Bewerberdaten und die DSGVO
So gehen Sie datenschutzkonform mit Bewerbungen um

Bewerbungsunterlagen jahrelang aufbewahren – dürfen Unternehmen das? Was Arbeitgeber beim Recruiting beachten müssen, damit sie nicht gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

, von

Bewerberdaten und die DSGVO
Bewerberdaten muss man nach einer bestimmten Frist datenschutzkonform vernichten.
© Kameleon007 / iStock / Getty Images Plus

Bewerbungsunterlagen werden in Unternehmen gerne mal per E-Mail an diverse Mitarbeiter verschickt. Auf manchem Computer finden sich noch die Lebensläufe der Bewerber für Ausbildungsplätze von vor drei Jahren. Und für den Fall der Fälle liegt bei der Personalabteilung ein Stapel mit Bewerbungsmappen von Kandidaten, die bei den letzten Besetzungen leer ausgingen, aber so interessant sind, dass man sie vielleicht bei der nächsten freien Stelle berücksichtigen möchte. Kommt Ihnen bekannt vor? Dann sollten Sie sich dringend mit dem Thema Datenschutz beschäftigen – denn all diese Praktiken sind nicht datenschutzkonform.

Die Europäische Datenschutz-Grundverordnung erlaubt es den EU-Ländern, für Mitarbeiterdaten eigene Regelungen zu treffen. Und im Sinne des Gesetzes sind auch Bewerber Mitarbeiter. Was für die Verarbeitung ihrer Daten gilt, ist in § 26 des neuen Bundesdatenschutzgesetzes geregelt. Rechtsanwalt Johannes Baumann, spezialisiert auf Datenschutzrecht, gibt Antworten auf die wichtigsten Fragen rund um das Thema Bewerbung und Datenschutz.

Müssen Bewerber eine Einwilligungserklärung abgeben, damit Arbeitgeber ihre Daten für das Bewerbungsverfahren verarbeiten dürfen?

Nein. Man braucht keine Einwilligung dafür, dass die Daten für den Zweck einer konkreten Bewerbung verarbeitet werden.

Wann brauchen Arbeitgeber eine Einwilligung des Bewerbers zur Verarbeitung seiner Daten?

Nur dann, wenn sie die Daten des Bewerbers für eine mögliche spätere Zusammenarbeit speichern wollen. „Viele Unternehmen wollen einen Recruiting-Pool aufbauen. Wenn sie dafür die Daten speichern wollen, brauchen sie eine Einwilligung“, sagt Baumann.

Diese Einwilligung sollten Unternehmer so einholen, dass sie die Einwilligung nachweisen können, rät Baumann. Das geht bei einem Online-Bewerbungsformular beispielsweise über eine Häkchenlösung – wobei der Bewerber die Wahl haben muss, ob er das Häkchen setzt oder nicht. Es ist aber auch möglich, die Einwilligung per E-Mail einzuholen.

Welche Informationspflichten haben Unternehmen gegenüber Bewerbern?

Unternehmen müssen Bewerber nach Artikel 13 und Artikel 14 der DSGVO darüber informieren, wie und zu welchem Zweck sie die Daten verarbeiten und gegebenenfalls bei welchen externen Quellen Daten erhoben werden (Xing, etc.). Außerdem müssen Arbeitgeber Kandidaten über ihre Rechte informieren und den Verantwortlichen für die Datenverarbeitung benennen.

In einem Online-Bewerbungstool kann man diese Datenschutzinformation als Textfeld unterbringen. Wer Bewerbungen per E-Mail erhält, kann die Information mit der Eingangsbestätigung mitschicken. Möglich ist es auch, die Informationen auf der Datenschutzerklärung der Website unterzubringen und dahin zu verlinken.

Zur Person
Johannes Baumann ist Rechtsanwalt und Partner bei der Kanzlei Beiten Burkhardt in München. Er ist auf Datenschutzrecht und IT-Recht spezialisiert.

Auch Bewerbern, die Bewerbungsunterlagen per Post schicken, muss man streng genommen die Datenschutzinformation zuschicken – postalisch oder per Mail.

Bewerber müssen nicht bestätigen, dass sie die Datenschutzinformation bekommen haben und akzeptieren. Unternehmen haben nur eine Pflicht zur Information.

Was darf man in Bewerbungs-Fragebögen abfragen und was nicht?

Unternehmer müssten sich immer fragen: „Ist das, was ich wissen will, für die Einstellungsentscheidung relevant und erforderlich?“, sagt Baumann. Nur diese Daten dürften sie abfragen. Und auch da gebe es Grenzen: Nach Gesundheitsdaten dürfen Unternehmen nur im absoluten Ausnahmefall fragen, beispielsweise wenn man jemand für eine besonders gefährliche Tätigkeit einstellen will. Auch nach Schwangerschaften und Familienstand dürfen Arbeitgeber im Regelfall nicht fragen.

Ebenfalls tabu ist die Frage nach Hobbys; denn Hobbys haben keine Relevanz für die Besetzung der offenen Stelle. Wenn der Bewerber sie aber in seinem Lebenslauf angibt, dürfen Unternehmen sie auch speichern. „Sie müssen diese Daten dann nicht schwärzen und müssen sie auch nicht beim Bewerbungsprozess außen vorlassen“, sagt Baumann.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Lesen Sie hier mehr zu unzulässigen Fragen im Vorstellungsgespräch.

Müssen Unternehmen die Möglichkeit anbieten, Bewerbungen verschlüsselt zu schicken?

Ja, eine solche Möglichkeit sollte man bereitstellen, sagt Baumann. Karriere-Bereiche auf Internetseiten sollten nach dem aktuellen Stand der Technik verschlüsselt sein. Der Arbeitgeber sollte auch die Kommunikation mittels verschlüsselter E-Mails anbieten. Wer Bewerbungen per Mail bevorzugt, sollte daher neben der E-Mail-Adresse auch sein öffentliches Verschlüsselungszertifikat zum Download anbieten. (Mehr dazu hier: E-Mail-Verschlüsselung: So verschicken Sie sensible Daten DSGVO-konform)

Wer darf Bewerbungen sichten?

Die DSGVO fordert Datensparsamkeit. Deshalb dürfen nur die Personen die Bewerbungsunterlagen sichten, die darüber entscheiden, wer die Stelle bekommt. „Personalabteilungen können nicht einfach eine eingehende Bewerbung an alle leitenden Angestellten weiterleiten“, sagt Baumann.

Jedes Unternehmen sollte genau festlegen, wer Bewerberdaten einsehen darf, rät der Anwalt. „Die Daten dürfen nur an die Mitarbeiter gehen, die ein Mitspracherecht bei der Besetzung der jeweiligen Stelle haben.“

Wie lange dürfen Unternehmen Bewerbungsunterlagen aufbewahren?

Hier müssen Chefs zwei Fälle unterscheiden: Entweder sie stellen den Bewerber ein oder nicht. Wenn sie ihn einstellen, wandern die Bewerbungsunterlagen in die Personalakte. Wenn das Unternehmen ihn nicht einstellt, gibt es eine zweimonatige Frist, innerhalb der der Bewerber einen Anspruch nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) gelten machen kann.

Das Unternehmen braucht die Bewerbungsunterlagen, um sich gegebenenfalls gegen einen solchen Anspruch verteidigen zu können: Es hat es ein berechtigtes Interesse, die Unterlagen eine Zeit lang aufzubewahren. Die Datenschutzaufsichtsbehörden der Bundesländer haben allerdings unterschiedliche Ansichten, wie lange das gilt – das reicht von drei Monaten (Baden-Württemberg) bis zu sechs Monaten (Bayern) ab dem Zeitpunkt der Absage. „Drei Monate darf man Bewerbungsunterlagen auf jeden Fall aufbewahren, eine Aufbewahrung von bis zu sechs Monaten ist in der Regel aber noch vertretbar “, sagt Baumann. Und sollte es vorher zu einer Klage kommen, dürfen Arbeitgeber die Unterlagen sowieso länger aufbewahren.

Viele Unternehmen bewahren „Rumpfdaten“ wie Name, Adresse und Geburtsdatum auf, um festzustellen, ob sich jemand schon einmal bei ihnen beworben hat. Aus datenschutzrechtlicher Sicht rät Baumann davon ab.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.

Wie kann man Bewerbungsunterlagen sicher vernichten?

Unternehmen müssen nach spätestens sechs Monaten alle Daten löschen, die mit der Bewerbung zu tun haben: Notizen, E-Mails, Probearbeiten. Wenn Chefs oder Mitarbeiter Bewerbungen im Unternehmen per E-Mail rumgeschickt haben, müssen alle Personen, die sie bekommen haben, die E-Mails mit den Bewertungsunterlagen fristgerecht löschen. Das funktioniert oft nicht zuverlässig – es sei denn, es gibt ein Löschkonzept im Unternehmen, an das sich alle halten.

Alle Beteiligten müssen die E-Mails so löschen, dass man die Daten nicht mit zwei Klicks wiederherstellen kann. Früher hat man schriftliche Bewerbungen zurückgeschickt, das macht heute kaum noch jemand. Sie müssen datenschutzkonform vernichtet werden – also nicht in die Mülltonne werfen, sondern in den Schredder!

Ist ein Bewerbermanagement-System sinnvoll?

Ja. In einem solchen Tool kann man eine automatische Löschroutine vorsehen, die Daten verlassen das Tool nicht und die Personalverantwortlichen können einzelnen Personen Zugriffsrechte gewähren. Solche Bewerbungsmanagement-Systeme kosten ab 60 Euro pro Monat. Bei der Auswahl hilft der Vergleich des Institute for Competitive Recruiting.

Was müssen Unternehmen beim Background-Check von Bewerbern beachten?

Wer sich bei früheren Arbeitgebern über einen Bewerber informieren möchte, braucht dazu die schriftliche Einwilligung des Bewerbers – es sei denn, es gibt Anhaltspunkte, dass etwas mit der Bewerbung nicht stimmt, dass beispielsweise ein Zeugnis gefälscht ist. „Dann darf man den früheren Arbeitgeber kontaktieren, denn dann ist das für die Einstellungsentscheidung erforderlich“, sagt Baumann. Wenn der Bewerber allerdings jemanden als Referenz angibt, können Unternehmer das als Einwilligung sehen, dass sie diese Person kontaktieren dürfen.

Das Sammeln von Daten in beruflichen sozialen Netzwerken wie Xing oder LinkedIn ist dann erlaubt, wenn man verifizieren will, ob stimmt, was in der Bewerbung steht, und wenn die Daten öffentlich zugänglich sind. Arbeitgeber müssen den Bewerber aber darüber informieren, dass sie dort Daten über ihn erheben (in der Datenschutzinformation, siehe oben).

Bewerber zu googeln ist nicht erlaubt, da der Arbeitgeber nicht davon ausgehen kann, dass er bei einer Google-Suche (nur) auf beschäftigungsrelevante Informationen stößt. Ebenso darf man auch nicht bei Facebook, Instagram oder Twitter Nachforschungen über den Bewerber anstellen. Lesen Sie hier, was sonst noch für den Background-Check von Bewerbern gilt.

Lesen Sie hier mehr zum Thema Cookie-Hinweis.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Bewerbungsunterlagen werden in Unternehmen gerne mal per E-Mail an diverse Mitarbeiter verschickt. Auf manchem Computer finden sich noch die Lebensläufe der Bewerber für Ausbildungsplätze von vor drei Jahren. Und für den Fall der Fälle liegt bei der Personalabteilung ein Stapel mit Bewerbungsmappen von Kandidaten, die bei den letzten Besetzungen leer ausgingen, aber so interessant sind, dass man sie vielleicht bei der nächsten freien Stelle berücksichtigen möchte. Kommt Ihnen bekannt vor? Dann sollten Sie sich dringend mit dem Thema Datenschutz beschäftigen – denn all diese Praktiken sind nicht datenschutzkonform. Die Europäische Datenschutz-Grundverordnung erlaubt es den EU-Ländern, für Mitarbeiterdaten eigene Regelungen zu treffen. Und im Sinne des Gesetzes sind auch Bewerber Mitarbeiter. Was für die Verarbeitung ihrer Daten gilt, ist in § 26 des neuen Bundesdatenschutzgesetzes geregelt. Rechtsanwalt Johannes Baumann, spezialisiert auf Datenschutzrecht, gibt Antworten auf die wichtigsten Fragen rund um das Thema Bewerbung und Datenschutz. Müssen Bewerber eine Einwilligungserklärung abgeben, damit Arbeitgeber ihre Daten für das Bewerbungsverfahren verarbeiten dürfen? Nein. Man braucht keine Einwilligung dafür, dass die Daten für den Zweck einer konkreten Bewerbung verarbeitet werden. Wann brauchen Arbeitgeber eine Einwilligung des Bewerbers zur Verarbeitung seiner Daten? Nur dann, wenn sie die Daten des Bewerbers für eine mögliche spätere Zusammenarbeit speichern wollen. „Viele Unternehmen wollen einen Recruiting-Pool aufbauen. Wenn sie dafür die Daten speichern wollen, brauchen sie eine Einwilligung“, sagt Baumann. Diese Einwilligung sollten Unternehmer so einholen, dass sie die Einwilligung nachweisen können, rät Baumann. Das geht bei einem Online-Bewerbungsformular beispielsweise über eine Häkchenlösung - wobei der Bewerber die Wahl haben muss, ob er das Häkchen setzt oder nicht. Es ist aber auch möglich, die Einwilligung per E-Mail einzuholen. Welche Informationspflichten haben Unternehmen gegenüber Bewerbern? Unternehmen müssen Bewerber nach Artikel 13 und Artikel 14 der DSGVO darüber informieren, wie und zu welchem Zweck sie die Daten verarbeiten und gegebenenfalls bei welchen externen Quellen Daten erhoben werden (Xing, etc.). Außerdem müssen Arbeitgeber Kandidaten über ihre Rechte informieren und den Verantwortlichen für die Datenverarbeitung benennen. In einem Online-Bewerbungstool kann man diese Datenschutzinformation als Textfeld unterbringen. Wer Bewerbungen per E-Mail erhält, kann die Information mit der Eingangsbestätigung mitschicken. Möglich ist es auch, die Informationen auf der Datenschutzerklärung der Website unterzubringen und dahin zu verlinken. Auch Bewerbern, die Bewerbungsunterlagen per Post schicken, muss man streng genommen die Datenschutzinformation zuschicken – postalisch oder per Mail. Bewerber müssen nicht bestätigen, dass sie die Datenschutzinformation bekommen haben und akzeptieren. Unternehmen haben nur eine Pflicht zur Information. Was darf man in Bewerbungs-Fragebögen abfragen und was nicht? Unternehmer müssten sich immer fragen: „Ist das, was ich wissen will, für die Einstellungsentscheidung relevant und erforderlich?“, sagt Baumann. Nur diese Daten dürften sie abfragen. Und auch da gebe es Grenzen: Nach Gesundheitsdaten dürfen Unternehmen nur im absoluten Ausnahmefall fragen, beispielsweise wenn man jemand für eine besonders gefährliche Tätigkeit einstellen will. Auch nach Schwangerschaften und Familienstand dürfen Arbeitgeber im Regelfall nicht fragen. Ebenfalls tabu ist die Frage nach Hobbys; denn Hobbys haben keine Relevanz für die Besetzung der offenen Stelle. Wenn der Bewerber sie aber in seinem Lebenslauf angibt, dürfen Unternehmen sie auch speichern. „Sie müssen diese Daten dann nicht schwärzen und müssen sie auch nicht beim Bewerbungsprozess außen vorlassen“, sagt Baumann. Lesen Sie hier mehr zu unzulässigen Fragen im Vorstellungsgespräch. Müssen Unternehmen die Möglichkeit anbieten, Bewerbungen verschlüsselt zu schicken? Ja, eine solche Möglichkeit sollte man bereitstellen, sagt Baumann. Karriere-Bereiche auf Internetseiten sollten nach dem aktuellen Stand der Technik verschlüsselt sein. Der Arbeitgeber sollte auch die Kommunikation mittels verschlüsselter E-Mails anbieten. Wer Bewerbungen per Mail bevorzugt, sollte daher neben der E-Mail-Adresse auch sein öffentliches Verschlüsselungszertifikat zum Download anbieten. (Mehr dazu hier: E-Mail-Verschlüsselung: So verschicken Sie sensible Daten DSGVO-konform) Wer darf Bewerbungen sichten? Die DSGVO fordert Datensparsamkeit. Deshalb dürfen nur die Personen die Bewerbungsunterlagen sichten, die darüber entscheiden, wer die Stelle bekommt. „Personalabteilungen können nicht einfach eine eingehende Bewerbung an alle leitenden Angestellten weiterleiten“, sagt Baumann. Jedes Unternehmen sollte genau festlegen, wer Bewerberdaten einsehen darf, rät der Anwalt. „Die Daten dürfen nur an die Mitarbeiter gehen, die ein Mitspracherecht bei der Besetzung der jeweiligen Stelle haben.“ Wie lange dürfen Unternehmen Bewerbungsunterlagen aufbewahren? Hier müssen Chefs zwei Fälle unterscheiden: Entweder sie stellen den Bewerber ein oder nicht. Wenn sie ihn einstellen, wandern die Bewerbungsunterlagen in die Personalakte. Wenn das Unternehmen ihn nicht einstellt, gibt es eine zweimonatige Frist, innerhalb der der Bewerber einen Anspruch nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) gelten machen kann. Das Unternehmen braucht die Bewerbungsunterlagen, um sich gegebenenfalls gegen einen solchen Anspruch verteidigen zu können: Es hat es ein berechtigtes Interesse, die Unterlagen eine Zeit lang aufzubewahren. Die Datenschutzaufsichtsbehörden der Bundesländer haben allerdings unterschiedliche Ansichten, wie lange das gilt – das reicht von drei Monaten (Baden-Württemberg) bis zu sechs Monaten (Bayern) ab dem Zeitpunkt der Absage. „Drei Monate darf man Bewerbungsunterlagen auf jeden Fall aufbewahren, eine Aufbewahrung von bis zu sechs Monaten ist in der Regel aber noch vertretbar “, sagt Baumann. Und sollte es vorher zu einer Klage kommen, dürfen Arbeitgeber die Unterlagen sowieso länger aufbewahren. Viele Unternehmen bewahren „Rumpfdaten“ wie Name, Adresse und Geburtsdatum auf, um festzustellen, ob sich jemand schon einmal bei ihnen beworben hat. Aus datenschutzrechtlicher Sicht rät Baumann davon ab. Wie kann man Bewerbungsunterlagen sicher vernichten? Unternehmen müssen nach spätestens sechs Monaten alle Daten löschen, die mit der Bewerbung zu tun haben: Notizen, E-Mails, Probearbeiten. Wenn Chefs oder Mitarbeiter Bewerbungen im Unternehmen per E-Mail rumgeschickt haben, müssen alle Personen, die sie bekommen haben, die E-Mails mit den Bewertungsunterlagen fristgerecht löschen. Das funktioniert oft nicht zuverlässig – es sei denn, es gibt ein Löschkonzept im Unternehmen, an das sich alle halten. Alle Beteiligten müssen die E-Mails so löschen, dass man die Daten nicht mit zwei Klicks wiederherstellen kann. Früher hat man schriftliche Bewerbungen zurückgeschickt, das macht heute kaum noch jemand. Sie müssen datenschutzkonform vernichtet werden – also nicht in die Mülltonne werfen, sondern in den Schredder! Ist ein Bewerbermanagement-System sinnvoll? Ja. In einem solchen Tool kann man eine automatische Löschroutine vorsehen, die Daten verlassen das Tool nicht und die Personalverantwortlichen können einzelnen Personen Zugriffsrechte gewähren. Solche Bewerbungsmanagement-Systeme kosten ab 60 Euro pro Monat. Bei der Auswahl hilft der Vergleich des Institute for Competitive Recruiting. Was müssen Unternehmen beim Background-Check von Bewerbern beachten? Wer sich bei früheren Arbeitgebern über einen Bewerber informieren möchte, braucht dazu die schriftliche Einwilligung des Bewerbers – es sei denn, es gibt Anhaltspunkte, dass etwas mit der Bewerbung nicht stimmt, dass beispielsweise ein Zeugnis gefälscht ist. „Dann darf man den früheren Arbeitgeber kontaktieren, denn dann ist das für die Einstellungsentscheidung erforderlich“, sagt Baumann. Wenn der Bewerber allerdings jemanden als Referenz angibt, können Unternehmer das als Einwilligung sehen, dass sie diese Person kontaktieren dürfen. Das Sammeln von Daten in beruflichen sozialen Netzwerken wie Xing oder LinkedIn ist dann erlaubt, wenn man verifizieren will, ob stimmt, was in der Bewerbung steht, und wenn die Daten öffentlich zugänglich sind. Arbeitgeber müssen den Bewerber aber darüber informieren, dass sie dort Daten über ihn erheben (in der Datenschutzinformation, siehe oben). Bewerber zu googeln ist nicht erlaubt, da der Arbeitgeber nicht davon ausgehen kann, dass er bei einer Google-Suche (nur) auf beschäftigungsrelevante Informationen stößt. Ebenso darf man auch nicht bei Facebook, Instagram oder Twitter Nachforschungen über den Bewerber anstellen. Lesen Sie hier, was sonst noch für den Background-Check von Bewerbern gilt. Lesen Sie hier mehr zum Thema Cookie-Hinweis.