Zum Inhalt springen Zur Navigation springen
Datenschutz & Bewerbung: Die wichtigsten Fragen beantwortet

Datenschutz & Bewerbung: Die wichtigsten Fragen beantwortet

Datenschutzrechtliche Anforderungen stellen sich Unternehmen nicht nur in der Beziehung zu Kunden und Mitarbeitern, sondern auch zu möglichen Bewerbern. Hier sollen die wichtigsten Maßnahmen erläutert werden, die Unternehmen gegenüber Bewerbern einhalten müssen, um DSGVO-konform zu arbeiten. Außerdem werfen wir einen Blick in das neue KI-Gesetz und die dortigen Voraussetzungen für Hochrisiko-KI-Systeme.

Rechtsgrundlage für die Verarbeitung von Bewerberdaten

Bei (elektronischen) Bewerbungsverfahren von Unternehmen stolpert man immer wieder an der ein oder anderen Stelle über Checkboxen, mit denen die Interessenten ihre Einwilligung in eine Datenverarbeitung erteilen sollen. In den allermeisten Fällen ist eine solche Einwilligung aber großer Unsinn. Und da, wo sie ausnahmsweise doch einmal erforderlich wäre, ist sie gerne so unspezifisch formuliert, dass sie schlicht unwirksam ist.

Die grundlegende Norm für das gesamte Beschäftigungsverhältnis

Im Beschäftigungsverhältnis und auch bei Datenverarbeitungen im Zusammenhang mit Bewerbungen führte bisher kein Weg vorbei an § 26 Abs. 1 S. 1 BDSG. Diese Norm war über die Öffnungsklausel des Art. 88 DSGVO als deutsche Sonderregelung an erster Stelle zu prüfen.

Durch die Entscheidung des EuGH vom 30.03.2023 (Az. C-34/21) dürfte diese Möglichkeit jedoch der Vergangenheit angehören. Der EuGH kam zu dem Ergebnis, dass eine spezifische Norm i.S.d. Art. 88 DSGVO nicht einfach die Vorgaben der DSGVO wiederholen darf. Auch wenn diese Annahme auf § 26 Abs. 1 S. 1 BDGS zutrifft, werden sich die Auswirkungen auf die Praxis aber wohl in Grenzen halten. Durch Art. 6 Abs. 1 DSGVO, und insbesondere durch die Möglichkeit in lit. b) – Datenverarbeitung zur Vertragserfüllung, sind geeignete Alternativen als Rechtsgrundlage weiterhin vorhanden.

Ähnlich wie auch bereits § 26 Abs. 1 S. 1 BDSG besagt Art. 6 Abs. 1 lit. b) DSGVO, dass die Verarbeitung von personenbezogenen Daten rechtmäßig ist, wenn

„die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.“

Bewerber gelten als Beschäftigte im Datenschutzgesetz

Der Art. 6 Abs. 1 lit. b) DSGVO gibt uns somit auch für Datenverarbeitungen im Bewerbungskontext eine Rechtsgrundlage. Das Bewerbungsverfahren dient in der Regel Anbahnung eines Beschäftigungsverhältnisses und stellt damit eine „vorvertragliche Maßnahme“ dar. Die Verarbeitung von Bewerbungsdaten kann damit durch Art. 6 Abs. 1 lit. b) DSGVO gerechtfertigt werden.

Damit sich ein Unternehmen auf Art. 6 Abs. 1 lit. b) DSGVO stützen kann, muss die Datenverarbeitung aber „erforderlich“ sein. Wenn das Bewerbungsverfahren eines Unternehmens vernünftig ausgestaltet ist, dann sollten ohnehin nur solche personenbezogenen Daten abgefragt werden, die für die Durchführung des Bewerbungsprozesses auch erforderlich sind. Vorsicht ist bei (externen) Bewerbertools geboten. Deren out-of-the-box-Funktionen werden oft das für den Bewerbungsprozess erforderliche Maß übersteigen. Daher sollten diese Tools technisch so eingestellt oder angepasst werden, dass nur erforderliche Datenverarbeitungen erfolgen. Dann ist auch eine Einwilligung in diese Datenverarbeitungen nicht notwendig.

Datenverarbeitung durch Bewerbertools: Erforderlich für die Vertragserfüllung oder Einwilligung?

Bewerbermanagement-Tools sprießen derzeit wie Pilze aus dem Boden. Als Rechtsgrundlage wird für solche Tools in aller Regel Art. 6 Abs. 1 lit. b) DSGVO heranzuziehen sein. Bisweilen aber mag ein Bewerbermanagement-Tool auch zusätzliche Funktionalitäten bieten, die unter Umständen nicht mehr unter die „erforderlichen“ Verarbeitungen zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses fallen.

Spätestens wenn man einem Bewerber Benachrichtigungen über SMS zukommen lassen oder ein Videointerview führen will, wird man sich mit der – im Beschäftigtenkontext schwierigen – Einwilligung als Rechtsgrundlage auseinandersetzen müssen: Aufgrund der im (zukünftigen) Beschäftigungsverhältnis bestehenden Abhängigkeit der betroffenen Person vom (zukünftigen) Arbeitgeber sind an die Einwilligung dort besondere Anforderungen zu stellen und die Umstände, unter denen die Einwilligung erteilt worden ist, speziell zu berücksichtigen.

Auf die Zulässigkeit der Fragen im Bewerbungsverfahren achten

Dass für den Arbeitgeber gewisse Fragen im persönlichen Bewerbungsgespräch tabu sind („Gedenken Sie, schwanger zu werden?“), hat sich herumgesprochen. Im Kontext einer Online-Bewerbung gilt insoweit nichts anderes. Im Unterschied zu einem persönlichen Gespräch wäre das Stellen einer unzulässigen Frage aber leichter dokumentierbar und später nachprüfbar. Ob es dann die rechtlichen Konsequenzen oder der (zwangsläufige) Shitstorm in den sozialen Medien sind, die schwerer wiegen, sollte man nicht austesten.

Daher sollte der Arbeitgeber, bevor eine unbedarfte Frage im Katalog ihres Bewerbungstools landet, sich selbst fragen: Wären die zu erwartenden Antworten wirklich zur Begründung des Beschäftigungsverhältnisses objektiv aus Sicht eines Dritten erforderlich. Denn die Rechtsgrundlage für die Datenverarbeitung ist auch hier Art. 6 Abs. 1 lit. b) DSGVO.

Einwilligung für die Weitergabe oder längere Speicherung der Bewerbung einholen

Es gibt aber noch ein paar weitere Konstellationen, in denen eine Einwilligung im Bewerbungsverfahren von praktischer Relevanz ist. So etwa, wenn ein Unternehmen beabsichtigt, Bewerberdaten an andere, möglicherweise interessierte Konzernunternehmen weiterzugeben, dies aber noch nicht eindeutig in der Stellenausschreibung angegeben worden ist.

Ein weiterer klassischer Fall ist der Bewerber- oder Talentpool. Ein Unternehmen möchte einen (aktuell nicht erfolgreichen) Bewerber gerne in eine Datenbank aufnehmen, um dessen Bewerbung bei der nächsten passenden freien Stelle berücksichtigen zu können. Mit der Beendigung des Bewerbungsverfahren durch eine Absage erlischt aber der Zweck, zu dem die Bewerberdaten erhoben wurden. Die Daten sind nach Art. 17 Abs. 1 lit. a DSGVO unverzüglich zu löschen. Soll die Bewerbung weiterhin aufbewahrt werden, kommt der Arbeitgeber deshalb um eine (für einen solchen Zweck zumindest als freiwillig anzusehende) Einwilligung des Bewerbers nicht herum.

Kein Bewerberdatenschutz ohne Berechtigungskonzept

Ein weiteres Evergreen im Bereich des Bewerberdatenschutzes ist die Notwendigkeit eines angemessenen Berechtigungskonzepts. Denn Bewerberdaten sind in ihrer Gesamtheit oftmals als besonders sensibel einzustufen. Eine entsprechende Reaktion hierauf ist es, sich klarzumachen, dass nur bestimmte Personen im Unternehmen Zugriff auf diese Daten benötigen. Hiervon ausgehend ist ein Berechtigungskonzept aufzusetzen, dass dem sog. „Need-to-know“-Ansatz entsprechend auch nur den Personen diesen Zugriff gestattet, die im Rahmen des Bewerbungsprozesses mit den Bewerberdaten befasst sein müssen.

Und das kann auch je nach Stadium des Bewerbungsprozesses unterschiedlich sein: So dürfte es regelmäßig nicht „erforderlich“ (und damit nicht vom Art. 6 Abs. 1 lit. b) DSGVO gedeckt) sein, dass Abteilungsleiter schon in der Phase des ersten Aussortierens von Bewerbern Einsicht in sämtliche eingegangenen Bewerbungen nehmen können. In der Praxis kommt es aber leider auch durchaus vor, dass eine Vielzahl von Führungskräften (jedenfalls theoretischen) Zugang zu Bewerbungen haben, egal ob die zu besetzende Stelle in ihrem Verantwortungsbereich liegt oder nicht.

Bewerbungen per E-Mail oder Website nur mit Verschlüsselung?

Wenn Arbeitgeber ein Online-Bewerbungstool auf Ihrer Website eingebunden haben, muss die aufgrund dieses Tools erfolgende Datenübertragung nach dem aktuellen Stand der Technik verschlüsselt sein. Auch bei der Auswahl eventueller Drittdienstleister ist die hinreichende Verschlüsselung ein unabdingbares Kriterium.

Falls hingegen noch Bewerbungen per E-Mail entgegengenommen werden, sollte es dem Bewerber ermöglicht werden, seine Bewerbungsunterlagen auf Wunsch vertraulich zu übermitteln. Hier sollte die Möglichkeit einer Ende-zu-Ende-Verschlüsselung vorgehalten und neben der E-Mail-Adresse auch der öffentliche Schlüssel angegeben werden.

Ist die verschlüsselte elektronische Kommunikation mit dem potenziellen Arbeitnehmer derzeit nicht möglich, empfiehlt sich zumindest ein ausdrücklicher Hinweis darauf, dass die Bewerbung per E-Mail in unverschlüsselter Form übertragen wird. Zudem können Bewerber auch darauf hingewiesen werden, dass sie zumindest ihre Anlagen verschlüsseln können. Das Passwort kann dem potenziellen Arbeitgeber dann telefonisch durchgegeben werden.

Datenschutzhinweise für Bewerber

Die Informationspflichten der DSGVO gelten natürlich auch für die Datenverarbeitung im Rahmen des Bewerbungsverfahrens. Der Umfang ergibt sich aus Art. 13 und Art. 14 DSGVO. Informationen die Bewerber an die Hand gegeben werden sollten sind z.B.:

  • Art der personenbezogenen Daten (Bewerberstammdaten, Qualifikationen, Zeugnisse),
  • Quelle aus der die Daten stammen (vom Bewerber selbst oder Dienstleistern),
  • An wen die Daten weitergegeben werden (z.B. Personalabteilung, Fachbereichsleiter oder Betriebsrat),
  • Speicherdauer (z.B. 6 Monate nach Beendigung des Bewerbungsverfahrens),
  • Rechte der Bewerber (Betroffenenrechte wie Löschung, Auskunft oder Recht auf Berichtigung).

Es gibt verschiedene Wege, wie Bewerber über ihre Rechte informiert werden können. Bei Online-Bewerbungen können die Informationspflichten an eine automatisierte Eingangsbestätigung angehangen werden. Bei der Nutzung eines Online-Bewerberportals können die Informationen unmittelbar zur Verfügung gestellt werden.

Aufnahme ins Verzeichnis von Verarbeitungstätigkeiten

Der Verantwortliche ist nach Art. 30 Abs. 1 DSGVO dazu verpflichtet über seine Verarbeitungstätigkeiten von personenbezogenen Daten ein Verzeichnis zu führen. Auch die Prozesse des Bewerbermanagements sollten hier aufgelistet werden. Diese Übersicht kann insbesondere beim Einhalten der Betroffenenrechte hilfreich sein. Des Weiteren sind die Verzeichnisse notwendig, damit Unternehmen ihre Rechenschaftspflichten gegenüber den Aufsichtspflichten nachkommen können. Das kann dann von Nutzen sein, wenn sich ein Bewerber bei der zuständigen Datenschutzaufsicht beschwert und das Unternehmen seine Verzeichnisse der Aufsicht vorlegen muss.

Gegebenenfalls muss auch eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO angefertigt werden.

Löschen von Bewerberdaten nach Ablauf der Aufbewahrungspflicht

Wenn der Bewerber als Kandidat für eine Arbeitsstelle nicht in Frage kommt, sollten seine Daten aufgrund von Art. 17 Abs. 1 lit. a DSGVO unverzüglich gelöscht werden. Diese Pflicht greift nach Art. 17 Abs. 3 lit. e DSGVO nicht, solange die Speicherung der Bewerberdaten zur Verteidigung von Rechtsansprüchen erforderlich ist. In Deutschland besteht bspw. die Möglichkeit, dass Bewerber aufgrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) gegen den potenziellen Arbeitgeber klagen. Solange der Arbeitgeber mit einer solchen Klage rechnen muss, kann er die Bewerberdaten maximal 6 Monate aufbewahren. Diese Frist ergibt sich aus § 15 Abs. 4 AGG. Hiernach muss der Kläger seinen Anspruch innerhalb von 2 Monaten nach Zugang der Ablehnung geltend machen. Danach hat der Kläger noch einmal 3 Monate Zeit, seinen Anspruch im Wege einer Klage geltend zu machen. Wenn nun noch die normalen Postlaufzeiten berücksichtigt werden, ergibt sich ein sicherer Rahmen von 6 Monaten bis zur Löschung. Danach wird der Arbeitgeber die Bewerberdaten nicht mehr zur Abwehr von Ansprüchen benötigen.

In Österreich berechnet sich die Löschfrist ähnlich. Hier geht es über die sechsmonatige Frist des § 29 Abs. 1 GlBG. In einer Entscheidung der österreichischen Datenschutzbehörde sieht diese eine sieben monatige Frist ab Bewerbungseingang als angemessen an, da ein zusätzlich Monat für den Klageweg eingerechnet werden muss.

KI und Eignungsdiagnostik zur Auswahl von Bewerbern

Unter Zugrundelegung des Erforderlichkeitskriteriums des Art. 6 Abs. 1 lit. b) DSGVO erscheint der Einsatz bestimmter (seriöser) eignungsdiagnostischer Verfahren oder gar der teilweise Einsatz von KI (oder „Maschinellem Lernen“) durchaus denkbar. Für die Bewertung der Erforderlichkeit eignungsdiagnostischer Verfahren bedarf es aber eines tiefergehenden Verständnisses für die Funktionsweisen eben dieser Verfahren. Denn die Geeignetheit eines Mittels (auch im juristischen Sinne) kann nur mit einem solchen Verständnis auch hinreichend zutreffend beurteilt werden. Und klar ist auch: Nur weil ein Verfahren „hilfreich“ ist, muss es noch lange nicht „erforderlich“ sein, da auch die Interessen der Bewerber bei der Abwägung zu berücksichtigen sind. Es bleibt eine Frage des Einzelfalls.

KI im Bewerbungsmanagement und das neue KI-Gesetz

Wenn KI im Umfeld des Bewerbungsmanagements zum Einsatz kommt, ist neben der DSGVO jedoch auch unbedingt das am 13. März 2024 vom Europäischen Parlament verabschiedete „Gesetz über künstliche Intelligenz“ (KI-Gesetz) oder auch „KI-Verordnung“ (engl. „AI-Act) im Blick zu behalten. Der Einsatz von KI im Bereich „Beschäftigung & Personalmanagement“ ist nach Art. 6 Abs. 2 KI-Gesetz i.V.m. Anhang III Nr. 4 als sog. „Hochrisiko-KI-System“ eingestuft, wenn das KI-Systemen für die Einstellung oder Auswahl natürlicher Personen verwendet werden soll, insbesondere um gezielt Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern oder Bewerber zu bewerten.

Anforderungen des neuen KI-Gesetzes beachten

Die Einstufung als Hochrisiko-KI-System führt dazu, dass sich aus dem KI-Gesetz weitere einzuhaltende Anforderungen ergeben (Art. 8 – 27 KI-Gesetz), die zum Teil auch von Betreibern des Systems einzuhalten sind. Unter Betreiber sind dabei alle Stellen zu fassen, die ein KI-System in eigener Verantwortung verwenden (Art. 3 Nr. 4 KI-Gesetz), also u.U. auch Unternehmen, die ein solches System bspw. in ihrem Bewerbungsmanagement einsetzen. Die konkreten Pflichten ergeben sich aus Art. 26 KI-Gesetz. Hierunter fallen u.a.

  • Ergreifen geeigneter technischer und organisatorischer Maßnahmen zur Einhaltung der Gebrauchsanweisungen
  • Etablierung einer menschlichen Aufsicht
  • Kontrolle der Eingabedaten
  • Überwachung des Betriebs des Hochrisiko-KI-Systems anhand der Gebrauchsanweisung
  • Aufbewahrungspflichten von Protokollen
  • Informationspflichten gegenüber dem Anbieter, den Beschäftigten sowie Arbeitnehmervertretungen
  • Durchführung einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO

Im Zusammenhang mit der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, die nach Nr. 11 der DSK-Muss-Liste beim Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte der betroffenen Person durchzuführen ist, ist zudem folgendes zu berücksichtigen: § 38 Abs. 1 S. 2 BDSG regelt, dass die Stellen, die Datenverarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung unterliegen, einen Datenschutzbeauftragten zu benennen haben.

Einen Einblick zum Thema „DSGVO und KI-Gesetz“ finden Sie in unserem Beitrag „KI-Gesetz im Überblick: DSGVO-Vergleich und Gesetzestext“.

Vorteile eines datenschutzkonformen Bewerbungsprozesses

Die oben genannten Punkte sollten beherzigt werden, um den Bewerbungsprozess datenschutzrechtlich abzusichern. Denn Datenschutz im Unternehmen fängt schon bei den Bewerbern an. Vorteil eines auch datenschutzrechtlich durchdachten Bewerbermanagements ist nicht nur, dass auf diese Weise Beschwerden und Bußgelder vermieden werden können. Zusätzlich wird so frühzeitig eine Vertrauensbasis zu potenziellen zukünftigen Mitarbeitern aufgebaut und ein positives Bild des Unternehmens transportiert.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Interessanter Beitrag. Da die meisten Unternehmen ihre Unternehmenswebseite als Bewerberportal nutzen, stellt sich die Frage inwieweit dort erhobene Nutzerdaten für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses nach § 26 (1) BDSG nF erforderlich sind? Der Einsatz eines Analysedienst wie z.B. Google Analytics auf dem Bewerberportal widerspräche demnach dem Erforderlichkeitsgrundsatz – streng gesehen würde es demnach auch keinen Unterschied machen, ob die Code-Erweiterung „anonymizeIP“ verwendet wird – Browsertyp, OS usw. sind ja kaum für die Entscheidung erfoderlich?

    • Für die Entscheidung über die Begründung des Arbeitsverhältnisses werden grundsätzlich nur die Daten sein, die vom Bewerber in die Maske des Bewerberportals eingegeben werden, alle anderen Daten, die beim Besuch der Website anfallen dürften für das Bewerbungsverfahren nicht genutzt werden.

  • Bietet sich als Rechtgrundlage nicht auch der Art. 6 Abs. 1 lit. b (vorvertragliche Maßnahme) an?

  • § 26 Abs. 1 BDSG neue Fassung ist die speziellere Regelung (lex specialis) und daher im Bewerbungsverfahren anzuwenden.

    In der Praxis ist mir häufig das Problem begegenet, dass Bewerbungsunterlagen intern über E-Mail weitergeschickt werden. Damit sind diese Unterlagen, die ja 6 Monate nach Ende des Bewerbungsverfahrens gelöscht werden müssten, im E-Mail-Archiv enthalten.

    • Deshalb sollten die Unterlagen gar nicht per email verschickt werden, sondern auf einem Laufwerk den berechtigten Personen (HR und direkter Vorgesetzter) lesbar zur Verfügung gestellt werden. Oder mit direktem Zugriff auf die einzelne Bewerbung auf dem Bewerberportal.
      Bei der Löschung ist nicht nur das E-mail System zu beachten, sondern auch die Laufwerke auf den Laptops oder Desktops. Denn die dort von den Vorgesetzten gespeicherten Bewerbungen werden gerne vergessen.

  • Was mir hier im Beitrag fehlt ist die Initiativbewerbung.
    Diese Bewerbungsunterlagen können m. E. nach über das berechtigte Interesse gespeichert und verarbeitet werden, vorausgesetzt, der Bewerber wird informiert, insbesondere was sein Recht auf Widerspruch angeht.

  • Zur österr. Entscheidung: Wäre die 7-Monatsfrist nicht zweckmäßiger ab der Absage an einen Bewerber, falls eine erfolgt, zu berechnen und nicht ab Datenübermittlung? Gleiches -und noch mehr- müsste nach einem tatsächlich durchgeführten Aufnahmeverfahren gelten, wo die Möglichkeit, dass Bewerber etwas gegen eine abschlägige Entscheidung unternehmen, deutlich größer sein dürfte. Nach der Absage hat ein Bewerber 6 Monate für Klage/Beschwerde. Eine Verwaltungsbehörde hat 6 Monate Zeit, um tätig zu werden. Wäre da nicht eine Löschfrist von 12 oder -mit Postlauf- 13 Monaten ab Absage gerechtfertigt?

    • Die Entscheidung der öster. Aufsichtsbehörde bezieht sich auf den beschiedenen Einzelfall. In diesem hielt sie eine 7 monatige Aufbewahrungsfrist unter den oben genannten Erwägungen für angemessen. Mit ausreichender Begründung kann von dieser Frist sicherlich leicht abgewichen werden.

  • Es fehlt der Hinweis, dass auch, soweit ein Betriebsrat besteht, dieser zu dem Kreis zählt, dem die Daten zugänglich gemacht werden dürfen.

  • Ich habe zufällig gerade so einen Fall: Ich habe mich über StepStone bei einer Firma beworben, also Anschreiben, Lebenslauf und Zeugnisse über den Bewerben-Button an die Firma xy gesendet. Man erhält dann von StepStone eine Bestätigung, dass die Bewerbung bei xy angekommen ist. Heute habe ich eine E-Mail einer Recruiter-Firma erhalten, dass Sie von xy für den Bewerberprozess beauftragt worden ist – meine Unterlagen sind offensichtlich schon dort…
    Ich habe dort erst einmal nachgehakt, wer denn die Unterlagen dahin weitergeleitet hat. Aber was nun?

  • Guten Tag, ich habe eine Frage bezogen auf die Arbeitnehmerüberlassung. Ich habe mich per E-Mail bei einer Personaldienstleistungsagentur auf eine Stelle in einer Stadt beworben – und nun werde ich aus einer anderen Stadt (von der selben Firma, jedoch anderer Niederlassungsort) angerufen. Meine Daten müssen ja dabei von der einen Stadt in die andere gewandert sein- Ich wurde bezüglich der Verarbeitung und Speicherung meiner Daten jedoch nicht in Kenntnis gesetzt (habe keiner Datenschutzerklärung zugestimmt) oder aufgeklärt. Ist dieses Verhalten seitens der Firma DSGVO konform? Vielen Dank für Ihre Hilfe

    • Innerhalb eines Unternehmens können diejenige Stellen ihre Bewerbungsunterlagen erhalten, die sie zur Erfüllung des Bewerbungsprozesses benötigen. In der Regel werden dies die Personalabteilung und womöglich noch einzelne Fachabteilungen sein. Grundsätzlich sieht die DSGVO kein Konzernprivileg vor, sodass die Weitergabe ihrer Daten zwischen einzelnen rechtlich selbstständigen Unternehmen und Niederlassungen stets einer gesonderten Rechtsgrundlage bedarf. In Betracht käme hier eine zuvor erteilte Einwilligung. Sie müssten sich also mit der Weitergabe ihrer Daten an Dritte einverstanden erklärt haben. Ferner müssen Unternehmen die Bewerber auch im Bewerbungsprozess über die konkrete Datenverarbeitung sowie über bestehende Betroffenenrechte informieren.
      Ob womöglich aufgrund ihrer Beziehungen zur Personaldienstleistungsagentur Daten aufgrund der Bestimmungen des Arbeitnehmerüberlassungsgesetzes weitergegeben wurden kann Dr. Datenschutz im Rahmen dieses Blogs nicht abschließend beurteilen.

  • Hallo, vielen Dank für diesen aufschlussreichen Artikel.

    In wie fern dürfen Bewerbungsunterlagen an weitere Unternehmen übermittelt werden, wenn diese im Bewerbungsprozess des potentiellen Arbeitgebers involviert sind und zum Beispiel im Auftrag als externe Personalberater arbeiten? Bzw. welche Einverständnisnachweise des Bewerbers sind nötig?

    Grüße Christian

    • Grundsätzlich dürfen Bewerbungsunterlagen im Unternehmen nur den Personen zugänglich gemacht werden, die mit der Besetzung der Stelle direkt befasst sind. Die Weitergabe an andere Personen bedarf einer gesonderten Rechtsgrundlage, z.B. einer Einwilligung des Bewerbers.

      Dass auch externe Personalberater Zugriff auf die Bewerberdaten haben, ist für den Bewerber häufig nicht ersichtlich. Er muss im Vorhinein darüber informiert werden, um wirksam einwilligen zu können. Um die Einwilligung zu dokumentieren, bietet es sich an, dem Bewerber die Möglichkeit zu geben, ein Häkchen zu setzen, dass er mit der Weitergabe an die genau bezeichnete Stelle einverstanden ist. Auf die Betroffenenrechte, u.a. das Recht auf Widerruf der Einwilligung, ist er/sie hinzuweisen.

  • Darf ich, nach der Einstellung, die Bewerbungsunterlagen in der Personalakte aufbewahren? Falls ja, wie lange? Erlaubt die EU-DSGVO eine solche Aufbewahrung?

    • Bewerbungsunterlagen von angenommenen Bewerbern sind in der Personalakte aufzubewahren. Die DSGVO selbst enthält keine konkreten Fristen wie lange Daten aufbewahrt werden dürfen. Aufbewahrungsfristen lassen sich aber teilweise aus anderen Spezialgesetzen entnehmen.

  • Ich habe mich letztes Jahr bei einer Firma beworben und in paar Tagen dann abgesagt, da ich bei meiner Firma beförderung bekommen habe und mich entschieden da zu bleiben. Ich habe diese Firma darum gebeten, meine Bewerbung vertraulich zu behandeln. Nach einem Jahr, unser Unternehmen hat angefangen mit dieser Firma, wo ich mich beworben habe zu arbeiten. Da wir verschiedene Situationen mit dieser Firma hatten, kam von diese Firma eine E-Mail mir und an meine Direktion, wo er mich persönlich angegriffen hat und wo diese Firma verraten hat, dass ich mich bei denen beworben habe. Ich habe alle E-Mails behalten. Das ist Datenschutz Verstoß und ich würde das hier gerne klären. Können Sie mir vielleicht hier weiterhelfen, an wen ich mich am besten wenden kann? Was brauche ich hier so alles?

    • Es ist absolut verständlich, dass Sie diesen Sachverhalt klären möchten. Eine Rechtsberatung können wir natürlich nicht vornehmen. Am besten Sie wenden sich an einen Rechtsanwalt (mit Schwerpunkt Daten- oder IT-Recht) oder an Ihre zuständige Aufsichtsbehörde.

  • Hallo, ich habe eine Frage bzgl. der Anwendung von Rechtsgrundlage Art. 88 Abs. 1 DSGVO bzw. §26 BDSG, vielleicht können Sie mir dabei helfen.
    Gilt diese Rechtsgrundlage auch für Anbieter von Recruiting-Software, bzw. Jobportalen mit Online-Bewerbungsformular, die ggf. als Auftragsverarbeiter für Unternehmen tätig sind?
    Oder müssen diese Anbieter zwingend eine Einwilligung zur Weiterleitung der Bewerbungsdaten an entsprechende Firmen einholen? .. da Sie ja sozusagen nicht selbst nach Personal suchen sondern nur im Auftrag.

    Ich hab die Erfahrung gemacht, dass viele Jobportale meine Einwilligung bei einer Bewerbung erfragen (also Art 6. 1a DSGVO als Grundlage heranziehen) und nicht die von Ihnen genannten Rechtsgrundlagen aus DSGVO bzw BDSG verwenden.

    Vielen Dank,
    Grüße

    • In der Regel sind verantwortliche Stelle für den Einsatz von Online-Bewerber-Tools die Unternehmen, welche das Tool tatsächlich einsetzen. Im Normalfall können diese die Verarbeitung personenbezogener Daten im Rahmen des Einsatzes des Bewerber-Tools auch auf § 26 BDSG als Rechtsgrundlage stützen.
      Der Anbieter des Tools hingegen ist nicht verantwortliche Stelle sondern Auftragsverarbeiter. Insofern kann man sich bezüglich der Übertragung von Bewerberdaten an den Anbieter des Bewerber-Tools auf den zwingend abzuschließenden Auftragsverarbeitungsvertrag stützen.
      Eine Einwilligung ist hingegen in der Regel dann notwendig, wenn die Datenverarbeitung über die reguläre Verarbeitung im Rahmen eines Online-Bewerber-Tools hinausgeht. Insbesondere bei Recruiting-Tools werden häufig noch umfangreiche weitere Zwecke verfolgt.

  • Guten Tag, die Mehrzahl von Unternehmen nutzt bei der Rekrutierung eigene oder Online-Bewerberportale. Dort lädt man dann seine Unterlagen wie Zeugnisse, Lebenslauf etc. hoch. Eine Bundesgesellschaft in Niedersachsen fordert jedoch: „Bitte senden Sie uns Ihre vollständigen Bewerbungsunterlagen per E-Mail möglichst in einer Datei und nur im pdf-Format mit max. 15 MB unter Angabe der Kennziffer und Ihres frühestmöglichen Eintrittsdatums an personal@xyz.de“ Von mir in der Cloud bereitgestellte Unterlagen dürften laut der Personalerin nicht heruntergeladen werden. Und E-Mail würden sonst auch alle machen… Ist solch eine Aufforderung überhaupt zulässig oder wie kann man diese Praxis unterbinden (lassen)?

    • Unbenommen, Online-Bewerberportale sind stark auf dem Vormarsch. Dass sie bei öffentlichen Stellen noch nicht verbreitet sind, kann angesichts des allgemeinen Standes der Digitalisierung der Verwaltung aber kaum überraschen.
      Im Übrigen darf man sich aber auch nicht täuschen lassen: Der Datenschutz ist bei Verwendung mancher (cloudbasierter) Softwarelösung nicht unbedingt besser gewährleistet – was sowohl am jeweiligen Dienst als auch an der Implementierung im Unternehmen selbst liegen kann. Eine Pflicht zur Nutzung solcher Dienste kann jedenfalls derzeit nicht angenommen werden.
      Wenn Sie Ihre Daten besser schützen wollen, bleibt als einfachste Lösung: Verschlüsseln Sie das PDF mit einem Kennwort, und schicken Sie dieses in separater Mail hinterher. Das macht womöglich sogar Eindruck.

  • Guten Tag, wir sind aktuell in der Übergangsphase von Bewerbungen per Mail hin zu einem Bewerbungsportal. Aktuell werden die Bewerbungen auf einem Netzlaufwerk gespeichert mit den entsprechenden Berechtigungen für die Abteilungsleiter auf ihren Ordner.
    Jetzt kam die Anfrage, ob wir diese Bewerbungen in das Portal eines externen Dienstleisters übertragen dürfen, damit die Prozesse nur noch darüber laufen. Die Mails sollen dann auf dem Laufwerk gelöscht werden.
    Darf ich die Daten der Bewerber einfach so übertragen? Was ist mit weiteren Bewerbungen, welche trotzdem an bewerbung@ geschickt werden? Gewünscht ist eine Bearbeitung der Bewerbungen im Portal, da dort auch Löschfristen hinterlegt sind. Einen entsprechenden Hinweis zur Verarbeitung haben wir in unserer DSE bereits hinterlegt.
    Danke für die Unterstützung.

    • Die Abwicklung von Bewerbungen im Portal eines Dienstleisters stellt eine Auftragsverarbeitung dar. Daraus folgt, dass mit dem Dienstleister ein Auftragsverarbeitungsvertrag abzuschließen ist. Handelt es sich um einen US-amerikanischen Dienstleister oder um einen Dienstleister aus einem sonstigen Drittland gilt es auch den Drittlandtransfer rechtskonform zu gestalten. Weiterhin muss sichergestellt werden, dass der Anbieter und das zugehörige Tool sämtliche sonstigen datenschutzrechtlichen Anforderungen erfüllt. Dazu zählt auch die Erfüllung der Informationspflichten gem. Art. 13 und 14 DSGVO.

      Bewerbungen, welche dennoch an ein E-Mail-Postfach geschickt werden, können, bei Vorliegen aller datenschutzrechtlichen Voraussetzungen, ebenso in das Portal übertragen werden.

      Eine genauere Bewertung hängt dabei vom Einzelfall ab. Eine solche Rechtsberatung können wir in diesem Rahmen nicht anbieten. Nehmen Sie zur Prüfung des Einzelfalls deshalb bitte Kontakt mit einem Spezialisten auf.

  • Vielen Dank für den informativen Beitrag!
    Mir stellt sich in Bezug auf die Informationspflicht gegenüber dem Bewerber die Frage, ob die Verarbeitung der Daten mittels Drittdiensten wie dem weit verbreiteten Microsoft 365 (= Öffnen der Unterlagen mit einer O365-Applikation oder auch Speicherung der Bewerberdaten für die Dauer der Entscheidungsfindung in einer durch das Unternehmen genutzten Public Cloud wie OneDrive) bereits eine „Weitergabe an Dritte“ darstellt, die dem Bewerber mitgeteilt werden muss?
    Kann DSGVO Art. 13 Abs. 1 lit e) so ausgelegt werden? Damit einhergehend wäre ja auch eine potenzielle Drittlandübermittlung der personenbezogenen Daten?
    Wohlgemerkt gehe ich bei dieser Frage davon aus, dass die Bewerberdaten nur unternehmensintern verarbeitet werden, dabei jedoch externe Dienste genutzt werden.
    Besten Dank für Ihre Einschätzung!

    • Das ist in der Tat eine berechtigte Frage.

      Die Informationspflicht nach Art. 13 Abs. 1 lit e) DSGVO fordert, dass Angaben zu den Empfängern der Daten gemacht werden. Laut Definition in Art. 4 Ziff. 9 DSGVO ist „Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“. Damit fallen auch Auftragsverarbeiter (wie Microsoft im Falle der Nutzung von MS 365) grundsätzlich unter den Begriff „Empfänger“, über die zu informieren wäre.

      Zu klären wäre aber im Einzelfall, ob tatsächlich auch personenbezogene Daten des Bewerbers durch Microsoft verarbeitet werden. Bei einer Speicherung der Unterlagen in der Microsoft-Cloud (OneDrive, SharePoint) wird dies der Fall sein, zumal wenn man davon ausgeht, dass die Dateien einen sprechenden Titel haben (wie z.B. „Bewerbung_Lieschen Müller“). Dementsprechend wäre dann auch hinsichtlich eines potentiellen Drittlandstransfers und der „angemessenen Garantien“ gelten (s. Art. 13 Abs. 1 lit. f) DSGVO) zu informieren.

      Empfehlenswert dürfte sein, solche Unterlagen auf eigenen Servern zu speichern. In diesem Fall würde Microsoft – wenn das Unternehmen die Software mit entsprechenden datenschutzkonformen Einstellungen betreibt – voraussichtlich keine personenbezogenen Daten des Bewerbers erhalten.

      Gerade bei Verwendung von umfangreichen Bewerbertools ist es aber auch gut denkbar, dass die Bearbeitung ohne eine Nutzung von Word & Co. auskommt. In den meisten Fällen werden Unterlagen im PDF-Format übermittelt. Da reicht dann ein lokal installierter Acrobat Reader zum Verarbeiten der personenbezogenen Daten. Die weitere Kommunikation läuft oft über den (hoffentlich nicht US-amerikanischen) Anbieter des Tools. Über dessen Einbeziehung wäre dann natürlich in den Datenschutzhinweisen ebenfalls zu informieren.

  • Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht.
    Alle vorherigen Kommentare und unsere Antworten beziehen sich auf die alte Version des Beitrags und können daher unter Umständen nicht mehr aktuell sein.

    • Da die Kommentare von vor der Zeit der Überarbeitung des Artikels doch recht verwirrend sind und darüber hinaus nicht den AI Act oder gar die Rspr zum 26 DSGVO berücksichtigen, würde ich empfehlen den Hinweis auf die Überarbeitung an den Anfang des Artikels zu stellen, um mögliche Verwirrungen vorzubeugen oder die Kommentare in rücklaufender Chronologie darzustellen. Danke

  • Lieber Dr. Datenschutz, der DSB wird schon seit nunmehr knapp sechs Jahren nicht mehr bestellt, sondern benannt. :) Viele Grüße Ralf

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.