Bild-Quelle: Bild von loufre auf Pixabay
Den richtigen Bewerber für eine zu besetzende Stelle im Unternehmen zu finden ist immer wieder eine Herausforderung. Als wäre diese Herausforderung nicht schon schwer genug, müssen Personaler auch noch die Vorschriften der Datenschutz-Grundverordnung (DSGVO) beachten. In den für eine Bewerbung relevanten Unterlagen (Lebenslauf, Zeugnisse usw.) sind umfangreiche Informationen über den Bewerber enthalten. Daher stellt sich regelmäßig die Frage, was im Umgang mit Bewerberdaten zu beachten ist.
Ferner ist nach Abschluss des Bewerbungsverfahrens ein strukturiertes Vorgehen beim Onboarding von Mitarbeitern essentiell. Hierzu können sich Unternehmen an den folgenden Punkten orientieren.
- Bewerbungsverfahren
Innerhalb des Bewerbungsprozesses sollten Unternehmen die folgenden Punkte beachten.
- Richten Sie eine eigene E-Mailadresse für eingehende Bewerbungen ein
- Setzen Sie die Informationspflichten nach Art. 12 ff. DSGVO um
- Beachten Sie die Löschfristen – spätestens nach 6 Monaten sollten Bewerbungen von Kandidaten, die abgelehnt wurden, gelöscht werden
- Sollte im Einzelfall eine längere Speicherung gewünscht werden, müssen Sie sich hierfür die Einwilligung des Bewerbers einholen
- Einstellungsprozess
Ist der passende Bewerber gefunden, sollte im Einstellungsprozess insbesondere auf die folgenden Punkte geachtet werden.
- Neue Mitarbeiter sollten eine Vertraulichkeitsvereinbarung unterzeichnen
- Zudem müssen neue Mitarbeiter über die internen Richtlinien aufgeklärt werden (Clean-Desk-Policy, Passwort-Policy, Datenschutzrichtlinie usw.)
- Ebenfalls ist es ratsam neue Mitarbeiter in die Erstellung und interne Verwendung von Mitarbeiterfotos einwilligen zu lassen (Achtung: die Einwilligung musss in jedem Fall freiwillig erfolgen; Ein „Zwang“ zu Mitarbeiterfotos kann es nur ausnahmsweise geben, z.B. bei Zutrittsausweisen etc.)
- Verteilung der Zugriffsrechte
Bewerbungen können auch Angaben über die religiöse oder weltanschauliche Überzeugung des Bewerbers oder Gesundheitsdaten (z.B. über einen Behinderungsgrad) enthalten und damit sog. besondere personenbezogene Daten i.S.v. Art. 9 Abs. 1 DSGVO. Daher sind ein besonders sensibler Umgang sowie entsprechende technische und organisatorische Maßnahmen erforderlich, um ein angemessenes Schutzniveau zu gewährleisten. Unternehmen sollten in diesem Zusammenhang daher auch auf folgende Punkte achten:
- Die Zugriffsrechte auf Bewerberdaten sollten auf ein Mindestmaß an Mitarbeitern innerhalb des Unternehmens reduziert werden (Personalabteilung, Geschäftsführung, Abteilungsleitung)
- Nicht-Berechtigten sollte der Zugriff auf Bewerberdaten bereits technisch unmöglich sein (z.B. durch ein entsprechendes Rechte- und Rollenkonzept)
- Alle Mitarbeiter sollten regelmäßig für das Thema Datenschutz – auch im Hinblick auf Bewerbungen – geschult und sensibilisiert werden
Handlungsempfehlung
Das vorangegangene zeigt, dass der Umgang mit Bewerberdaten sehr komplex ist. Daher ist es von besonderer Wichtigkeit, dass Unternehmen interne Prozesse schaffen, mit welchen der Umgang mit Bewerberdaten klar strukturiert wird.
Hierzu zählen auch Prozesse, welche die rechtzeitige Löschung von Bewerberdaten sicherstellen sowie zur Beantwortung von Auskunftsersuchen durch Bewerber. Ebenfalls sollten Unternehmen stets ihren Informationspflichten aus Art. 13, 14 DSGVO nachkommen und Bewerbern – idealerweise schon im Rahmen der Stellenausschreibung – Informationen zur Verfügung stellen, in denen diese über die Verarbeitungszwecke sowie die zugehörigen Rechtsgrundlagen informiert werden.
Von Tamina Wiatr, 26.02.2021
