Bewerbungsmappen in Papierform gehören zunehmend der Vergangenheit an. Längst greifen Arbeitgeber auf digitale Stellenausschreibungen zurück und ermöglichen den Interessenten eine Online-Bewerbung. Neben einer Zusendung der Bewerbungsunterlagen per E-Mail sind vor allem Bewerbungsformulare auf den Webseiten verbreitet, bei denen die Bewerber einen Fragenkatalog mit persönlichen Informationen ausfüllen müssen und eingescannte Dokumente hochladen können.
Hierbei sind jedoch verschiedene datenschutzrechtliche Anforderungen zu beachten, die in diesem Blogbeitrag dargestellt werden sollen.
Rechtliche Grundlagen für die Datenverarbeitung
Im Hinblick auf die einschlägigen Rechtsgrundlagen ergeben sich zwischen den „klassischen“ Bewerbungen und den Online-Bewerbungen keine Unterschiede. Maßgeblich sind die Vorschriften des Beschäftigtendatenschutzes und somit insbesondere der § 26 BDSG welcher über die Öffnungsklausel im Art. 88 DSGVO Anwendung findet. Nach § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses unter anderem dann verarbeitet werden, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich ist. Der Begriff der Beschäftigten umfasst dabei ausdrücklich auch Bewerberinnen und Bewerber, wie aus § 26 Abs. 8 S. 2 BDSG hervorgeht.
Der zulässige Umfang der Datenerhebung im Online-Bewerbungsverfahren
Der zulässige Umfang der Datenerhebung bei Online-Bewerbungen bemisst sich somit im Wesentlichen an der Erforderlichkeit der Information für die konkret ausgeschriebene Stelle. Dies ergibt sich auch aus dem Grundsatz der Datenminimierung im Art. 5 Abs. 1 lit. c DSGVO. Darüber hinaus sind bei der Datenerhebung auch das allgemeine Persönlichkeitsrecht der Bewerbenden sowie das Diskriminierungsverbot aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) zu beachten.
In einem Online-Bewerbungsformular dürfen insofern die Stammdaten der Bewerbenden wie Name, Anschrift oder E-Mail-Adresse abgefragt werden. Die zusätzliche Angabe einer Telefonnummer sollte wiederum freiwillig sein, da für die Kontaktaufnahme die Angabe der E-Mail-Adresse grundsätzlich ausreichend ist. Upload-Felder für ein Anschreiben, einen Lebenslauf sowie relevante Zeugnisse und Zertifikate sind ebenfalls erlaubt, da der Arbeitgeber diese Unterlagen benötigt, um die Fähigkeiten, Kenntnisse und Erfahrungen der Bewerbenden und somit die Eignung für die ausgeschriebene Stelle zu beurteilen.
Demgegenüber wird eine Erforderlichkeit bei Fragen nach dem Alter, dem Geburtsort oder dem Geschlecht der Bewerbenden regelmäßig nicht gegeben sein. Die Verarbeitung dieser Informationen ist zudem wegen des bereits erwähnten Diskriminierungsverbotes problematisch. Aufgrund der Sensibilität der Daten ist darüber hinaus eine Abfrage des Gesundheitszustandes, der Partei- oder Gewerkschaftszugehörigkeit sowie der religiösen Orientierung der Bewerbenden grundsätzlich unzulässig. Auch die Einholung eines Bewerbungsfotos darf in einem Online-Bewerbungsformular nur freiwillig erfolgen, da das Aussehen in der Regel keine Berufsqualifikation darstellt, die für die Entscheidung über die Besetzung der Stelle erforderlich ist.
Innerhalb eines Online-Bewerbungsformulars sollte daher mit Pflichtangaben möglichst sparsam umgegangen werden. Die Pflichtfelder sollten darüber hinaus eindeutig als solche gekennzeichnet werden, sodass für die Bewerbenden die Möglichkeit besteht, diese von zusätzlichen freiwilligen Angaben zu unterscheiden.
Erfüllung der Informationspflichten
Der Arbeitgebende als Verantwortlicher ist nach Art. 13 DSGVO dazu verpflichtet, die betroffene Person zum Zeitpunkt der Erhebung über die Verarbeitung Ihrer Daten zu informieren. Im Rahmen einer Online-Bewerbung bietet es sich insofern an, die erforderlichen Informationen bereits in der Stellenausschreibung, z. B. durch eine Verlinkung auf die Datenschutzerklärung, bereitzustellen. Bei dem Einsatz eines Online-Bewerbungsformulars sollten die Informationen auch während der Datenabfrage ständig erreichbar sein. Sofern nicht bereits innerhalb der Stellenausschreibung bzw. im Bewerbungsformular auf die Datenschutzinformation verwiesen wird, sollte diese den Bewerbenden unmittelbar nach dem Eingang der Bewerbung (z. B. in der E-Mail zur Eingangsbestätigung) zur Verfügung gestellt werden.
Der inhaltliche Umfang der Datenschutzinformation ergibt sich aus Art. 13 Abs. 1 und Abs. 2 DSGVO. Demnach sind Bewerbende unter anderem über die Kontaktdaten des Verantwortlichen bzw. des Datenschutzbeauftragten, die Zwecke und Dauer der Verarbeitung sowie die Empfänger oder Kategorien von Empfängern zu informieren. Bei einem Einsatz eines Bewerbertools eines externen Dienstleiters ist insofern darauf zu achten, dass die betroffenen Personen über diesen Umstand informiert werden.
Aufbewahrung und Löschung der Bewerberdaten
Personenbezogene Daten sind nach Art. 17 Abs. 1 lit. a DSGVO grundsätzlich zu löschen, sofern sie für die Zwecke für die sie erhoben wurden nicht mehr notwendig sind. Für Bewerberdaten bedeutet dies, dass eine Verarbeitung bzw. Aufbewahrung zunächst bis zur finalen Entscheidung über die Besetzung der ausgeschriebenen Stelle zulässig ist.
Darüber hinaus besteht keine Pflicht zur Löschung der personenbezogenen Daten, sobald die Verarbeitung zur Geltendmachung, Ausübung, oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 Abs. 3 lit. e DSGVO). Im Hinblick auf mögliche Rechtstreitigkeiten wegen Diskriminierung aus dem AGG, dürfen bzw. sollten die personenbezogenen Daten der abgelehnten Bewerbenden daher, in Anlehnung an die zweimonatige Klagefrist aus § 15 Abs. 4 AGG, für 3-6 Monate nach Ende des Bewerbungsprozesses gespeichert werden.
Eine längere Speicherung der Bewerberdaten zum Zweck einer späteren Berücksichtigung des Bewerbenden bzw. zur Aufnahme in einen Bewerberpool ist nur mit einer ausdrücklichen, freiwilligen und informierten Einwilligung des Bewerbenden zulässig. An dieser Stelle kann auf unseren Blogbeitrag verwiesen werden, der sich speziell mit den datenschutzrechtlichen Fragen bei Bewerberpools auseinandersetzt.
Gewährleistung der Datensicherheit:
Bei einer digitalen Übermittlung von Bewerbungen ist das Risiko grundsätzlich höher, dass Unbefugte oder unberechtigte Personen die Inhalte lesen oder gar verfälschen. Der Arbeitgeber als verantwortliche Stelle ist in diesem Zusammenhang dafür verantwortlich, geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau für die personenbezogenen Daten der Bewerbenden zu gewährleisten (Art. 32 DSGVO). Das Schutzniveau dürfte dabei bei Bewerberdaten als hoch anzusehen sein, da neben Zeugnissen und Zertifikaten auch sensible Informationen im Anschreiben oder Lebenslauf (z. B. Angaben zur Religions-, Gewerkschafts- oder Parteizugehörigkeit) übermittelt werden können.
Die per E-Mail oder Online-Formular übertragenden Bewerberdaten sollten daher ausschließlich verschlüsselt übermittelt werden, um diese vor unberechtigten oder unrechtmäßigen Zugriffen zu schützen. Bei der Versendung der Bewerbungsunterlagen an eine E-Mail-Adresse muss zudem darauf geachtet werden, dass der interne Zugriff auf das E-Mail-Konto nur für berechtigte Personen möglich ist. Diesbezüglich sollten spezielle E-Mail-Adressen eingerichtet werden (z. B. bewerbungen@; karriere@) auf die nur die personalverantwortlichen Stellen zugreifen können.
Fazit
Arbeitgebende müssen bei einem Online-Bewerbungsverfahren verschiedene datenschutzrechtliche Anforderungen erfüllen. Dies betrifft zunächst die Gestaltung der Bewerbungsformulare auf Webseiten, bei denen sich der zulässige Umfang der Datenabfrage stets an der Frage der Erforderlichkeit zu bemessen hat. Neben der Erfüllung der Informationspflichten und der Implementierung von Löschfristen sind insbesondere bei Online-Bewerbungen geeignete Sicherheitsmaßnahmen zu treffen, um die meist sensiblen Bewerberdaten vor unberechtigten oder unbefugten Zugriffen zu schützen.
16. Januar 2023 @ 11:46
Ich finde die Ausführungen zu den Löschfristen falsch. Es besteht keine Pflicht des Arbeitgebers personenbezogene Daten solange zu speichern, wie ein möglicher Anspruch des Betroffenen besteht. Die Klagefrist aus dem § 15 Abs. 4 AGG begründet KEINE Pflicht zur Aufbewahrung und somit keine Löschfrist. Der Arbeitgeber muss die Daten löschen, wenn Art. 17 Abs. 1 lit.a der Zweck entfallen ist UND der Arbeitgeber keine IHN verpflichtenden Aufbewahrungsfristen beachten muss. § 17 Abs. 3 lit e. gilt für die Ansprüche des Arbeitgebers und nicht für die Ansprüche des Bewerbers. Anderes würde gelten, würde sich gegen einen potenziellen Diskriminierungsvorwurf verteidigen werden wollen. Allerdings trägt derjenige der sich auf die Diskriminierung beruft die Beweislast.
Daraus folgt: Bewerberdaten dürfen nach Besetzung der Stelle gelöscht werden.
17. Januar 2023 @ 11:04
Der Verfasser hat ausgeführt, dass die Daten 3 bis 6 Monate gespeichert werden DÜRFEN bzw. (zur möglichen Rechtsverteidigung) sollten. Ist also genau richtig.
13. Januar 2023 @ 13:45
Warum schreiben Sie „der Arbeitgebende“? Es könnte ja auch eine Frau sein, dann müsste es „die Arbeitgebende“ heißen. Also doch einfach gleich „der Arbeitgeber“ schreiben und uns diesen Gender-Schwachsinn ersparen. (Ich bin übrigens weiblich).