Datenschutz für Bewerberdaten

Unternehmen erhalten auf elektronischem Wege fast täglich Bewerbungen auf offene Stellen. Dabei handelt es sich entweder um Initiativbewerbungen oder um eine Bewerbung für eine aktuelle Stellenausschreibung. Die nicht ordnungsgemäße Verarbeitung und Übermittlung von erhaltenen Bewerberdaten kann dabei für den Verantwortlichen schnell zur unvermuteten, datenschutzrechtlichen Stolperfalle werden.

Im Zuge meiner Tätigkeit als externer Datenschutzbeauftragter bin ich immer wieder mit nachfolgenden Fragen konfrontiert:

  • Wie lange dürfen personenbezogene Bewerberdaten (Motivationsschreiben, Lebensläufe, Bewerbungsmappen, Video-Interviews uä) eigentlich gespeichert werden?
  • An wem innerhalb des Unternehmens dürfen sie weiter gegeben werden?
  • Wie dürfen Bewerberdaten erhoben werden und was ist dabei zu beachten?

Bewerberdaten sind zu löschen

Personenbezogene Daten sind zu löschen, wenn sie zur Erfüllung der Datenverarbeitungszweckes nicht mehr benötigt werden und keine rechtmäßige Grundlage für eine weitere Aufbewahrung mehr besteht. Zweck der elektronischen Verarbeitung von Bewerberdaten ist die Auswahl einer, für die freie Arbeitsstelle geeigneten Person. Ist die Stelle besetzt, sind die Bewerberdaten also zu löschen? Im Prinzip ja, außer es gibt eine ausdrückliche, am besten schriftliche, Einwilligung der Bewerberin oder des Bewerbers für eine weitere zulässige Verarbeitung der Bewerberdaten oder eine gesetzliche Grundlage für ein überwiegendes berechtigtes Interesse des Unternehmens für eine längere Aufbewahrung der Daten, zB bis zu 3-jährige Verjährungsfrist hinsichtlich der Geltendmachung von Ansprüchen des Gleichbehandlungsgesetzes (§15 GlBG).

Die häufig geübte Praxis der Übernahme von Bewerberdaten in eine Art von „Bewerberregister“ für zukünftige Stellenausschreibungen ist wohl durch ein überwiegendes berechtigtes Interesse des Unternehmens nicht zu rechtfertigen und bedarf somit der ausdrücklichen Einwilligung der Bewerberin oder des Bewerbers. Wobei es sich empfiehlt diese Einwilligung erst nach der ursprünglichen Stellenbesetzung vorzunehmen, um keinen Einwilligungsdruck auf Bewerberinnen und Bewerber auszuüben.

Zugang und Zugriff auf Bewerberdaten beschränkt

Bewerberdaten dürfen im Unternehmen nur denjenigen Personen zugänglich gemacht werden, die mit der Bewerbung für eine offene Stelle befasst sind. In kleinen und mittleren Unternehmen ist das in der Regel der Arbeitgeber selbst oder die Personalabteilung. Ebenfalls ein berechtigtes Interesse zur Einsichtnahme in personenbezogene Bewerberdaten haben zukünftige Vorgesetzte der Bewerberin bzw des Bewerbers, sofern sie im Zusammenhang mit der gegenständlichen Stellenausschreibung mit ihnen zusammenarbeiten und über deren Einstellung mitentscheiden werden. Schließlich hat auch der Betriebsrat einen bedingten, rechtlichen Anspruch auf die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung der Bewerberdaten (§91 ArbVG).

Sichere Verwendung von Bewerberdaten

Die elektronische Erhebung von Bewerberdaten per E-Mail oder online-gestütztem Bewerbungsformular ist in der Regel durch die mögliche Begründung eines Arbeitsvertrages rechtlich gedeckt. Allerdings sind seitens des Unternehmens für die Erhebung und Übermittlung der Daten, entsprechende organisatorische und technische Datensicherheitsmaßnahmen zu gewährleisten. Werden die Daten im Auftrag des Unternehmens durch einen Dienstleister, zB Personalberater oder eine Online-Jobplattform erhoben bzw übermittelt, sind mit diesem geeignete organisatorische und technische Maßnahmen zum rechtmäßigen Schutz der Daten vertraglich zu vereinbaren. Die ungesicherte Übermittlung von Bewerberdaten im Klartext, ob per Mail oder Formulardaten, ist ein absolutes No-Go. Weiters sind seitens des Unternehmens geeignete Sicherheitsmaßnahmen gegen den unberechtigten Zugriff bzw Zugang zu den Bewerberdaten  zu treffen. So sollte zB das Kopieren von Bewerberdaten auf externe Datenträger bzw die Mitnahme zur Durchsicht der Daten im Home Office entweder gänzlich untersagt oder nur dann erlaubt werden, wenn die Daten verschlüsselt worden sind.

Links