Ein Unternehmen lebt unter anderem davon, dass das Wachstum durch neue motivierte Mitarbeiter gesichert wird. Um motivierte Mitarbeiter einstellen zu können, braucht jedes Unternehmen ein Bewerbungsverfahren. Beim Bewerbungsverfahren gibt es einige datenschutzrechtliche Stolperfallen, die beachtet werden müssen.
https://vimeo.com/541252343/c188b85cbe
Im nächsten Schritt schauen wir uns den kompletten Prozess genauer an. Bevor sich die Interessenten bei Unternehmen bewerben, muss das Unternehmen durch eine geeignete IT-Infrastruktur für gewisse Standards und Sicherheitsmaßnahmen sorgen.
z.B. sollte als 1. der Prozess Bewerbungsverfahren abgebildet werden. Bei der Erstellung der Prozessbeschreibung wird empfohlen, neben Geschäftsführung, Betriebsrat, Personal- und IT-Fachabteilung auch das Datenschutzteam von Beginn an zu involvieren. Auch hier gilt es, den Datenschutz bereits bei der Planung zu berücksichtigen.
Neben der Prozessbeschreibung ist ein Verfahrensverzeichnis über die Tätigkeit Bewerbungsverfahren anzufertigen. Darin wird festgelegt, woher die Daten stammen, wer Zugriff auf die Daten hat und welchen Risiken der Betroffene ausgesetzt ist.
Im Datenschutz gilt das Recht auf Information, deshalb ist das Unternehmen gut beraten, eine kurze Version der Prozessbeschreibung über das Bewerberverfahren in der Datenschutzerklärung aufzunehmen. Selbstverständlich kann dies auch auf andere Weise erfolgen, z.B. durch eine Eingangsbestätigungsmail. Wichtig ist, dass der Betroffene versteht, was mit seinen Daten passiert.
Bei vielen Unternehmen ist heutzutage das Online-Bewerbungsverfahren üblich. Die verantwortliche Stelle muss hier für eine verschlüsselte Datenübertragung sorgen. Damit ist sichergestellt, dass die Daten bei der Übertragung nicht Dritten offengelegt werden.
Sobald die Daten auf den Servern des Unternehmens landen, gilt es zu bestimmen, wer auf die Daten zugreifen kann. Deshalb ist es so wichtig, den Prozess von Anfang bis Ende zu modellieren. Die interne Weitergabe sollte genau dokumentiert werden, damit Daten nach dem Zweckentfall, zum Beispiel durch eine Absage, entsprechend im ganzen Unternehmen gelöscht werden können.
Die Fachabteilung sollte über den richtigen Umgang mit den Bewerberdaten informiert werden. Damit soll sichergestellt werden, dass keine Bewerberdaten, von Mitarbeitern, mit nachhause genommen oder Dritten offengelegt werden. Die Personalabteilung sollte die Bewerberdaten für max. 6 Monate nach Zweckentfall zwischenspeichern, um auf Beschwerden nach dem allgemeinen Gleichbehandlungsgesetz (AGG) reagieren zu können.
Wenn die verantwortliche Stelle die Daten seiner Bewerber länger speichern möchte, um dem Bewerber gegebenenfalls bei zukünftigen Vakanzen eine Stelle anbieten zu können, ist eine Einwilligung von den Betroffenen einzuholen.