Sie sind hier: Home » Markt » Hinweise & Tipps

Datenschutzfalle Bewerbermanagement


Datenschutzkonformer Umgang mit Daten potenzieller Mitarbeiter
Artikel 13 der DSGVO schreibt eine Informationspflicht bei Erhebung von personenbezogenen Daten vor – sobald die Unterlagen eingehen, müssen die Bewerber Informationen über die Datenerhebung erhalten



Unternehmen erhalten ständig Bewerbungen – sei es auf ausgeschriebene Stellen oder initiativ. Doch seit dem Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, gelten im Umgang mit Lebensläufen, Anschreiben und Zeugnissen neue Regeln. Um einen datenschutzkonformen Umgang mit diesen Informationen sicherzustellen, empfiehlt es sich, das Bewerberdatenmanagement detailliert zu überprüfen und die Mitarbeiter in den Personalabteilungen regelmäßig zu schulen. "Der ordnungsgemäße Umgang mit Bewerberdaten kann eine Herausforderung darstellen, wenn Mitarbeiter nicht wissen, wo Fallstricke lauern. Doch nach Implementierung entsprechender Prozesse ist das Datenmanagement in der Regel kaum mit Mehraufwand verbunden. Außerdem wünscht sich jeder im Falle einer Bewerbung auch einen angemessenen Umgang mit den eigenen Unterlagen", so Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG.

Wieso, weshalb, warum
Artikel 13 der DSGVO schreibt eine Informationspflicht bei Erhebung von personenbezogenen Daten vor – sobald die Unterlagen eingehen, müssen die Bewerber Informationen über die Datenerhebung erhalten. Hierzu zählen unter anderem Details darüber, welche Daten die Personalverantwortlichen verarbeiten, den Verarbeitungszweck und die Dauer des Aufbewahrungszeitraums. Bei der Suche nach einem neuen Mitarbeiter erfolgt meist die Verarbeitung von Daten, wie Namen, Kontaktdaten, Zeugnissen, Anschreiben sowie Lebensläufen. Unternehmen kommen dieser Pflicht nach, indem sie beispielsweise eine automatisch generierte Eingangsbestätigung mit den entsprechenden Angaben versenden. Erfolgt die Bewerbung über ein Online-Portal, können potenzielle Arbeitgeber die Kandidaten unmittelbar über diese Plattform über die Datenerhebung informieren. Artikel 30 der DSGVO zufolge müssen Unternehmen zudem ein Verzeichnis von Verarbeitungstätigkeiten führen. "Auch hier sollte eine Auflistung aller Prozesse, die im Rahmen des Bewerbermanagements stattfinden, erfolgen. Nur auf diese Weise können sich Verantwortliche absichern, für den Fall, dass sich Bewerber bei der Datenschutzaufsichtsbehörde beschweren", so der Datenschutzexperte.

Löschung ist Pflicht
Sobald ein passender Kandidat gefunden und die offene Stelle besetzt wurde, müssen Verantwortliche die personenbezogenen Daten der nicht ausgewählten löschen, wenn Einspruchsfristen abgelaufen sind, da dann keine Notwendigkeit mehr besteht, diese Daten zu speichern. Sollten Unternehmen Unterlagen per Post erhalten haben, müssen sie diese dem Bewerber wieder aushändigen – in der Regel innerhalb von zwei bis spätestens sechs Monaten.

Vorsicht beim Kandidatenpool
In manchen Fällen erhalten Unternehmen Unterlagen von vielversprechenden Kandidaten, für die sie nur augenblicklich keine offenen Stellen haben. Viele Firmen möchten die Bewerbung dann für einen späteren Zeitraum in einem sogenannten Kandidatenpool speichern. Hierfür benötigen sie jedoch eine ausdrückliche Einwilligung des Kandidaten. "Eine entsprechende Einwilligung zu erhalten, stellt in den meisten Fällen kein Problem dar, wenn Kandidaten Interesse an einer Anstellung haben. Verantwortliche dürfen nur nicht vergessen, den potenziellen Mitarbeiter auf sein Recht auf Widerruf hinzuweisen, beispielsweise für den Fall, dass er nicht mehr auf Jobsuche ist", erklärt Hösel.

Nicht jeder darf Bewerbungsunterlagen lesen
Geht eine Bewerbung ein, darf nicht jeder Mitarbeiter im Unternehmen diese lesen. Im Rahmen des Bewerbungsverfahrens darf nur derjenige Zugriff auf die Daten haben, der sich unmittelbar mit der Vergabe der Position beschäftigt. In der Regel zählen die Verantwortlichen der Personalabteilung und gegebenenfalls noch der Vorgesetzte der entsprechenden Abteilung dazu. "Aus diesem Grund empfiehlt es sich, die Zugriffsrechte auf Bewerbermanagement-Systeme genauestens zu prüfen. Gehen die Bewerbungen unter einer allgemeinen E-Mail-Adresse ein, gilt es auch hier vorher festzulegen, wer die erste Sichtung übernehmen darf", erklärt Hösel abschließend. (Hubit: ra)

eingetragen: 15.07.19
Newsletterlauf: 02.09.19

Hubit Datenschutz: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

  • Compliance: Mehr als Datensicherheit

    Neue Regularien und Standards im Bereich Cybersicherheit sorgen dafür, dass das Thema Compliance immer stärker in den Fokus von Unternehmen rückt. Verstöße können zu hohen Bußgeldern und einem massiven Vertrauensverlust führen. Angesichts strengerer Datenschutzregulierungen wie der DSGVO und NIS-2 sowie zunehmender technischer Anforderungen müssen Unternehmen eine klare Strategie verfolgen, um sowohl gesetzliche als auch sicherheitstechnische Vorgaben einzuhalten.

  • DORA: Neue Standards für den Finanzsektor

    Nun müssen Finanzinstitute die Compliance mit der EU-DORA-Verordnung (Digital Operational Resilience Act) nachweisen. Diese Regulierung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzsektors gegen Cyber-Risiken und operative Störungen zu stärken. Dazu gehören Vorschriften und Richtlinien zu Cyber-Risikomanagement, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität.

Überprüfung der eigenen Datenverarbeitung SD-WAN als Schlüssel zur PCI-DSS-Compliance

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen