Datenschutz bei Bewerberdaten: Welche rechtlichen Aspekte müssen Sie beachten?
Der Schutz personenbezogener Daten ist in der heutigen digitalen Welt von großer Bedeutung. Dies gilt insbesondere für Bewerberdaten, bei denen eine sorgfältige Handhabung erforderlich ist, um die Privatsphäre und die Rechte der Bewerber zu wahren.
In diesem Artikel werfen wir einen Blick auf die rechtlichen Aspekte, die Unternehmen beim Umgang mit Bewerberdaten beachten müssen.
Von den geltenden Gesetzen und Vorschriften bis hin zur Speicherung, Weitergabe und sicheren Vernichtung von Bewerberdaten – erfahren Sie, wie Sie den Datenschutz bei Bewerbungsverfahren gewährleisten können.
Lesen Sie weiter, um einen fundierten Einblick in dieses wichtige Thema zu erhalten und rechtliche Fallstricke zu vermeiden. ⬇️
Inhalt
- Welche Gesetze regeln den Datenschutz von Bewerberdaten?
- Kategorien personenbezogener Daten
- Zugriff auf Bewerberdaten und Weitergabe an Dritte
- Speicherung der Bewerberdaten
- Wie lange dürfen Bewerberdaten aufbewahrt werden?
- Sichere Vernichtung von Bewerberdaten
- Online-Bewerbung und mögliche Probleme mit Datenschutz
- Bewerberpool: Wann dürfen Bewerberdaten aufgenommen werden?
- Fazit
In welchen Gesetzen ist der Datenschutz von Bewerberdaten geregelt?
Allgemein dürfen personenbezogene Daten nur erhoben, verarbeitet, übermittelt, verändert oder gespeichert werden, wenn ein Gesetz dies gestattet und die betroffene Person zugestimmt hat. Öffentlichen Stellen des Landes ist es gestattet, durch Meldegesetze oder dem Sozialgesetzbuch definierte personenbezogene Daten zu verarbeiten. Private Stellen und öffentliche Stellen des Bundes dürfen personenbezogene Daten nur verarbeiten, wenn ein Spezialgesetz oder das Bundesdatenschutzgesetz dies gestattet.
Das deutsche Bundesdatenschutzgesetz regelt den Umgang mit personenbezogenen Daten, wie z. B. Bewerberdaten, die zur Informations- oder Kommunikationszwecken verarbeitet werden. Für das Internet sind beispielsweise das Bundesdatenschutzgesetz, das Telemediengesetz und das Telekommunikationsgesetz zuständig. 📚
Als Rechtsgrundlage steht für die Verarbeitung von Bewerberdaten § 26 BDSG zur Verfügung. Die Datenschutzgrundverordnung der EU regelt die Verarbeitung personenbezogener Daten durch die Datenverarbeiter. Seit dem 25.05.2018 ist der gemeinsame Datenschutzrahmen der EU vorgegeben. Grundsätzlich muss die Verarbeitung personenbezogener Daten beruhen auf:
- Rechtmäßigkeit, Transparenz, Verarbeitung nach Treu und Glauben,
- Zweckbindung (eindeutige, festgelegte und legitime Zwecke),
- Datenminimierung (dem Zweck angemessen),
- Richtigkeit,
- Speicherbegrenzung, Identifizierung nur nach Erfordernis,
- Integrität und Vertraulichkeit (Sicherheit, Schutz vor unbefugter Verarbeitung etc.).
Mit dem Anpassungs- und Umsetzungsgesetz 2017 wurde auch das Bundesdatenschutzgesetz neu verfasst. Die Datenschutzrichtlinie, die bis Mai 2018 gültig war, wurde durch die Datenschutz-Grundverordnung ersetzt. Nach dem Grundsatz gilt das Verbotsprinzip mit Erlaubnisvorbehalt.
Die Erhebung, Nutzung und Verarbeitung personenbezogener Daten bzw. von Bewerberdaten ist grundsätzlich verboten. Erlaubt ist es nur bei konkreter Rechtsgrundlage bzw. wenn die betroffene Person zugestimmt hat. Es sollen nach dem Prinzip der Datenvermeidung und Datensparsamkeit so wenig wie möglich Daten verwendet werden.
Personenbezogen sind Daten einer natürlichen Person, die nicht namentlich Bezug nehmen wie zum Beispiel die Telefonnummer, die E-Mail-Adresse, die IP-Adresse, Personalnummern oder dergleichen.
Besonders schutzbedürftig bleiben Daten wie ethnische Herkunft, die politische Meinung, philosophische oder religiöse Überzeugungen, Gewerkschafts- oder Parteizugehörigkeiten, die Gesundheit usw. Durch das BDSG werden die Datenerhebung, die Datennutzung und die Datenverarbeitung geregelt.
Eine Erhebung ist bereits die Beschaffung von Daten natürlicher Personen über Dritte oder bei Betroffenen. Das Verarbeiten umfasst das Speichern, Übermitteln, Verändern, Löschen oder Sperren von Daten. Die Nutzung von Daten ist jede Verwendung außerhalb der Verarbeitung.
Die deutschen Firmen haben sich dabei grundsätzlich am deutschen Recht zu orientieren. Für die Nutzung von Daten außerhalb des Inlandbereiches ist das Sitzprinzip oder das Territorialprinzip zu beachten. Eine ausländische Firma mit Sitz in Deutschland hat nach dem Territorialprinzip das deutsche Recht anzuwenden. Das Sitzprinzip für Landesrecht gilt für deutsche Firmen im Ausland. Betroffene Personen, deren Daten verarbeitet werden, haben das Recht auf
- Auskunft, welche Daten gespeichert werden,
- die Quellen der Daten und den Verwendungszweck,
- die Berichtigung falscher personenbezogener Daten,
- Beschwerderecht bei der Aufsichtsbehörde,
- Sperrung und Löschung der Daten,
- Untersagen von Datenübermittlungen.
Welche Kategorien von personenbezogenen Daten gibt es?
Nach der DSGVO lassen sich personenbezogene Daten, wie es Bewerberdaten sind, in Oberbegriffe und Kategorien einteilen. Das sind beispielsweise:
- allgemeine Personendaten: Name, Geburtstag, Geburtsort, Anschrift,
E-Mail-Adresse, - besondere Personendaten: politische und religiöse Ansichten,
Gesundheitsdaten, genetische Daten, - körperliche Informationen: Status, Geschlecht, Kleidergröße, Haar- und
Augenfarbe, - Kennziffern: Sozialversicherungsnummer, Krankenversicherungsnummer,
Steueridentifikationsnummer, - Bankdaten: Kontonummer, Kontostand, IBAN,
- Online-Informationen: IP-Adresse, Fingerprint-Informationen,
- Bewertungen: Zeugnisse, Noten,
- Kundendaten: Bestellangaben, Zahlungsdaten,
- Vermögensinformationen: Einkommen, Eigentum, Vermögensstand.
Wer hat Zugriff auf die Bewerberdaten? Dürfen sie an Dritte weitergegeben werden?
In Deutschland gilt der Datenschutz, der in erster Linie durch das Bundesdatenschutzgesetz (BDSG) und die Europäische Datenschutz-Grundverordnung (DSGVO) geregelt wird. Gemäß diesen Gesetzen dürfen personenbezogene Daten, zu denen auch Bewerberdaten gehören, nur unter bestimmten Bedingungen verarbeitet und weitergegeben werden.
Innerhalb eines Unternehmens dürfen nur autorisierte Personen auf Bewerberdaten zugreifen. Dies sind in der Regel Mitarbeiterinnen und Mitarbeiter, die mit der Personalauswahl oder Personalverwaltung betraut sind. Der Zugriff auf diese Daten sollte auf das erforderliche Maß beschränkt sein, um die Vertraulichkeit und den Schutz der Daten zu gewährleisten.
Bewerberdaten dürfen nur dann an Dritte weitergegeben werden, wenn dafür eine Rechtsgrundlage besteht. Eine solche Rechtsgrundlage kann beispielsweise die Einwilligung der betroffenen Person sein. Das Unternehmen muss transparent darüber informieren, an wen und zu welchem Zweck die Daten weitergegeben werden sollen. In einigen Fällen kann auch eine gesetzliche Verpflichtung zur Weitergabe bestehen, beispielsweise wenn eine Behörde oder ein Gericht die Daten anfordert.
Es ist wichtig zu beachten, dass personenbezogene Daten gemäß dem Datenschutzprinzip der Zweckbindung nur für den ursprünglichen Zweck verwendet werden dürfen, für den sie erhoben wurden. Eine Weitergabe an Dritte darf nur im Rahmen dieses Zwecks erfolgen.
Es ist ratsam, im konkreten Fall einen Datenschutzbeauftragten oder rechtlichen Experten hinzuzuziehen, um sicherzustellen, dass die Datenschutzbestimmungen korrekt eingehalten werden.
Speicherung der Bewerberdaten
Die Speicherung personenbezogener Daten bzw. von Bewerberdaten ist für die Verarbeitung nach Art. 6, Art. 4 Nr. 2 DSGVO als Rechtsgrundlage gestattet. Nach Art. 6 DSGVO ist die Speicherung von Bewerberdaten bei Einwilligung der betroffenen Person gemäß Art. 7, 8 DSGVO erlaubt. Aus Art. 6 DSGVO ist die Speicherung von Daten erlaubt, wenn die Speicherung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist. 🔐
Eine weitere Rechtsgrundlage ist, lebenswichtige Interessen der betroffenen Person oder anderer natürlicher Personen zu schützen. Die Wahrnehmung von Aufgaben im öffentlichen Interesse bzw. in Ausübung öffentlicher Gewalt erlauben ebenfalls die Verwendung personenbezogener Daten.
So ist auch die Speicherung zur Wahrung berechtigter Interessen von Verantwortlichen gestattet, sofern nicht Grundrechte oder Grundfreiheiten betroffener Personen überwiegen, die schutzbedürftig sind.
Ein Beschäftigungsverhältnis erlaube nach Art. 88 DSGVO und § 26 BDSG-neu ebenfalls die Speicherung personenbezogener Daten bzw. von Bewerberdaten. Für die Speicherung besonderer Kategorien personenbezogener Daten müssen die Voraussetzungen nach Art. 9 DSGVO vorliegen.
Das gilt insbesondere für Gesundheitsdaten, biometrische oder genetische Daten. Eine Rechtsgrundlage besteht bei Einwilligung nach Art. 9 DSGVO. Die Speicherung darf nicht beliebig lange erfolgen. Hierfür bestehen gesetzlichen Aufbewahrungs- und Löschfristen.
Wie lange dürfen Bewerberdaten aufbewahrt werden?
Grenzenlose Aufbewahrungen von Personendaten bzw. Bewerberdaten sind unzulässig. Sobald nach Kenntnisnahme der Zweck der Datenspeicherung nicht mehr gegeben ist, müssen die personenbezogenen Daten nach Abs. 2 Nr. 3 BDSG gelöscht werden. Wenn die Stelle nicht besetzt werden kann oder der Kandidat bzw. die Kandidatin dafür nicht geeignet ist, sind die Bewerberdaten zu löschen. ❌
Einer Löschung können sogenannte Aufbewahrungsfristen entgegenstehen. Die Fristen ergeben sich aus dem Gesetz oder vertraglichen Vereinbarungen. Ein solcher Zweck wäre beispielsweise die Durchführung und der Abschluss eines Bewerbungsverfahrens.
Auch die Entkräftung eines anstehenden Diskriminierungsvorwurfs im Zusammenhang mit der Bewerbung rechtfertigt eine Aufbewahrung für eine gewisse Zeitspanne. Dafür muss das Unternehmen die Bewerbungsunterlagen und eventuelle Notizen zur Entlastung bereithalten.
Die Aufbewahrungsfrist darf 6 Monate nicht überschreiten. Ein abgelehnter Bewerber muss innerhalb von 2 Monaten eine Diskriminierung schriftlich geltend machen. Eine sich anschließende Klage muss gemäß § 61 Abs. 1 ArbZG und § 15 AGG innerhalb von 3 Monaten erfolgen, nachdem der Anspruch erhoben wurde. Verzögerungen werden mit der Begrenzung als Richtwert auf 6 Monate berücksichtigt. Zu anderen Zwecken bedarf es der Einwilligung des Betroffenen. Es ist eine schriftliche Zustimmung dafür einzuholen.
Wie werden Bewerberdaten sicher vernichtet gemäß Datenschutz?
Die sichere Vernichtung von Bewerberdaten gemäß den Datenschutzbestimmungen erfordert die Einhaltung bestimmter Maßnahmen, um sicherzustellen, dass die Daten nicht wiederhergestellt oder unbefugt genutzt werden können.
Mit folgenden bewährten Verfahren gelingt die sichere Vernichtung verschiedener Arten von Bewerberdaten:
Papierunterlagen
Wenn Bewerbungsunterlagen in gedruckter Form vorliegen, sollten sie durch geeignete Vernichtungsmethoden wie Aktenvernichter mit einer hohen Sicherheitsstufe oder professionelle Schredderdienste zerkleinert werden. Es ist wichtig sicherzustellen, dass die Dokumente gründlich zerstört werden, um eine Wiederherstellung zu verhindern.
Elektronische Daten
Elektronische Bewerberdaten sollten nicht nur gelöscht, sondern sicher und endgültig vernichtet werden. Die bloße Löschung von Dateien reicht nicht aus, da diese in vielen Fällen wiederhergestellt werden können. Die sicherste Methode besteht darin, die Daten mit spezieller Software zu überschreiben oder die Festplatten/Speichermedien physisch zu zerstören.
Datenbanken
Wenn Bewerberdaten in einer Datenbank gespeichert sind, sollte der Zugriff auf diese Datenbank beschränkt und kontrolliert werden. Um die Daten sicher zu vernichten, können die Einträge gelöscht und anschließend die Datenbankdateien mit geeigneten Methoden überschrieben werden, um die Wiederherstellung zu verhindern.
Dokumentation
Es ist wichtig, sämtliche Aktivitäten im Zusammenhang mit der Vernichtung von Bewerberdaten zu dokumentieren. Diese Dokumentation sollte Informationen wie das Datum der Vernichtung, die Art der vernichteten Daten (z. B. Bewerbungsunterlagen, elektronische Datenbank usw.) und die angewendeten Vernichtungsmethoden enthalten.
Auftragsverarbeiter
Wenn Sie einen externen Dienstleister mit der Vernichtung der Daten beauftragen, stellen Sie sicher, dass dieser den Datenschutzanforderungen entspricht und Ihnen entsprechende Nachweise über die sichere Vernichtung liefert.
Datenschutzrichtlinie
Stellen Sie sicher, dass Ihre Datenschutzrichtlinie klare Informationen darüber enthält, wie Bewerberdaten vernichtet werden und wie Sie die Einhaltung dieser Richtlinie sicherstellen.
Es ist wichtig, die geltenden Datenschutzbestimmungen und -vorschriften zu berücksichtigen und gegebenenfalls Rücksprache mit Ihrem Datenschutzbeauftragten zu halten, um sicherzustellen, dass alle erforderlichen Maßnahmen zum Schutz der Bewerberdaten ergriffen werden.
Mögliche Probleme mit Datenschutz bei der Online-Bewerbung
Vorsicht, bei der Online-Bewerbung können verschiedene Probleme im Zusammenhang mit dem Datenschutz auftreten.
Hier sind einige mögliche Probleme und Maßnahmen, um sie sicher zu umgehen:
Unsichere Übertragung
Wenn Bewerberdaten über das Internet übertragen werden, besteht das Risiko, dass diese während der Übertragung abgefangen oder kompromittiert werden. Um dieses Problem zu umgehen, sollte eine sichere Übertragungsmethode verwendet werden, wie z.B. eine verschlüsselte Verbindung (HTTPS).
Datenspeicherung
Es kann problematisch sein, Bewerberdaten über einen längeren Zeitraum zu speichern, insbesondere wenn sie für zukünftige Bewerbungsverfahren nicht benötigt werden. Um dieses Problem zu umgehen, sollten Bewerberdaten regelmäßig gelöscht oder anonymisiert werden, sobald sie nicht mehr benötigt werden. Es ist wichtig, einen klaren Löschzeitplan festzulegen und sicherzustellen, dass er eingehalten wird.
Zugriffsbeschränkung
Unbefugter Zugriff auf Bewerberdaten kann ein ernstes Problem darstellen. Es ist wichtig, angemessene Zugriffsbeschränkungen einzurichten und sicherzustellen, dass nur autorisierte Personen Zugriff auf die Daten haben. Dies kann durch die Implementierung von Benutzerkonten mit starken Passwörtern, Rollen- und Berechtigungsmanagement und Überwachungsmechanismen erreicht werden.
Dritte Dienstleister
Wenn Sie einen externen Dienstleister für die Verwaltung Ihrer Online-Bewerbungen einsetzen, besteht das Risiko eines Datenschutzverstoßes durch den Dienstleister. Stellen Sie sicher, dass Sie nur vertrauenswürdige Dienstleister auswählen, die den Datenschutzvorschriften entsprechen. Vereinbaren Sie vertragliche Vereinbarungen, um den Schutz der Bewerberdaten sicherzustellen und klare Anweisungen für die Verarbeitung der Daten zu geben.
Informationspflicht
Bewerber müssen über den Umgang mit ihren Daten und ihre Rechte gemäß den Datenschutzbestimmungen informiert werden. Stellen Sie sicher, dass Sie eine klare Datenschutzerklärung bereitstellen, in der erklärt wird, welche Daten gesammelt werden, wie sie verwendet werden und wie Bewerber ihre Rechte ausüben können.
Technische Sicherheitsmaßnahmen
Implementieren Sie angemessene technische Sicherheitsmaßnahmen, wie z. B. Firewalls, Antivirensoftware, regelmäßige Systemaktualisierungen und Sicherheitsaudits, um die Sicherheit der Bewerberdaten zu gewährleisten.
Es ist wichtig, die geltenden Datenschutzgesetze und -vorschriften zu beachten und sich bei Bedarf von einem Datenschutzbeauftragten beraten zu lassen, um sicherzustellen, dass angemessene Maßnahmen ergriffen werden, um die Datenschutzrisiken bei Online-Bewerbungen zu minimieren.
Aufnahme in den Bewerberpool
Hierzulande dürfen Bewerberdaten in den Bewerberpool oder Talentpool eines Unternehmens aufgenommen werden, wenn bestimmte rechtliche Grundlagen erfüllt sind. Die wichtigsten Grundlagen sind:
Einwilligung: Das Unternehmen kann Bewerberdaten auf Basis der freiwilligen, informierten und spezifischen Einwilligung des Bewerbers in den Bewerberpool aufnehmen. Die Einwilligung sollte explizit eingeholt werden und der Bewerber muss über den Verwendungszweck, die Dauer der Speicherung und seine Rechte informiert werden. Der Bewerber hat das Recht, die Einwilligung jederzeit zu widerrufen.
Vorvertragliche Maßnahmen: Wenn das Unternehmen die Bewerberdaten zur Durchführung vorvertraglicher Maßnahmen, z. B. zur Entscheidungsfindung im Rahmen des Bewerbungsprozesses, benötigt, ist die Verarbeitung der Daten gerechtfertigt. Dies umfasst beispielsweise die Prüfung von Bewerbungsunterlagen oder die Kontaktaufnahme mit dem Bewerber für weitere Informationen.
Berechtigtes Interesse: Das Unternehmen kann ein berechtigtes Interesse an der Verarbeitung von Bewerberdaten haben, wenn es beispielsweise darum geht, potenzielle Kandidaten für zukünftige Stellenbesetzungen zu identifizieren. Bei der Nutzung des berechtigten Interesses als Rechtsgrundlage muss das Unternehmen sicherstellen, dass die Interessen und Grundrechte der Bewerber nicht überwiegen und dass angemessene Schutzmaßnahmen getroffen werden.
Fazit: Beim Datenschutz von Bewerberdaten lieber keine Risiken eingehen
Unternehmen sollten beim Datenschutz von Bewerberdaten kein Risiko eingehen, da Verstöße zu finanziellen Strafen, Image-Schäden und ethischen Bedenken führen können. Ein sorgfältiger Umgang mit den Daten stärkt das Vertrauen potenzieller Talente und macht das Unternehmen attraktiv. Zudem fördert dies die Einhaltung anderer rechtlicher Vorschriften und reduziert das Risiko von Rechtsstreitigkeiten.
Es ist immer ratsam, im Umgang mit Bewerberdaten einen Datenschutzbeauftragten oder rechtlichen Experten hinzuzuziehen, um sicherzustellen, dass die geltenden Datenschutzbestimmungen eingehalten werden. Durch die Einhaltung dieser Bestimmungen kann der Schutz der Privatsphäre und die Vertraulichkeit der Bewerberdaten gewährleistet werden.
Interessiert an unserem Produktportfolio?
Sie sind auf der Suche nach einer reichweitenstarken und individuellen Stellenanzeige oder möchten Ihr Employer-Branding etwas aufleben lassen? Kein Problem, wir haben mit Sicherheit das perfekte Produkt für Sie. Auch spezielle Leistungen, um noch mehr Reichweite generieren zu können finden Sie bei uns im Portfolio. Schauen Sie doch einfach mal vorbei!
Bildquelle: „Personalerin sucht nach Kandidaten“ ©AndreyPopov
– istockphoto.com, „HR-Mitarbeiterin vergleicht Bewerberdaten“ ©Irene Puzankova – istockphoto.com, „Mitarbeiter vernichtet
Bewerberdaten“ ©lolostock – istockphoto.com
- Kategorie: Personalmanagement, Arbeitsrecht, Recruiting
- 19. Juni 2023
Verwandte Artikel
Automatisierte Verarbeitung der Bewerberdaten
