Bewerbungen erreichen heute überwiegend per E-Mail die Unternehmen. In den seltensten Fällen erhalten Unternehmen Bewerbungen noch per Post. Die Herausforderung für Unternehmen besteht darin, sicherzustellen, dass die Grundsätze für die Verarbeitung der personenbezogenen Daten (Artikel 5 DSGVO) gewährleistet ist.
Was ist beim Bewerbungsmanagement unter Berücksichtigung der Grundsätze für die Verarbeitung personenbezogener Daten gem. EU-Datenschutzgrundverordnung (DSGVO) zu beachten?
Die wichtigsten Aspekte für die Verarbeitung datenschutzkonformer Bewerbungsunterlagen ergeben sich aus den Artikeln 5, 6 und 13 der DSGVO.
Schauen wir uns diese doch einmal in der Praxis an.
Senden Bewerber ihre Bewerbungsunterlagen per E-Mail an ein Unternehmen, so gehen Bewerber davon aus, dass ihre Daten nur zum Zweck der Bewerbung ("Zweckbindung") nach "Treu und Glauben" verarbeitet werden. Idealerweise hat das Unternehmen hierfür eine separate E-Mail-Adresse eingerichtet.
Seit der Einführung der DSGVO sind Empfangsbestätigungen, die den Bewerbern den Eingang der Bewerbungsunterlagen bestätigen, zwingend erforderlich ("Transparenz"). Bewerber müssen Kenntnis über die weitere Verarbeitung ihrer Unterlagen erhalten.
Artikel 13 DSGVO benennt Informationspflichten, d.h. präzise und verständliche Form bei der Erhebung personenbezogener Daten, über die Bewerber informiert werden müssen. In diesen Informationspflichten ist auch eindeutig die "Rechtmäßigkeit der Verarbeitung" nach Artikel 6 DSGVO zu benennen
Der Grundsatz der "Datenminimierung" fordert, dass die Weitergabe/-leitung der Bewerbungsunterlagen innerhalb des Unternehmens ausschließlich an Personen erfolgt, die unmittelbar in dem Bewerbungsverfahren eingebunden sind.
Diese Personen sollten in Form einer Richtlinie zum Umgang mit Bewerberdaten dafür sensibilisiert sein, dass sie die personenbezogenen Daten rechtskonform weiterverarbeiten.
In der Praxis hat sich gezeigt, dass Bewerberunterlagen häufig in Dateisystemen gespeichert werden. Das wiederum birgt die Gefahr, dass Kollegen, die nicht im Bewerbungsverfahren involviert sind, darauf zugreifen können. Dies stellt einen eindeutigen Verstoß gegen die Grundsätze der DSGVO dar.
Der Grundsatz der "Speicherbegrenzung" bedeutet, dass nach spätestens sechs Monaten nach dem Ende eines Bewerbungsverfahrens sämtliche personenbezogene Daten der Bewerber, inklusive ihrer Bewerbungsunterlagen, gelöscht werden müssen. Dies bedeutet, dass alle Personen, die im Bewerbungsverfahren mit einbezogen waren, rechtzeitig darüber informiert werden müssen, sämtliche personenbezogenen Daten in E-Mail-Postfächern, Dateiablagen und Akten (auch hierfür gilt die DSGVO) fristgerecht zu löschen.
Sollen abgelehnte Bewerber in einen Kandidatenpool übernommen werden, so bedarf dies einer eindeutigen (idealerweise schriftlichen) Einwilligung der jeweiligen Bewerber. In dieser Einwilligung sind ebenfalls die aus Artikel 13 DSGVO aufgeführten Informationspflichten den Bewerbern mitzuteilen.
Artikel 5 DSGVO endet damit, dass die "Rechenschaftspflicht" zum datenschutzkonformen Bewerbungsmanagement beim Unternehmen liegt. Eine detaillierte Dokumentation sämtlicher Prozesse im Zusammenhang mit den Bewerbungsunterlagen (Erfassung, Verarbeitung, Weitergabe, Löschung, Kandidatenpool) ist zwingend erforderlich.
Fazit
Der Aufwand für Unternehmen, neben der passenden Kandidatenauswahl "auch noch" die Anforderungen der DSGVO zu erfüllen, stellt eine größere Herausforderung dar. Wird auch nur gegen einen der Punkte aus Artikel 5 DSGVO verstoßen, drohen empfindliche Bußgelder.
Die Lösung ist der Einsatz eines Bewerbungsmanagementsystems, welches sämtliche personenbezogenen Daten bündelt. Gleichzeitig wird über ein BM-System mit allen am Bewerbungs- und Einstellungsprozess Beteiligten kommuniziert. E-Mails werden aus dem System verschickt. Es entfällt jegliche und - in den meisten Fällen - unzulässige Informationsweiterleitung und -Speicherung personenbezogener Daten über oder in persönlichen E-Mail-Postfächern, die nicht kontrollierbar sind.
Unternehmen können ein Bewerbungsmanagementsystem anschaffen und betreiben oder - noch besser in den meisten Fällen - ein gemanagtes System nutzen. FEL berät Sie gerne, wie das in der Praxis aussehen kann und wie Unternehmen sich somit vollständig der Risiken des Datenschutzes im Zusammenhang mit Bewerbungsmanagement entledigen können.
Fragen dazu beantworten wir gerne. Senden Sie uns einfach ein
Bildquelle: © Alexandra H. / pixelio.de
Autor: Markus Steinmetz, Datenschutzbeauftragter der FEL GmbH