Informationspflicht gegenüber Bewerbern – was Arbeitgeber beachten müssen
Sachverhalt
Informationspflichten gelten für Arbeitgeber auch gegenüber Jobinteressierten, die sich für eine Stelle im Unternehmen beworben haben. Nicht nur bei der Verarbeitung der Bewerberdaten ist für Arbeitgeber besondere Sensibilität geboten. Auch die gesetzlichen Vorgaben, wie Bewerber über die im Unternehmen geltenden datenschutzrechtlichen Richtlinien in Bezug auf den Umgang mit Bewerberdaten zu informieren sind, sind vielfältig. Wir fassen die wichtigsten Punkte für Sie zusammen.
Arbeitgeber unterliegen gesetzlicher Informationspflicht gegenüber Bewerbern
Unabhängig von den internen Vorgaben eines Unternehmens gelten für Arbeitgeber unmittelbare Informationspflichten gegenüber den Bewerbern. Da in jedem Bewerbungsverfahren Daten des Bewerbers erhoben und verarbeitet werden, ist dieser nach den Art. 13, 14 Datenschutz-Grundverordnung (DSGVO) darüber zu informieren, in welcher Form und zu welchem Zweck Arbeitgeber ihre Daten verarbeiten. Nutzen Arbeitgeber „Zweitquellen“ (wie beispielsweise einen Anruf beim letzten Arbeitgeber oder ein Karriereportal im Internet), sind die Bewerber hierüber zu unterrichten. Die DSGVO sieht den Schutz der personenbezogenen Daten des Bewerbers vor. Deshalb sind Bewerber über die Verarbeitung ihrer personenbezogenen Daten und den datenschutzrechtlichen Verantwortlichen zu informieren.
Welche Maßnahmen sollten Arbeitgeber ergreifen, um ihrer Informationspflicht nachzukommen?
Arbeitgeber sind gemäß DSGVO angehalten, eine gut sichtbare und an das Unternehmen individuell angepasste Datenschutzerklärung für Bewerber auf ihrer Website zu veröffentlichen. Bei Bewerbungen über ein Portal kann man die Datenschutzerklärung entweder als Text veröffentlichen oder mit der Datenschutzerklärung verlinken. Bei Bewerbungen per E-Mail – und zur Sicherheit bei Bewerbungen über ein Bewerberportal – sollte in jedem Fall die Datenschutzerklärung oder der Link dorthin in die Eingangsbestätigung übernommen werden. Auch bei den in der Praxis inzwischen eher selteneren Fällen der postalischen Zusendung oder der persönlichen Abgabe der Unterlagen sind Bewerber selbstverständlich datenschutzrechtlich über die Verarbeitung ihrer Daten zu informieren. Bei der postalischen Bewerbung sollte die Datenschutzerklärung in jedem Fall per E-Mail oder Post übersandt werden, bei der persönlichen Abgabe kann diese dem Bewerber direkt übergeben werden. Für die Erfüllung der Informationspflichten ist die Einführung eines automatischen Prozesses sinnvoll, um Verstöße gegen diese Vorgaben zu vermeiden und die ordnungsgemäße Erfüllung der Informationspflichten im Zweifel nachweisen zu können.
Nach der Informationspflicht kommt die Löschpflicht der Daten
Arbeitgeber sollten sich immer den Zweck der Verarbeitung von Bewerberdaten vor Augen halten: die Besetzung einer freien Stelle. Entscheidet sich ein Arbeitgeber für einen anderen Bewerber, entfällt damit der Zweck zur Bewerberdatenspeicherung des abgelehnten Kandidaten. Dementsprechend sind grundsätzlich alle personenbezogenen Daten des abgelehnten Bewerbers zu löschen und/oder Unterlagen vollständig an diesen zurückzugeben. Was aber, wenn ein abgelehnter Bewerber nach der Absage Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz gegen den Arbeitgeber geltend macht? In diesem Fall haben Arbeitgeber ein berechtigtes Interesse und damit das Recht, die Unterlagen noch kurzzeitig zu behalten. Leider gibt es bislang keine finale einheitliche Aussage der Datenschutzbehörden darüber, welche Frist angemessen ist. Die Aussagen reichen von drei bis sechs Monaten. Auf keinen Fall empfiehlt es sich, die Daten länger als sechs Monate aufzubewahren. Die Frist zur Löschung beginnt mit Abschluss des Bewerbungsverfahrens, also regelmäßig mit der Besetzung der Stelle.
Automatisierter Löschprozess ist ratsam
Da nicht nur die Verarbeitung, sondern auch die Löschung besonderer Beachtung bedarf, ist es sinnvoll, hier einen automatisierten internen Prozess einschließlich eines Löschkonzeptes aufzusetzen. Bitte achten Sie darauf, dass die personenbezogenen Daten vollständig und nicht wiederherstellbar gelöscht bzw. vernichtet sind. Vorstehendes gilt natürlich nur bei einer Absage. Wird der Bewerber eingestellt, sind seine personenbezogenen Daten aus der Bewerberdatenbank zu löschen und all diejenigen Daten, die für das Arbeitsverhältnis notwendig sind, in die Personalakte zu überführen.
Weiterleitung von Bewerbungsunterlagen nur nach Einwilligung
In vielen Unternehmen ist es bislang noch gängige Praxis, Unterlagen an andere Stellen im Unternehmen weiterzugeben oder trotz Absage aufzubewahren, da der Bewerber gegebenenfalls für eine andere Stelle infrage kommen könnte. Oft werden Bewerber in ein Recruiting-Tool aufgenommen. Hier gilt – grob zusammengefasst –, dass eine Aufbewahrung und Verarbeitung im datenschutzrechtlichen Sinne nicht mehr von § 26 Bundesdatenschutzgesetz (BDSG) gedeckt sind. Für diese Fälle ist eine eindeutige und vor allem nachweisbare Einwilligung sowie eine ordnungsgemäße datenschutzrechtliche Information des Bewerbers erforderlich. Eine solche Einwilligung kann beispielsweise per E-Mail oder über ein Auswahlfeld im Bewerbungsportal erfolgen. Da eine solche Einwilligung stets freiwillig geschehen muss, gilt die Empfehlung, sich die Einwilligung erst nach Abschluss des Bewerbungsverfahrens einzuholen, um Diskussionen über eine mögliche „Zwangslage“ während des Bewerbungsverfahrens zu vermeiden. Laut den Aufsichtsbehörden darf dies keine endlose Speicherung nach sich ziehen, wobei hier ebenfalls klare Zeitvorgaben bisher fehlen. Als vertretbar werden Zeiträume zwischen sechs und zwölf Monaten diskutiert. Dies gilt darüber hinaus für Initiativbewerbungen, die ebenfalls nur mit schriftlicher Einwilligung und datenschutzrechtlicher Information verarbeitet werden dürfen.
Informationspflicht ist ein Compliance-Thema – wir unterstützen Sie gerne
Zusammenfassend: Wer compliant handeln möchte, definiert die personenbezogenen Daten, die für ein gutes Bewerbermanagement eines Unternehmens erhoben werden, beschreibt den Erfassungs- und Löschungsprozess mit Verantwortlichkeiten und legt ein Berechtigungskonzept für deren Nutzung vor. Ist dies erfolgt und wird im Unternehmen gelebt, ist es um den Bewerberdatenschutz gut bestellt. Gerne unterstützen wir Sie auch bei der Erstellung einer auf Ihr Unternehmen zugeschnittenen DSGVO-konformen Richtlinie. Sprechen Sie uns einfach an.