Informationspflichten, Löschkonzept, Betroffenenrechte und aktuelle Rechtsprechung des BAG
Das Bewerbungsverfahren ist ein sensibler Schnittpunkt zwischen Arbeits- und Datenschutzrecht. Arbeitgeber treffen Entscheidungen über den Zugang zu Beschäftigung und verarbeiten dabei eine Vielzahl personenbezogener Daten. Zugleich haben Bewerberinnen und Bewerber ein schutzwürdiges Interesse daran, dass mit ihren Angaben sorgfältig, zweckgebunden und transparent umgegangen wird. Nicht selten versuchen Arbeitnehmer und Bewerber aus schlechtem Datenschutzmanagement des Arbeitgebers im Streitfall Kapital zu schlagen. In diesem Beitrag erfahren Sie, was sie der der Strukturierung von Bewerbungsprozessen aus Sicht des Datenschutzes beachten müssen.
Rechtlicher Rahmen und Zweckbindung der Datenverarbeitung
Die Grundlage für die Verarbeitung personenbezogener Daten im Bewerbungsverfahren bildet Art. 6 Abs. 1 lit. b DSGVO. Zulässig ist nur die Verarbeitung solcher Daten, die für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich sind. Dazu gehören typischerweise die Erhebung und Speicherung der Bewerbungsunterlagen, die Durchführung von Vorstellungsgesprächen sowie die Dokumentation des Auswahlverfahrens.
Strittig sind dagegen Hintergrundrecherchen im Internet und auf sozialen Netzwerken: Sie sind nur unter bestimmten Voraussetzungen und unter Einhaltung der Datenschutzgrundsätze zulässig. Der Bewerber/ die Bewerberin muss in diesem Fall darüber informiert werden. Eine unzulässige Recherche kann einen Datenschutzverstoß darstellen und somit Schadensersatzforderungen oder Bußgelder zur Folge haben.
Informationspflichten nach der DSGVO
Nach Art. 13 DSGVO müssen Bewerberinnen und Bewerber spätestens bei Erhebung ihrer Daten darüber informiert werden, wer ihre Daten verarbeitet, zu welchem Zweck dies geschieht, wie lange die Speicherung erfolgt und welche Rechte ihnen zustehen. Diese Informationspflicht trifft den Arbeitgeber unabhängig davon, ob die Bewerbung auf elektronischem Weg oder in Papierform eingeht.
Kommt es zu einer Datenerhebung nicht unmittelbar bei der betroffenen Person, etwa durch eine zulässige Internetrecherche, greift Art. 14 DSGVO. In diesem Fall ist der Bewerber ebenfalls über die Herkunft und die Art der gewonnenen Informationen zu unterrichten.
Betroffenenrechte und Transparenz im Verfahren
Risiko: Schatten-IT umfasst Hard- und Software, die von Mitarbeitern ohne Autorisierung der IT-Abteilung genutzt wird. Dies führt oft zu einem Mangel an Sicherheits- und Datenschutzkonformität da nicht die gleichen Sicherheitsstandards genutzt werden. Vor allem bei Software ist dies Problematisch. Oft kann von den Mitarbeitenden nicht eingeschätzt oder getestet werden, ob eine Software eine Gefahr darstellt. Bei Hardware besteht z.B. die Gefahr von Supply-Chain-Attacken, bei denen Angreifer Schafsoftware über manipulierte Geräte einschleusen. Z.B. gibt es täuschend echt aussehende USB-Kabel welche aber mit einem versteckten Chip mit Schadsoftware ausgestattet sind.
Aktuelles Risiko: Aktuell kritisch ist die unkontrollierte Nutzung von KI-Systemen wie ChatGPT oder Copilot. Solchen Tools können schnell unbeabsichtigt vertrauliche Daten preisgegeben werden.
Vermeidung (TOMs):
- Prävention durch Prozesse: Etablierung schneller und effizienter Prozesse in der IT. Schnelle Bereitstellung legaler und sicherer Tools verhindert die Notwendigkeit, auf unautorisierte Alternativen auszuweichen.
- Least Privilege: Mitarbeiter sollten keine lokalen Administratorrechte besitzen, die die Installation nicht genehmigter Software oder die Veränderung von Systemen erlauben.
- Quellenkontrolle: Die TOMs müssen vorschreiben, dass Hardware und Software ausschließlich über geprüfte und vertrauenswürdige Beschaffungskanäle bezogen werden.
Löschkonzept und Aufbewahrungsfristen
Nach Abschluss eines Bewerbungsverfahrens müssen Bewerbungsunterlagen grundsätzlich gelöscht werden, sobald feststeht, dass kein Beschäftigungsverhältnis zustande kommt. Nur in engen Grenzen ist eine befristete Aufbewahrung zulässig, etwa zur Verteidigung möglicher Rechtsansprüchen, welche sich nach dem Allgemeinen Gleichbehandlungsgesetz ergeben können. Üblicherweise beträgt dieser Zeitraum sechs Monate. Danach ist eine Löschung zwingend.
Soll ein Bewerber in einen sogenannten Bewerberpool aufgenommen werden, bedarf dies einer ausdrücklichen und dokumentierten Einwilligung nach Art. 6 Abs. 1 lit. a und – soweit besondere Kategorien personenbezogener Daten betroffen sind – Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Vertragsmanagement mit Headhuntern und Agenturen
Immer häufiger greifen Unternehmen im Recruiting-Prozess auf externe Dienstleister zurück, etwa Personalagenturen, Headhunter oder Online-Plattformen. Diese Zusammenarbeit hat erhebliche datenschutzrechtliche Relevanz. Denn sobald externe Stellen im Auftrag des Unternehmens personenbezogene Bewerberdaten erheben, speichern oder weiterleiten, handelt es sich in der Regel um eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO.
In solchen Fällen muss vor Beginn der Zusammenarbeit ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden, der die Verantwortlichkeiten klar regelt. Dieser Vertrag sollte insbesondere die Zwecke und Mittel der Verarbeitung, die Sicherheitsmaßnahmen, Löschfristen und Kontrollrechte des Auftraggebers festschreiben. Wichtig ist außerdem die vertragliche Verpflichtung des Dienstleisters, die Daten ausschließlich für den vereinbarten Zweck zu nutzen und nach Abschluss des Auftrags vollständig zu löschen oder zurückzugeben.
Konsequenzen für Arbeitgeber und Datenschutzbeauftragte
Der Bewerbungsprozess ist oft der erste Eindruck, den Bewerberinnen und Bewerber von einem Unternehmen gewinnen. Gleichzeitig müssen zahlreiche rechtliche Vorgaben beachtet werden, insbesondere die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und des Allgemeinen Gleichbehandlungsgesetzes (AGG).
Datenschutz sollte von Beginn an ein integraler Bestandteil des Recruiting-Prozesses sein. Bewerber sind transparent über die Verarbeitung ihrer Daten zu informieren, ihre Rechte auf Auskunft, Berichtigung und Löschung sind zu wahren, und Bewerbungsunterlagen sind fristgerecht zu löschen, sobald feststeht, dass kein Beschäftigungsverhältnis zustande kommt. Wird mit externen Dienstleistern wie Headhuntern oder Personalagenturen zusammengearbeitet, ist zu prüfen, ob Auftragsverarbeitungsverträge erforderlich sind.
Klare und einheitliche Abläufe stellen sicher, dass datenschutzrechtliche Anforderungen eingehalten werden und Bewerber das Unternehmen als professionell und vertrauenswürdig wahrnehmen.
Unser Tipp:
| Guter Datenschutz beginnt mit guter Dokumentation: Egal ob bei Datenschutzhinweisen, Beantwortung von Betroffenenanfragen oder Löschkonzepten ist eine standardisierte Arbeitsweise von Vorteil. Mit PLANIT // PRIMA können sie die gesetzlich erforderlichen Dokumentationen einfach und auf Knopfdruck erstellen. Jetzt Beratungsgespräch vereinbaren! |
