Eine Datenschutzerklärung für Bewerber muss nach DSGVO Artikel 13 alle wesentlichen Informationen zur Datenverarbeitung enthalten. Dazu gehören der Verantwortliche, der Zweck der Verarbeitung, die Rechtsgrundlage und die Speicherdauer. Zusätzlich müssen alle Betroffenenrechte wie Auskunft, Berichtigung und Löschung klar kommuniziert werden. Diese Transparenz schützt sowohl Bewerber als auch Unternehmen vor rechtlichen Problemen.
Was muss grundsätzlich in jeder Datenschutzerklärung für Bewerber stehen?
Jede Datenschutzerklärung für Bewerber muss gemäß DSGVO Artikel 13 mindestens acht Pflichtangaben enthalten. Diese Informationen müssen bereits bei der Datenerhebung bereitgestellt werden, nicht erst auf Nachfrage. Die Vollständigkeit dieser Angaben ist entscheidend für die Rechtmäßigkeit Ihres Bewerbungsprozesses.
Die erste Pflichtangabe ist die Identität des Verantwortlichen. Hier müssen Sie Ihr Unternehmen mit vollständiger Adresse und Kontaktdaten nennen. Falls vorhanden, gehören auch die Kontaktdaten Ihres Datenschutzbeauftragten dazu. Diese Transparenz ermöglicht es Bewerbern, bei Fragen oder Problemen direkt mit der zuständigen Stelle in Kontakt zu treten.
Der Zweck der Datenverarbeitung muss konkret beschrieben werden. Formulierungen wie „zur Bearbeitung Ihrer Bewerbung“ reichen nicht aus. Stattdessen sollten Sie spezifizieren: Durchführung des Auswahlverfahrens, Bewertung der fachlichen Eignung, Organisation von Vorstellungsgesprächen und gegebenenfalls Aufbau eines Bewerberpools für zukünftige Positionen.
Die Rechtsgrundlage für die Verarbeitung ist meist Artikel 6 Absatz 1 Buchstabe b DSGVO (Vertragsanbahnung) oder Artikel 6 Absatz 1 Buchstabe f DSGVO (berechtigtes Interesse). Bei besonderen Kategorien personenbezogener Daten wie Gesundheitsdaten benötigen Sie zusätzlich eine Rechtsgrundlage nach Artikel 9 DSGVO.
Die Speicherdauer oder die Kriterien für deren Bestimmung müssen ebenfalls angegeben werden. Hier unterscheiden Sie zwischen erfolgreichen und erfolglosen Bewerbungen. Zusätzlich müssen Sie über eventuelle Empfänger der Daten informieren, etwa externe Dienstleister oder beteiligte Fachabteilungen.
Welche Bewerberrechte müssen Sie in der Datenschutzerklärung erwähnen?
Bewerber haben nach der DSGVO umfassende Betroffenenrechte, über die Sie vollständig informieren müssen. Diese Rechte müssen nicht nur erwähnt, sondern auch praktisch umsetzbar sein. Die korrekte Auflistung und Erläuterung dieser Rechte ist rechtlich verpflichtend und stärkt das Vertrauen in Ihren Bewerbungsprozess.
Das Auskunftsrecht nach Artikel 15 DSGVO gibt Bewerbern die Möglichkeit, eine Kopie ihrer gespeicherten Daten zu erhalten. Sie müssen erklären, wie Bewerber dieses Recht ausüben können und in welcher Form Sie die Auskunft erteilen. Dabei sollten Sie auch erwähnen, dass die Auskunft grundsätzlich kostenfrei erfolgt.
Das Recht auf Berichtigung nach Artikel 16 DSGVO ermöglicht es Bewerbern, unrichtige Daten korrigieren zu lassen. Das Recht auf Löschung nach Artikel 17 DSGVO ist besonders relevant, wenn Bewerber ihre Bewerbung zurückziehen möchten oder die Speicherfrist abgelaufen ist.
Das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO und das Widerspruchsrecht nach Artikel 21 DSGVO müssen ebenfalls erwähnt werden. Letzteres ist besonders wichtig, wenn Sie Bewerberdaten auf Basis berechtigter Interessen verarbeiten.
Das Recht auf Datenübertragbarkeit nach Artikel 20 DSGVO spielt im Bewerbungskontext eine untergeordnete Rolle, muss aber dennoch erwähnt werden. Wichtig ist auch der Hinweis auf das Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde nach Artikel 77 DSGVO.
Wie lange dürfen Bewerberdaten gespeichert werden und was gehört in die Löschfristen?
Die Speicherdauer von Bewerberdaten richtet sich nach dem Zweck der Verarbeitung und nach gesetzlichen Vorgaben. Grundsätzlich gilt: Daten müssen gelöscht werden, sobald sie für den ursprünglichen Zweck nicht mehr erforderlich sind. Die konkrete Speicherdauer hängt davon ab, ob die Bewerbung erfolgreich war oder nicht.
Bei erfolglosen Bewerbungen ist eine Speicherdauer von sechs Monaten nach Abschluss des Bewerbungsverfahrens üblich und rechtlich vertretbar. Diese Frist berücksichtigt mögliche Nachfragen oder rechtliche Auseinandersetzungen. Längere Speicherzeiten sind nur mit ausdrücklicher Einwilligung des Bewerbers für einen Talentpool zulässig.
Erfolgreiche Bewerbungen unterliegen anderen Regeln, da die Daten in das Arbeitsverhältnis übergehen. Hier gelten die arbeitsrechtlichen Aufbewahrungsfristen, die je nach Dokumentenart zwischen drei und zehn Jahren betragen können. Die Bewerbungsunterlagen selbst können meist nach drei Jahren gelöscht werden.
Moderne Bewerbermanagementsysteme unterstützen Sie bei der automatisierten Umsetzung dieser Löschfristen. Wie in professionellen Recruiting-Tools mit umfassenden Funktionen üblich, können Sie Workflows erstellen, die nach Ablauf der definierten Fristen automatisch Löschvorgänge einleiten oder entsprechende Erinnerungen senden.
Besondere Aufmerksamkeit verdienen sensible Daten wie Gesundheitsinformationen oder Angaben zur Schwerbehinderung. Diese müssen grundsätzlich unmittelbar nach der Entscheidung gelöscht werden, es sei denn, sie sind für das konkrete Arbeitsverhältnis relevant.
Was passiert bei Verstößen gegen die Datenschutzerklärung im Recruiting?
Verstöße gegen DSGVO & Datenschutz im Recruiting können schwerwiegende Konsequenzen haben. Die Datenschutzaufsichtsbehörden verhängen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Bereits unvollständige oder fehlende Datenschutzerklärungen können zu erheblichen Strafen führen.
Die Bußgeldhöhe richtet sich nach verschiedenen Faktoren: Art und Schwere des Verstoßes, Anzahl betroffener Personen, Dauer des Verstoßes und die Kooperationsbereitschaft des Unternehmens. Kleine und mittlere Unternehmen erhalten zwar oft geringere Strafen, aber auch diese können existenzbedrohend sein.
Neben den direkten finanziellen Folgen drohen erhebliche Reputationsschäden. Datenschutzverstöße werden oft öffentlich kommuniziert und können das Vertrauen potenzieller Bewerber nachhaltig beschädigen. In einem umkämpften Arbeitsmarkt kann dies den Recruiting-Erfolg massiv beeinträchtigen.
Bewerber haben zudem die Möglichkeit, Schadensersatzansprüche geltend zu machen. Auch immaterielle Schäden durch Datenschutzverstöße sind ersatzfähig. Dies kann zu weiteren Kosten führen, die über das behördliche Bußgeld hinausgehen.
Präventive Maßnahmen sind daher essenziell. Ein professionelles Bewerbermanagement mit integrierten Datenschutzfunktionen hilft dabei, Compliance-Risiken zu minimieren. Automatisierte Löschfristen, sichere Datenverarbeitung und eine transparente Kommunikation mit Bewerbern sind dabei zentrale Bausteine für einen rechtssicheren Recruiting-Prozess.
Wie onlyfy Bewerbungsmanager bei DSGVO-konformen Datenschutzerklärungen hilft
Der onlyfy Bewerbungsmanager bietet Ihnen eine umfassende Lösung für rechtssichere Datenschutzerklärungen im Recruiting-Prozess. Die Software unterstützt Sie dabei, alle DSGVO-Anforderungen automatisch zu erfüllen und Compliance-Risiken zu minimieren:
- Automatisierte Löschfristen: Das System löscht Bewerberdaten automatisch nach den von Ihnen definierten Fristen und dokumentiert alle Löschvorgänge revisionssicher
- Integrierte Datenschutzvorlagen: Vorgefertigte, rechtskonforme Datenschutzerklärungen für verschiedene Recruiting-Szenarien sparen Zeit und reduzieren Fehlerquellen
- Betroffenenrechte-Management: Auskunfts-, Berichtigungs- und Löschungsanfragen werden zentral verwaltet und automatisch bearbeitet
- Einwilligungsmanagement: Dokumentation und Verwaltung aller Bewerbereingwilligungen für Talentpools oder erweiterte Datenverarbeitung
- Audit-Trail: Lückenlose Protokollierung aller Datenverarbeitungsvorgänge für Compliance-Nachweise
Schützen Sie Ihr Unternehmen vor kostspieligen DSGVO-Verstößen und professionalisieren Sie Ihren Bewerbungsprozess. Testen Sie jetzt unsere Demo und erleben Sie, wie einfach rechtssicheres Recruiting funktioniert.
