DSGVO im Recruitingprozess: Datenschutz muss großgeschrieben werden
12. März 2025
Die Datenschutzgrundverordnung, kurz DSGVO, ist zentraler Bestandteil bei Bewerbungsprozessen, denn sensible Daten müssen besonders geschützt werden. Für Personalabteilungen und Personalberater gibt es daher einiges zu beachten.
Die Datenschutzgrundverordnung (DSGVO) stellt Personalberatungen und HR-Abteilungen vor besondere Herausforderungen. Der sorgfältige Umgang mit Bewerberdaten ist unerlässlich, um rechtliche Vorgaben einzuhalten und das Vertrauen der Kandidaten zu gewinnen. Bei BECKER + PARTNER tun unsere Headhunter alles, damit der Datenschutz jederzeit garantiert ist. Inzwischen ist ein Großteil der Bewerbungen elektronisch, daher ist es umso wichtiger, dass die Daten vor fremdem Zugriff geschützt sind.
DSGVO regelt Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten im Bewerbungsverfahren ist genau geregelt. Die DSGVO erlaubt die Datenverarbeitung zur Anbahnung eines Vertragsverhältnisses. Doch wesentliche Grundsätze, wie Rechtmäßigkeit, Zweckbindung und Datenminimierung müssen dabei stets beachtet werden. Neben der DSGVO gilt auch noch das Bundesdatenschutzgesetz (BDSG). Es legt ebenfalls fest, das personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, „wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses“ nötig ist.
Datenschutzgrundverordnung regelt Informationspflichten
Für uns als Personalberater ist Art. 13 DSGVO von besonderer Bedeutung. Er besagt, dass Bewerber umfassend darüber zu informieren sind, welche Daten zu welchem Zweck erhoben und wie lange sie gespeichert werden. Außerdem müssen die Jobsuchenden darüber aufgeklärt werden, wer ihre Daten erhält und verarbeitet. Diese Informationen sollten transparent und verständlich in einer Datenschutzerklärung bereitgestellt werden. Die Erklärung muss spezifisch auf den Recruiting-Prozess zugeschnitten sein – Standardtexte reichen hier meist nicht aus.
Wenn mehr als 20 Personen in einem Unternehmen regelmäßig personenbezogene Daten verarbeiten, ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen. Damit soll die Kontrolle der rechtskonformen Anwendung der DSGVO sichergestellt werden. Alternativ kann das Unternehmen auch einen externen Datenschutzbeauftragten verpflichten.
Was ist die DSGVO?
Die Datenschutzgrundverordnung (DSGVO) ist eine EU-Verordnung. Sie gilt seit 2016 und regelt die Verarbeitung personenbezogener Daten von natürlichen Personen. Nach einer zweijährigen Übergangsfrist ist sie seit 2018 verbindlich für alle Unternehmen, Behörden und Vereine, die innerhalb der Europäischen Union einen Sitz haben.
Einwilligung und Datenverarbeitung
Die Verarbeitung von Anschreiben, Lebensläufen und Zeugnissen potentieller Kandidaten erfordert in der Regel keine gesonderte Einwilligung, solange sie für das Bewerbungsverfahren notwendig ist. Anders sieht es aus, wenn die Daten über den aktuellen Bewerbungsprozess hinaus gespeichert werden sollen, beispielsweise für einen Talentpool. In solchen Fällen muss die Einwilligung des Bewerbers oder der Bewerberin eingeholt werden.
Der ungesicherte Versand von Bewerbungsunterlagen per E-Mail stellt oft ein Risiko dar. Damit Daten nicht in falsche Hände gelangen, sollte die Übermittlung von Bewerbungsunterlagen immer verschlüsselt erfolgen. Zudem dürfen nur befugte Personen Zugriff auf die Bewerberdaten haben. Es ist ratsam festzulegen, wer Zugriff haben darf und diese Berechtigungen regelmäßig zu überprüfen. Zudem sollten Unternehmen den Recruiting-Prozess regelmäßig auf Datenschutzkonformität überprüfen und Mitarbeiter entsprechend schulen.
Nach dem Bewerbungsverfahren: Daten müssen gelöscht werden
Ein häufiger Fehler ist die unzureichende Information der Bewerber über die Datenverarbeitung. Zudem werden Bewerberdaten oft länger gespeichert als zulässig oder ohne gültige Einwilligung für andere Zwecke verwendet. Nach Abschluss des Bewerbungsverfahrens sind die Daten nicht erfolgreicher Kandidaten unverzüglich zu löschen. Allerdings gilt eine Aufbewahrungsfrist von maximal sechs Monaten, um auf etwaige Rechtsansprüche, wie Diskriminierungsklagen, reagieren zu können.
Sollen die Unterlagen über die Aufbewahrungsfrist hinaus gespeichert werden, muss die Zustimmung der Betroffenen eingeholt werden. Diese Abfragen können automatisiert erfolgen. Stimmen die Bewerber nicht zu, werden die Daten automatisch gelöscht. Sind die Kandidatinnen und Kandidaten mit der weiteren Aufbewahrung einverstanden, ist es ratsam, die Unterlagen auf einem eigenen Server mit extra Sicherung aufzubewahren.
Ein Bewerbungsprozess basiert auf gegenseitigem Vertrauen. Ein datenschutzkonformer Umgang mit Bewerberdaten ist daher nicht nur gesetzliche Pflicht, sondern wesentlicher Teil unserer Philosophie bei BECKER + PARTNER. Wir setzen auf transparente Prozesse und ein gewissenhafter Umgang mit persönlichen Daten ist selbstverständlich. Unsere Kandidaten und Kandidatinnen können sich darauf verlassen, dass wir ihren Bewerbungsprozess in jeder Phase als verlässlicher Partner begleiten.