Datenschutz bei Bewerbungen

Was müssen Personalvermittler beim Datenschutz im Recruiting beachten?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(5 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Wer als Recruiting-Agentur, Personalvermittler oder Headhunter mit sensiblen Bewerberdaten arbeitet, muss die Datenschutzgrundverordnung beachten.
  • Verstöße gegen die DSGVO können empfindliche Bußgelder nach sich ziehen und die eigene Reputation schädigen.
  • Mit rechtssicheren AGB, AV-Verträgen und Datenschutzerklärung sichern Sie Ihre Recruiting-Agentur ab.

Worum geht's?

Im Zuge des Fachkräftemangels ist die Unterstützung durch Recruiting-Agenturen für viele Unternehmen unverzichtbar, um geeignete Bewerber zu finden und offene Stellen zu besetzen. Da Recruiting-Agenturen, Personalvermittler und Headhunter tagtäglich mit den Daten unterschiedlichster Bewerber arbeiten, spielt das Thema Datenschutz bei Bewerbungen eine große Rolle. Wie Sie als Recruiting-Agentur eine rechtssichere Personalvermittlung gestalten, wie das Bewerbermanagement laut DSGVO aussehen muss und was Sie beim Datenschutz von Bewerberdaten beachten müssen, erfahren Sie in diesem Artikel.

datenschutz 1174x400 light 

1. Datenschutz & Bewerbungen: Welche Pflichten haben Recruiting-Agenturen?

Bei den datenschutzrechtlichen Pflichten von Recruiting-Agenturen, Headhuntern und Personalvermittlern spielt die Datenschutzgrundverordnung (DSGVO) eine entscheidende Rolle. Diese regelt EU-weit, wie Unternehmen, Arbeitgeber und Behörden mit der Verarbeitung von Bewerberdaten sowie Daten von Kunden und Mitarbeitern umgehen müssen. Dabei gilt sie für alle Unternehmen, die personenbezogene Daten erheben, verarbeiten und an Dritte übermitteln.

Die DSGVO gilt somit auch für Recruiting-Agenturen – denn diese haben vermehrt mit Unternehmen, Arbeitsuchenden und Bewerbern zu tun und arbeiten mit sensiblen Daten wie Namen, Privatanschriften, E-Mail-Adressen, Lebensläufen, Anschreiben, Zeugnissen und Bewerberfotos.

Da viele Bewerbungsprozesse heute rein digital ablaufen, steigt das Risiko, dass sensible Daten abgefangen und von unbefugten Dritten eingesehen werden könnten. Um das zu verhindern, ist ein angemessener Datenschutz im E-Recruiting unerlässlich. So dürfen bei webbasierten Online-Bewerbungsverfahren beispielsweise nur Daten erfasst werden, die in der Bewerbung notwendig sind, um die Eignung des Bewerbers für die offene Stelle zu beurteilen.

Wie steht es um den Datenschutz in Ihrem Unternehmen? Mit unserem Datenschutz-Management-System können Sie eine Risikoabschätzung durchführen. Probieren Sie es aus!

Jetzt Datenschutz absichern

DatenschutzPro

Schützen Sie noch heute Ihre Unternehmensdaten – mit unserer flexiblen und einfachen Lösung:

  • Mehrere Projekte einfach verwalten
  • Datenschutzrisiken auf einen Blick bewertet
  • AV-Verträge & TOMs erstellen
  • Intuitive und zeitsparende Handhabung
Jetzt Datenschutz absichern

Recruiting-Agenturen und Unternehmen, die Bewerber einstellen, müssen beim Bewerbermanagement gemäß Datenschutzgrundverordnung folgende Pflichten erfüllen:

Informationspflichten

Als Recruiting-Agentur sind Sie verpflichtet, personenbezogene Daten vor dem Zugriff unbeteiligter Dritter zu schützen. Außerdem trifft Sie gemäß DSGVO eine Informationspflicht: Sie müssen die Bewerber informieren, was mit ihren erhobenen Daten im Rahmen des Recruiting-Prozesses passiert.

Informieren Sie Interessenten und Bewerber insbesondere über:

  • Kontaktdaten der verantwortlichen Stelle
  • Zweck der Datenverarbeitung
  • Datenempfänger
  • Dauer der Datenspeicherung
  • Betroffenenrechte

Bewerber gelten gemäß § 26 Abs. 8 BDSG (Bundesdatenschutzgesetz) als Beschäftigte im Sinne des Datenschutzes. Das heißt, dass „personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses […] erforderlich ist.“  

Sie brauchen somit kein gesondertes Einverständnis des Bewerbers zur Datenweiterverarbeitung. Es ist aber erforderlich, den Bewerber über die Datenverarbeitung aufzuklären.

Eine ausdrückliche Einwilligung ist im Rahmen der Online-Bewerbung nur dann erforderlich, wenn der Bewerber in einen Bewerberpool aufgenommen werden soll.

Löschpflichten und Aufbewahrungsfrist für Bewerbungsunterlagen

Bewerbende haben ein Recht auf Löschung ihrer Bewerberdaten. Als Unternehmen trifft Sie im Umgang mit Bewerberdaten eine Löschpflicht: Sie dürfen die Unterlagen der Bewerbung hinsichtlich des Datenschutzes nur solange speichern, wie es für den Verarbeitungszweck erforderlich ist. Wird die offene Stelle nicht durch den Bewerber besetzt, entfällt der legitime Zweck der Datenspeicherung.

Eine unbegrenzte Aufbewahrung der Bewerbungsunterlagen ist gemäß Datenschutzgrundverordnung ohne ausdrückliche Einwilligung nicht möglich. Gibt es keine entsprechende Einwilligung des Bewerbers oder eine gesetzliche Vorschrift, die die weitere Speicherung erforderlich macht, sind Sie verpflichtet, die Daten und Bewerbungsunterlagen nach der Entscheidung für oder gegen den Bewerber unverzüglich zu löschen – und zwar aus allen Postfächern.

Dokumentationspflichten

Wenn Sie als Unternehmen einstellen, trifft Sie eine Dokumentationspflicht: Als Auftragsverarbeiter sind Sie verpflichtet, ein Verarbeitungsverzeichnis zu führen, um den Datenschutz bei Bewerbungen sicherzustellen. In diesem Verarbeitungsverzeichnis müssen Sie sämtliche Verarbeitungsvorgänge personenbezogener Daten dokumentieren.

Dazu gehören laut Art. 30 Abs. 2 DSGVO folgende Inhalte:

  • Name und Kontaktdaten des Verantwortlichen (ggf. Angaben zum Vertreter, Datenschutzbeauftragten)
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen sowie personenbezogener Daten
  • Vorgesehene Löschfristen der jeweiligen Datenkategorien
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Bewerberdaten

Recruiting-Datenschutz durch IT-Sicherheit

Für ein rechtssicheres E-Recruiting müssen Bewerber immer die Möglichkeit haben, ihre Bewerbungsunterlagen verschlüsselt per Mail oder über E-Recruiting-Plattformen hochzuladen. Sobald Sie die eingereichten Bewerbungsunterlagen an das personalsuchende Unternehmen weiterleiten, müssen Sie auch hier eine verschlüsselte Datenübertragung nach angemessenen IT-Sicherheitsstandards sicherstellen.

WICHTIG!

Um die Datensicherheit im Bewerbungsverfahren jederzeit zu gewährleisten, sollte die eigene IT-Infrastruktur regelmäßig geprüft werden.

2. Ist die Weitergabe von Bewerberdaten erlaubt?

Wichtig für Unternehmen, die rekrutieren, ist, dass sie die Bewerbung eines potentiellen Mitarbeiters nur an die nötigen firmeninternen Stellen weiterleiten. Die Bewerbung sollte nur von Personal eingesehen werden, welches direkt mit dem Recruiting-Prozess verknüpft ist, wie beispielsweise die HR-Abteilung, der Geschäftsführer sowie die potentiell Vorgesetzten.

Eignet sich der Bewerber für eine andere Stelle im Unternehmen, müssen Sie den Bewerber erst um Erlaubnis bitten, seine Bewerbung an die zuständige Stelle weiterleiten zu dürfen. Gleiches gilt nicht nur für die Bewerbung an sich, sondern selbstverständlich auch für seine Kontaktdaten.

3. Wie lässt sich der Datenschutz im Recruiting korrekt umsetzen?

Welche Anforderungen an den Datenschutz im Recruiting gelten, hängt nicht nur von den gesetzlichen Vorschriften der Datenschutz-Grundverordnung ab, sondern auch vom konkreten Geschäftsmodell, das die Recruiting-Agentur verfolgt.

Hier lassen sich grob drei verschiedene Arten unterscheiden:

  • Recruiting über kundeneigene Social-Media-Kanäle und Landing-Pages
  • Personalvermittlung
  • Social Recruiting

Abhängig von der Bewerbergewinnung und der Art des Recruitings sollten Agenturen und Personalvermittlungen folgende Punkte beim Datenschutz beachten:

Datenschutz bei Bewerbungen über kundeneigene Social Media Seiten und Landing-Pages

Eine erste Möglichkeit, wie Agenturen die Personalsuche für ein Unternehmen betreiben können, ist das Recruiting über die Social-Media-Kanäle und die Website des personalsuchenden Unternehmens. Die Recruiting-Agentur erstellt dazu z. B. eine Unterseite auf der Website des Unternehmens, auf der sich Kandidaten auf die offene Stelle bewerben und Unterlagen wie Lebenslauf und Anschreiben hochladen können.

Da die Bewerbungsdaten über kundeneigene Kanäle (Website oder Social Media) erhoben werden, ist das suchende Unternehmen für den Umgang mit und den Datenschutz der Bewerbungsunterlagen verantwortlich.

Für Sie als Agentur gilt bezüglich des Datenschutzes im Recruiting:

  • Sie benötigen AGB, in denen u. a. ein Haftungsausschluss Ihrer Agentur geregelt ist.
  • Da Sie personenbezogene Daten verarbeiten, liegt eine Auftragsverarbeitung vor. Als Auftragsverarbeiter müssen Sie daher mit dem personalsuchenden Unternehmen einen AV-Vertrag abschließen.
  • Sie können im Rahmen Ihrer Dienstleistung dem Unternehmen eine Datenschutzerklärung zur Verfügung stellen, die die Bewerber darüber aufgeklärt, was mit ihren Daten passiert.

Datenschutz bei der Personalvermittlung (PV)

Eine andere Möglichkeit, geeignetes Personal für ein Unternehmen zu rekrutieren, ist die “klassische” Personalvermittlung: Bewerber können auf der Website der Agentur ihre Daten eingeben und Unterlagen hochladen. Die Recruiting-Agentur sucht dann nach geeigneten Unternehmen. Passen Bewerberprofil und ausgeschriebene Stelle zueinander, sendet die Agentur die Informationen des Bewerbers an das Unternehmen, das dann selbst Kontakt zum Bewerber aufnehmen kann.

INTERESSANT

Für die Suche und Übermittlung der Bewerberdaten erhält die Agentur eine Provision. Anschließend überwacht sie die Abläufe und unterstützt sowohl Bewerber als auch Unternehmen im laufenden Recruiting-Prozess.

Hier gilt hinsichtlich des Datenschutzes bei Bewerbungen Folgendes:

  • Ihre Agentur ist zunächst selbst für den Datenschutz der Bewerberdaten verantwortlich.
  • Mit der Datenübermittlung an das personalsuchende Unternehmen sind Sie als Recruiting-Agentur nicht mehr dafür haftbar, was dieses mit den Daten macht.
  • Sie benötigen als Agentur sowohl AGB und eine Datenschutzerklärung gegenüber den Bewerbern als auch AGB gegenüber dem suchenden Unternehmen.
  • Neben dem Haftungsausschluss sollten die AGB unter anderem festhalten, dass mit der Übermittlung der Bewerberdaten eine Provisionspflicht ausgelöst wird.

Datenschutz beim Social Recruiting

Eine dritte Möglichkeit des E-Recruitings ist das Social Recruiting. Personalvermittler oder Headhunter begeben sich selbst aktiv auf die Suche nach passenden Personen – meist in Jobnetzwerken wie LinkedIn und Xing.

Wann und wie eine Ansprache in Jobnetzwerken wie Xing und LinkedIn zulässig ist, ist datenschutzrechtlich nicht geklärt. Hier sollten Sie daher vorsichtig sein. Das Datenschutzrecht lässt eine Kontaktaufnahme u. a. bei berechtigtem Interesse zu.

Ob ein berechtigtes Interesse gegeben ist, hängt vom Einzelfall ab. Es kann z. B. vorliegen, wenn eine Person in ihrem Status ausdrücklich schreibt, dass sie auf Jobsuche ist. Um auf Nummer sicherzugehen, sollten Sie sich als Headhunter bei den potenziellen Kandidaten eine Einwilligung einholen, ob Sie die Daten an das personalsuchende Unternehmen weiterleiten dürfen.

Zum Artikel

LESEEMPFEHLUNG

Ausführliche Informationen zum Thema Datenschutz in sozialen Netzwerken haben wir Ihnen in unserem Beitrag „So nutzen Sie Social Media Netzwerke rechtssicher“ zusammengestellt.

Zum Artikel

4. Datenschutz beim Bewerbungsgespräch: Das ist zu beachten

Im Rahmen von Bewerbungsgesprächen machen sich Unternehmen und Recruiting-Agenturen oftmals Notizen. Besonders bei einer hohen Anzahl an Bewerbungen ist dies nicht zu vermeiden. Allerdings gilt auch hier Obacht, denn auch hier findet eine Verarbeitung von personenbezogenen Daten statt.

Wichtig beim Bewerbungsgespräch: Stellen Sie nur Fragen, die für die Einstellung des Bewerbers notwendig sind. Vermeiden Sie sehr persönliche Fragen zur Gesundheit oder Lebenssituation, sowie Fragen zur politischen oder religiösen Einstellung. Dokumentieren Sie den Datenschutz für Bewerberdaten in unserer Datenschutz-Management-Lösung und erstellen Sie ein Verarbeitungsverzeichnis.

Jetzt Datenschutz absichern

DatenschutzPro

Schützen Sie noch heute Ihre Unternehmensdaten – mit unserer flexiblen und einfachen Lösung:

  • Mehrere Projekte einfach verwalten
  • Datenschutzrisiken auf einen Blick bewertet
  • AV-Verträge & TOMs erstellen
  • Intuitive und zeitsparende Handhabung
Jetzt Datenschutz absichern

5. Was droht bei Verstößen gegen die DSGVO?

Gemäß DSGVO ist die Speicherung, Verarbeitung und Übermittlung von personenbezogenen Daten ohne Kenntnis und – sofern erforderlich – ohne Zustimmung der betroffenen Personen nicht zulässig.

Halten sich Recruiting-Agenturen, Personalvermittler und Headhunter nicht an die Vorschriften, müssen sie mit Konsequenzen rechnen: Bei einem Datenschutzverstoß drohen DSGVO-Bußgelder in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes bzw. bis zu 20 Millionen Euro.

Außerdem kann ein Rechtsstreit aufgrund eines Datenschutzverstoßes zu einem Reputationsverlust führen – und das wiederum erschwert erfolgreiches Recruiting.

6. Datenschutz bei Bewerbungen: So führen Sie eine rechtssichere Personalvermittlung

Datenschutz im Recruiting ist ein komplexes Thema, das nicht immer leicht zu durchdringen ist. Zugleich ist es für den Geschäftserfolg von immenser Bedeutung, die Anforderungen der DSGVO korrekt umzusetzen und die Anforderungen an den Datenschutz bei Bewerbungen zu erfüllen. Wer gegen die Datenschutzbestimmungen verstößt, muss mit hohen Bußgeldern rechnen.

Als Recruiting-Agentur arbeiten Sie mit sensiblen Daten von Kunden und Bewerbern. Diese gilt es durch geeignete technische und organisatorische Maßnahmen (TOMs) zu schützen. Diese sollten im Sinne der Auskunftspflicht und Betroffenenrechte stets sorgfältig in einem Verarbeitungsverzeichnis dokumentiert werden.

WUSSTEN SIE’S SCHON?

Um Ihre Recruiting-Agentur DSGVO-konform zu führen, steht das Informieren der Kandidaten an erster Stelle. Zwar müssen diese nicht gesondert in die Verarbeitung ihrer Daten einwilligen – dennoch ist es wichtig, dass sie zumindest auf der Website Ihres Unternehmens nachlesen können, was mit den Daten passiert, wie lange die Aufbewahrung der Bewerbungsunterlagen erfolgt und wann diese wieder gelöscht werden.

Um eine Haftung auszuschließen und die Risiken eines DSGVO-Verstoßes zu minimieren, sollten Sie sowohl mit den personalsuchenden Unternehmen als auch mit Kandidaten und Bewerbern einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen. Statt den AV-Vertrag als separates Dokument auszugestalten, können Sie in alternativ in Ihre AGB einbinden. Der AV-Vertrag wird mit dem Akzeptieren der AGB automatisch Teil des Vertrages zwischen Ihnen und Ihrem Vertragspartner. Eine gesonderte Zustellung ist nicht notwendig.

Daneben benötigen Sie eine DSGVO-konforme Datenschutzerklärung, in der Sie den Bewerbern genau erklären, was mit ihren Daten passiert, wie lange sie diese speichern und in welchem Verhältnis Ihre Recruiting-Agentur zu dem potenziellen Arbeitgeber steht. Standarddatenschutzerklärungen reichen nicht aus.

ZUR KANZLEI

KANZLEI SIEBERT LEXOW LANG

Bei der Erstellung maßgeschneiderter Lösungen unterstützen Sie die Datenschutz-Anwälte der Kanzlei Siebert Lexow Lang gern.

  • Rechtssichere Verträge und Vorlagen
  • Rechtstexte, die zu Ihrem Unternehmen passen
  • AV-Vertrag, AGB und Datenschutzerklärung
ZUR KANZLEI

7. FAQ: Häufig gestellte Fragen


Benötigen Recruiting-Agenturen eine Einwilligung zur Datenverarbeitung?

Wenn sich ein Bewerber auf eine ausgeschriebene Stelle bewirbt, ist keine gesonderte Einwilligung zur Datenweiterverarbeitung erforderlich. Es ist für den Datenschutz der Bewerberdaten ausreichend, wenn der Bewerber über die Datenverarbeitung informiert wird. Eine Einwilligung ist aber erforderlich, wenn der Bewerber in einen Bewerberpool aufgenommen werden soll.

Wie schütze ich als Personalvermittler die Daten meiner Kunden?

Als Personalvermittler arbeiten Sie mit sensiblen Daten von Kunden und Bewerbern. Um diese zu schützen, müssen Sie hinsichtlich des Datenschutzes von Bewerbungsunterlagen geeignete technische und organisatorische Maßnahmen (TOMs) einleiten.

Warum ist ein AV-Vertrag für mich wichtig?

Sofern Sie personenbezogene Daten im Auftrag eines Unternehmens verarbeiten, sind Sie gesetzlich zum Abschluss eines AV-Vertrags verpflichtet. Haben Sie keinen, drohen Bußgelder. Als Recruiting-Agentur brauchen Sie insbesondere dann einen AV-Vertrag, wenn Sie Bewerbungen für einen spezifischen Kunden verarbeiten (z. B. weil Sie eine Landing-Page bauen, auf denen sich Bewerber nur bei diesem einen Unternehmen bewerben können).


 

 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details