Die fünf größten DSGVO-Fallen im Bewerbungsprozess

Auf einen Blick:

• Die Verarbeitung personenbezogener Daten beginnt, sobald eine Bewerbung per Mail bei einem Betrieb eingeht und die Daten auf einem Server gespeichert werden. Ab jetzt gilt die Informationspflicht der Betriebe gegenüber dem Bewerber.
• Bewerbungen, die an ein allgemeines Postfach gehen, auf das mehrere Mitarbeiter Zugriff haben, sind ein datenschutzrechtliches Risiko. Expertentipp: Für Bewerbungen möglichst eine gesonderte E-Mail-Adresse nutzen.
• Die Datenschutzerklärung auf der Website enthält keine Informationen darüber, wie der Betrieb mit Bewerberdaten umgeht. Dann müssen Betriebe ihrer Informationspflicht nach der ersten Kontaktaufnahme des Bewerbers nachkommen.
• Vorsicht: Meldet sich ein Bewerber sieben Monate nach Abschluss des Bewerbungsverfahrens, könnte das eine Falle sein. Denn Bewerberdaten müssen spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens gelöscht werden.
• Betriebe, die Bewerberdaten dennoch länger speichern möchten, benötigen dafür die Einwilligung der Bewerber.

Ob Eingang einer Bewerbung per Mail oder die Absage an einen Bewerber – während des gesamtes Bewerbungsprozesses verarbeiten Handwerksbetriebe personenbezogene Daten. „Deshalb müssen sie dabei zwingend die Vorgaben der Datenschutz-Grundverordnung (DSGVO) beachten“, sagt Klaus-Dieter Franzen, Fachanwalt für Arbeitsrecht. Dabei können Handwerksbetriebe so einiges falsch machen – das gilt sowohl für Bewerbungen, die per E-Mail als auch per Post eingehen.

„Bereits mit der Stellenausschreibung müssen Betrieben über die Datenverarbeitung aufklären“, sagt Rechtsanwalt Franzen, der auch zertifizierter Datenschutzbeauftragter ist. Seiner Einschätzung nach ist ein Verweis auf die Datenschutzerklärung auf der Firmenwebsite absolutes Minimum. Darin müsse erläutert werden, was mit den Bewerberdaten passiert. Doch warum ist das nötig?

Sobald eine Bewerbung bei einem Betrieb eingeht, beginnt in der Regel die Verarbeitung der personenbezogenen Daten – zum Beispiel, weil die Daten aus der E-Mail auf dem Server gespeichert werden. Nach Artikel 13 DSGVO haben Betroffene genau ab diesem Zeitpunkt ein Recht darauf zu erfahren, was mit ihren Daten geschieht. Betriebe sind somit in der Informationspflicht.

Immer wieder erhalten Betriebe auch Initiativbewerbungen. Aus Sicht von Arbeitsrechtler Klaus-Dieter Franzen sind die aus datenschutzrechtlicher Sicht tückisch. Denn Bewerber schicken Blindbewerbungen in der Regel an die E-Mail-Adresse, die sie im Impressum finden – sie lautet beispielsweise info@beispielbetrieb.de. Meist verbirgt sich dahinter ein allgemeines Postfach, auf das oftmals mehrere Personen Zugriff haben. Aus datenschutzrechtlicher Sicht wirft das verschiedene Fragen auf:

• Wer hat genau Zugriff auf die Daten?
• Was passiert mit den eingehenden Bewerbungen?
• Werden sie von jemandem ausgedruckt?

Franzen rät Betrieben daher, für Bewerbungsverfahren eine gesonderte E-Mail-Adresse zu veröffentlichen und zu verwenden, auf die nur ein eingeschränkter Personenkreis Zugriff hat – zum Beispiel der Chef und die Personalabteilung. Doch was können Betriebe machen, wenn das nicht möglich ist? „Dann brauchen sie eine interne Anweisung, wie Mitarbeiter mit eingehenden Bewerbungen umgehen müssen, damit die datenschutzrechtlichen Vorgaben eingehalten werden“, betont der Arbeitsrechtler. Die kann wie folgt lauten:

1. Die Bewerbung ist unverzüglich per E-Mail an die Person weiterzuleiten, die im Betrieb zuständig ist.

2. Die E-Mail ist im allgemeinen Postfach, auf das mehrere Personen Zugriff haben, anschließend sofort zu löschen.

Ein Bewerber schickt von sich aus eine Bewerbung an einen Handwerksbetrieb – in Zeiten von Fachkräftemangel ist das ganz sicher eine gute Nachricht. Doch vor lauter Freude sollten die Verantwortlichen nicht ihre datenschutzrechtlichen Pflichten vergessen. Das ist besonders dann wichtig, wenn die Datenschutzerklärung auf der Firmenwebsite keine Angaben zum Umgang mit Bewerberdaten enthält. „In solchen Fällen müssen Betriebe spätestens nach der ersten Kontaktaufnahme informieren“, sagt Arbeitsrechtler Franzen. Enthalten sein sollten bei die Angaben, die Artikel 13 DSGVO vorschreibt. Dazu gehören unter anderem der Hinweis auf:

• den Namen und die Kontaktdaten des im Betrieb für die Datenverarbeitung Verantwortlichen,
• den Zweck und die Rechtsgrundlage auf der die Daten verarbeitet werden,
• die Speicherdauer,
• das Recht auf Auskunft über die Datenverarbeitung und
• das bestehende Beschwerderecht bei einer Aufsichtsbehörde.

Bewerberdaten sind grundsätzlich zweckgebunden. Das bedeutet: Sie dürfen von Betrieben immer nur im Bewerbungsfahren um die Stelle berücksichtig werden, auf die sich ein Kandidat beworben hat. Doch warum ist das so? „Für die Verarbeitung personenbezogener Daten brauchen Betriebe immer eine Rechtsgrundlage“, sagt Rechtsanwalt Klaus-Dieter Franzen. Bewirbt sich ein Arbeitnehmer um eine neue Stelle, besteht sie in der Anbahnung eines Vertragsverhältnisses. Sobald die Stelle vergeben ist, entfällt diese Rechtsgrundlage. Doch müssen die Daten dann unverzüglich gelöscht werden sobald die Absage an den Bewerber raus ist?

„Nein“, meint Franzen. „Schließlich ist es möglich, dass der Bewerber in der Stellenbesetzung einen Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) wittert und deshalb gerichtlich gegen die Absage vorgeht.“ Daher könnten die Unterlagen ab dem Zeitpunkt der Absage bis zu sechs Monate gespeichert werden, danach sei endgültig Schluss. Das gilt auch, wenn der Bewerber grundsätzlich ziemlich interessant für den Handwerksbetrieb ist, er aber nicht auf die ausgeschriebene Stelle passt!

Tipp: Unmöglich ist eine längere Speicherung dennoch nicht: Betriebe müssen sich dafür allerdings die Einwilligung des Bewerbers einholen, so der Rechtsanwalt.

Laut Artikel 15 DSGVO haben Betroffene ein Recht auf Auskunft. Für Rechtsanwalt Klaus-Dieter Franzen ist das eine Regelung, die von abgelehnten Bewerbern durchaus missbräuchlich genutzt werden kann. Ein mögliches Szenario:

Sieben Monate nach der Absage meldet sich ein Bewerber und will wissen, welche personenbezogenen Daten der Handwerksbetrieb noch von ihm gespeichert hat.

Das neue Datenschutzrecht schreibt vor, dass Betriebe eine solche Anfrage innerhalb eines Monats beantworten müssen. Und wenn sie sieben Monate nach Absage detailliert auflisten, welche personenbezogenen Daten noch gespeichert sind? „Dann landet der Fall ganz sicher bei der zuständigen Datenschutzbehörde“, meint Franzen. Die müsse dann einen möglichen Datenschutzverstoß prüfen.

Doch für Betriebe gibt es eine einfache Möglichkeit, sich gegen solche Unannehmlichkeiten zu wappnen. „Sie müssen einfach befolgen, was das Gesetz vorschreibt“, so der Arbeitsrechtler. Das heißt: Sie müssen die Bewerberdaten regelmäßig spätestens nach sechs Monate nach Abschluss des Bewerbungsverfahrens löschen.

Zu den Vorgaben der DSGVO gehört auch das „Verzeichnis der Verarbeitungstätigkeiten“. Darin müssen Betriebe sämtliche Verarbeitungsprozesse im Unternehmen dokumentieren. Eine Pflicht, die viele Unternehmer sicherlich lästig finden. Schließlich kostet sie Zeit und damit Geld. Dennoch appelliert Rechtsanwalt Klaus-Dieter Franzen an Unternehmer, diese Pflicht als Chance zu sehen: „Im Endeffekt ist das in Gesetz gegossenes Qualitätsmanagement.“ Schließlich müssten sich Betriebe bei der Erstellung mit Fragen befassen, die weit über den Bewerbungsprozess hinaus von Bedeutung sind. Dazu gehören Fragen wie:

• Sind die Server des Unternehmens abgesichert?
• Sind die gespeicherten personenbezogen Daten ausreichend geschützt?