Betrieblicher Datenschutz 1: Umgang mit Bewerberdaten

27. August 2024

Eine neue Bewerbung ist im E-Mail-Postfach der Personalabteilung eingetroffen. Die zuständigen Mitarbeiter beginnen mit dem Sichten der Bewerbung. Es soll festgestellt werden, ob der Bewerber für die ausgeschriebene Stelle geeignet ist: Was im Hinblick auf den aktuellen Fachkräftemangel zum Arbeitsalltag gehört, ist zugleich eine Datenverarbeitung. Im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetzes (BDSG) stellt sich die Frage, wie ein Unternehmen den Bewerbungsprozess datenschutzkonform gestalten kann. In Teil 1 unserer neuen Beitragsreihe der Datenschutz-Basics über den Umgang mit Bewerberdaten wird darauf eingegangen, auf welcher Rechtsgrundlage und zu welchem Zweck Bewerberdaten verarbeitet werden können. Außerdem erörtern wir, welche Problematiken es bei Iniativ-Bewerbungen gibt und wie sie zu lösen sind.Rechtsgrundlage und Verarbeitungszweck  

In der Regel enthält eine Bewerbung, also das Anschreiben sowie der Lebenslauf, eine Vielzahl personenbezogener Daten. Die Personalabteilung darf diese Daten verarbeiten, wenn die Voraussetzungen eines Erlaubnistatbestandes erfüllt sind. Hierbei gilt für das Beschäftigtenverhältnis vorrangig § 26 BDSG vor den Regelungen des Art. 6 DSGVO. Davon umfasst sind nach § 26 Abs. 8 S. 2 BDSG auch Bewerber*innen.  

Nach § 26 Abs. 1 S. 1 BDSG ist die Verarbeitung der personenbezogenen Daten erlaubt, „wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses (…) erforderlich ist.“ Mithin sollte die Datenverarbeitung zweckgebunden zur Entscheidung über die Begründung des Beschäftigtenverhältnisses erfolgen. Im Hinblick auf die zu treffende Entscheidung, stellt sich die Frage, welche personenbezogenen Daten die Personalabteilung in der Regel für diese benötigt. 

Hierbei sind grundsätzlich die sog. Stammdaten des Bewerbers notwendig. Dazu zählen der vollständige Name und seine Anschrift sowie ggf. seine E-Mail-Adresse. Diese personenbezogenen Daten benötigt die Personalabteilung in der Regel zur Kontaktaufnahme und zur Identifikation einer Person unter mehreren Bewerbern. Zusätzlich sind für die Entscheidung über die Begründung eines Beschäftigtenverhältnisses regelmäßig Informationen über die Eignung des Bewerbers erforderlich. Konkret ist im Einzelfall zu entscheiden, welche Aufgaben und Anforderungen die vakante Position im Unternehmen stellen wird. Daran misst sich der Informationsumfang, den das Unternehmen erheben darf, um über die Geeignetheit eines Bewerbers zu entscheiden. Demnach benötigt ein Unternehmen regelmäßig Informationen über die fachliche und persönliche Qualifikation des Bewerbers.  

Nicht erforderliche Informationen – Was nun?  

Im Rahmen des Bewerbungsprozess kann es problematisch sein, wenn der Bewerber mehr als die nach § 26 Abs. 1 S. 1 BDSG erforderlichen Informationen zur Verfügung stellt. Dabei können eine Vielzahl an Informationen nach dem BDSG nicht erforderlich sein.  

Insbesondere kann dies für Informationen wie ein Bild des Bewerbers oder sein Geburtsdatum gelten. Dabei ist zu beachten, dass der Bewerber diese personenbezogenen Daten vermeintlich „freiwillig“ zur Verfügung stellt. Aus datenschutzrechtlicher Sicht besteht allerdings unabhängig von der vermeintlichen „Freiwilligkeit“ die Grenze der Erforderlichkeit. Es ist also danach zu fragen, ob das Aussehen des Bewerbers oder sein Alter notwendig sind, um über seine Eignung für die vakante Stelle zu entscheiden. 

Wenn ein Unternehmen personenbezogene Daten des Bewerbers verarbeiten will, die nicht nach § 26 Abs. 1 S. 1 BDSG erforderlich sind, bedarf es einer anderen Rechtsgrundlage. In Betracht kommt hierfür eine Einwilligung nach § 26 Abs. 2 BDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. In diesem Fall könnte die Verarbeitung der personenbezogenen Daten zweckgebunden dazu erfolgen, dass sich die Personalabteilung ein ausführlicheres Bild über den Bewerber machen kann.  

Nachteil hieran ist, dass die Einwilligung widerrufbar ist. Im Falle des Widerrufs bleibt die bis dahin erfolgte Datenverarbeitung zwar rechtmäßig, jedoch kann für die Zukunft  keine Verarbeitung der personenbezogenen Daten mehr auf Grundlage der Einwilligung erfolgen. Dies gilt unabhängig davon, wie weit der Bewerbungsprozess fortgeschritten ist. Die Einwilligung als Rechtsgrundlage birgt damit ein Risiko im Bewerbungsprozess. 

Demnach empfiehlt es sich ggf. nicht erforderliche personenbezogene Daten des Bewerbers grundsätzlich nicht zu verarbeiten. Solche Bewerberdaten sind dann zu löschen oder zu schwärzen. Im Idealfall erfolgt dieser Vorgang direkt nach dem Eingang der Bewerbung.  

Die Initiativbewerbung

Hinsichtlich der Datenverarbeitung im Bewerbungsprozess können eine Vielzahl an Fragestellungen auftreten. Häufig zählen dazu Initiativbewerbungen: Obwohl die Personalabteilung keine Stelle ausgeschrieben hat, melden sich Bewerber unaufgefordert mit ihren Unterlagen beim Unternehmen. Welche Unterschiede bestehen nun zur Datenverarbeitung im Falle einer ausgeschriebenen Stelle und was gilt es zu beachten?

Im Unterschied zur ausgeschriebenen Stelle hatte das Unternehmen nicht vor, die Bewerberdaten zu verarbeiten. Es stellt sich folglich die Frage, wie das Unternehmen mit diesen personenbezogenen Daten umgehen kann. Es ist danach zu unterscheiden, ob im Falle der Initiativbewerbung eine Datenverarbeitung vorliegt. Grundsätzlich handelt es sich bei diesen ungefragten Daten, um sog. „aufgedrängten Daten“. Demnach sind diese Daten nicht „erhoben“ im Sinne des Art. 4 Nr. 2 DSGVO. Jedoch liegt ein Verarbeitungsvorgang vor, wenn die Personalabteilung sich zur Speicherung der Bewerberunterlagen entscheidet. Die Speicherung zählt zur Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO.

Demnach hat die Speicherung von Bewerberunterlagen durch die Personalabteilung zur Folge, dass alle Pflichten der DSGVO Anwendung finden.

Insoweit gilt für die Initiativbewerbung ebenso, dass die Verarbeitung auf der Rechtsgrundlage des § 26 Abs. 1 S. 1 BDSG erfolgen kann.

Der Talentpool und die Speicherdauer

Sollte das Bewerbungsverfahren keinen Erfolg haben, stellt sich die Frage, wie lange die Bewerberdaten gespeichert werden dürfen. In der Regel gilt eine Löschfrist von sechs Monaten. Demnach beginnt die Löschfrist, wenn der Bewerbungsprozess erfolglos verlaufen sei. Konkret herangezogen werden kann der Zeitpunkt, zu dem die Personalabteilung beispielsweise eine E-Mail mit einer Absage verschickt hat.  Allerdings kann es dazu kommen, dass ein Unternehmen die Daten des Bewerbers über die sechs Monate hinaus speichern will. Dies ist beispielsweise der Fall, wenn der Betrieb eine Bewerberdatenbank oder einen Talentpool führt. Bei letzterem kann sich der Bewerber regelmäßig einen eigenen Account anlegen, über den die Bewerberdaten hochgeladen werden können.   Die Speicherung in der Bewerberdatenbank oder im Talentpool erfolgt regelmäßig nicht zweckgebunden, um über die Begründung eines Beschäftigtenverhältnisses entscheiden zu können. Stattdessen sollen die personenbezogenen Daten des Bewerbers gespeichert werden, um den Bewerber im Falle einer vakanten Stelle kontaktieren zu können. Dabei kommt regelmäßig die Einwilligung nach Art. 6 Abs. 1 Buchstabe a DSGVO i.V.m Art. 88 DSGVO und § 26 Abs. 2 BDSG in Betracht. Diese ist zusätzlich einzuholen.

Informationspflichten

Zuletzt gilt es noch zu beachten, dass der Verantwortliche im Rahmen des Bewerbungsprozesse seiner Informationspflicht nach Art. 12 DSGVO nachkommen muss. Sollte die Stellenanzeige auf der Webseite des Unternehmens aufzufinden sein, kann das Unternehmen dort alle nach Art. 13 DSGVO erforderlichen Hinweise per Verlinkung einbetten. Im Falle der Initiativbewerbung ist der Bewerber rechtzeitig, zum Zeitpunkt des Zugangs der Bewerbung zu informieren

Fazit

Ein verantwortungsvoller Umgang mit Bewerberdaten ist entscheidend für den betrieblichen Datenschutz. Unternehmen müssen sicherstellen, dass personenbezogene Daten nur für den vorgesehenen Zweck erhoben, verarbeitet und gespeichert werden. Transparente Kommunikationsprozesse, die Einhaltung gesetzlicher Vorgaben und die Implementierung technischer und organisatorischer Schutzmaßnahmen sind unerlässlich, um das Vertrauen der Bewerber zu gewinnen und Datenschutzrisiken zu minimieren. Nur durch konsequente Maßnahmen können Unternehmen Datenschutzverstöße vermeiden und eine vertrauensvolle Grundlage für zukünftige Arbeitsverhältnisse schaffen.

Ausblick auf die Reihe

In den kommenden 3 Teilen werden wir uns mit der datenschutzkonformen Arbeitszeiterfassung, dem Datenschutz im Home-Office und der Nutzung von Whatsapp im geschäftlichen Kontext beschäftigen.

Die Einhaltung von Datenschutzvorgaben stellt Unternehmen regelmäßig vor große Herausforderungen. Wir helfen Ihnen als externer Datenschutzbeauftragter – Fordern Sie noch heute Ihr Angebot bei uns an.