Gastbeitrag von Elisa Drescher / Scaleline : Bewerbungsmanagement & Datenschutz – Wertvolle Hinweise für dein Unternehmen
Die Datenschutzgrundverordnung (DSGVO) und das deutsche Bundesdatenschutzgesetz (BDSG) machen vor den personalverantwortlichen Stellen in den Unternehmen nicht halt und schützen Bewerbende und Mitarbeitende gleichermaßen. Es gilt eine Vielzahl an Maßnahmen zu beachten und umzusetzen, um personenbezogene Daten der Bewerbenden und den Ruf deines Unternehmens zu schützen. Etwa können Datenschutzverstöße im Bewerbungsmanagement häufig durch Schulungen und Sensibilisierung vermieden werden, auch um dein Unternehmen vor Beschwerden bei der zuständigen Aufsichtsbehörde und Schmerzensgeldforderungen durch die Betroffenen zu schützen.
Informationspflichten der DSGVO
Aus eigener Erfahrung kennst du es bestimmt: Deine Bewerbung enthält eine große Anzahl deiner personenbezogenen Daten – der eigene CV, Informationen zum Alter, zu den absolvierten Ausbildungen, aber auch über bisherige Arbeitgeber*innen und den Gehaltswunsch. Rechtsgrundlage für die Datenverarbeitung im Rahmen des Bewerbungsprozesses für Unternehmen ist in der Regel § 26 Abs. 1 BDSG. Davon sind all jene Informationen über Personen abgedeckt, die zur Begründung des Arbeitsverhältnisses tatsächlich erforderlich sind.
Und hier greift dann auch eines der Hauptanliegen der DSGVO: Transparenz für die Betroffenen herstellen. Aus diesem Grund sind umfassende Informationspflichten in der DSGVO vorgesehen. Übertragen auf den Bewerbungsprozess bedeutet dies, dass dein Unternehmen die Bewerbenden konkret darüber informieren muss, welche Daten wozu erhoben werden, ob die Daten an Personen außerhalb deines Unternehmens weitergegeben werden und wie lange die Daten gespeichert werden.
Die Umsetzung der Informationspflicht kann praktischerweise über mehrere Wege erfolgen:
- Ergänzung der Informationen in den Datenschutzhinweisen der eigenen Website in einem eigenen Kapitel und Verlinkung auf diese bei den Stellenanzeigen bzw. der Karriereseite
- Eigenständige Datenschutzhinweise hinterlegen bzw. verlinken
- Automatisierte E-Mail nach Bewerbungseingang, wobei wir diese Variante nicht empfehlen, da die Information nachweisbar vor der Datenverarbeitung erfolgen muss
Einsatz eines Bewerbungsmanagement-Tools sowie Wahrung des Need-To-Know-Prinzips
Unter dem Need-To-Know-Prinzip ist zu verstehen, dass nur jene Personen die Bewerbungsunterlagen zu Gesicht bekommen dürfen, die an der Entscheidung über die Einstellung beteiligt sind. Dies ist von Unternehmen zu Unternehmen verschieden und kann daher nicht pauschal beantwortet werden.
Setzt du ein Bewerbungsmanagement-Tool ein und werden die Daten darin automatisch gespeichert, so ist bei der Konfiguration von diesem auch ein Berechtigungskonzept zu hinterlegen, um das Need-To-Know-Prinzip zu wahren. Darin kann der gesamte Workflow, von der Veröffentlichung der Stellenanzeige über den Eingang der Bewerbungen und den Verlauf dessen sowie den zuständigen Personen, abgebildet werden. Ein Berechtigungskonzept hilft Unternehmen auch, unangenehme Datenpannen (Datenschutzverletzungen) zu vermeiden: Die Weiterleitung von Bewerbungsdaten an die „falschen“ („unzuständigen“) Personen im Unternehmen entspricht bereits einer Verletzung des Schutzes personenbezogener Daten, da es zu einer Offenlegung von Daten an Unberechtigte kam.
Noch unangenehmer wird es für Unternehmen, wenn die Bewerbungsunterlagen bzw. Informationen über den Verlauf des Bewerbungsprozesses an den falschen Bewerber geschickt werden. Diese Art von Datenschutzverletzung stellt nach einer gerichtlichen Entscheidung ein hohes Risiko für den Betroffenen dar, da dieser die Kontrolle über seine Daten verloren hat und somit auch mit unangenehmen Folgen rechnen musste. Solche Verletzungen des Schutzes personenbezogener Daten müssen einerseits der zuständigen Datenschutz-Aufsichtsbehörde binnen 72 Stunden ab Kenntnis gemeldet werden, andererseits besteht auch eine Informationspflicht an den Betroffenen, da von einem hohen Risiko auszugehen ist (Art. 34 DSGVO). In einem ähnlich gelagerten Fall erhob ein Betroffener einen Schmerzensgelds-Anspruch nach Art. 82 DSGVO und ihm wurden € 1.000 zugesprochen.
Schulungen für Personalabteilungen und weitere involvierte Personen
Zur Vermeidung von Ansprüchen von Betroffenen sowie von Auseinandersetzungen mit Behörden und Gerichten sollten die Personalverantwortlichen in deinem Unternehmen regelmäßig geschult und auf die Anforderungen der DSGVO hin sensibilisiert werden. Schulungsnachweise solltest du entsprechend in die (elektronische) Personalakte aufnehmen, da Unternehmen einer umfassenden Rechenschaftspflicht nach der DSGVO unterliegen. SCALELINE bietet maßgeschneiderte Schulungen zu diesen und weiteren Aspekten des Datenschutzes für Unternehmen in Österreich und Deutschland.
Zur Autorin:
Mag. Elisa Drescher ist Data Protection Enthusiastin, Juristin und Co-Gründerin von SCALELINE LTD, einer Unternehmensberatung für Datenschutzrecht. Nach ihrer Tätigkeit bei einer renommierten Unternehmensberatung für Datenschutz in Deutschland verbindet sie die Anforderungen der DSGVO sowie den nationalen Datenschutzgesetzen in Österreich und Deutschland und vermittelt das für viele sehr trockene Thema Datenschutz auf eine sehr lockere und charmante Weise. Denn Datenschutz geht uns alle an. Und mit SCALELINE wird Datenschutz[R]echt easy. Mehr Informationen zu SCALELINE: https://dataprotection-scaleline.com/
