Für die Verarbeitung von Bewerberdaten benötigen Unternehmen nicht immer eine explizite Einwilligung der Bewerber. Die DSGVO- und Datenschutzbestimmungen erlauben die Datenverarbeitung oft auf Basis berechtigter Interessen. Eine ausdrückliche Einwilligung ist nur bei besonderen Kategorien personenbezogener Daten oder bei längerfristiger Speicherung erforderlich. Die rechtssichere Gestaltung von Einwilligungserklärungen und ordnungsgemäße Löschfristen sind dabei entscheidend für den Datenschutz im Recruiting-Prozess.
Welche rechtlichen Grundlagen gelten für die Verarbeitung von Bewerberdaten?
Die Verarbeitung von Bewerberdaten basiert primär auf Artikel 6 Absatz 1 Buchstabe f DSGVO – dem berechtigten Interesse des Arbeitgebers an der Personalauswahl. Diese Rechtsgrundlage deckt die meisten Standard-Recruiting-Aktivitäten ab, ohne dass eine explizite Einwilligung erforderlich ist. Das berechtigte Interesse überwiegt dabei die Grundrechte der Bewerber, solange die Datenverarbeitung verhältnismäßig und zweckgebunden erfolgt.
Besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO unterliegen strengeren Regelungen. Dazu gehören Informationen über Gesundheit, ethnische Herkunft, politische Meinungen oder Gewerkschaftszugehörigkeit. Diese dürfen nur verarbeitet werden, wenn eine der Ausnahmen des Artikel 9 Absatz 2 greift oder eine ausdrückliche Einwilligung vorliegt.
Die Interessenabwägung zwischen Arbeitgeber und Bewerber spielt eine zentrale Rolle. Unternehmen müssen dokumentieren können, warum die Datenverarbeitung für den konkreten Zweck erforderlich ist. Je sensibler die Daten und je länger die Speicherung, desto höher sind die Anforderungen an die Rechtfertigung.
Für die praktische Umsetzung bedeutet dies: Standardbewerbungsdaten wie Name, Kontaktdaten, Qualifikationen und Berufserfahrung können ohne Einwilligung verarbeitet werden. Bei weitergehenden Datenerhebungen oder besonderen Verarbeitungszwecken sollten Unternehmen jedoch eine rechtliche Prüfung vornehmen.
Wann braucht man eine explizite Einwilligung von Bewerbern und wann nicht?
Eine explizite Einwilligung ist erforderlich, wenn besondere Kategorien personenbezogener Daten verarbeitet werden, die Speicherung über das Ende des Bewerbungsverfahrens hinausgeht oder Daten für andere Zwecke als die ursprüngliche Stellenbesetzung verwendet werden sollen. Ohne Einwilligung können Standardbewerbungsdaten auf Basis des berechtigten Interesses verarbeitet werden.
Einwilligungspflichtige Situationen umfassen die Aufnahme in Talent-Pools für zukünftige Positionen, die Weitergabe von Bewerberdaten an Dritte oder Konzernunternehmen sowie die Verarbeitung von Gesundheitsdaten oder anderen sensiblen Informationen. Auch psychologische Tests, Assessment-Center-Aufzeichnungen oder die Nutzung von Bewerberdaten für Employer-Branding-Zwecke erfordern eine ausdrückliche Zustimmung.
Ohne Einwilligung zulässig ist hingegen die Verarbeitung von Standardbewerbungsunterlagen für die konkrete Stellenausschreibung. Dazu gehören Lebensläufe, Anschreiben, Zeugnisse und Qualifikationsnachweise. Auch die interne Weiterleitung an Fachbereiche und die Durchführung von Vorstellungsgesprächen fallen unter das berechtigte Interesse.
Ein modernes Bewerbermanagementsystem unterstützt diese Unterscheidung durch anpassbare Workflows und transparente Kandidaten-Pipelines. So können Unternehmen automatisch dokumentieren, welche Daten auf welcher Rechtsgrundlage verarbeitet werden und entsprechende Löschfristen einhalten.
Wie formuliert man rechtssichere Einwilligungserklärungen für Bewerber?
Rechtssichere Einwilligungserklärungen müssen freiwillig, spezifisch, informiert und eindeutig sein. Sie sollten in verständlicher Sprache formuliert werden und den konkreten Verarbeitungszweck, die Datenkategorien und die Speicherdauer benennen. Zudem muss der Widerruf jederzeit möglich und ebenso einfach wie die Erteilung der Einwilligung sein.
Eine wirksame Einwilligungserklärung enthält folgende Bestandteile: eine klare Beschreibung des Verarbeitungszwecks, die Kategorien der verarbeiteten Daten, die Speicherdauer oder Kriterien für deren Bestimmung, Informationen über das Widerrufsrecht und die Folgen des Widerrufs. Wichtig ist auch der Hinweis, dass die Einwilligung freiwillig ist und deren Verweigerung keine negativen Folgen für das Bewerbungsverfahren hat.
Musterformulierung für eine Talent-Pool-Einwilligung: „Ich willige ein, dass meine Bewerberdaten für 12 Monate nach Abschluss des aktuellen Bewerbungsverfahrens gespeichert und für die Besetzung ähnlicher Positionen verwendet werden dürfen. Diese Einwilligung ist freiwillig und kann jederzeit widerrufen werden, ohne dass mir dadurch Nachteile entstehen.“
Die Einwilligung muss durch eine eindeutige Handlung erteilt werden, beispielsweise durch Ankreuzen einer Checkbox oder eine digitale Unterschrift. Vorangekreuzte Kästchen oder stillschweigende Zustimmung sind nicht zulässig. In der zentralen Verwaltung aller Bewerbungen sollten diese Einwilligungen systematisch dokumentiert und bei Widerruf entsprechend verarbeitet werden.
Was müssen Unternehmen bei der Speicherung und Löschung von Bewerberdaten beachten?
Bewerbungsunterlagen dürfen ohne Einwilligung maximal sechs Monate nach Abschluss des Bewerbungsverfahrens gespeichert werden. Diese Frist orientiert sich an möglichen Klagen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG). Danach müssen die Daten gelöscht werden, es sei denn, eine Einwilligung zur längeren Speicherung liegt vor oder andere Rechtsgrundlagen greifen.
Die Löschfrist beginnt mit der endgültigen Entscheidung über die Stellenbesetzung, nicht mit dem Eingang der Bewerbung. Bei erfolgreichen Bewerbern wandeln sich die Bewerberdaten in Personaldaten um, die anderen Aufbewahrungsbestimmungen unterliegen. Abgelehnte Bewerber müssen über die Löschung ihrer Daten informiert werden, sofern sie dies wünschen.
Automatische Löschprozesse sind technisch umsetzbar und rechtlich empfehlenswert. Ein professionelles Bewerbermanagement mit anpassbaren Workflows kann diese Fristen automatisch überwachen und entsprechende Löschungen durchführen. Dabei sollten auch Kopien in E-Mail-Postfächern, lokalen Dateien oder Backup-Systemen berücksichtigt werden.
Die Dokumentationspflichten umfassen die Führung eines Verarbeitungsverzeichnisses, die Protokollierung von Löschvorgängen und die Nachverfolgung erteilter Einwilligungen. Unternehmen sollten zudem Prozesse für Betroffenenanfragen etablieren, da Bewerber jederzeit Auskunft über ihre gespeicherten Daten verlangen können. Eine kollaborative Entscheidungsfindung im Team erleichtert die Einhaltung dieser Vorgaben erheblich.
Wie onlyfy Bewerbungsmanager beim DSGVO-konformen Umgang mit Bewerberdaten hilft
onlyfy Bewerbungsmanager bietet eine umfassende Lösung für den rechtssicheren Umgang mit Bewerberdaten und die Einhaltung aller DSGVO-Anforderungen. Die Plattform unterstützt Sie dabei, komplexe Datenschutzbestimmungen automatisiert und fehlerfrei umzusetzen:
- Automatische Löschfristen: Das System überwacht alle Speicherfristen und führt nach sechs Monaten automatische Löschungen durch
- Einwilligungsmanagement: Rechtssichere Erfassung und Dokumentation von Kandidaten-Einwilligungen mit Widerrufsmöglichkeit
- Rechtsgrundlagen-Tracking: Automatische Zuordnung der korrekten Rechtsgrundlage für jede Datenverarbeitung
- Betroffenenrechte: Einfache Abwicklung von Auskunfts-, Löschungs- und Berichtigungsanträgen
- Audit-Protokolle: Vollständige Dokumentation aller Verarbeitungsschritte für Compliance-Nachweise
Vereinfachen Sie Ihr Recruiting und sorgen Sie gleichzeitig für 100%igen Datenschutz. Testen Sie die Demo jetzt 14 Tage kostenlos und erleben Sie, wie einfach DSGVO-konformes Recruiting sein kann. Bei Fragen stehen Ihnen unsere Experten gerne zur Verfügung – kontaktieren Sie uns für eine individuelle Beratung.
