch bei Bewerbungen im Zusammenhang mit dem Datenschutz halten müssen.

So gibt es nach der DSGVO auch datenschutzrechtlich einen "Verantwortlichen". Danach ist ein Verantwortlicher jede "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" (Artikel 4 Nr. 7 DSGVO).

Möglicherweise benötigen Sie auch einen Datenschutzbeauftragten. Ein Datenschutzbeauftragter ist nach § 38 BDSG vorgeschrieben, wenn

in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder

Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder

personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden; dann muss unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein DSB benannt werden.

7. Worauf Sie außerdem achten sollten

Nicht nur Bewerber, letztlich alle Inhaber personenbezogener Daten haben Ihnen gegenüber ein umfassendes Auskunftsrecht bezüglich der persönlichen gespeicherten Daten. Darum ist eine umfassende Dokumentation unumgänglich. So sollten Sie in Ihrem Personalsystem Aufbewahrungsgründe für die Datensätze hinterlegen, beispielsweise "Laufendes Bewerbungsverfahren" oder "Verbleibt im Bewerberpool – Zustimmung des Bewerbers liegt vor".

Vermutet der Bewerber einen Datenschutzverstoß, kann er die zuständige Datenschutzbehörde des Landes als Aufsichtsbehörde einschalten. Die Beweislast liegt dann bei Ihnen. Darum ist es wichtig, dass Sie Ihre für die Datensicherheit getroffenen Maßnahmen lückenlos dokumentieren und die entsprechenden Unterlagen jederzeit vorlegen können.

Allerdings sollten Sie sich auch nicht verrückt machen lassen: Strafen von mehreren Millionen Euro drohen Unternehmen wie Facebook, Google und Co – aber nicht dem kleinen oder mittelständischen Unternehmen. Deshalb sollten Ihre Maßnahmen auch der Größe Ihres Betriebes angepasst sein und möglichst kostengünstig realisiert werden.

8. Definieren Sie Prozesse eindeutig

Bei der Festlegung der Prozesse zur Verarbeitung von Bewerbungsdaten sollten nicht nur die Geschäftsführung, Personalabteilung und – falls vorhanden – der Betriebsrat beteiligt sein. Auch die IT-Abteilung oder ein IT-Berater sollte involviert sein. Sollte Ihr Betrieb einen Datenschutzbeauftragten haben, gehört auch dieser mit ins Team. Im Zweifelsfall kann auch ein externer Datenschutzexperte hinzugezogen werden.

Prüfen Sie auch, ob eventuell neue Prozesse beziehungsweise Zugriffsrechte definiert werden müssen. Dabei geht es meist um die Zugriffsrechte auf Daten. Hier gilt der Grundsatz: Je weniger, umso besser. Auch eine automatisierte Empfangsbestätigung (siehe "Das muss in die Eingangsbestätigung") sollte angelegt werden. Außerdem wichtig: Die Regelung und Dokumentation der Datenlöschung.

Halten Sie diese Prozesse und Maßnahmen in einer schriftlichen Dokumentation fest. Außerdem sollten Sie die betroffenen Mitarbeiter ausführlich einweisen und auf die Bedeutung der Maßnahmen hinweisen. Diese Schulungen sollten regelmäßig wiederholt und ebenfalls dokumentiert werden.