Gratwanderung: Datenschutz bei Bewerbungen

Gratwanderung: Datenschutz bei Bewerbungen

Am 25. Mai 2018 trat die Verordnung für den verschärften europäischen Datenschutz in allen EU-Mitgliedstaaten ohne Übergangsfrist in Kraft. Diese Regelungen sollen seither natürlichen Personen überall dort Schutz geben, wo ihre persönlichen Daten automatisiert verarbeitet werden. Das betrifft natürlich neben den Online-Geschäften auch die Arbeitsverhältnisse und vor allem die Bewerbungen.

Das Szenario ist bekannt: Bewerbungsunterlagen werden bei potenziellen Arbeitgebern eingereicht, heute bevorzugt per E-Mail. Doch was passiert eigentlich mit den elektronisch gespeicherten Daten?

Bei Einstellung werden diese bekanntlich in die Personalakte übernommen. Bei Nichtberücksichtigung wird die Sache heikel. Immerhin handelt es sich um persönliche Daten, die man nur für einen bestimmten Zweck preisgegeben hat. Gehen wir in der Regel im täglichen Leben sehr bedacht mit unseren Daten um, so nachlässig wird sich oft in den Bewerbungsverfahren verhalten.

Kaum jemand kommt auf die Idee, das Unternehmen auf die Löschung der Daten hinzuweisen und auf die Vernichtung zusätzlich eingereichter Unterlagen.

Oft werden Bewerbungen gar so massenhaft versandt, dass sich mit der Zeit auch der Überblick verliert. Dabei wäre die Sache eigentlich recht simpel. Nichtberücksichtigte Bewerbungsunterlagen sind nach einer kurzen Aufbewahrungsfrist zu vernichten und die Daten zu löschen. Doch das wissen viele Arbeitgeber überhaupt nicht, soweit sie nicht über eine gut funktionierende Personalabteilung verfügen.

Diese Unwissenheit kann durchaus teuer werden. Die verschärften Regeln zum Datenschutz schreiben vor, dass Arbeitgeber zukünftig in Arbeitsverträgen und auch bei Bewerbungsverfahren schriftlich „Hinweise zur Datenverarbeitung“ aufzunehmen haben und sich diese gegenzeichnen lassen müssen. Dort müssen die Einzelheiten zur Speicherung, zur Weitergabe und zur Löschung geregelt sein.

Auf Anforderung der zuständigen Aufsichtsbehörde muss der Arbeitgeber jederzeit nachweisen können, welche Verarbeitungsprozesse und Maßnahmen zur Datensicherheit stattfinden. Die laufende Pflege des Datenbestandes soll durch einen Maßnahmeplan zur Optimierung der Datensicherheit dokumentiert werden. Jeder Verstoß gegen den Datenschutz muss innerhalb von maximal 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden.

Der bloße Verstoß gegen die Meldepflicht oder auch Verstöße gegen die sonstigen Erfordernisse des Datenschutz können zukünftig ein äußerst schmerzhaftes Bußgeld in Höhe von bis zu 20 Mio. Euro oder 2 Prozent des Konzernumsatzes nach sich ziehen.

Einer wahllosen Sammelwut an Daten soll damit vorgebeugt werden, neben der latenten Gefahr des Missbrauchs.

Doch bei aller Vorsicht dürfen andere Aspekte der Speicherung nicht völlig unberücksichtigt bleiben.

Das sofortige Löschen von Daten nicht in Frage kommender Bewerber birgt durchaus Gefahren.

Jeder Bewerber kann bekanntlich in der Frist von zwei Monaten gegen seine Nichteinstellung klagen. Zu Beweiszwecken braucht der Arbeitgeber hier noch die Unterlagen. Drei Monate nach der ablehnenden Entscheidung besteht für die Unternehmen dann aber kein Anlass mehr, die sensiblen Daten weiter gespeichert zu halten. Alles andere bedarf der ausdrücklichen Genehmigung des Bewerbers. So auch, wenn Unternehmen sich mit Bewerberdaten für zukünftige Vakanzen bevorraten wollen.

Mehr interessante Themen von TEMPBUS jetzt auch in Buchform hier: 

Bildquelle: TheDigitalArtist – pixabay.com/de/social-media-netzwerk-sicherheit-3396323/