Bewerberdaten und die DSGVO So gehen Sie datenschutzkonform mit Bewerbungen um
Bewerberdaten und die DSGVO

Bewerberdaten muss man nach einer bestimmten Frist datenschutzkonform vernichten. © Kameleon007 / iStock / Getty Images Plus

Bewerbungsunterlagen jahrelang aufbewahren – dürfen Unternehmen das? Was Arbeitgeber beim Recruiting beachten müssen, damit sie nicht gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Bewerbungsunterlagen werden in Unternehmen gerne mal per E-Mail an diverse Mitarbeiter verschickt. Auf manchem Computer finden sich noch die Lebensläufe der Bewerber für Ausbildungsplätze von vor drei Jahren. Und für den Fall der Fälle liegt bei der Personalabteilung ein Stapel mit Bewerbungsmappen von Kandidaten, die bei den letzten Besetzungen leer ausgingen, aber so interessant sind, dass man sie vielleicht bei der nächsten freien Stelle berücksichtigen möchte. Kommt Ihnen bekannt vor? Dann sollten Sie sich dringend mit dem Thema Datenschutz beschäftigen – denn all diese Praktiken sind nicht datenschutzkonform.

Die Europäische Datenschutz-Grundverordnung erlaubt es den EU-Ländern, für Mitarbeiterdaten eigene Regelungen zu treffen. Und im Sinne des Gesetzes sind auch Bewerber Mitarbeiter. Was für die Verarbeitung ihrer Daten gilt, ist in § 26 des neuen Bundesdatenschutzgesetzes geregelt. Rechtsanwalt Johannes Baumann, spezialisiert auf Datenschutzrecht, gibt Antworten auf die wichtigsten Fragen rund um das Thema Bewerbung und Datenschutz.

Anzeige

Müssen Bewerber eine Einwilligungserklärung abgeben, damit Arbeitgeber ihre Daten für das Bewerbungsverfahren verarbeiten dürfen?

Nein. Man braucht keine Einwilligung dafür, dass die Daten für den Zweck einer konkreten Bewerbung verarbeitet werden.

Wann brauchen Arbeitgeber eine Einwilligung des Bewerbers zur Verarbeitung seiner Daten?

Nur dann, wenn sie die Daten des Bewerbers für eine mögliche spätere Zusammenarbeit speichern wollen. „Viele Unternehmen wollen einen Recruiting-Pool aufbauen. Wenn sie dafür die Daten speichern wollen, brauchen sie eine Einwilligung“, sagt Baumann.

Diese Einwilligung sollten Unternehmer so einholen, dass sie die Einwilligung nachweisen können, rät Baumann. Das geht bei einem Online-Bewerbungsformular beispielsweise über eine Häkchenlösung – wobei der Bewerber die Wahl haben muss, ob er das Häkchen setzt oder nicht. Es ist aber auch möglich, die Einwilligung per E-Mail einzuholen.

Welche Informationspflichten haben Unternehmen gegenüber Bewerbern?

Unternehmen müssen Bewerber nach Artikel 13 und Artikel 14 der DSGVO darüber informieren, wie und zu welchem Zweck sie die Daten verarbeiten und gegebenenfalls bei welchen externen Quellen Daten erhoben werden (Xing, etc.). Außerdem müssen Arbeitgeber Kandidaten über ihre Rechte informieren und den Verantwortlichen für die Datenverarbeitung benennen.

In einem Online-Bewerbungstool kann man diese Datenschutzinformation als Textfeld unterbringen. Wer Bewerbungen per E-Mail erhält, kann die Information mit der Eingangsbestätigung mitschicken. Möglich ist es auch, die Informationen auf der Datenschutzerklärung der Website unterzubringen und dahin zu verlinken.

Auch Bewerbern, die Bewerbungsunterlagen per Post schicken, muss man streng genommen die Datenschutzinformation zuschicken – postalisch oder per Mail.

Bewerber müssen nicht bestätigen, dass sie die Datenschutzinformation bekommen haben und akzeptieren. Unternehmen haben nur eine Pflicht zur Information.

Was darf man in Bewerbungs-Fragebögen abfragen und was nicht?

Unternehmer müssten sich immer fragen: „Ist das, was ich wissen will, für die Einstellungsentscheidung relevant und erforderlich?“, sagt Baumann. Nur diese Daten dürften sie abfragen. Und auch da gebe es Grenzen: Nach Gesundheitsdaten dürfen Unternehmen nur im absoluten Ausnahmefall fragen, beispielsweise wenn man jemand für eine besonders gefährliche Tätigkeit einstellen will. Auch nach Schwangerschaften und Familienstand dürfen Arbeitgeber im Regelfall nicht fragen.

Ebenfalls tabu ist die Frage nach Hobbys; denn Hobbys haben keine Relevanz für die Besetzung der offenen Stelle. Wenn der Bewerber sie aber in seinem Lebenslauf angibt, dürfen Unternehmen sie auch speichern. „Sie müssen diese Daten dann nicht schwärzen und müssen sie auch nicht beim Bewerbungsprozess außen vorlassen“, sagt Baumann.

Lesen Sie hier mehr zu unzulässigen Fragen im Vorstellungsgespräch.

Müssen Unternehmen die Möglichkeit anbieten, Bewerbungen verschlüsselt zu schicken?

Ja, eine solche Möglichkeit sollte man bereitstellen, sagt Baumann. Karriere-Bereiche auf Internetseiten sollten nach dem aktuellen Stand der Technik verschlüsselt sein. Der Arbeitgeber sollte auch die Kommunikation mittels verschlüsselter E-Mails anbieten. Wer Bewerbungen per Mail bevorzugt, sollte daher neben der E-Mail-Adresse auch sein öffentliches Verschlüsselungszertifikat zum Download anbieten. (Mehr dazu hier: E-Mail-Verschlüsselung: So verschicken Sie sensible Daten DSGVO-konform)

Wer darf Bewerbungen sichten?

Die DSGVO fordert Datensparsamkeit. Deshalb dürfen nur die Personen die Bewerbungsunterlagen sichten, die darüber entscheiden, wer die Stelle bekommt. „Personalabteilungen können nicht einfach eine eingehende Bewerbung an alle leitenden Angestellten weiterleiten“, sagt Baumann.

Jedes Unternehmen sollte genau festlegen, wer Bewerberdaten einsehen darf, rät der Anwalt. „Die Daten dürfen nur an die Mitarbeiter gehen, die ein Mitspracherecht bei der Besetzung der jeweiligen Stelle haben.“

Wie lange dürfen Unternehmen Bewerbungsunterlagen aufbewahren?

Hier müssen Chefs zwei Fälle unterscheiden: Entweder sie stellen den Bewerber ein oder nicht. Wenn sie ihn einstellen, wandern die Bewerbungsunterlagen in die Personalakte. Wenn das Unternehmen ihn nicht einstellt, gibt es eine zweimonatige Frist, innerhalb der der Bewerber einen Anspruch nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) gelten machen kann.

Das Unternehmen braucht die Bewerbungsunterlagen, um sich gegebenenfalls gegen einen solchen Anspruch verteidigen zu können: Es hat es ein berechtigtes Interesse, die Unterlagen eine Zeit lang aufzubewahren. Die Datenschutzaufsichtsbehörden der Bundesländer haben allerdings unterschiedliche Ansichten, wie lange das gilt – das reicht von drei Monaten (Baden-Württemberg) bis zu sechs Monaten (Bayern) ab dem Zeitpunkt der Absage. „Drei Monate darf man Bewerbungsunterlagen auf jeden Fall aufbewahren, eine Aufbewahrung von bis zu sechs Monaten ist in der Regel aber noch vertretbar “, sagt Baumann. Und sollte es vorher zu einer Klage kommen, dürfen Arbeitgeber die Unterlagen sowieso länger aufbewahren.

Viele Unternehmen bewahren „Rumpfdaten“ wie Name, Adresse und Geburtsdatum auf, um festzustellen, ob sich jemand schon einmal bei ihnen beworben hat. Aus datenschutzrechtlicher Sicht rät Baumann davon ab.

Wie kann man Bewerbungsunterlagen sicher vernichten?

Unternehmen müssen nach spätestens sechs Monaten alle Daten löschen, die mit der Bewerbung zu tun haben: Notizen, E-Mails, Probearbeiten. Wenn Chefs oder Mitarbeiter Bewerbungen im Unternehmen per E-Mail rumgeschickt haben, müssen alle Personen, die sie bekommen haben, die E-Mails mit den Bewertungsunterlagen fristgerecht löschen. Das funktioniert oft nicht zuverlässig – es sei denn, es gibt ein Löschkonzept im Unternehmen, an das sich alle halten.

Alle Beteiligten müssen die E-Mails so löschen, dass man die Daten nicht mit zwei Klicks wiederherstellen kann. Früher hat man schriftliche Bewerbungen zurückgeschickt, das macht heute kaum noch jemand. Sie müssen datenschutzkonform vernichtet werden – also nicht in die Mülltonne werfen, sondern in den Schredder!

Ist ein Bewerbermanagement-System sinnvoll?

Ja. In einem solchen Tool kann man eine automatische Löschroutine vorsehen, die Daten verlassen das Tool nicht und die Personalverantwortlichen können einzelnen Personen Zugriffsrechte gewähren. Solche Bewerbungsmanagement-Systeme kosten ab 60 Euro pro Monat. Bei der Auswahl hilft der Vergleich des Institute for Competitive Recruiting.

Was müssen Unternehmen beim Background-Check von Bewerbern beachten?

Wer sich bei früheren Arbeitgebern über einen Bewerber informieren möchte, braucht dazu die schriftliche Einwilligung des Bewerbers – es sei denn, es gibt Anhaltspunkte, dass etwas mit der Bewerbung nicht stimmt, dass beispielsweise ein Zeugnis gefälscht ist. „Dann darf man den früheren Arbeitgeber kontaktieren, denn dann ist das für die Einstellungsentscheidung erforderlich“, sagt Baumann. Wenn der Bewerber allerdings jemanden als Referenz angibt, können Unternehmer das als Einwilligung sehen, dass sie diese Person kontaktieren dürfen.

Das Sammeln von Daten in beruflichen sozialen Netzwerken wie Xing oder LinkedIn ist dann erlaubt, wenn man verifizieren will, ob stimmt, was in der Bewerbung steht, und wenn die Daten öffentlich zugänglich sind. Arbeitgeber müssen den Bewerber aber darüber informieren, dass sie dort Daten über ihn erheben (in der Datenschutzinformation, siehe oben).

Bewerber zu googeln ist nicht erlaubt, da der Arbeitgeber nicht davon ausgehen kann, dass er bei einer Google-Suche (nur) auf beschäftigungsrelevante Informationen stößt. Ebenso darf man auch nicht bei Facebook, Instagram oder Twitter Nachforschungen über den Bewerber anstellen. Lesen Sie hier, was sonst noch für den Background-Check von Bewerbern gilt.

Lesen Sie hier mehr zum Thema Cookie-Hinweis.

Vermeiden Sie Abmahnungen und Bußgelder

... ohne ständig neue Verordnungen und Gesetzestexte zu wälzen. Erfahren Sie zwei Mal im Monat, welche rechtlichen Änderungen für Ihr Unternehmen relevant sind und was Sie konkret tun müssen - kompakt und verständlich. Jetzt 30 Tage kostenlos testen!
7 Kommentare
  • Christian 29. Oktober 2019 16:36

    Sehr geehrte Frau Schmid,

    vielen Dank für diesen aufschlussreichen Artikel.

    In wie fern dürfen Bewerbungsunterlagen an weitere Unternehmen übermittelt werden, wenn diese im Bewerbungsprozess involviert sind und zum Beispiel im Auftrag als externe Personalberater arbeiten? Bzw. welche Einverständnisnachweise des Bewerbers sind nötig?

    Grüße Christian

    • Angelika Unger
      Angelika Unger 30. Oktober 2019 08:33

      Hallo Christian,

      diese Frage können wir leider auch nicht beantworten. Ein auf Datenschutzrecht spezialisierter Anwalt sollte Ihnen weiterhelfen können.

      Viele Grüße vom impulse-Team

  • Andreas 10. April 2019 11:10

    Wie weit geht das Recht eines Bewerbers, in verarbeitete personenbezogene Daten Einblick zu nehmen oder sich Kopien der personenbezogenen Daten anfertigen zu lassen?

    Wenn im Rahmen eines Auswahlgesprächs Notizen angefertigt werden und diese Bestandteil der Bewerberakte bleiben – dürfen diese eingesehen werden oder sogar Kopien hiervon verlangt werden?
    Wie ist eine Unleserlichkeit von handschriftlichen Notizen zu bewerten?

    Wenn der Bewerber nach einem vorgegebenen Schema beurteilt wird, kann er bei Einblicknahme oder sogar Kopie Rückschlüsse darauf nehmen, in welchen Kategorien er beurteilt wurde, wie er hier beurteilt wurde und ggf. auch wo die Grenzen lagen, einen Bewerber anzunehmen oder abzulehnen. Kann er dennoch eine Kopie eines solchen Dokuments verlangen oder können die darin enthaltenen Informationen auch in einer Form überlassen werden, die keine das Auswahlverfahren korrumpierenden Rückschlüsse zulassen?

  • Toni 19. Februar 2019 11:27

    Im Artikel steht, dass nur Personen die Unterlagen bekommen sollten, die darüber entscheiden, ob ein Bewerber eingestellt wird.

    Aber wie ist die Rechtslage, wenn ein Kandidat vom ganzen Team oder teamübergreifend gesichtet werden soll?

    • Dorothée Schmid
      Dorothée Schmid 19. Februar 2019 11:32

      Hallo Toni!
      hat das ganze Team ein Mitspracherecht bei der Auswahlentscheidung? Dann wäre es wohl legitim.

      Herzliche Grüße aus der impulse-Redaktion
      Dorothée Schmid

  • Anonymous 18. Februar 2019 16:29

    Vielen Dank für die gute Übersicht. Wie lange kann man die Daten eines Kandidaten speichern wenn man die Einwilligung für die Aufnahme in den Talent Pool nachweislich eingeholt hat?

    • Dorothée Schmid
      Dorothée Schmid 19. Februar 2019 08:44

      Hier gibt es keine starren Löschfristen. Die Daten müssen gelöscht werden, sobald sie für den Talent-Pool nicht mehr erforderlich sind. Wenn Sie beispielsweise ohnehin nicht mehr auf Bewerberdaten zurückgreifen, wenn diese älter als drei Jahre sind, dann müssen Sie sie löschen. Der Bewerber muss vor seiner Einwilligung auf sein Widerrufsrecht hingewiesen werden – macht er davon Gebrauch, dann müssen Sie die Daten ebenfalls löschen.
      Herzliche Grüße aus der impulse-Redaktion
      Dorothée Schmid

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)