Bereits 2015 prüfte das Bayerisches Landesamt für Datenschutzaufsicht die Ausgestaltung von Bewerbungsverfahren durch bayerische Unternehmen. Jetzt geht die Prüfung wohl in die zweite Runde, nunmehr unter Berücksichtigung der neuen Gesetzeslage durch DSGVO und BDSG-neu. Es werden 15 Unternehmen mit einem Fragebogen angeschrieben und verschiedene Parameter des Bewerbungsprozesses abgefragt.

Das Anschreiben findet sich hier. Nachfolgend soll zu diesen Fragen das datenschutzkonforme Vorgehen beschrieben werden.

Frage 1: Art. 13 DSGVO sieht eine Informationspflicht des Verantwortlichen gegenüber der betroffenen Person vor. Diese Pflicht besteht demgemäß auch im Bewerbungsverfahren. Wie kommen Sie als potentieller Arbeitgeber im Bewerbungsverfahren Ihren Informationspflichten gegenüber Bewerberinnen und Bewerbern nach?

Nach Art. 13 DSGVO muss der Bewerber bei der Erhebung seiner Daten umfassend über die sich anschließende Datenverarbeitung informiert werden. Der Umfang der Informationspflicht ist durch die DSGVO geregelt. Je nachdem, wie die Bewerbung zugestellt wird, muss die Bereitstellung der Informationen unterschiedlich geregelt werden. Grundsätzlich bietet es sich an, die entsprechenden Informationen auf der Webseite des Unternehmens vorzuhalten.

 Online Bewerbung:

Erfolgt die Übersendung der Bewerbung über die Internetseite des Unternehmens oder über eine speziell eingerichtete Plattform, sind die entsprechenden Informationen in der Datenschutzerklärung der Webseite oder der Plattform vorzuhalten. In der Eingabemaske ist auf die Datenschutzerklärung hinzuweisen.

E-Mail Bewerbung:

Erfolgt die Bewerbung per E-Mail, können die Informationen als pdf-Dokument über die Response-Funktion des E-Mail-Programms oder über eine manuell versandte E-Mail, mit der die Eingangsbestätigung versandt wird, an den Bewerbenden gesandt werden.

Postalische Bewerbung:

Hier gilt das zur E-Mail-Bewerbung dargestellt Entsprechende. Dem Bewerbenden sind die Informationen über die Eingangsbestätigung zuzusenden.

Persönliche Bewerbung:

Wird die Bewerbung persönlich abgegeben, sollte dem Bewerber die Information im Austausch mit den Bewerbungsunterlagen ausgehändigt werden, bei einem Einwurf in den Briefkasten im Rahmen der Eingangsbestätigung.

Frage 2: In welchen Fällen werden im Bewerbungsverfahren Rückfragen beim früheren Arbeitgeber gestellt (z.B. Grund für die Beendigung des Beschäftigungsverhältnisses). Auf welche Rechtsgrundlage stützen Sie diese Rückfragen?

Eine Rückfrage bei früheren Arbeitgebern steht unter dem Vorbehalt einer Einwilligung des Bewerbers. Willigt dieser nicht ein, darf keine Rückfrage erfolgen. Die verweigerte Einwilligung darf bei der Entscheidung bzgl. der Einstellung nicht berücksichtigt werden.

Frage 3 und 4: Welche Abteilungen oder Bereiche haben im Unternehmen Zugriff auf die Bewerbungsunterlagen? Erhalten diese die Bewerbungsunterlagen elektronisch oder in Papierform? Wie stellen Sie sicher, dass die Bewerbungsunterlagen nach Abschluss des Bewerbungsverfahrens in den Abteilungen oder Bereichen wieder gelöscht werden?

Der Zugriff auf die Bewerbungen muss sich auf die Entscheidungsträger beschränken. Neben der Geschäftsführung und der Personalabteilung ist dies regelmäßig noch die entsprechende Fachabteilung, in der der Bewerber tätig werden würde. Kann der Zugriff auf die Bewerbung nicht über das Berechtigungskonzept einer entsprechenden Software abgebildet werden, ergeben sich regelmäßig organisatorische Herausforderungen. Es bietet sich an, die Unterlagen in einem Ordner, auf den nur die Entscheidungsträger Zugriff haben, als pdf zu hinterlegen. Das pdf ist so zu gestalten, dass Ausdrucke nicht möglich sind. Zudem sollte organisatorisch die Vervielfältigung der Dokumente untersagt werden. Nach Abschluss der Entscheidung löscht der Prozessverantwortliche die Dokumente aus dem Ordner.

Frage 5: Wann werden die Daten der abgelehnten Bewerberinnen und Bewerber gelöscht?

Ist die zu besetzende Stelle vergeben, ist der Zweck der Verarbeitung der personenbezogenen Daten aus dem Bewerbungsverfahren erfüllt. Um eine ordnungsgemäße Entscheidung ohne Benachteiligung nachzuweisen, sollten die Unterlagen aus dem Bewerbungsverfahren jedoch aufbewahrt werden.

Die meisten Aufsichtsbehörden akzeptieren hierfür einen Zeitraum bis maximal drei Monaten ohne weitere Begründung. Denn der Arbeitgeber muss sich gegen Ansprüche aus § 21 AGG (Allgemeines Gleichbehandlungsgesetz) verteidigen können. Dies ist nur möglich, wenn er sich unter Bezug auf die Bewerbungsunterlagen an den Vorgang erinnern kann.

Aus diesem Grund sollte eine Löschung in der Regel spätestens drei Monate nach Abschluss des Bewerbungsverfahrens zu erfolgen. Soll eine Bewerbung in einem Bewerberpool längerfristig gespeichert werden, bedarf es der Einwilligung des Bewerbenden. In diesem Fall sollte die Speicherdauer nicht länger als 2 Jahre betragen.

Sofern der Bewerber Reisekosten für das Vorstellungsgespräch geltend machen kann, sind die dementsprechenden Nachweise 10 Jahre aufzubewahren.

Sollen die Unterlagen aus dem Bewerbungsverfahren auch anderen, eigenständigen Unternehmenseinheiten eines Konzerns zur Verfügung stehen, muss die Personalabteilung dies dem Bewerber mitteilen. So hat er die Wahl, dem zu widersprechen. An den Aufbewahrungsfristen ändert sich hierdurch allerdings nichts.

Frage 6: Existiert in Ihrem Verzeichnis der Verarbeitungstätigkeiten ein Eintrag für Bewerbungsverfahren? Falls ja, bitten wir Sie, uns diesen Ausschnitt aus Ihrem Verzeichnis zuzuschicken. Falls nein, warum ist das nicht im Verzeichnis der Verarbeitungstätigkeiten aufgeführt?

Das Verfahren ist zwingend im Verzeichnis der Verarbeitungstätigkeiten aufzunehmen. Hier besteht insoweit keine wesentliche Neuerung. Auch nach dem „alten“ Bundesdatenschutzgesetz war das Bewerbungsverfahren fester Bestandteil bei Verfahrensverzeichnisses.

Update 05.12.2018

Nach Ansicht der Bundesdatenschutzbeauftragten und des Baden-Württembergischen Landesdatenschutzbeauftragten ist eine Speicherung der Bewerberdaten nur maximal drei Monate zulässig. Im Text hatten wir ursprünglich eine Aufbewahrungsfrist von sechs Monaten als unkritisch benannt. Die Bayerische Datenschutzaufsicht hatte diese sechsmonatige Aufbewahrungsfrist 2012 in ihrem Tätigkeitsbericht vertreten. Jedes Unternehmen muss das Rechtsrisiko selbst bewerten und entscheiden, wie lange die Unterlagen aufbewahrt werden sollen.