Bewerbungsverfahren und Recruiting in Zeiten der DSGVO: Das ist zu beachten!

Um den Datenschutz und damit um die DSGVO müssen sich alle kümmern, die mit personenbezogenen Daten zu tun haben. Also auch Unternehmen, die neue Mitarbeiter suchen. Denn im Bewerbungsprozess werden viele persönliche Daten benötigt und dementsprechend verarbeitet und gespeichert. Welche Regeln es datenschutztechnisch beim Thema Personalauswahl und Recruiting zu beachten gibt, erfahren Sie hier.

Datenschutz in der Bewerbungsphase

Am Anfang des Bewerbungsverfahrens, wenn Unternehmen eine entsprechende Stelle ausschreiben, lautet die Datenschutz-Pflicht Nummer 1: Informieren Sie die Bewerber darüber, dass Sie im Rahmen des Bewerbungsprozesses ihre persönlichen Daten speichern und verarbeiten (Informationspflicht gemäß Art. 12, 13 DSGVO). Das können Sie mit einem entsprechenden Hinweis in Ihrer Datenschutzerklärung tun und diesen im Bewerberformular, in der Stellenanzeige sowie in den entsprechenden E-Mails verlinken. Falls Sie bei Eingang einer Bewerbung eine automatische Eingangsbestätigung verschicken, können Sie die Information auch dort unterbringen.

Achtung Mythos:

Irrtümlich wird oft angenommen, dass der Bewerber in die Datenverarbeitung einwilligen muss. Das ist nicht der Fall! Er muss lediglich darüber informiert werden.

Datenschutz in der Auswahlphase

Dann geht es weiter im Entscheidungsprozess. Das heißt, das Unternehmen fängt an, passende Bewerber auszuwählen. Dabei gilt: Personenbezogene Daten dürfen nur so lange gespeichert werden, bis der Zweck der Speicherung wegfällt (sogenannte Zweckgebundenheit). Im Auswahlprozess bedeutet das in der Regel: Bis ein geeigneter Bewerber gefunden wurde.

Gibt es eine maximale Speicherfrist?

Das Gesetz spricht in diesem Zusammenhang von einer zweckmäßigen und verhältnismäßigen Dauer der Datenspeicherung. Eine genaue Vorgabe, wie lange Sie Bewerbungsunterlagen speichern dürfen, gibt es nicht. Da es aber beispielsweise Unternehmen möglich sein sollte, bei einer erfolglosen Probezeit eines neu eingestellten Mitarbeiters noch einmal auf die alten Bewerbungen zurückzugreifen, wäre eine Speicherung von sechs Monaten (Regel-Probezeit) in der Praxis zu vertreten.

Wollen Sie die Daten der Bewerber längerfristig speichern (sie zum Beispiel in einen Talentpool aufnehmen) brauchen Sie dafür die ausdrückliche schriftliche Einverständniserklärung des Bewerbers. Achtung: Falls Sie – was Sie nicht müssen – doch bei Speicherung der Bewerberdaten eine Einwilligung eingeholt haben, dürfen Sie die Zustimmung zur längerfristigen Speicherung der Daten nicht gleich mitabfragen. Dieses Vorgehen verstößt gegen das sogenannte Kopplungsverbot gemäß Art. 7 Abs. 4 DSGVO.

Hinweis

Laut DSGVO besteht ein umfangreiches Auskunftsrecht über gespeicherte Daten. Das bedeutet, jeder Bewerber hat das Recht, von einem Unternehmen zu erfahren, welche Daten es von ihm gespeichert hat. Diesem Auskunftsrecht müssen Unternehmen jederzeit und umfassend nachkommen können. Deshalb müssen sie genau dokumentieren, wann, wo, wie lange und aus welchem Grund sie von welchem Bewerber Daten gespeichert haben.

Recruiting und Datenschutz

Natürlich ist es für Unternehmen wünschenswert, dass sich geeignete Kandidaten von ganz alleine bewerben. In Zeiten von Fachkräftemangel ist das aber nicht mehr selbstverständlich. Deshalb müssen sich Unternehmen oft selbst auf die Suche machen und von sich aus geeignete Mitarbeiter ansprechen. Wenn Sie das tun und im Netz – insbesondere in sozialen Netzwerken – nach potenziellen Kandidaten suchen, dürfen Sie deren Daten speichern, wenn

  • Sie ein berechtigtes Interesse daran haben (Ihr berechtigtes Interesse ist in diesem Fall die Suche nach geeignetem Personal) 
  • Kein entgegenstehendes und dem überwiegendes Interesse des Kandidaten besteht (das wird in der Regel nicht der Fall sein) und
  • die Daten, die Sie verwenden, selbst von dem Kandidaten öffentlich gemacht wurden (beispielsweise in sozialen Netzwerken)

Achtung:

Unter Experten herrscht keine einstimmige Meinung darüber, ob nur Daten aus rein beruflich genutzten Netzwerken (zum Beispiel XING) verwendet werden dürfen, oder auch Daten aus privaten Netzwerken wie Facebook. Daher sind Sie auf der sicheren Seite, wenn Sie nur in beruflichen Netzwerken recherchieren.

Aufgepasst bei der Ansprache potenzieller Kandidaten: UWG beachten! 

Haben Sie auf dieser Grundlage eine Liste potenzieller Kandidaten angelegt, dürfen Sie diese nicht einfach so kontaktieren! Hier kommt das UWG (Gesetz gegen den unlauteren Wettbewerb) ins Spiel, da Sie sich mit anderen Unternehmen im Wettbewerb um geeignete Kandidaten befinden. Und gemäß § 7 UWG ist eine werbliche direkte Ansprache nicht ohne vorherige Einwilligung möglich (das gilt auch für E-Mails).

Wenn Sie sich trotzdem dafür entscheiden, geeignete Kandidaten von sich aus anzusprechen, ist das also ein bewusstes Risiko, das viele Unternehmen (noch) in Kauf nehmen. Das könnte sich jedoch bald ändern. Denn wenn die ePrivacy-Verordnung in Kraft tritt (voraussichtlich nicht vor Mitte 2019 mit einer Übergangsfrist von mindestens einem Jahr) drohen die gleichen Bußgelder wie bei DSGVO-Verstößen (bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes)!

Datensicherheit im Bewerbungsprozess

Bei einer Umfrage gaben 86 Prozent der Befragten an, dass ihnen Datenschutz rund um die Jobsuche wichtiger ist als woanders, beispielsweise beim Onlineshopping. Jeder Zweite befürchtet, dass seine Bewerbungsdaten bei den Unternehmen nicht sicher sind.

Umso größer ist die Verantwortung von Unternehmen für die Daten, die Ihnen im Rahmen des Bewerbungsprozesses anvertraut werden. Haben Sie einen eigenen Karrierebereich auf Ihrer Website, in dem Bewerber ihre Unterlagen hochladen können, müssen Sie dafür sorgen, dass dieser Bereich nach dem neuesten technischen Stand verschlüsselt ist und die Unterlagen sicher übertragen werden können (SSL- oder TLS-Verschlüsselung). 

Haben Sie einen Dienstleister beauftragt, der das Bewerber-Management übernimmt, müssen Sie gemäß DSGVO mit diesem einen Vertrag zur Auftragsdatenverarbeitung abschließen (Art. 28 DSGVO). Auch wenn Sie das Bewerbungsverfahren auslagern, sind Sie jedoch weiterhin Hauptverantwortlicher für den Datenschutz und die Datensicherheit. Daher ist es bei der Wahl eines Dienstleisters für das Bewerber-Management besonders wichtig, darauf zu achten, wo dieser die Daten speichert, wo dessen Server liegen und ob er DSGVO-konform arbeitet.

Zum Thema Datensicherheit gehört auch, dass Sie innerhalb des Unternehmens den Zugriff und die Weitergabe der Bewerberunterlagen reglementieren. Auf die Unterlagen dürfen nur die Personalabteilung (falls vorhanden) und die Entscheidungsträger für die zu besetzende Stelle Zugriff haben. Wenn Sie Bewerbungen auf eine bestimmte Stelle innerhalb des Unternehmens weitergeben wollen (zum Beispiel, weil der Bewerber auch für eine andere Stelle in einer anderen Abteilung in Frage kommen würde), dann brauchen Sie dafür die ausdrückliche Genehmigung des Bewerbers!

Auf die richtige Absicherung setzen

Wenn wegen eines DSGVO-Verstoßes eine Abmahnung ins Haus flattert, kann das nicht nur teuer werden, sondern – wenn Daten von Bewerbern in falsche Hände geraten – auch einen Imageverlust bedeuten. Mit einer Berufshaftpflichtversicherung über exali.de sind Sie im Falle einer Abmahnung bestens abgesichert. Denn dann prüft der Versicherer auf eigene Kosten, ob eine Abmahnung berechtigt ist und übernimmt eine berechtigte Schadenersatzzahlung.

Wenn Sie den Zusatzbaustein „Datenschutz- & Cyber-Eigenschaden-Deckung“ zu Ihrer Berufshaftpflicht hinzuwählen, ist Ihr Unternehmen ebenfalls abgesichert, wenn Hacker sich Zugriff auf Ihre Systeme verschaffen und Daten erbeuten. Dann trägt die Versicherung auch die Kosten für die Wiederherstellung Ihrer Systeme sowie für PR & Krisenmanagement.

Tipp!

Hier können Sie nachlesen, wie Sie als exali.de-Kunde bei DSGVO-Verstößen abgesichert sind: DSGVO: Wann sind Sie als exali.de-Kunde versichert?

Dass auch bereits bei der Formulierung der Stellenanzeige so einiges schiefgehen kann, sehen Sie in unserem Video zu einem echten exali.de-Schadenfall:

 

© Ines Rietzler – exali AG