Das Thema Datenschutz ist spätestens seit der neuen Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft trat, in aller Munde. Da verwundert es, dass im Zusammenhang mit Bewerbungen so wenig über Datenschutz gesprochen wird. Schließlich gibt man bei einer Bewerbung grundlegende persönliche Daten von sich preis. Wir haben uns einmal näher mit diesem Thema befasst und möchten unsere Gedanken nun gerne mit euch teilen!
Das Wichtigste in Kürze
- Arbeitgeber dürfen Bewerberdaten nur zweckgebunden nutzen und speichern
- Bei Eingang der Unterlagen müssen Bewerber vom Arbeitgeber über die Art der Datenerhebung informiert werden
- Bewerber haben jederzeit das Recht, vom Arbeitgeber umfangreiche Auskunft über die gespeicherten Daten zu verlangen
- Möchte der Arbeitgeber die personenbezogenen Daten länger aufbewahren, muss der Bewerber ausdrücklich zustimmen
- Hält sich ein Arbeitgeber nicht an die Regelungen der DSGVO, muss er mit erheblichen finanziellen Sanktionen rechnen
Die Datenschutzgrundverordnung und ihre Relevanz für Bewerbungen
Jede Bewerbung enthält personenbezogene Daten. Während wir diese persönlichen Angaben bei anderen Gelegenheiten schützen, geben wir im Rahmen einer Bewerbung nahezu alles von uns preis. Es versteht sich von selbst, dass Unternehmen diese Daten diskret behandeln müssen. Doch welche Vorschriften, welche Gesetze greifen hier tatsächlich?
Nun, auch hier gelten die Grundsätze der EU-Datenschutzgrundverordnung, die im Mai 2018 neu in Kraft trat. Für den Bewerberdatenschutz in Unternehmen sind vor allem Art. 88 DSGVO und § 26 BDSG relevant.
Laut DSGVO darf der Arbeitgeber Bewerberdaten nur zweckgebunden nutzen und speichern. Ist der Zweck erfüllt, also ein passender Mitarbeiter gefunden, müssen die Daten der anderen Bewerber wieder gelöscht werden. Es sei denn, ein Bewerber stimmt einer darüberhinausgehenden Aufbewahrung ausdrücklich zu.
Hierbei ist es übrigens vollkommen egal, ob die Bewerbung per Post, E-Mail oder über ein Bewerbungsportal erfolgt. Der Arbeitgeber ist unabhängig von der Bewerbungsart dazu verpflichtet, diese Grundsätze der DSGVO einzuhalten.
So weit die Theorie. Aber kann man sich als Bewerber tatsächlich darauf verlassen, dass die Daten vollständig gelöscht werden? Welche Konsequenzen drohen einem Arbeitgeber, der die DSGVO nicht befolgt? Auch diesen Fragen sind wir einmal nachgegangen!
Die Pflichten der Arbeitgeber laut DSGVO
Grundsätzlich ist der Arbeitgeber also dazu verpflichtet, die personenbezogenen Daten der Bewerber vollständig zu löschen (es sei denn die Bewerber stimmen einer Speicherung ausdrücklich zu). Der Arbeitgeber muss somit alle Daten und Informationen löschen, die im Zusammenhang mit einem Bewerber stehen. Dazu zählen neben der eigentlichen Bewerbung auch die internen Weiterleitungen von Bewerbungen per E-Mail. Alle Mails, die personenbezogene Daten enthalten, müssen somit ebenfalls vollständig vom Rechner entfernt werden.
Auch Notizen aus dem Vorstellungsgespräch und ggf. ergänzende Unterlagen müssen vernichtet oder – sofern sie digital gespeichert wurden – ebenfalls gelöscht werden.
Der Teufel im Detail:
So weit, so gut. Laut DSGVO sind alle personenbezogenen Daten also zu löschen bzw. zu vernichten, sobald sie ihren Zweck erfüllt haben. Dennoch erfolgt das Löschen in der Regel nicht unmittelbar. Arbeitgebern obliegt nämlich ebenfalls die Pflicht, die Bewerberdaten über die Stellenvergabe hinaus aufzubewahren, um auf eine mögliche Klage nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) reagieren zu können. Wie lange der Arbeitgeber die Unterlagen aufbewahren muss (oder darf), ist jedoch nicht eindeutig geregelt.
Der Teufel lauert also wie so häufig im Detail. Zwar besagt die DSGVO ganz klar, dass personenbezogene Daten gelöscht werden müssen, was den genauen Zeitraum angeht, ist die Gesetzeslage jedoch nicht eindeutig. Zwar geht man davon aus, dass drei bis maximal sechs Monate ausreichen sollten, um die Daten aufzubewahren, eine entsprechende gesetzliche Verankerung eines konkreten Zeitraums fehlt jedoch. Über die zulässige Aufbewahrungsdauer besteht also keine einheitliche rechtliche Regelung.
In der Regel löschen Arbeitgeber die personenbezogenen Daten ihrer Bewerber daher meist erst nach sechs Monaten, um im Falle einer Klage auf der sicheren Seite zu sein. Weshalb sechs Monate? Nun, laut Art. 15 Abs. 4 AGG muss ein Kläger seinen Anspruch innerhalb von zwei Monaten nach Zugang der Ablehnung geltend machen. Anschließend hat der Kläger noch einmal drei Monate Zeit, eine Klage in die Wege zu leiten. Unter Berücksichtigung der normalen Postlaufzeiten ergibt sich somit ein sicherer Rahmen von sechs Monaten bis zur Löschung. Und diesen Rahmen nutzen die meisten Arbeitgeber eben auch aus.
Wer sichergehen möchte, dass tatsächlich alle personenbezogenen Daten innerhalb dieses Zeitraums von drei bis maximal sechs Monaten gelöscht werden, sollte sich direkt an den Arbeitgeber wenden und auf das Löschen der Daten pochen. Aus Art. 13 und Art.14 DSGVO ergibt sich nämlich eine Informationspflicht darüber, wie personenbezogenen Daten verarbeitet werden. Es ist also das Recht eines Bewerbers, diese Auskunft einzuholen und den Arbeitgeber ggf. zur Löschung der Daten aufzufordern.
Diese Konsequenzen drohen dem Arbeitgeber bei einem Verstoß gegen das DSGVO:
Hält sich ein Arbeitgeber nicht an die Regelungen der DSGVO, muss er mit einem Bußgeld rechnen. Und die Höhe der möglichen Sanktionen hat mit Inkrafttreten der DSGVO erheblich zugenommen. Bußgelder von bis zu 20 Millionen Euro bzw. vier Prozent des globalen Umsatzes können unter anderem für fehlende Dokumentation, unterlassene Information der Bewerber oder unterlassene regelmäßige Überprüfung der Sicherheit von HR-Systemen verhängt werden. Aufgrund dieser empfindlichen finanziellen Sanktionen sollte also eigentlich jeder Arbeitgeber darauf erpicht sein, die Regelungen des DSGVO sorgfältig umzusetzen.
Aber: Schwarze Schafe gibt es überall. Natürlich ist das drohende Bußgeld noch keine Garantie, dass ein Arbeitgeber die personenbezogenen Daten auch wirklich gewissenhaft und vollständig löscht. Denn wie heißt es so schön: Wo kein Kläger, da kein Richter. Es empfiehlt sich daher durchaus nach einer angemessenen Frist noch einmal konkret beim Unternehmen nachzuhaken, ob die Bewerbung samt aller Daten auch tatsächlich gelöscht wurde.
Die wesentlichen Regelungen der DSGVO auf einen Blick
Nicht nur die Speicherung der Daten ist gesetzlich geregelt. Arbeitgeber müssen insgesamt für mehr Transparenz beim Bewerbungsverfahren sorgen. Die DSGVO sieht im Detail folgende Regelungen vor:
- Gemäß Art. 13 Abs. 1 und Abs. 2 DSGVO müssen Arbeitgeber Bewerber bei Eingang der Unterlagen über die Art der Datenerhebung informieren, also z.B. Angaben zum Verarbeitungszweck sowie zur Dauer des Aufbewahrungszeitraums machen.
- Die Speicherung personenbezogener Daten darf nur zweckgebunden erfolgen, also z.B. im Rahmen eines Bewerbungsverfahrens.
- Gemäß Artikel 15 DSGVO haben Bewerber jederzeit das Recht, von den Arbeitgebern umfangreiche Auskunft über die gespeicherten Daten zu verlangen.
- Möchte ein Arbeitgeber die Daten länger aufbewahren, muss eine schriftliche Einverständniserklärung des Kandidaten eingeholt werden.
- Um das Bewerbungsverfahren sicherer zu machen, sollten Arbeitgeber im Bewerberbereich einen verschlüsselten Kanal zur Verfügung stellen.
Tipps: Was man als Bewerber selbst tun kann, um personenbezogene Daten zu schützen
Auch als Bewerber hat man die Möglichkeit für größtmögliche Sicherheit zu sorgen. Wer Business-Netzwerke wie z.B. XING oder LinkedIn nutzt, sollte folgende Tipps beherzigen:
1. Datenschutz-Einstellungen überprüfen
Für Business-Netzwerke empfehlen Experten stets nicht-öffentliche Profileinstellungen. Wer sich nicht sicher ist, ob seine Profildaten nur von einzelnen oder von jedem eingesehen werden können, sollte unbedingt die Datenschutz-Einstellungen überprüfen und ggf. zur nicht-öffentlichen Profileinstellung wechseln.
2. Vorsicht bei der Nutzung von Business-Netzwerk Apps
Wer für die Bewerbung eine Business-Netzwerk-App nutzt, sollte stets Vorsicht walten lassen und die Datenschutz-Einstellungen sowie die Allgemeinen Geschäftsbedingungen lesen. Manche Apps synchronisieren ungefragt die Kontakte auf dem Smartphone und senden automatisch Werbe-Mails mit Einladungen auf die Plattform.
3. Datenschutz-Einstellungen überprüfen
Generell sollte man die Datenschutz-Einstellungen aller Apps überprüfen, die man rund um das Thema Bewerbung einsetzt.
Fazit
Die DSGVO gibt klare Regelungen für Bewerbungen und Bewerbungsverfahren vor. Unternehmen, die sich nicht an die DSGVO halten, müssen mit hohen Bußgeldern rechnen. Auch als Bewerber ist man jedoch in der Verantwortung. Denn jeder Bewerber hat es ein gutes Stück weit selbst in der Hand, die personenbezogenen Daten im Internet zu schützen.
- Bundesministerium der Justiz und für Verbraucherschutz (BMJV): Allgemeines Gleichbehandlungsgesetz (AGG) http://www.gesetze-im-internet.de/agg/ (abgerufen am 19. Juni 2020)
- Datenschutz-Grundverordnung (DSGVO) https://dsgvo-gesetz.de (abgerufen am 19. Juni 2020)
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): Datenschutz: Bewerbungsunterlagen https://www.bfdi.bund.de/DE/Datenschutz/Themen/Arbeit_Bildung/BeschaeftigungArbeitArtikel/Bewerbungsunterlagen.html (abgerufen am 19. Juni 2020)
- Deutsche Handwerks Zeitung (DHZ): DSGVO bei Bewerbungen: Bewerbung erhalten: 8 Punkte, die Sie nach der DSGVO beachten müssen https://www.deutsche-handwerks-zeitung.de/bewerbung-erhalten-8-punkte-die-sie-nach-der-dsgvo-beachten-muessen/150/32549/373283 (abgerufen am 19. Juni 2020)
- MONSTER.de: Datenschutz: Das ändert sich im Umgang mit Bewerberdaten https://www.monster.de/mitarbeiter-finden/recruiting-tipps/personalmanagement/arbeitsrecht/datenschutz-umgang-mit-bewerberdaten/ (abgerufen am 19. Juni 2020)
Unsere Autorin Patricia Schlösser-Christ studierte an der Johannes Gutenberg-Universität Mainz und arbeitete anschließend an der Volkshochschule Worms. Als Kulturanthropologin M.A. widmet sie sich seither dem Schwerpunkt Erwachsenenbildung / Weiterbildung und hat dabei auch die Entwicklungen auf dem Arbeitsmarkt stets im Blick.