Die Datenschutzgrundverordnung normiert für Unternehmen einige Verpflichtungen im Umgang mit Bewerberdaten. Ab 25. Mai 2018 müssen HR-Verantwortliche die Bestimmungen dieser EU-Datenschutzgrundverordnung (DSGVO) und des § 26 BDSG-neu berücksichtigen, um nicht hohe Bußgeldzahlungen zu riskieren.

Bestehende Bewerbungsprozesse analysieren und optimieren

Es geht darum, schon jetzt einige Vorbereitungen zu treffen, damit sich das eigene Unternehmen künftig innerhalb der Datenschutzvorschriften bewegt:

  • Bewerbungsprozesse analysieren und HR-Systeme auf Datensicherheit überprüfen
  • bereichsübergreifende Zusammenarbeit zwischen Personalabteilung, Geschäftsführung, IT-Abteilung und Betriebsrat sicherstellen
  • eventuell einen Datenschutzbeauftragten als externen Berater engagieren
  • technische und organisatorische Voraussetzungen für Verschlüsselung, Dokumentation, Speicherung und Löschung schaffen

Wenn es um den Datenschutz von Bewerbern geht, sollten sich Unternehmen außerdem mit den wichtigsten Pflichten vertraut machen und die zuständigen Mitarbeiter schulen.

Verschlüsselte Datenübermittlung ermöglichen

Arbeitgeber sind dazu aufgefordert, einen verschlüsselten Kanal bereitzustellen, damit die Bewerber ihre Unterlagen gesichert versenden können. In Bewerbungen finden sich vertrauliche, personenbezogene Daten, die vor Dritten zu schützen sind. Dieser Datenschutz ist nur dann gewährleistet, wenn die elektronische Übermittlung durch eine Verschlüsselung gesichert wird.

Bewerber über die Datenerhebung informieren

Sobald die Unterlagen eingelangt sind, muss das Unternehmen die Bewerber insbesondere über die folgenden Punkte informieren (Art. 13 Abs. 1 und Abs. 2 DSGVO):

  • Name und Kontaktadresse jener Person, die für die Datenerhebung verantwortlich ist
  • Kontaktadresse des zuständigen Datenschutzbeauftragten
  • Zweck und Rechtsgrundlage für die Datenverarbeitung
  • Personen, die die personenbezogenen Daten empfangen haben
  • Dauer des Zeitraumes, innerhalb dessen die personenbezogenen Bewerberdaten aufbewahrt werden sollen

Außerdem muss das Unternehmen die Bewerber darüber aufklären, dass sie gegenüber dem Verantwortlichen ein Recht auf Auskunft, Berichtigung, Löschung und Übertragbarkeit ihrer personenbezogenen Bewerberdaten haben. Zudem sind die Jobinteressenten berechtigt, die Datenverarbeitung einzuschränken oder ihr zu widersprechen sowie eine Beschwerde bei der Aufsichtsbehörde einzureichen.

In der Unternehmenspraxis können die Arbeitgeber diese Informationspflichten erfüllen, indem sie eine automatische Eingangsbestätigung senden und darin jene Punkte auflisten, die Art. 13 DSGVO vorschreibt.

Zweckgebundenheit der Bewerberdaten beachten

Wie schon bisher dürfen Unternehmen die personenbezogenen Bewerberdaten nur in Hinblick auf einen bestimmten Zweck (Rekrutierungsverfahren) speichern. Sobald der Job vergeben ist, müssen die Daten der ablehnten Bewerber grundsätzlich gelöscht werden. In Hinblick auf eine mögliche Klage durch einen abgewiesenen Kandidaten ist allerdings eine Speicherung für einen Zeitraum von zwei bis sechs Monaten zulässig. Idealerweise vermerken die Personalverantwortlichen den Zweck der Datenspeicherung, zumal jeder Bewerber ein Auskunftsrecht hat.

Wer ein internetbasiertes Online-Bewerbungsverfahren nutzt, darf nur jene Bewerberdaten erheben, die notwendig sind, um festzustellen, ob die Kandidaten für den Arbeitsplatz geeignet und befähigt sind. Unternehmen, die private Online-Profile der Kandidaten erstellen, sind nicht berechtigt, die Bewerberdaten mit Informationen aus sozialen Netzwerken zu ergänzen.

Schriftliche Zustimmung einholen

Wenn ein Unternehmen die personenbezogenen Daten eines abgelehnten Bewerbers für einen längeren Zeitraum aufbewahren möchte, um ihn beispielsweise bei einer späteren Stellenausschreibung berücksichtigen zu können, muss es die schriftliche Zustimmung des Betroffenen einholen. Auf diese Weise können HR-Verantwortliche die personenbezogenen Informationen in einem Bewerber- oder Talentpool speichern. Sie müssen die betroffenen Personen jedoch darüber informieren, dass sie ihre Einwilligung jederzeit widerrufen dürfen.

Dokumentationspflichten einhalten und Sicherheitsvorkehrungen treffen

Unternehmen sollten alle Maßnahmen, die mit personenbezogenen Bewerberdaten in Zusammenhang stehen, dokumentieren. Dies gilt insbesondere für die getroffenen Sicherheitsvorkehrungen zum Datenschutz, die Datenverarbeitung und die Mitarbeiterschulungen. Im Falle eines Rechtsstreits tun sich die Verantwortlichen leichter, wenn sie auf eine lückenlose Dokumentation zurückgreifen können.

Unternehmen sind gut beraten, diese Informationspflichten zu erfüllen und ausreichende Sicherheitsmaßnahmen zu ergreifen, wenn es um den Umgang mit Bewerberdaten geht. Wer diese Datenschutzverpflichtungen einhält, kann sich empfindliche Geldstrafen ersparen, die unter anderem bei mangelnder Dokumentation drohen.