Bewerberdaten und DSGVO: Wem gehören die Daten?

Datenschutz bei Bewerbungen – was Sie bei der Verarbeitung personenbezogener Daten beachten müssen

Ob man sich aktiv bewirbt oder im Rahmen des Active Sourcing angesprochen wird, als Bewerber stellt man dem potenziellen Arbeitgeber personenbezogene Daten zur Verfügung. Auch wenn Unternehmen es Bewerbern inzwischen möglichst einfach machen wollen, müssen bei der heute gängigen Online-Bewerbung zumindest so viele Daten angegeben werden, dass eine persönliche Kommunikation ermöglicht wird. Wie funktioniert dabei der datenschutzkonforme Umgang mit den Bewerberdaten?

Name und E-Mail-Adresse sind die ersten Informationen, die Bewerberinnen preisgeben. Zusätzlich können sie Daten aus Portalen wie LinkedIn, Xing oder Facebook übernehmen lassen. Dies vereinfacht den Prozess für sie – und macht den potenziellen Arbeitgebern gleichzeitig weitere personenbezogene Daten zugänglich. Später folgen dann mit großer Wahrscheinlichkeit auch Unterlagen wie Zeugnisse und Lebenslauf. 

Dass es sich bei all diesen Informationen um besonders schützenswerte Daten handelt, liegt auf der Hand. Doch wem gehören diese Daten, die seitens der Bewerber bereitgestellt werden? Gehören sie noch immer den Bewerbenden oder dem potenziellen Arbeitgeber, oder gar dem Betreiber der Software, über die eine Online-Bewerbung erfolgt ist?

Diese Frage ist nicht ganz einfach zu beantworten, zum Glück aber dennoch klar geregelt: Grundsätzlich hat jede natürliche Person nach der seit Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) das Recht auf den Schutz ihrer personenbezogenen Daten.

Im Klartext heißt das: Niemand darf personenbezogene Daten verarbeiten, ohne dass dazu in irgendeiner Form die Erlaubnis vorliegt.


Selbst wenn eine Bewerberin die Daten und Dokumente hochlädt, darf erst einmal niemand anderes etwas damit machen, außer der Bewerberin selbst.

Den Umgang mit personenbezogenen Daten im Bewerbungsprozess regeln die DSGVO und das Bundesdatenschutzgesetz – §26 Abs. 1 BDSG (neu) 

Da dies in einem Bewerbungsprozess aber weder gewollt noch zielführend ist, regelt die DSGVO die Fälle, in denen die Verarbeitung erlaubt ist. Dies kann sich zum Beispiel aus dem Gesetz oder einem Vertrag ergeben, es kann eine Einwilligung der Person vorliegen, oder es besteht ein lebenswichtiges, öffentliches oder berechtigtes Interesse an der Verarbeitung.

Aber liegt nicht schon dadurch eine Einwilligung zur Verarbeitung der Daten vor, dass eine Bewerberin ihre Unterlagen bewusst und freiwillig einstellt?


Nein, davon kann im Rahmen des Datenschutzes nicht ohne weiteres ausgegangen werden, denn die Einwilligung nach der DSGVO unterliegt strengen Anforderungen und kann nicht konkludent (durch schlüssiges Handeln) erfolgen. 

Im Rahmen des Bewerbungsprozesses hilft hier §26 Abs. 1 BDSG (neu) weiter, der neben der DSGVO aufgrund der Öffnungsklausel Anwendung findet und die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Hier heißt es:

„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung […] erforderlich ist.“

Für die Einstellungsentscheidung dürfen die Daten also verarbeitet werden.

Quelle: §26 Abs. 1 BDSG (neu)

Für die Verarbeitung der Bewerberdaten müssen folgende Voraussetzungen erfüllt sein:

  • Der potenzielle Arbeitgeber hat seine Bewerber genau darüber informiert, was mit ihren Daten geschieht – und zwar bevor die ersten Daten gespeichert werden.
  • Dafür müssen der Bewerbung Datenschutzerklärungen bzw. Nutzungsvereinbarungen vorangestellt sein, die im Fall einer Online-Bewerbung aus dem Bewerbungsformular aus abrufbar sind. Diesen muss die Bewerberin zuerst zustimmen.
  • In den Datenschutzerklärungen/Nutzungsvereinbarungen wird dann auch der Betreiber der Bewerbermanagement-Software genannt, der die Daten jedoch nur im Auftrag des potenziellen Arbeitgebers verarbeitet. 

Die Betroffenenrechte der Bewerber nach DSGVO 

Entscheidend ist aber, und auch darüber muss informiert werden, dass den Bewerbern sogenannte Betroffenenrechte zustehen. 

Bewerber haben im Zusammenhang mit ihren Daten das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Übertragbarkeit. Faktisch sind es also noch immer ihre Daten, über die sie selbst entscheiden.

Der korrekte Umgang mit den Betroffenenrechten Ihrer Bewerber nach DSGVO im Überblick:

  • Will eine Bewerberin nicht mehr am Bewerbungsverfahren teilnehmen, kann sie der Verarbeitung widersprechen, und ihre Daten müssen gelöscht werden.
  • Nimmt sie jedoch weiter am Auswahlverfahren teil, sind die Daten an den Entscheidungsträger des potenziellen Arbeitgebers „ausgeliehen“ bis zur Entscheidung über die Bewerbung. 
  • Kommt es zu einer Einstellung, werden die Daten bis zum Austritt in der Personalakte aufbewahrt (und um weitere Daten ergänzt), wobei ebenfalls die entsprechenden Aufbewahrungsfristen gelten. 
  • Wird die Bewerberin jedoch vom Unternehmen abgelehnt, müssen ihre Daten gelöscht werden. Der Zweck der Verarbeitung gemäß § 26 Abs. 1 BDSG (neu) fällt im Fall einer Ablehnung weg und es besteht keine Erlaubnis mehr, die Daten zu verarbeiten.
  • Einzig und allein die Tatsache, dass noch bestimmte Fristen laufen, in denen die Bewerberin z.B. wegen der Entscheidung zur Nichteinstellung gegen den potenziellen Arbeitgeber vorgehen könnte, erlauben es, die Unterlagen bis zu weiteren sechs Monaten aufzubewahren. Ohne weitere Rechtsgrundlage müssen sie dann aber endgültig gelöscht werden.

Fazit

Die personenbezogenen Daten aus Bewerbungsprozessen gehören den Bewerbern, die das Gesetz als Betroffene bezeichnet. Der potenzielle Arbeitgeber hat nur vorübergehend die Erlaubnis, die Daten zu verarbeiten. Ob er sich dabei eines externen Dritten bedient, der eine Bewerbermanagement-Software betreibt oder nicht, spielt dabei keine Rolle. Weil der Softwarebetreiber als Auftragnehmer kein eigenes Interesse an der Verarbeitung der Daten hat, gibt es einen Auftragsverarbeitungsvertrag (AV) mit dem Auftrag- bzw. Arbeitgeber. Dieser untersagt dem Softwarebetreiber, ohne konkrete Weisung des Auftraggebers irgendetwas mit den Daten zu tun oder zu lassen. Der Auftraggeber entscheidet selbst, wie er im Rahmen des § 26 Abs. 1 BDSG (neu) und gemäß der DSGVO die Bewerberdaten verarbeitet und zu welcher Entscheidung er kommt. Auch muss er selbst Sorge für den Schutz der Daten tragen und dafür, dass die Daten fristgerecht gelöscht werden.

Lassen Sie uns reden

Rufen Sie uns an:

+49 (711) 48 60 20 10

Schreiben Sie uns:

Info@HR-Diagnostics.de
ARTIKEL UND FACHBEITRÄGE AUS UNSEREM MAGAZIN