Bewerberunterlagen und Datenschutz
Sich mit Bewerbungen zu befassen gehört quasi zum täglich Brot, wenn man als Personaldienstleister oder generell im Recruiting arbeitet. Kandidaten und Kandidatinnen übermitteln ihren Lebenslauf, Arbeitszeugnisse, Referenzen und andere Dokumente. Diese Bewerberunterlagen enthalten viele wichtige Informationen, die gesichtet und verarbeitet werden müssen. Schliesslich hängt daran meist die Entscheidung, ob jemand den Job bekommt oder zumindest in die engere Wahl passt. Aber der Umgang mit Bewerberunterlagen und damit auch den persönlichen Daten der Bewerber kann heikel sein. Denn Daten sind mittlerweile ein sensibles Gut und der Datenschutz im Recruiting spielt eine nicht unwesentliche Rolle. Dabei ist es egal, ob die Bewerberunterlagen klassich auf dem Papier oder in elektronischer Form daherkommen.
Wem gehören die Bewerberunterlagen?
Besonders seitdem die Digitalisierung nicht mehr aufzuhalten ist, sind die Datenmengen enorm angewachsen. Jeder Mensch erzeugt und hinterlässt Daten. Manchmal geschieht das ganz unbewusst. Aber in vielen Fällen ist es notwendig, ein gewisses Mass an Daten preiszugeben. Das gilt natürlich auch im Bewerbungsverfahren. Ohne Bewerberunterlagen kann kein Personalverantwortlicher oder Recruiter feststellen, ob ein Kandidat auf die Vakanz passt. Inwischen finden häufig Bewerbermanagement Systeme Anwendung, um die Daten aus den Bewerberunterlagen zu erfassen und zu verwalten. Aber was geschieht eigentlich mit diesen Daten? Wer darf sie einsehen und wozu und wie lange dürfen sie verwendet werden?
Dass mit Daten durchaus Missbrauch betrieben wird, zeigen die vielen Skandale, die es immer wieder in die Schlagzeilen schaffen. Und das trotz recht strenger Bestimmungen zum Datenschutz. Schon seit 1993 ist das Datenschutzgesetz in der Schweiz in Kraft (↗ DSG Schweiz). Ziel und Zweck des Gesetzes ist der Schutz der Persönlichkeit und der Grundrechte aller Personen, über die Daten erhoben werden. Allerdings liefert das Datenschutzgesetz nur einen Rahmen, der Interpretationsspielraum lässt. Beispielsweise bei der Frage, ob die E-Mail Adresse in den Bewerberunterlagen nun zu den besonders schützenswerten Daten gehört oder nicht. Auf den ersten Blick könnte man meinen: Nein. Aber was, wenn die Information in falsche Hände gerät?
Was das Gesetz nicht verbietet, verbietet der Anstand.
Lucius Annaeus Seneca – römischer Philosoph & Politiker
Man muss ja nicht gleich kriminelle Energie unterstellen. Verstösse gegen das Datenschutzgesetz geschehen oftmals aus Unwissenheit oder Nachlässigkeit. Etwa, wenn abgelehnte Kandidaten ihre Bewerberunterlagen nicht zurück bekommen, weil man diese gerne für seinen Bewerberpool behalten möchte. Oder weil die Rückgabe einfach vergessen wird. Aber Lebenslauf, Zeugnisse, Fotos, Arbeitsproben und ähnliches gehören dem Bewerber und müssen wieder ausgehändigt oder vernichtet werden. Besonders letzteres ist jedoch kaum überprüfbar. Umso wichtiger ist es, das Bewusstsein für den richtigen Umgang mit Bewerberunterlagen und Bewerberdaten zu schärfen.
Was muss man beim Datenschutz im Recruiting beachten?
Nicht nur das Schweizer Datenschutzgesetz hat Einfluss auf Datenerhebung und -erfassung im Recruitingprozess. Auch das Zivilgesetzbuch enthält eine wichtige Vorschrift im Zusammenhang mit Arbeitnehmerdaten (↗ Art. 328 b OR). Demnach dürfen Arbeitgeber nur solche Daten verarbeiten, die die Eignung für das Arbeitsverhältnis betreffen oder die für den Arbeitsvertrag von Bedeutung sind. Für das Recruiting heisst das, dass man nur diejenigen Daten benutzen darf, die im Zusammenhang mit der zu besetzenden Vakanz stehen. Ist das Stellenbesetzungsverfahren beendet, verbietet sich die weitere Verwendung von Bewerberunterlagen und Bewerberdaten. Etwas anderes gilt dann, wenn der Kandidat sein Einverständnis gegeben hat, dass seine Daten gespeichert werden dürfen. Dieses Einverständnis kann jederzeit widerrufen werden.
Weil Bewerberunterlagen personenbezogene Daten enthalten, muss sichergestellt sein, dass nur Personen darauf Zugriff haben, die in die Stellenbesetzung involviert sind. Dabei handelt es sich in der Regel um Personalabteilung, Fachvorgesetzte und Geschäftsführung. Wer Bewerbermanagement Systeme verwendet, muss darauf achten, dass nur Berechtigte Zugang erhalten. Daten und Unterlagen dürfen auch nicht ohne Zustimmung weitergegeben werden. All das gilt genauso für Personaldienstleister, die mit der externen Personalbeschaffung beauftragt sind. Aber diese haben oftmals grosses Interesse, Bewerberunterlagen und Kandidatenprofile für andere Vakanzen vorzuhalten. Hier empfiehlt es sich, bereits zu Beginn eine entsprechende, schriftliche Einverständniserklärung einzuholen. Viele Bewerber sind auch gerne bereit dazu. Vor allem, wenn sie trotz Absage eine gute Candidate Experience erlebt haben.
Wichtige Punkte zum Umgang mit Bewerberunterlagen und -daten im Überblick:
- Bewerberdaten mit grosser Sorgfalt behandeln und vor unberechtigtem Zugriff schützen
- Kommt ein Bewerber für den Talent Pool in Frage, um Einwilligung bitten und auf das Widerrufsrecht hinweisen
- Bewerberunterlagen abgelehnter Bewerber unverzüglich zurückgeben bzw. vernichten
- Nach Abschluss des Recruitingprozesses personenbezogene Daten löschen
Welche Auswirkungen hat die Datenschutz-Grundverordnung (DSGVO) der EU in der Schweiz?
Es kommt vor, dass Arbeitgeber sich Vorwürfen seitens abgelehnter Bewerber gegenüber sehen, besonders im Hinblick auf eine Diskriminierung im Bewerbungsverfahren. Um sich gegen solche Vorwürfe zu verteidigen und Ansprüche abzuwehren, können Arbeitgeber bestimmte Daten speichern. Zwar darf das nicht unbegrenzt lange sein. Doch bisher ist die Aufbewahrungshöchstfrist nicht explizit geregelt. Das wird sich möglicherweise bald ändern. Denn das Schweizer Datenschutzgesetz befindet sich in der Revision. Der Grund dafür war die Einführung der DSGVO in der Europäischen Union im Mai 2018.
Auch wenn die DSGVO in der Schweiz nicht unmittelbar gilt, hat sie trotzdem Auswirkungen auf bestimmte Unternehmen und Bewerberkreise. Beispielsweise, wenn ein Schweizer Betrieb Filialen in der EU hat oder nach Kandidaten mit EU-Wohnsitz sucht. In diesen Fällen müssen bereits jetzt die strengeren EU-Vorschriften zum Datenschutz beachtet werden. Die Revision des Schweizer Datenschutzgesetzes strebt eine Annäherung an die DSGVO an. Sofern sie angenommen wird, müssen auch Schweizer Firmen ohne jeden EU-Bezug ihren Umgang mit Bewerberunterlagen und -daten anpassen.
Vor allem der Internetauftritt sollte dann mit der DSGVO in Einklang stehen und eine umfassende Datenschutzerklärung bieten. Bewerberdaten müssen nach drei, spätestens sechs Monaten gelöscht werden. Wer Daten und Bewerberunterlagen aufbewahren oder weitergeben will, braucht, wie jetzt auch, eine Einwilligung des Kandidaten. Aber schon wenn diese Einwilligung eingeholt wird, sind umfangreiche Informationen zu Zweck, Dauer und eventueller Verarbeitung durch Dritte nötig. Zudem muss man den Datenschutzbeauftragten angegeben und auf das Widerrufsrecht hinweisen. Das klingt nach mehr Bürokratie und hat mit Sicherheit Auswirkungen auf die interne Organisation im Recruiting.
