Warum Sie IT-Aspekte und rechtliche Aspekte in der Bewerbungsphase beachten sollten?
Der Bewerbungsprozess ist durch die Anforderungen des Datenschutzes und des Arbeitsrechts stark reglementiert. Diese Anforderungen müssen von Arbeitgeber:innen in der Praxis umgesetzt werden. In diesem Betrag beleuchten wir, wie ein in den digitalen Arbeitsprozess praktikabel eingebetteter Bewerbungsprozess aussehen kann. Die juristische Betrachtung übernimmt der Fachanwalt für Arbeitsrecht Michael Vedders von den Unternehmerverbänden Südhessen in Darmstadt. Am Ende dieses Beitrags fassen wir die technologischen Maßnahmen kompakt zusammen.
Welche Pflichten haben Unternehmen und woraus ergeben sie sich?
Beginnen wir mit einem Beispiel: Sie schreiben eine neue Stelle für eine Logistik-Fachkraft auf Ihrer Website aus. Nach einiger Zeit erhalten Sie – in der Regel per E-Mail – die erste Bewerbung mit Anschreiben, Zeugnissen und einem Lebenslauf. Ab diesem Moment verarbeiten Sie personenbezogene Bewerber:innendaten. Bei der Verarbeitung sind bestimmte gesetzliche Pflichten zu beachten:
- Datenschutz definiert, welche Daten verarbeitet werden dürfen:
Bewerber:innen gelten im Sinne des Bundesdatenschutzgesetzes als Beschäftigte. Das heißt, Unternehmen dürfen die personenbezogenen Beschäftigtendaten verarbeiten, die für die Entscheidung über die Begründung eines Arbeitsverhältnisses relevant sind. - Virtuelle Vorstellungsgespräche als eigenständiger Verarbeitungsprozess:
Vorstellungsgespräche per Videokonferenzsystem sind als eigener Verarbeitungsprozess zu betrachten. In diesen Fällen ist zusätzlich eine Einwilligungserklärung durch den/die Bewerber:in vor der Datenverarbeitung (d.h. spätestens vor dem Vorstellungsgespräch) erforderlich. - Daten müssen nach Abwägung der Interessen gelöscht werden:
Werden personenbezogenen Daten – etwa von abgelehnten Bewerber:innen – nicht mehr benötigt, sind sie grundsätzlich unverzüglich zu löschen (Art. 17 Abs. 1 lit. a DSGVO) bzw. die Bewerbungsunterlagen sind zurückzuschicken. Dies gilt nicht, soweit das Unternehmen die Daten speichert, um möglichen Rechtsansprüchen geltend zu machen oder sich gegen Ansprüche der Bewerbenden verteidigen zu können ( 17 Abs. 3 lit. e DSGVO). Spätestens sechs Monate nach Ende des Bewerbungsprozesses sollten Sie die Bewerber:innendaten jedoch löschen.
Rechtliche Anforderungen prozessual umsetzen:
Schauen wir uns an, wie diese Anforderungen und Möglichkeiten konkret umgesetzt werden können:
- Bewerber:innen über Datenverarbeitung informieren:
Bewerber:innen sind über die Verarbeitung ihrer Daten sowie über ihre Betroffenenrechte in transparenter, verständlicher und leicht zugänglicher Form, sowie in einfacher und klarer Sprache zu informieren. Diese Information können Sie in Form eines Autoresponders hinter ein Bewerbungspostfach (z.B. bewerbung@beispielfirma.de) legen, der eine Eingangsbestätigung und einen Verweis auf eine Unterseite Ihrer Website enthält, auf der die Bewerber:innen die aktuelle Fassung Ihrer Datenschutzinformationen finden. - Datenverbreitung eindämmen:
Bei Datenverarbeitungsprozessen gilt der Grundsatz der Datensparsamkeit. Auch hier vereinfacht ein zentrales E-Mailpostfach für Bewerbung bzw. eine dezidierte und geschützte Datenablage eine rechtmäßige Datenverarbeitung. Das Versenden von Bewerbungsunterlagen per interner E-Mail sollten Sie vermeiden, da im Zweifelsfall niemand mehr weiß, bei wem die versendeten Bewerbungsunterlagen noch im Postfach schlummern. In diesem Fall wäre eine ordnungsgemäße Löschung der Daten nicht gewährleistet. - Datensicherheit gewährleisten:
Die Bewerber:innendaten sind über technische und organisatorische Maßnahmen (kurz TOMs) vor unberechtigtem Datenzugriffen zu schützen. Das können Sie beispielsweise durch ein Berechtigungskonzept der Postfächer und Ordner, aber auch durch die Verwendung von sicheren Passwörtern erreichen. Mit Bewerber:innen sollten Sie ausschließlich mittels verschlüsselter E-Mail korrespondieren. Die Microsoft365 Suite bietet hier „out of the Box“ umfangreiche Lösungen zur Verschlüsselung von Daten. - Verarbeitungsverzeichnis erstellen:
Unternehmen müssen ihre Datenverarbeitungsprozesse von Beginn bis zum Ende des Bewerbungsverfahrens kennen und auf ihre Rechtskonformität (durch ihren Datenschutzbeauftragten oder eine:n Jurist:in) überprüfen. Die DSGVO verlangt hierfür ein sogenanntes Verarbeitungsverzeichnis, in dem die Verarbeitung personenbezogener Daten zu dokumentieren ist. Bei externer Speicherung von Daten durch einen IT-Dienstleister (z.B. in Rechenzentren oder der Cloud) ist zusätzlich ein entsprechender Auftragsverarbeitungsvertrag notwendig. - Wirkliche Löschung sicherstellen:
Schließlich müssen Sie ein Löschkonzept implementieren, dass für eine fristgerechte und vollständige Löschung der Bewerber:innendaten im gesamten Unternehmen sorgt. Ein praktischer Weg dieses Löschkonzept technologisch umzusetzen, ist die Backup-Aufbewahrungszeit (Retention Time) für das Bewerbungspostfach auf sechs Monat anzulegen und die Bewerberdaten umgehend zu löschen, sobald sie nicht mehr benötigt werden. So können Sie verhindern, dass Daten, die eigentlich gelöscht werden müssten, im Backup vorhanden bleiben.
Welche Daten Sie im digitalen Bewerbungsprozess verarbeiten dürfen:
Fassen wir diese Punkte anhand unseres Beispiels einmal zusammen: Die personenbezogenen Daten Ihrer Bewerber:innen – Anschreiben, Zeugnissen und Lebenslauf – dürfen Sie für das Bewerbungsverfahren verarbeiten und speichern. Schickt Ihnen der/die Bewerber:in mit der Bewerbung als Logistik-Fachkraft die Steuererklärung mit, müssen Sie diese unverzüglich löschen und die Person über diesen Vorgang informieren. Da Sie grundsätzlich trotz des Malheurs an dem/ der Bewerber:in interessiert sind, laden Sie ihn/sie zu einem virtuellen Interview ein. Aufgrund der Datenverarbeitung mittels Videokonferenzsystem überlassen Sie ihm/ihr mit der Einladung zugleich eine datenschutzrechtliche Einwilligungserklärung. Klug wie Sie sind, haben Sie die Informationen über die Datenverarbeitung im Autoresponder des Bewerbungspostfachs untergebracht und müssen nun nicht noch einmal informieren. Nach dem Gespräch entscheiden Sie, dass die Person für Ihr Unternehmen nicht in Frage kommt. Sie sagen der Person ab, schieben die Unterlagen in Ihr Archiv im E-Mail-Postfach, das so eingestellt ist, dass die Unterlagen nach sechs Monaten gelöscht werden.
Sollten Sie die Bewerber:innendaten nicht datenschutzkonform verarbeiten, kann das erhebliche – auch finanzielle – Konsequenzen haben. Die betroffene Person kann bei der zuständigen Datenschutzaufsichtsbehörde eine Beschwerde einreichen, wenn sie einen Datenschutzverstoß vermutet. Sollte die Aufsichtsbehörde einen solchen Verstoß feststellen, kann dies empfindliche Bußgeldern für das Unternehmen zur Folge haben. Zugleich können Bewerber:innen Schadensersatzansprüche gegenüber dem Unternehmen geltend machen. Darüber hinaus kann ein solcher Vorfall der Reputation des Unternehmens schaden.
Zusammenfassung: Technologische Tipps & Tricks für den Bewerbungsprozess
Auch wenn die Anforderungen auf den ersten Blick streng und schwer umsetzbar wirken, können Sie mit einfachen Workarounds auch als Nicht-Konzern einen einigermaßen technologisch „sauberen“ Bewerbungsprozess aufsetzen. Fassen wir also noch einmal kurz zusammen:
- Ein zentrales E-Mail-Postfach, zu dem nur wenige, berechtigte Personen Zugriff besitzen, ist eine einfache Möglichkeit die Verarbeitung personenbezogener Daten einzugrenzen.
- Mit einem Autoresponder hinter Ihrer Bewerbungsmailadresse können Sie auf eine Info-Seite Ihrer Website verweisen, auf der die Datenschutzinformationen für Bewerber:innen hinterlegt sind.
- Mithilfe der Verschlüsselungsfunktion von Microsoft365 können Sie die E-Mail-Korrespondenz weitgehend absichern.
- Dem Anspruch an ein Löschkonzept können Sie nachkommen, indem Sie dem Bewerbungspostfach eine eigene, kürzere Löschungsfrist von 6 Monaten einstellen. So stellen Sie sicher, dass die Bewerber:innendaten auch tatsächlich gelöscht sind.
Wenn Sie diese grundlegenden rechtlichen und technologischen Tipps beachten, sind Sie gut aufgestellt. Nichtsdestotrotz sollten Sie vorab grundsätzlich die Unterstützung von Expert:innen hinzuziehen. Auch die technologischen bzw. informationsverarbeitenden Aspekte sind oft sehr individuell zu betrachten. Hier ist die INVENTRY als IT-Servicedienstleister Ihr Partner um die Entwicklung und nachhaltige Umsetzung von IT-Prozessen und deren nachhaltige Betreuung.