Ein Bewusstsein für Datenschutz sowie einen verantwortungsvollen Umgang mit sensiblen Informationen von Mitarbeitern, Kunden oder Bürgern pflegen die meisten Organisationen. Doch gerade bei Bewerbungen möglicher neuer Kollegen wird ein solch sorgfältiger Umgang häufig nicht praktiziert.
Übersicht
- Einführung
- Wie lässt sich Sicherheit im Bewerbungsprozess gewährleisten?
- Umgang mit Bewerbungen nach Abschluss des Bewerbungsverfahrens
- Fazit
1) Einführung
Zu Beginn eines Bewerbungsprozesses ist es logischerweise notwendig, dass ein Bewerber gewisse Informationen über sich teilt. Der potenzielle Arbeitgeber kann sich so ein erstes Bild von diesem verschaffen. Auch lässt sich eruieren, ob die Kenntnisse und Erfahrungen des Bewerbers zu der jeweils ausgeschriebenen Stelle passen. Es handelt sich dabei um zahlreiche personenbezogene Daten. Darunter fallen zum Beispiel…
- Vor- und Nachname
- Adress- und Kontaktdaten
- bisherige Ausbildung und Arbeitgeber, Zertifikate, Weiterbildungen etc.
Ihnen bedarf es einen besonderen Schutz und sensiblen Umgang. Die Rechtsgrundlage der Verarbeitung von Bewerberdaten stellt Art. 6 Abs. 1b) der DSGVO dar. Dieser besagt: „die Verarbeitung ist […] zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.“ Bewerbungsverfahren lassen sich durchaus als „vorvertragliche Maßnahme“ deuten, denn eine Bewerbung dient bestenfalls ja dazu, ein Arbeitsverhältnis zu schließen.
2) Wie lässt sich Sicherheit im Bewerbungsprozess gewährleisten?
Wie bereits erwähnt, sind die Daten, die Bewerber in einem Bewerbungsprozess übermitteln, besonders sensibel. Daher gilt es, einen sicherheitsbewussten und datenschutzkonformen Umgang mit diesen zu pflegen.
Es ist wichtig, Bewerberunterlagen nur einem begrenzten Kreis an Personen zugänglich zu machen. Ein Zugriff sollte idealerweise nur den Personen möglich sein, die in den Bewerbungsprozess involviert sind bzw. über die Einstellung eines neuen Mitarbeiters entscheiden. Das sind vor allem Mitarbeiter aus dem Personalwesen, der potenzielle Vorgesetzte des Bewerbers bzw. die Geschäftsführung; je nach Struktur der Organisation. Außerdem ist es ratsam, eine E-Mail-Adresse speziell für Bewerbungen einzurichten. Auf das Postfach sollten ebenfalls nur dazu berechtigte Personen Zugriff haben. Es gilt allgemein, eine Übertragung von Bewerberdaten an Dritte zu unterbinden.
Mitarbeiter zum richtigen und datenschutz-konformen Umgang mit Bewerbungen zu schulen ist deshalb essentiell. Zum einen gilt, dass Bewerberdaten sicher gespeichert und verwaltet werden müssen. Weiter sollten Mitarbeiter ausdrücklich darauf hingewiesen werden, Plaudereien über Bewerber zu unterlassen.
Auch bei einer Verwendung von Bewerber-portalen gilt es, auf den Datenschutz und die Datensicherheit zu achten. Wird das Bewerbungsportal von einer externen Firma betrieben, müssen Organisationen mit diesen einen Vertrag zur Auftragsdatenverarbeitung schließen. Ist dieser fehlerhaft, unvollständig oder liegt er erst gar nicht vor, kann das für die jeweiligen Organisationen Bußgelder von bis zu 50.000 € zur Folge haben. Es ist also wichtig, dass eine regelmäßige datenschutzrechtliche Überprüfung solcher externer Firmen erfolgt.
3) Umgang mit Bewerbungen nach Abschluss des Bewerbungsverfahrens
Nicht nur während, auch mit Abschluss eines Bewerbungsverfahrens ist ein richtiger und datenschutzkonformer Umgang mit den Daten ehemaliger Bewerber gefragt.
Zieht jemand seine Bewerbung zurück, müssen Organisationen gemäß Art. 17 der DSGVO dessen Daten sofort löschen.
Wenn ein Bewerber abgelehnt wird, ist die Aufbewahrung seiner Unterlagen noch für einige Zeit gestattet. Das dient Organisationen zu ihrer Verteidigung, um im Zweifelsfall zu beweisen, dass sie einen Bewerber etwa aufgrund fehlender Qualifikationen abgelehnt haben, sollte dieser Einspruch auf Grundlage des Allgemeinen Gleichbehandlungsgesetzes
einlegen. Zur exakten Aufbewahrungsfrist gibt es in diesem Fall keine genaue gesetzliche Vorschrift. Höchstens sollten Organisationen diese Daten jedoch sechs Monate nach Abschluss des Bewerbungsverfahrens aufbewahren, und danach löschen bzw. vernichten. Um eine datenschutzkonforme Aufbewahrung der Bewerberdaten bis zur endgültigen Löschung zu gewährleisten, sind begrenzte Zugriffe auf E-Mail-Postfächer sowie abschließbare Aktenschränke sinnvoll.
Will ein abgelehnter Bewerber in einen Bewerber- oder Talentpool mit aufgenommen werden, um etwa im Falle einer neuen Stellenausschreibung akquiriert zu werden, ist eine Speicherung mit einer ausdrücklichen Zustimmung von diesem erlaubt.
4) Fazit
Bei einem Verstoß gegen die Richtlinien des Datenschutzes können Organisationen nicht nur juristische Konsequenzen drohen. Wird ein nachlässiger Umgang mit Bewerbungen publik, kann das sowohl das Vertrauen potenzieller Mitarbeiter, als auch das Ansehen der Organisation schädigen. Es gilt, die Privatsphäre von Bewerbern zu schützen und durch geschulte Mitarbeiter das Risiko für Datenschutzverstöße zu minimieren.
Melden Sie sich gerne bei uns, wenn Sie noch weitere Fragen haben oder weitere Unterstützung benötigen.
Einige Gedanken haben wir aus folgendem Beitrag übernommen: Neue Mitarbeiter − was ist aus Datenschutzsicht zu regeln?