Ratgeber zur DSVGO

Datenschutz im Talent Recruitment

Seit dem 25. Mai 2018 ist in Deutschland die Datenschutz-Grundverordnung (DSGVO) anzuwenden. Neben ihr ist insbesondere Artikel 26 des neu gefassten Bundesdatenschutzgesetzes zu beachten, der u.a. relevant für Stellenausschreibungen und Bewerbungen ist.

  • Der Datenaustausch zwischen Bewerbern und Unternehmen muss stets sicher erfolgen

    Der Datenaustausch zwischen Bewerbern und Unternehmen muss stets sicher erfolgen.

  • Dieter Schmidt, Datenschutzbeauftragter von ADP

    Dieter Schmidt, Datenschutzbeauftragter von ADP, erklärt u.a. die Auswirkungen der DSGVO auf Bewerbungsverfahren.

Die DSGVO ist von mittelständischen Unternehmen parallel zu bereichsspezifischen Gesetzen zu beachten. Verwirrung mag durch die sogenannten „Öffnungsklauseln“ entstehen, die weiterhin nationales Datenschutzrecht zulassen und durch die ein neues Bundesdatenschutzgesetz (BDSG n. F.) verabschiedet wurde. Dieses enthält beispielsweise in Artikel 26 Regelungen für Zwecke des Beschäftigungsverhältnisses, die über die DSGVO hinaus zu beachten sind.

Für Personaler und HR heißt das, dass Stellenausschreibungen diskriminierungsfrei sein müssen. Davon unabhängig schreibt die DSGVO das „Verbotsprinzip mit Erlaubnisvorbehalt“ vor, was bedeutet, dass jede Datenverarbeitung einer Rechtfertigung bedarf. Bei Bewerbungen ist die Datenverarbeitung aufgrund vorvertraglicher Maßnahmen gerechtfertigt. Ebenso muss der Datenaustausch zwischen Bewerbern und Unternehmen stets sicher erfolgen. Unternehmen dürfen Bewerber nicht auffordern, ihre Bewerbung mittels unverschlüsselter E-Mail zuzusenden.

Einwilligungserklärung beachten

Für mittelständische Unternehmen hat sich rechtlich wenig geändert, aber inzwischen ist das Bewusstsein zum Datenschutz durch die mediale Berichtserstattung und die strengeren Sanktionsmöglichkeiten gestiegen. Bewerber müssen eine Einwilligungserklärung dann abgeben, wenn ihre Daten z.B. für künftige Ausschreibungen und Kontaktaufnahme gespeichert werden sollen. Die Einwilligungserklärung muss nicht zwingend schriftlich, aber freiwillig und informiert erfolgen und durch das Unternehmen nachweisbar sein. Dem Bewerber muss verständlich sein, in was er konkret einwilligt. Eine Einwilligungserklärung ist jederzeit mit Wirkung für die Zukunft widerrufbar und das Unternehmen muss die gespeicherten Daten auf Widerruf löschen können.

Ein Recruitment-Portal, das über Stellenausschreibungen und weitere Kontaktmöglichkeiten hinaus einen sicheren Datenaustausch via HTTPS-Verbindung sowie die webbasierte Abgabe einer Einwilligungserklärung und die eigenständige Verwaltung der Bewerberdaten bietet, sichert die Einhaltung der Vorgaben.

In der Regel bieten sich Unternehmen über ihren Internetauftritt, Jobportale oder -vermittler als attraktiver Arbeitgeber an. Aufsichtsbehörden für den Datenschutz überprüfen gegebenenfalls Online-Bewerbungsverfahren von Unternehmen. Bewerber können selbst betreffende etwaige Verstöße melden. Verstößt ein Unternehmen grob gegen datenschutzrechtliche Bestimmungen oder besteht für den Bewerber durch eine Datenpanne nicht nur ein einfaches Risiko, wird sich das in Sanktionsmaßnahmen niederschlagen.

Die richtigen Fragen zum DSGVO-konformen Recruitment

Wenn sich ein Unternehmen Gedanken über die DSGVO-Konformität seines Recruitments macht, empfiehlt es sich, folgenden Fragenkatalog abzuarbeiten:

› Über welche Kanäle sollen Bewerber ihre Daten an das Unternehmen senden?

› Ist für jeden angebotenen Kanal eine sichere Datenübertragung gewährleistet?

› Werden über Stellenausschreibungen hinaus Bewerberdaten gespeichert?

› In welchen Systemen bzw. an welchen Orten werden Bewerberdaten gespeichert?

› Werden nur Bewerberdaten gespeichert, die sich auf eine laufende Stellenausschreibung beziehen oder für die eine Einwilligung vorliegt?

› Kann für jeden Einzelfall die Einwilligung nachgewiesen werden?

› Wird bei Einholen einer Einwilligung vollständig und verständlich informiert?


Das Bayerische Landesamt für Datenschutzaufsicht bietet online einen Fragebogen an, mit dem sich Unternehmen auf ihren Umgang mit Bewerberdaten prüfen können.

Hilfe bei der Datenspeicherung

Entscheidend sind die nötigen Kenntnisse im Datenschutzrecht. Da mittelständische Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, ist es ratsam, diesen zu kontaktieren. Wurde eine solche Person noch nicht benannt, sollte dies schleunigst nachgeholt werden. Zum einen ist der Datenschutzbeauftragte ein Erfolgsfaktor für Unternehmen im Bestreben, datenschutzrechtliche Vorgaben in der Praxis angemessen umzusetzen. Zum anderen kann bei Nichtbeachtung dieser Vorgaben auch hier ein Bußgeld drohen.

Bildquelle: Gettyimages/iStock; ADP

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok