Sie sind hier: Home » Markt » Hinweise & Tipps

Datenschutzfalle Bewerbermanagement


Datenschutzkonformer Umgang mit Daten potenzieller Mitarbeiter
Artikel 13 der DSGVO schreibt eine Informationspflicht bei Erhebung von personenbezogenen Daten vor – sobald die Unterlagen eingehen, müssen die Bewerber Informationen über die Datenerhebung erhalten



Unternehmen erhalten ständig Bewerbungen – sei es auf ausgeschriebene Stellen oder initiativ. Doch seit dem Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, gelten im Umgang mit Lebensläufen, Anschreiben und Zeugnissen neue Regeln. Um einen datenschutzkonformen Umgang mit diesen Informationen sicherzustellen, empfiehlt es sich, das Bewerberdatenmanagement detailliert zu überprüfen und die Mitarbeiter in den Personalabteilungen regelmäßig zu schulen. "Der ordnungsgemäße Umgang mit Bewerberdaten kann eine Herausforderung darstellen, wenn Mitarbeiter nicht wissen, wo Fallstricke lauern. Doch nach Implementierung entsprechender Prozesse ist das Datenmanagement in der Regel kaum mit Mehraufwand verbunden. Außerdem wünscht sich jeder im Falle einer Bewerbung auch einen angemessenen Umgang mit den eigenen Unterlagen", so Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG.

Wieso, weshalb, warum
Artikel 13 der DSGVO schreibt eine Informationspflicht bei Erhebung von personenbezogenen Daten vor – sobald die Unterlagen eingehen, müssen die Bewerber Informationen über die Datenerhebung erhalten. Hierzu zählen unter anderem Details darüber, welche Daten die Personalverantwortlichen verarbeiten, den Verarbeitungszweck und die Dauer des Aufbewahrungszeitraums. Bei der Suche nach einem neuen Mitarbeiter erfolgt meist die Verarbeitung von Daten, wie Namen, Kontaktdaten, Zeugnissen, Anschreiben sowie Lebensläufen. Unternehmen kommen dieser Pflicht nach, indem sie beispielsweise eine automatisch generierte Eingangsbestätigung mit den entsprechenden Angaben versenden. Erfolgt die Bewerbung über ein Online-Portal, können potenzielle Arbeitgeber die Kandidaten unmittelbar über diese Plattform über die Datenerhebung informieren. Artikel 30 der DSGVO zufolge müssen Unternehmen zudem ein Verzeichnis von Verarbeitungstätigkeiten führen. "Auch hier sollte eine Auflistung aller Prozesse, die im Rahmen des Bewerbermanagements stattfinden, erfolgen. Nur auf diese Weise können sich Verantwortliche absichern, für den Fall, dass sich Bewerber bei der Datenschutzaufsichtsbehörde beschweren", so der Datenschutzexperte.

Löschung ist Pflicht
Sobald ein passender Kandidat gefunden und die offene Stelle besetzt wurde, müssen Verantwortliche die personenbezogenen Daten der nicht ausgewählten löschen, wenn Einspruchsfristen abgelaufen sind, da dann keine Notwendigkeit mehr besteht, diese Daten zu speichern. Sollten Unternehmen Unterlagen per Post erhalten haben, müssen sie diese dem Bewerber wieder aushändigen – in der Regel innerhalb von zwei bis spätestens sechs Monaten.

Vorsicht beim Kandidatenpool
In manchen Fällen erhalten Unternehmen Unterlagen von vielversprechenden Kandidaten, für die sie nur augenblicklich keine offenen Stellen haben. Viele Firmen möchten die Bewerbung dann für einen späteren Zeitraum in einem sogenannten Kandidatenpool speichern. Hierfür benötigen sie jedoch eine ausdrückliche Einwilligung des Kandidaten. "Eine entsprechende Einwilligung zu erhalten, stellt in den meisten Fällen kein Problem dar, wenn Kandidaten Interesse an einer Anstellung haben. Verantwortliche dürfen nur nicht vergessen, den potenziellen Mitarbeiter auf sein Recht auf Widerruf hinzuweisen, beispielsweise für den Fall, dass er nicht mehr auf Jobsuche ist", erklärt Hösel.

Nicht jeder darf Bewerbungsunterlagen lesen
Geht eine Bewerbung ein, darf nicht jeder Mitarbeiter im Unternehmen diese lesen. Im Rahmen des Bewerbungsverfahrens darf nur derjenige Zugriff auf die Daten haben, der sich unmittelbar mit der Vergabe der Position beschäftigt. In der Regel zählen die Verantwortlichen der Personalabteilung und gegebenenfalls noch der Vorgesetzte der entsprechenden Abteilung dazu. "Aus diesem Grund empfiehlt es sich, die Zugriffsrechte auf Bewerbermanagement-Systeme genauestens zu prüfen. Gehen die Bewerbungen unter einer allgemeinen E-Mail-Adresse ein, gilt es auch hier vorher festzulegen, wer die erste Sichtung übernehmen darf", erklärt Hösel abschließend. (Hubit: ra)

eingetragen: 15.07.19
Newsletterlauf: 02.09.19

Hubit Datenschutz: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Cyber-Resilienz stärken

    Verlust sensibler Daten, enormer finanzieller Schaden oder die Störung der öffentlichen Ordnung - Cyberangriffe auf Kritische Infrastrukturen und Finanzinstitute können erhebliche gesellschaftliche Auswirkungen haben. Die Europäische Union hat deshalb die NIS2-Richtlinie und den Digital Operational Resilience Act (DORA) eingeführt, um diese zu minimieren.

  • KI im Arbeitsalltag: Werkzeug, kein Wundermittel

    Knapp 60 Prozent der deutschen Unternehmen mit mehr als 500 Mitarbeitenden nutzen laut einer Studie des Branchenverbands Bitkom inzwischen KI-basierte Chatbots. Wie gut die Ergebnisse ausfallen, die diese Bots und andere KI-Tools liefern, hängt allerdings wesentlich von der verwendeten Datengrundlage und einem wirklich sinnvollen Einsatzszenario ab.

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

Überprüfung der eigenen Datenverarbeitung SD-WAN als Schlüssel zur PCI-DSS-Compliance

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen