DSGVO-konformer Umgang mit Bewerberunterlagen – Datenschutzgrundverordnung
In nahezu jedem Unternehmen gehen Bewerbungen per E-Mail ein. Die Bewerbung per Post ist in den letzten Jahren stark rückläufig. Insbesondere wenn Unternehmen Arbeitsstellen am Arbeitsmarkt anbieten, kommen oft mehrere hundert Bewerbungen per E-Mail in einem Unternehmen an.
Regelmäßig werden die Bewerbungen dann einer ersten Sichtung unterzogen und erste Bewerber „aussortiert“. Anschließend werden die in Frage kommenden Bewerbungen regelmäßig an zuständige Abteilungs- und/oder Personalleiter weitergeleitet, die eine weitere Auswahl treffen und anschließend Bewerber zum Vorstellungsgespräch einleiten.
Die Bewerbungen gehen auf diesem Wege an mehrere Personen und Abteilungen. Dabei werden sie auf einer Vielzahl von Rechnern und in einer Vielzahl von E-Mail Postfächern gespeichert. Wird ein Bewerber letztlich abgelehnt, werden oftmals nicht mehr alle zwischenzeitlich informierten Stellen über die Ablehnung informiert. Folglich sind die Bewerbungsunterlagen in vielen E-Mail Postfächern oder vielen Computern in Unternehmen über einen sehr langen Zeitraum gespeichert, da sich diese Daten oftmals zusätzlich noch in Backups wiederfinden.
2018 wurde die Datenschutzgrundverordnung (DSGVO) anwendbar, die auch auf diese Abläufe und die Pflichten des Unternehmens Auswirkungen hat.
Im Bild links: Oliver Reinsch CEO jobEconomy
rechts: RA Guido Kluck LL.M.
rechts: RA Guido Kluck LL.M.
Umgang mit Bewerbungsunterlagen
Regelmäßig fordern Unternehmen keine ausdrücklichen Einwilligungen für die Speicherung von Bewerberdaten bei den Bewerbern ab. Die konkludente Einwilligung des Bewerbers ist insoweit also auslegungsfähig. Eine Auslegung erfolgt dabei immer unter Berücksichtigung der datenschutzrechtlichen Grundsätze, mithin auch dem Grundsatz der Datensparsamkeit. Unter Berücksichtigung dieses Grundsatzes und dem allgemein zu unterstellenden Interesse des Bewerbers ist die konkludente Einwilligung des Bewerbers daher insoweit auszulegen, dass er in eine Speicherung seiner Daten im Rahmen des Bewerbungsprozesses eingewilligt hat. Hieraus ergibt sich aber die Konsequenz, dass die Einwilligung mit der Ablehnung eines Bewerbers endet. Hinzu kommt, dass die unternehmensinterne Weitergabe der Bewerberdaten und zusätzliche Datenverarbeitung an anderer Stelle auch nicht zwingend im Rahmen der Auslegung von der Einwilligung gedeckt sein könnte.
Unternehmen trifft also im Falle der Ablehnung eines Bewerbers die Pflicht dafür Sorge zu tragen, dass die personenbezogenen Daten des Bewerbers, mithin also alle Bewerbungsunterlagen, an allen Stellen im Unternehmen gelöscht werden. Das bedeutet, dass alle Mitarbeiter und Abteilungen, denen eine Bewerbung zuvor weitergeleitet wurde, über die Ablehnung des Bewerbers informiert und aufgefordert werden müssen die Bewerbungsunterlagen in E-Mail Postfächern, Computern und sonstigen Stellen zu löschen. Trägt das Unternehmen hierfür nicht Sorge, dürfte eine Verletzung der Vorschriften der DSGVO vorliegen, die ein Bußgeld begründen könnte.
Dokumentationspflichten
Unternehmen sollten zusätzlich bedenken, dass nach Erwägungsgrund 82 der DSGVO der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis von Verarbeitungstätigkeiten führen soll. Das Verfahrensverzeichnis ist stets aktuell zu halten. Es muss ein Verzeichnis der Datenverarbeitungstätigkeiten enthalten, mithin also auch den Prozess des Umgangs mit Bewerbungsunterlagen abbilden.
Die besondere Herausforderung besteht hierbei darin, dass in diesem Prozess auch die Abläufe der unternehmensinternen Weitergabe der Daten im Rahmen der Dokumentation abgebildet werden müssen, um den Anforderungen der DSGVO gerecht zu werden.
Unternehmen sollten zusätzlich bedenken, dass nach Erwägungsgrund 82 der DSGVO der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis von Verarbeitungstätigkeiten führen soll. Das Verfahrensverzeichnis ist stets aktuell zu halten. Es muss ein Verzeichnis der Datenverarbeitungstätigkeiten enthalten, mithin also auch den Prozess des Umgangs mit Bewerbungsunterlagen abbilden.
Die besondere Herausforderung besteht hierbei darin, dass in diesem Prozess auch die Abläufe der unternehmensinternen Weitergabe der Daten im Rahmen der Dokumentation abgebildet werden müssen, um den Anforderungen der DSGVO gerecht zu werden.
Rechtsanwalt Guido Kuck schrieb das Buch "DSGVO für Unternehmer" um Ihnen einen schnellen und leicht verständlichen Überblick mit ersten Handlungsempfehlungen zu dieser Thematik zu bieten.
Informationspflichten und Betroffenenrechte
Zukünftig müssen Unternehmen auch gegenüber den Bewerbern zusätzlich alle Informationspflichten der Datenschutzgrundverordnung erfüllen. Die grundsätzliche Regelung in Art. 12 Abs.1 DSGVO verpflichtet Unternehmen dazu, geeignete Maßnahmen zu treffen, um der betroffenen Person alle Informationen und alle Mitteilungen, die sich auf die Verarbeitung beziehen, zu übermitteln. Dies muss in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Die Übermittlung hat gemäß Art. 12 Abs.3 DSGVO unverzüglich, also ohne schuldhaftes Zögern, in jedem Fall aber innerhalb eines Monats zu erfolgen. Die Daten können gemäß Art. 12 Abs. 7 DSGVO auch in Kombination mit standardisierten Bildsymbolen, also Piktogrammen, bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbar Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.
Jeder, der personenbezogene Daten verarbeitet, hat die Pflicht, dem Betroffenen die in Art. 13 und 14 DSGVO genannten Informationen mitzuteilen. Fehlende oder fehlerhafte Informationen können mitunter zu erheblichen Geldbußen führen. Werden personenbezogene Daten bei der betroffenen Person erhoben, so muss der Verantwortliche gemäß Art. 12 Abs.2, 13 Abs.1 DSGVO der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten alle gesetzlich normierten Informationen bereitstellen, um eine faire und transparente Verarbeitung zu gewährleisten.
Der Bewerber hat darüber hinaus gemäß Art. 15 DSGVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob das Unternehmen seine betreffenden personenbezogenen Daten verarbeitet. Ist dies der Fall, so hat der Bewerber ein Recht auf Auskunft über diese personenbezogenen Daten in dem durch die DSGVO gesetzlich normierten Umfang.
Die Datenschutzgrundverordnung sieht nun erstmalig eigenständige Regelungen zum Recht auf Vergessen werden vor. Gemäß Artikel 17 Abs.1 lit. a) DSGVO kann von der datenverarbeitenden Stelle die Löschung verlangt werden, wenn der Zweck für die Datenverarbeitung weggefallen ist. Gemäß Artikel 17. Abs. 1 lit. b) DSGVO kann die Löschung verlangt werden, wenn die Einwilligung widerrufen wurde und nach Art. 17 Abs.1 lit. d) DSGVO auch, wenn die Datenverarbeitung unrechtmäßig erfolgte.
Das datenverarbeitende Unternehmen muss darüber hinaus seit dem 25. Mai 2018 Prozesse im Unternehmen installiert haben, mit denen die Erfüllung der vorstehenden Pflichten sichergestellt wird.
Fazit
Bewerbungen per E-Mail sind auch in Zukunft als standarisiertes Verfahren aus Unternehmen nicht wegzudenken. Die Datenschutzgrundverordnung verschärft für Unternehmen jedoch auch in diesem Bereich die Pflichten. Diese Pflichten betreffen sowohl die Dokumentation, wie den unternehmensinternen Umgang mit Bewerbungsunterlagen als auch Informationspflichten und die Einhaltung der Betroffenenrechte.
Der Aufwand für Unternehmen dürfte sowohl in Vorbereitung der Anwendbarkeit der DSGVO als auch in dem zukünftigen Umgang mit Bewerbungen deutlich steigen, soweit die datenschutzrechtlichen Bestimmungen eingehalten und Bußgelder vermieden werden sollen.
