DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Rich­tiger Umgang mit Bewer­bungen

Die baye­rische Daten­schutz­auf­sichts­be­hörde prüft u.a. den Umgang mit Bewer­ber­daten. Erfahren Sie was Sie dabei beachten müssen.

  


Eine der Haupt­auf­gaben der Daten­schutz­auf­sichts­be­hörden ist gem. § 38 BDSG die Kon­trolle der Ein­haltung daten­schutz­recht­licher und daten­si­cher­heits­tech­ni­scher Vor­gaben in Unter­nehmen. Dazu darf die Behörde Prü­fungen durch­führen.
Vor kurzem habe ich zum ersten Mal erfahren, dass solche Prü­fungen den Umgang mit Bewer­ber­daten im Fokus hatten. Gerade hier lauern in der Praxis einige Fett­näpfchen.


Zuläs­sigkeit der Erhebung und Spei­cherung von Bewer­ber­daten
Natürlich dürfen Daten von Bewerbern erhoben und auch gespei­chert werden, sofern es zur Begründung oder Durch­führung eines Beschäf­ti­gungs­ver­hält­nisses erfor­derlich ist (§ 32 Abs. 1 Satz 1 BDSG). Inter­essant ist dabei, dass daten­schutz­rechtlich die Daten von Bewerbern den Daten von Beschäf­tigten und ehe­ma­ligen Beschäf­tigten gleich­ge­stellt sind (vgl. § 3 Abs. 11 Nr. 7 BDSG). Bewer­ber­daten genießen damit den gleichen Schutz wie die Daten Ihrer Beschäf­tigten.


Erste Falle: Löschen von Bewer­ber­daten
Grund­sätzlich sind Daten gem. § 35 Abs. 2 Satz 2 Nr. 3 BDSG zu löschen, wenn ihre Kenntnis für die Erfüllung des Zweckes der Daten­er­hebung oder –spei­cherung nicht mehr not­wendig ist.
Für Bewer­ber­daten bedeutet dies, dass eine weitere Auf­be­wahrung oder Spei­cherung dann nicht mehr erfor­derlich ist, wenn dem Bewerber abschließend abgesagt wurde. Alle (!) Bewer­bungs­un­ter­lagen sind somit nach einer Absage zu löschen bzw. zu ver­nichten oder an den Bewerber zurück­zu­senden. Auch Kopien dürfen dann natürlich nicht mehr im Unter­nehmen ver­bleiben.
In der Praxis wird oft gestritten, wie lange Daten eines abge­lehnten Bewerbers doch noch auf­be­wahrt werden dürfen. Das AGG bietet einem abge­lehnten Bewerber die Mög­lichkeit des Wider­spruchs gegen die Ablehnung, wenn er sich aus dis­kri­mi­nie­rendem Grund abge­lehnt fühlt. Um sich gegen einen solchen Vorwurf eines abge­lehnten Bewerbers ver­tei­digen zu können, wird es not­wendig sein, die Bewer­ber­un­ter­lagen noch im Haus zu haben. Ist die Wider­spruchs­frist nach dem AGG für den abge­lehnten Bewerber abge­laufen, müssen aller­dings auch aus diesem Grund zurück­be­haltene Unter­lagen bzw. Kopien gelöscht oder ver­nichtet werden. Meiner Ansicht nach spä­testens zwei Monate nach der Absage.
Anders liegt der Fall, wenn Sie Initia­tiv­be­wer­bungen erhalten. Diese dürfen Sie sicherlich eine gewisse Zeit, ich meine ca. sechs Monate, auf­be­wahren, da der Bewerber ja davon aus­gehen muss, dass Sie mangels einer offenen Stelle nicht sofort eine Ent­scheidung treffen können. Aber auch für Initia­tiv­be­wer­bungen gilt: wenn der Zweck „Ent­scheidung über die Ein­stellung“ nicht mehr erreicht werden kann, sind die Daten zu löschen.
Möchten Sie Bewer­ber­daten wei­terhin auf­be­wahren, z.B. weil der Bewerber für die gerade zu beset­zende Stelle zwar aus­ge­schieden, aber grund­sätzlich für weitere zukünftige Stellen inter­essant ist oder weil Sie bei einer inter­es­santen Initia­tiv­be­werbung noch immer keine freie Stelle haben, dann bitten Sie einfach den Bewerber um dessen Ein­wil­ligung.
 

Zweite Falle: Absi­cherung von Bewer­ber­daten
Bewer­ber­daten ent­halten eine Fülle von Infor­ma­tionen über das bis­herige gesamte Leben des ein­zelnen Bewerbers. Diese Daten ver­dienen deshalb einen guten Schutz.
Gerade im Bereich der elek­tro­ni­schen Über­mittlung von Bewer­ber­daten ist dieser Schutz in der Praxis oftmals nicht vor­handen. Hier hakt die oben ange­spro­chene Prüfung der baye­ri­schen Daten­schutz­auf­sicht ein.
Es wird z.B. abge­fragt ob Bewer­bungen per E‑Mail akzep­tiert oder even­tuell sogar gefordert werden. Wenn ja wird ver­langt, dass eine Ver­schlüs­se­lungs­mög­lichkeit (z.B. PGP) zumindest ange­boten wird. Pro­ble­ma­tisch ist sicherlich der Aufruf Bewer­bungen per E‑Mail ein­zu­reichen, ohne eine Aussage hin­sichtlich einer mög­lichen Ver­schlüs­selung zu treffen.
Ebenso inter­essant für die Daten­schutz­auf­sichts­be­hörde ist der Fall der Online-Bewerbung, z.B. über Ihre Web­seite. Auch hier wird ver­langt, dass z.B. per Online-For­­mular erfasste und/oder hoch­ge­ladene Bewer­bungs­un­ter­lagen durch eine Ver­schlüs­selung abge­si­chert werden.


Bewer­bungs­prozess prüfen
Prüfen Sie den Bewer­bungs­prozess in Ihrem Unter­nehmen, im Ide­alfall gemeinsam mit Ihrem Daten­schutz­be­auf­tragten. Achten Sie dabei ins­be­sondere auf die sichere Löschung nicht mehr benö­tigter Bewer­ber­daten und denken Sie bei elek­tro­nisch vor­han­denen Unter­lagen auch an alle Kopien, die ggf. durch Wei­ter­leitung im Unter­nehmen ent­stehen! Richten Sie für elek­tro­nische Bewer­bungswege wie E‑Mail und Online-Bewerbung Standard-Ver­­­schlüs­­se­­lungs­­­ver­­­fahren zur Absi­cherung ein!

 Bild: © flown / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.