Löschfrist für Bewerberdaten – Online Bewerbermanagement

10064

Ein modernes Bewerbermanagement wird heute mit Hilfe von DV-gestützten (Online-) Systemen abgewickelt. Vom Eingang der Bewerbung über die Auswertung durch die Personalabteilung und Fachabteilungen hin bis zur Zu- oder Absage. Immer seltener erreichen Bewerbungen in reiner Papierform ein Unternehmen.

Update November 2018:

Derzeit prüfen Aufsichtsbehörden die Umsetzung in den Betrieben

Jeder Bewerber hat das Recht, dass seine Bewerberdaten nach Ablauf des Einstellungsverfahrens unverzüglich gelöscht werden. Datenschutzrechtlich ergibt sich diese Verpflichtung aus Artikel 5 und 15 DSGVO, wonach Daten zu löschen sind, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.

War früher nur das Bundesdatenschutzgesetzt (BDSG) für die Löschfrist heranzuziehen, so hat sich dies spätestens mit dem Inkrafttreten des Gleichbehandlungsgesetzes (AGG) geändert. § 15 AGG gibt einem abgelehnten Bewerber Schadensersatzansprüche für den Fall, dass der Arbeitgeber ihn in unzulässiger Weise diskriminiert hat. 

Wie soll sich ein Unternehmen nun verhalten, wenn Aufsichtsbehörden eine Datenlöschung bereits nach zwei Monaten fordern, das AGG aber Risiken beinhaltet, wenn der mögliche Arbeitgeber Sachverhalte im Einstellungsprozess nicht mehr nachvollziehen kann und deshalb vielleicht Schadenersatzforderungen fürchten muss, da hier andere Fristen gelten? Und wie können die Interessen eines abgelehnten Bewerbers in diesem komplizierten Verfahren berücksichtigt werden?

Arbeitgeber müssen die Regelungen des Datenschutzrechts zur Transparenz, zum Grundsatz der Direkterhebung sowie zur Datensparsamkeit und -minimierung berücksichtigen.

Die Datenschutz Agentur unterstützt Unternehmen bei der datenschutzrechtlichen Ausgestaltung von Bewerberprozessen und den dafür verwendeten DV-Systemen.

>> Als Regellöschfrist empfehlen wir eine maximale 6-Monats Frist nach abgeschlossenem Bewerbungsprozess für die Löschung der Daten. <<

Auch in  Österreich kann unsere Empfehlung zur Regellöschung von Bewerbungs-unterlagen herangezogen werden. Hier bildet die Grundlage der § 29 Abs. 1 GlBG. Die österreichische Datenschutzbehörde hat dies in einer Entscheidung vom August 2018 bestätigt.

Möchten Unternehmen Bewerberdaten für eine weitere Poolauswahl über diesen Zeitraum hinaus speichern, müssen weitere Vorkehrungen getroffen werden, damit das Verfahren datenschutzkonform bleibt.

Aktuell im Fokus

Pflicht zur Archivierung von Emails kollidiert mit der Pflicht zum Löschen von Bewerberdaten!?

Emails werden regelmäßig zur Vorbereitung, Durchführung bzw. dem Abschluss oder der Rückgängigmachung von Handelsgeschäften verwendet. Bewerbungsverfahren werden dabei heute häufig ausschließlich per Email abgewickelt. Die hat zur Folge, dass die Löschfrist von Bewerberdaten mit den Aufbewahrungspflichten aus handels- und steuerrechtliche Vorschriften (§ 257 Abs. 1 Nr. 2 HGB sowie § 147 Abs. 1 Nr. 2 AO) kollidiert, da hier eine Aufbewahrung von sechs bzw. 10 Jahren vorgesehen ist. Die viel kürzere Aufbewahrungsfrist für Bewerberdaten („allgemein anerkannt sechs Monate“) wird daher, speziell bei der Email-Archivierung bzw. Aufbewahrung, nicht umgesetzt.

Unsere Empfehlung:

Verwenden Sie für das Bewerbermanagement ein Onlineplattform, die Sie entweder selbst betreiben können, oder fremd hosten lassen und die den datenschutzrechtlichen Anforderungen genügt. Für kleiner Unternehmen bei denen der Einsatz einer Online-Plattform nicht lohnt, kann der datenschutzkonforme Umgang mit Bewerberdaten auch über die Einrichtung eines zentralen Gruppenlaufwerks erfolgen, auf das die betroffenen Fachabteilungen / Entscheider dann einen befristeten Zugriff erhalten.

Hier noch einige Hinweise für ein datenschutzkonformes webbasiertes Bewerbermanagement:

  • Erhebung von  Bewerberdaten nur über eine verschlüsselte Verbindung (https)
  • Transparente Informationen für den Bewerber was mit seinen Daten passiert
  • Bei Hosting durch Dritte oder Outsourcing Anforderungen nach Artikel 28-DSGVO Auftragsverarbeitung beachten
  • Für Weiterleitung in einem Konzern und Aufnahme in einen Bewerberpool, Einwilligung mit Opt-in vorsehen
  • Zeitlich beschränkter Zugriff und Berechtigungen auf Bewerberdaten bei Weitergabe im Unternehmen prüfen
  • Vorkehrungen für Löschung, Pseudonymisierung und Sperrung von Bewerberdaten vorsehen

Dazu aus dem Tätigkeitsbericht 2011/2012 des bayerischen Landesamt für Datenschutzaufsicht.

Bereits zu diesem Thema von uns veröffentlichte Artikel:

Jedes zweite Unternehmen überprüft Bewerber in Sozialen Netzwerken
Nutzung von Skype im Bewerbungsverfahren problematisch

Weitere unterstützende Hinweis zum Datenschutz finden Sie in diesen Beiträgen: