Einführung
Schriftliche bzw. elektronische Bewerbungsunterlagen enthalten regelmäßig eine Fülle von Informationen zu den Bewerbern. Ob nun Personendaten, Lebensläufe oder Zeugnisse: Alle diese Informationen stellen personenbezogene Daten dar, deren Schutz durch die seit dem 25. Mai 2018 geltenden Bestimmungen der Europäischen Datenschutz-Grundverordnung („DSGVO“) sowie – ergänzend – des Bundesdatenschutzgesetzes („BDSG“) gewährleistet werden soll. Vor diesem Hintergrund sollen nachfolgend – ohne Anspruch auf Vollständigkeit – einige Themenfelder kurz umrissen werden – so z. B. die Frage, welche Rechtsgrundlagen konkret zu beachten sind, wie lange die schriftlich oder elektronisch übermittelten Bewerbungsunterlagen aufbewahrt werden dürfen und welche Rechte die Bewerber aus datenschutzrechtlicher Sicht haben.
Rechtsgrundlagen
Jede Verarbeitung von personenbezogenen Daten muss sich auf eine Rechtsgrundlage stützen. Dabei gilt hinsichtlich der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses § 26 BDSG. Gemäß § 26 Abs. 1 BDSG dürfen Daten von Beschäftigten verarbeitet werden, wenn dies dem Zweck der Entscheidung über ein Beschäftigungsverhältnis dient. Nach § 26 Abs. 8 Satz 2 BDSG gelten indes nicht nur Arbeitnehmer als Beschäftigte im Sinne des Gesetzes, sondern u.a. auch Bewerber für ein Beschäftigungsverhältnis sowie zudem auch Personen, deren Beschäftigungsverhältnis beendet ist.
Insofern bildet § 26 Abs. 1 BDSG die Rechtsgrundlage für die wesentlichen Phasen innerhalb eines Bewerbungsverfahrens, so u.a. das Sichten von Bewerbungsunterlagen oder die Durchführung von Vorstellungsgesprächen. Darüber hinaus kann, v.a. wenn eine Einwilligung des Bewerbers in die Verarbeitung seiner Daten erforderlich ist, in Einzelfällen auch die Anwendung von § 26 Abs. 2 BDSG in Betracht kommen.
Sichtung der Bewerbungsunterlagen
Die Bewerbung per E-Mail ist in vielen Wirtschaftsbereichen heutzutage bereits Usus. Insbesondere wenn das Unternehmen eine Personalberatung mit dem Recruiting geeigneter Bewerber beauftragt hat, werden ihm die Unterlagen der Bewerber, die der Personalberatung für die zu besetzende Position geeignet erscheinen, in aller Regel online übermittelt.
Die online übermittelten Bewerbungen können so leichter an weitere berechtigte Personen, so etwa an zuständige Abteilungs- und/oder Personalleiter zur Einsicht weitergeleitet werden, die dann ggfs. eine weitere Auswahl treffen, bevor es schließlich zu Vorstellungsgesprächen mit einem engeren Kreis von Bewerbern kommt, an denen ggfs. weitere berechtigte Personen aus dem Unternehmen teilnehmen, denen dazu zuvor die entsprechenden Bewerbungsunterlagen ebenfalls zur Durchsicht bzw. Vorbereitung auf die Vorstellungsgespräche übermittelt wurden.
Die Bewerbungen gehen auf diese Weis oftmals an eine größere Zahl von Personen und werden dabei auf einer Vielzahl von Rechnern und in einer entsprechend großen Vielzahl von E-Mail-Postfächern gespeichert – was in den Fällen, in denen Bewerber endgültig abgelehnt werden, problematisch sein kann.
Speicher- bzw. Aufbewahrungsfristen für Bewerberdaten/ Bewerbungsunterlagen
Bis zum Abschluss des Bewerbungsverfahrens dürfen die personenbezogenen Daten der Bewerber bzw. die Bewerbungsunterlagen gespeichert bzw. aufbewahrt werden.
Ist das Bewerbungsverfahren zugunsten eines Kandidaten erfolgreich abgeschlossen, so können die von ihm eingereichten Bewerbungsunterlagen sowie die ggfs. übermittelten Bewerberdaten in der/den für die Abwicklung der Personalangelegenheiten zuständigen Abteilung/en gespeichert bzw. aufbewahrt werden.
Ist das Bewerbungsverfahren für einen Kandidaten indes zwar zunächst nicht erfolgreich verlaufen, aber verständigen sich Unternehmen und Kandidat darauf, dass die Bewerbungsunterlagen bzw. die Bewerberdaten in einen sog. „Bewerberpool“ für künftige Stellenausschreibungen aufgenommen werden sollen, so empfiehlt es sich für das Unternehmen, die entsprechende Vereinbarung schriftlich oder in Textform (also per E-Mail) zu dokumentieren und dabei auch die (Höchst-) Dauer der weiteren Speicherung/ Aufbewahrung festzulegen.
Sofern der Bewerber vor Ablauf der vereinbarten weiteren Speicher-/ Aufbewahrungsfrist die Löschung bzw. Vernichtung der im „Bewerberpool“ vom Unternehmen aufbewahrten Unterlagen bzw. gespeicherten Daten verlangt, z. B. weil er eine anderweitige Anstellung gefunden hat, so ist diesem Verlangen zeitnah zu entsprechen, da der Zweck der Speicherung – die Vorhaltung der Unterlagen bzw. Daten für künftige Stellenausschreibungen – entfallen ist.
Demgegenüber sollen Bewerbungsunterlagen bzw. die zur Person von Kandidaten gespeicherten Daten, deren Bewerbungen nicht erfolgreich waren, zurückgegeben bzw. gelöscht werden.
Allerdings darf das Unternehmen die Unterlagen und/oder eine Dokumentation über das Bewerbungsverfahren für einen gewissen Zeitraum aufbewahren, um sich gegen einen etwaigen Verstoß gegen das Benachteiligungsverbot (u.a. wegen der Rasse, der ethnischen Herkunft, des Geschlechts etc.) nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) verteidigen zu können.
Da nach dem AGG Schadensersatz- oder Entschädigungsansprüche von den nicht berücksichtigten Bewerbern innerhalb einer Zweimonatsfrist geltend gemacht werden müssen (§ 15 Absatz 4 AGG), akzeptieren es die Datenschutz-Aufsichtsbehörden, wenn die Bewerbungsunterlagen/ Bewerberdaten im Falle einer abgelehnten Bewerbung noch für einen Zeitraum von drei bis maximal sechs Monaten ab Erklärung der Ablehnung bei dem Unternehmen gespeichert bleiben. Nach Ablauf dieser (Nach-) Frist sind die Unterlagen dann jedoch an den Bewerber zurückzugeben bzw. datenschutzkonform zu vernichten. Dies gilt übrigens auch für das Bewerbungsschreiben, da es häufig sensible Angaben, zum Beispiel über Ausbildung, Fähigkeiten, Werdegang, familiäre Verhältnisse etc., enthält.
Um sicherzustellen, dass alle Mitarbeiter, denen im Zuge eines Bewerbungsverfahrens im Unternehmen Bewerbungsunterlagen/ Bewerberdaten übermittelt wurden, diese wieder bei sich löschen bzw. vernichten, sollten die betroffenen Mitarbeiter rechtzeitig darüber informiert werden, dass sämtliche E-Mails mit Informationen/ Daten zu einem bestimmten Bewerber fristgerecht zu löschen bzw. entsprechende Dokumente zu vernichten sind. Alle Beteiligten im Unternehmen müssen E-Mails dabei so löschen, dass man die Daten nicht wiederherstellen kann, und eine datenschutzkonforme Vernichtung von Dokumenten setzt voraus, dass der Schredder zum Einsatz kommt.
Im Endergebnis sollte man sich darauf beschränken, lediglich eine Ablichtung des Absageschreibens an den Bewerber aufzubewahren – falls die Tatsache einer (abgelehnten) Bewerbung seitens des Unternehmens festgehalten werden soll.
Informationspflichten
Die datenschutzrechtlichen Informationspflichten des Unternehmens gelten unabhängig davon, ob es sich um Bewerber oder um dritte betroffene Personen (z.B. Kunden) handelt.
Gemäß Art. 12 Abs. 1 DSGVO ist das Unternehmen dazu verpflichtet, geeignete Maßnahmen zu treffen, um der betroffenen Person alle Informationen, die sich auf die Verarbeitung ihrer Daten im Unternehmen beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache bereitzustellen.
Die zu erteilenden Informationen und Mitteilungen ergeben sich insbesondere aus den Artikeln 13 und 14, den Art. 15 bis 22 sowie aus Art. 34 DSGVO; deren Wortlaut ist abrufbar u.a. unter dem Link: https://dsgvo-gesetz.de/.
Dokumentationspflichten
Schließlich sollte bedacht werden, dass das Unternehmen als Verantwortlicher im Sinne der DSGVO „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis von Verarbeitungstätigkeiten führen soll. Das Verfahrensverzeichnis ist stets aktuell zu halten; in ihm sollen alle wesentlichen Datenverarbeitungstätigkeiten dargestellt werden.
Daher sollte das Verarbeitungsverzeichnis auch den Prozess des Umgangs mit Bewerbungsunterlagen abbilden, wobei auch die Abläufe der unternehmensinternen Weitergabe der Daten im Rahmen der Dokumentation abgebildet sein sollten, um den Anforderungen der DSGVO gerecht zu werden.
Hinweis: Aus Gründen der besseren Lesbarkeit wird im Folgenden auf die gleichzeitige Verwendung weiblicher und männlicher Sprachformen verzichtet und das generische Maskulinum verwendet. Sämtliche Personenbezeichnungen gelten gleichermaßen für beide Geschlechter.
Ass. jur. Wolfgang Spitz ist seit über 30 Jahren für verschiedene Unternehmen, insbesondere aus den Bereichen Forderungs- und Informationsmanagement, als betrieblicher Datenschutzbeauftragter (bDSB) tätig. Er hat sich umfassende Kenntnisse über datenschutzrechtliche Vorschriften auf nationaler und europäischer Ebene angeeignet. In seiner Funktion als bDSB berät er Verantwortliche und Mitarbeiter in allen Fragen des Datenschutzes. Er ist gleichzeitig Ansprechpartner für Betroffene, die Fragen zur Verarbeitung ihrer Daten und zur Wahrnehmung ihrer Rechte haben. Herr Spitz hält einen engen und vertrauensvollen Kontakt zu den Datenschutzaufsichtsbehörden.