Datenschutz bei digitalen Bewerbungen: Worauf Unternehmen achten sollten
Die Digitalisierung erleichtert den Bewerbungsprozess erheblich, wirft aber auch datenschutzrechtliche Fragen auf. Unternehmen, die Bewerbungen per E-Mail, über Bewerbungsmanagement-Software oder soziale Netzwerke einfordern, müssen sicherstellen, dass personenbezogene Daten angemessen geschützt werden. Nachfolgend die wichtigsten Aspekte:
Rechtsgrundlage der Datenverarbeitung
Bewerberdaten dürfen nur auf Basis einer rechtlichen Grundlage verarbeitet werden. In der Regel ist dies nach Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen) zulässig. Auf dieser Rechtsgrundlage ist aber nur die Verarbeitung solcher personenbezogenen Daten möglich, die auch für den Bewerbungsprozess tatsächlich erforderlich sind.
Für Daten und Verarbeitungstätigkeiten, die über das notwendige Maß hinausgehen (z. B. Bewerbungsfoto oder eine längerfristige Speicherung der Daten für einen Talentpool), ist auf die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO zurückzugreifen. Dabei ist allerdings zu beachten, dass Einwilligungen im Bewerbungskontext kritisch zu betrachten sind, weil die hierfür erforderliche Freiwilligkeit bei der Abgabe der Einwilligung durch BewerberInnen durchaus in Zweifel gezogen werden kann.
Wenn die Bewerbung per E-Mail zugeschickt werden soll, ist darauf zu achten, dass die E-Mail-Kommunikation verschlüsselt erfolgt. Eine Transportverschlüsselung nach dem aktuellen Stand der Technik ist hier das absolute Mindestmaß. Besser noch: Dem Bewerber sollte eine Ende-zu-Ende-Verschlüsselung ermöglicht werden. Alternativ kann auch der Versand der Anlagen mit einem Passwortschutz angeboten werden.
Weisen Sie ergänzend darauf hin, dass ansonsten die unverschlüsselte Übermittlung im Internet Gefahren birgt. Sollte keine angemessene sichere Verschlüsselung möglich sein, ist parallel auch die Möglichkeit einer postalischen Übersendung der Bewerbung einzuräumen.
Online-Bewerbungsformulare und -portale
Werden Online-Bewerbungsformulare auf der Webseite oder eigenständige Upload-Portale genutzt, muss hier selbstverständlich ebenfalls auf eine gesicherte Verbindung geachtet werden.
Bei einer damit verbundenen oder selbstständigen Bewerbungsmanagement-Software ist bereits bei der Auswahl der Software und des anbietenden Dienstleisters auf angemessene Sicherheitsmaßnahmen gemäß dem Stand der Technik zu achten. In vielen Fällen handelt es sich um eine Auftragsverarbeitung. Mit dem Dienstleister ist ein entsprechender Auftragsverarbeitungsvertrag zu schließen.
Wichtig in dem Zusammenhang: Prüfen Sie die Firmensitze des Dienstleisters und seiner Unterauftragnehmer. Insbesondere eine Übertragung in sog. Drittstaaten außerhalb der EU darf nur unter strengen Voraussetzungen erfolgen und muss unbedingt eingehend geprüft werden.
Unabhängig davon, auf welchem Wege Bewerbungsunterlagen digital übermittelt werden, sollten diese nur auf gesicherten Servern gespeichert werden. Außerdem sind die Speicherorte mit Zugriffsbeschränkungen zu versehen, die sicherstellen, dass nur bestimmte (berechtigte) Personen im Unternehmen Zugriff auf die Bewerberdaten haben, die auch tatsächlich in das Bewerbungsverfahren involviert sind.
Bewerbungen über soziale Netzwerke
Bei Bewerbungen über Plattformen wie WhatsApp, LinkedIn oder Xing ist zu beachten, dass die dahinterstehenden Unternehmen die Bewerbungsunterlagen zwischenspeichern und ggf. ebenfalls Zugriff haben könnten. Die Veröffentlichung vakanter Stellen kann hierüber unproblematisch erfolgen. Auch eine direkte Kontaktaufnahme innerhalb der Plattform ist möglich, sollte aber keine sensiblen Daten verpflichtend einfordern. Stellen Sie den Bewerberinnen und Bewerbern frei, welchen Weg Sie für die Zusendung der Unterlagen nutzen und bieten gleichzeitig auch andere Übermittlungskanäle an.
Löschung
Nach Abschluss des Verfahrens dürfen auch die digitalen Bewerberdaten nicht unbegrenzt aufbewahrt werden. Für sie gelten dieselben Fristen wie für papierhafte Bewerbungsunterlagen – nach Ablehnung 6 Monate. Es kann dabei allerdings schwierig sein, bei der Vielzahl von möglichen Speicherorten den Überblick zu behalten. Werden beispielweise Bewerbungen innerhalb des Unternehmens per E-Mail an zuständige Stellen weitergeleitet, sind Kopien spätestens nach Ende der erlaubten Aufbewahrungsfrist auch dort zu löschen. Deshalb bieten sich eher zentrale Speicherorte auf dem Server an, die ausschließlich eine Einsicht für die zuständigen Mitarbeiterinnen und Mitarbeiter ermöglichen.
Bei eingesetzten Softwarelösungen von Drittanbietern sollten technisch bereits entsprechende Löschroutinen hinterlegt werden.
Denken Sie auch an mögliche Backups, die Bewerberinformationen enthalten können.
Transparente Datenschutzinformationen
Unternehmen sind verpflichtet, Bewerberinnen und Bewerber zum Zeitpunkt der Erhebung der Daten – im Idealfall vor Kontaktaufnahme bzw. Übersenden der Bewerbungsunterlagen – über die Verarbeitung ihrer Daten zu informieren (Art. 13 DSGVO). Bei digitalen Bewerbungen ist dies in der Regel unproblematisch über die Webseite, durch einen Link in der E-Mail-Signatur, das Online-Portal oder bei der genutzten Social-Media-Plattform über eine Verlinkung zur Webseite möglich.
Fazit
Unternehmen sind in der Regel darauf angewiesen, eine möglichst breite Masse an potentiellen MitarbeiterInnen mit ihren Stellenausschreibungen anzusprechen. Ein niedrigschwelliges Bewerbungsverfahren über alltäglich genutzte digitale Medien kann entscheidend dafür sein, dass sich Bewerberinnen und Bewerber gerade in personalknappen Branchen nicht bei der Konkurrenz bewerben. Ein Verzicht auf digitale Bewerbungen, um datenschutzrechtliche Hürden zu meiden, ist daher keine Option. Wägen Sie dabei aber stets Risiken und Nutzen im Sinne des Bewerbers sorgfältig ab und beziehen Sie in jedem Falle bei geplanten Änderungen des Bewerbungsprozesses oder Neueinführungen von Tools uns als Ihre Datenschutzbeauftragten mit ein.
