Datenschutzgrund­verordnung: Das müssen Sie im Umgang mit Bewerberdaten wissen

Sie haben erfolgreich Stellenanzeigen über JOBmenü geschaltet und erste Bewerbungen füllen Ihren Posteingang. Herzlichen Glückwunsch! Dann haben Sie bis hierhin alles richtig gemacht. Nun geht es ans Sichten und Bewerten der Unterlagen. Dabei hantieren Sie mit personenbezogenen Daten, die per Gesetz streng geschützt sind. Die Datenschutzgrundverordnung (DSGVO) gibt hier klare Vorgaben.

Datenschutzgrundverordnung

Übersicht

Definition: Datenschutzgrundverordnung – was ist das?

Die Datenschutzgrundverordnung (DSGVO) regelt den Schutz personenbezogener Daten. Sie wurde am 25. Mai 2018 eingeführt und besitzt in allen Mitgliedstaaten der Europäischen Union (EU) Gültigkeit. Die DSGVO betrifft alle Organisationen innerhalb und außerhalb Europas, die personenbezogene Daten von EU-Bürgern verarbeiten und sieht bei Verstößen empfindliche Geldstrafen vor.

Die Höhe hängt jeweils von der Art, der Schwere und der Dauer des Verstoßes sowie anderen Umständen ab und kann bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens betragen.

Safety first beim Datenmanagement

Für Mitarbeiter*innen in Personalabteilungen ist es wichtig, die Regeln der DSGVO in- und auswendig zu kennen. Immerhin arbeiten sie Tag für Tag mit schützenswerten personenbezogenen Daten von Mitarbeitenden und Bewerbenden. Was ist insbesondere im Umgang mit den Informationen von Kandidatinnen und Kandidaten zu beachten, die sich bei Ihnen beworben haben?

Hier legt die DSGVO klare Regeln fest – unter anderem:

  • das Recht auf Information über die Verarbeitung persönlicher Daten
  • das Recht auf Zugang zu den eigenen Daten
  • das Recht auf Berichtigung oder Löschung falsch oder unzulässig verarbeiteter Daten

Was bedeutet das im Einzelnen? Das erfahren Sie in den folgenden Abschnitten. 

DSGVO: Das Recht auf Information über die Verarbeitung persönlicher Daten

Unternehmen sind verpflichtet, Bewerber*innen transparent und verständlich mitzuteilen, wie die personenbezogenen Daten, die sie einem Arbeitgeber bei ihrer Bewerbung übermitteln, verarbeitet werden. Mit dieser Information ermöglichen Unternehmen es ihren Bewerber*innen, die Kontrolle über ihre eigenen Daten zu behalten.

Dazu haben Unternehmen Bewerber*innen über die folgenden Punkte zu informieren:

  • Wer ist für die Verarbeitung personenbezogener Daten verantwortlich?
  • Zu welchem Zweck werden sie verarbeitet? Beispiele hierfür können die Bewertung der Bewerbung, die Durchführung von Auswahlverfahren oder die Kontaktaufnahme zu Bewerbern und Bewerberinnen sein.
  • Welche Informationen von Bewerber*innen werden von Ihnen verarbeitet? Zum Beispiel:
    • Name, Adresse, Geburtstag und -ort sowie Kontaktdaten.
    • Informationen über berufliche Qualifikationen und Berufserfahrung in Form von Lebenslauf, Zeugnissen und Referenzen.

Überdies haben Talente das Recht auf eine Auskunft darüber, wer im Unternehmen Einsicht in die Daten erhält. Dazu befugt sind per se nur Personen, die in den Recruitingprozess involviert sind. Sachbearbeiter*innen im Personalbereich zum Beispiel, Teamleitungen und Geschäftsführer*innen sowie Mitglieder des Betriebsrats. Werden die Daten vielleicht auch an Dritte weitergegeben? An einen externen Dienstleister zum Beispiel, der das Unternehmen bei der Suche nach neuem Personal unterstützt? Dann sind Sie verpflichtet, auch das offenzulegen.  

All diese Informationen sollten Sie Talenten in klarer und verständlicher Sprache direkt bei der Bewerbung bereitstellen. Dies kann in Form einer Datenschutzerklärung oder eines separaten Informationsdokuments geschehen, das automatisch per Mail zur Verfügung gestellt wird.

Datenschutzgrundverordnung: Das Recht auf Zugang zu den eigenen Daten

Kommen wir zum nächsten Punkt: Dem Recht auf den Zugang zu den eigenen Daten. Das bedeutet nichts anderes, als dass Bewerber*innen im Bewerbungsprozess eine Kopie der über sie verarbeiteten Daten einfordern dürfen. Welche Quellen haben Sie für die Erhebung der Daten verwendet?

Stammen die Informationen ausschließlich aus der eigenen Bewerbung, oder wurden sie um Fakten aus Social Media oder Businessnetzwerken ergänzt? Wohlmöglich wurden auch ehemalige Arbeitgeber befragt. Auch darüber müssen Sie auf Anfrage Auskunft geben.

Recht auf Berichtigung oder Löschung erhobener Daten und Recht auf Widerspruch

Die Datenschutzgrundverordnung räumt Talenten auch das Recht auf Berichtigung und Löschung ihrer Daten ein: Wenn Bewerber feststellen, dass ihre Informationen falsch oder unvollständig sind, können sie eine Berichtigung oder Ergänzung ihrer Daten einfordern. Ebenfalls  können sie verlangen, dass die Informationen über sie im laufenden Prozess gelöscht werden und ihre Einwilligung zur Verarbeitung ihrer Daten somit jederzeit widerrufen.

Apropos Löschung personenbezogener Daten: Die Datenschutzgrundverordnung nimmt Arbeitgeber grundsätzlich in die Pflicht, Informationen über Bewerber*innen nach Ablauf des Bewerbungsprozesses zu löschen. Das gilt nicht nur für Lebenslaufdaten und Zeugnisse, gemeint sind auch Notizen, die Sie sich zum Beispiel während des Vorstellungsgesprächs gemacht haben. Der Gesetzgeber räumt für die Löschung aller Daten einen Zeitraum von maximal sechs Monaten ein.

 

Was ist bei der Löschung personenbezogener Daten zu beachten?

Bewerbungsunterlagen, die Ihnen von Bewerber*innen auf dem Postweg zugeschickt wurden, können entweder vernichtet oder zurückgeschickt werden. Besondere Vorsicht gilt jedoch bei der Löschung von E-Mail-Bewerbungen, die inzwischen zum Standard gehören. Das Problem: Häufig werden diese mit anderen Personen im Unternehmen geteilt, die am Bewerbungsprozess beteiligt sind. Damit entstehen zig Kopien. Ist die Stelle erfolgreich besetzt, müssen Sie unbedingt darauf achten, dass jede weitergeleitete E-Mail von jedem Computer gelöscht wird. Denken Sie dabei auch an den Ordner „Gesendete E-Mails“. Alles andere ist ein Verstoß gegen die DSGVO. 

Auf der sicheren Seite stehen Unternehmen, die Online-Bewerbungen mit einem Bewerbermanagement-System verwalten. Hier werden die Daten einmalig in einer Bewerberakte hinterlegt, auf die berechtigte Teammitglieder Zugriff erhalten. Diese kann nach dem Ende des Bewerbungsprozesses mit wenigen Klicks einmalig gelöscht werden und alle Daten sind unwiderruflich aus dem System entfernt.

Aber keine Regel ohne Ausnahme. Wenn Talente ausdrücklich zustimmen, dürfen Sie personenbezogene Daten auch länger als sechs Monate speichern und diese zum Beispiel in Ihren hauseigenen Talent Pool übertragen. Unternehmen müssen die jeweiligen Kandidat*innen um Erlaubnis fragen und brauchen eine schriftliche Zustimmung. Das kann zum Beispiel per Mail geschehen.

Fazit: DSGVO – Bürokratiemonster oder Heilsbringer?

Zugegeben, die Datenschutzgrundverordnung stellt Personalabteilungen vor gewisse organisatorische Herausforderungen. Aber sie hat auch viel Positives bewirkt, seitdem sie in Kraft getreten ist:

  • Die DSGVO hat den Schutz personenbezogener Daten verbessert, indem sie klare Richtlinien und Vorschriften für deren Verarbeitung, Speicherung und Übermittlung festlegt.
  • Höhere Transparenz und Informationsrechte: Die DSGVO fordert von Unternehmen, die personenbezogene Daten verarbeiten, Transparenz und klare Informationen für die betroffenen Personen bereitzustellen.
  • Die empfindlichen Geldstrafen, die mit Datenschutzverstößen einhergehen, haben dazu beigetragen, dass Unternehmen den Datenschutz ernster nehmen und angemessene Sicherheitsmaßnahmen implementieren, um personenbezogene Daten zu schützen.
  • Die DSGVO gilt nicht nur für Unternehmen innerhalb der EU, sondern auch für Unternehmen außerhalb der EU, die personenbezogene Daten von EU-Bürgern verarbeiten. Dies hat zu einer globalen Auswirkung geführt und den Datenschutz weltweit aufgewertet.

Die DSGVO hat Unternehmen anfangs aber auch vor Herausforderungen gestellt, insbesondere in Bezug auf die Umsetzung neuer Prozesse und die Einhaltung der strengen Anforderungen. Unternehmen mussten ihre Datenschutzrichtlinien überarbeiten und Maßnahmen ergreifen, um die Einhaltung der Verordnung sicherzustellen.

Insgesamt stellt die DSGVO aber einen wichtigen Schritt hin zu einem verbesserten Datenschutz und einer erhöhten Sensibilisierung für den Umgang mit personenbezogenen Daten in der digitalen Welt dar.

Allerdings bleibt die DSGVO ein sich entwickelndes Rechtsgebiet, das kontinuierliche Anpassungen und Aktualisierungen erfordert, um mit den technologischen Entwicklungen und neuen Datenschutzherausforderungen Schritt zu halten. Das Thema wird Sie also weiterhin begleiten und wir halten Sie auf dem Laufenden.

Wir weisen ausdrücklich darauf hin, dass dieser Text keine Rechtsberatung darstellt.

Picture of Sonja Dietz

Sonja Dietz

Sonja Dietz ist ausgebildete Journalistin und steuert die redaktionellen Prozesse bei JOBmenü. Am liebsten schreibt sie über Digitalisierungsthemen, Recruiting Trends und die neue Arbeitswelt.

Ihr Kontakt zu uns

Fragen, Ergänzungen, Interesse? Schreiben Sie uns, wir beraten Sie gerne persönlich.

Bildquelle: TheDigitalArtist; pixabay.com | Viktor Talashuk; unsplash.com