eMail-Bewerbungen datenschutzkonform verarbeiten
Bei der Verarbeitung von eMail-Bewerbungen, zB über Stellenanzeigen sind vom Verantwortlichen einige Punkte zu beachten. Die Nutzung von dezitierten eMail-Adressen, die Sicherstellung von Rechtmäßigkeitsgrundlagen, die Einhaltung von Informationspflichten und Löschpflichten gewährleisten eine rechtskonforme Verarbeitung von Bewerberdaten.
Die Übermittlung von Bewerbungsunterlagen per eMail gehört heutzutage zu den Standardverfahren bei der Personalsuche. In vielen Jobanzeigen finden sich eMail-Adressen, an die, häufig vorzugsweise, die Bewerbungen zu senden sind. Die Übermittlung von Bewerbungen stellt eine Verarbeitung von personenbezogenen Daten dar und unterliegt somit datenschutzrechtlichen Bestimmungen.
Empfänger Adresse als Sicherheitsrisiko bei eMail-Bewerbungen
Die Nutzung von allgemeinen eMail-Adressen, wie office@firma.at birgt das Risiko, dass auch unberechtigte Personen eingehende Bewerbungen einsehen können und damit uU eine meldepflichtige Datensicherheitsverletzung vorläge.
Empfehlenswert ist deshalb die Verwendung einer ausschließlich für den Empfang von Bewerbungen genutzten eMail-Adresse zB bewerbung@firma.at und den zugriffsberechtigten Personenkreis, auf jene Personen zu beschränken, die unmittelbar mit eingehenden Bewerbungen und anschließendem Auswahlverfahren befasst sind. Die Empfänger sind zur Verschwiegenheit verpflichtet und dürfen Informationen nicht weitergeben.
Verarbeitung für vorvertragliche Maßnahmen rechtmäßig
Sobald eMail-Bewerbungen in Postfächer des Verantwortlichen eingehen und auf einem Server gespeichert werden, beginnt die Verarbeitung personenbezogener Daten. Um potentielle Sicherheitsrisiken zu vermeiden, wird der Einsatz sicherer eMail-Protokolle unbedingt empfohlen.
In der Regel wird als Rechtmäßigkeitsgrundlage für die Verarbeitung von personenbezogenen Daten im Rahmen eines Bewerbungsprozesses die Durchführung vorvertraglicher Maßnahmen im Sinne des Art 6 1 b) herangezogen.
In diesem Zusammenhang ist zu beachten, dass die Verarbeitung von übermittelten “sensiblen” Daten , zB Gesundheitsdaten, nicht auf diese Rechtmäßigkeitsgrundlage gestützt werden kann. Für die Verarbeitung von “sensiblen” Daten im Bewerbungsverfahren wird in der Regel eine arbeitsrechtliche Grundlage oder eine ausdrückliche Einwilligung der betroffenen Person erforderlich sein.
Informationspflichten bei der Verarbeitung von Bewerbungsdaten
Art 13 DSGVO sieht vor, dass für den Fall, dass personenbezogene Daten bei der betroffenen Person erhoben werden, der Verantwortliche zum Zeitpunkt der Erhebung dieser Daten der betroffenen Person gesetzlich bestimmte Pflichtangaben zu erteilen hat.
Die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch erfolgen. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
Entsprechende Datenschutzhinweise sollten für betroffene Personen über die Website des Unternehmens verfügbar sein. Und die Stellanzeige sollte einen Hinweis auf die Verfügbarkeit der entsprechenden Informationen enthalten. Alternativ dazu können erforderliche Datenschutzhinweise auch per Autoresponder-Funktion an die Absenderadresse der Bewerbung übermittelt werden.
Nicht vergessen: Bewerbungsdaten rechtzeitig löschen
Grundsätzlich sind personenbezogenen Daten zu löschen, wenn sie für den ursprünglichen Zweck nicht mehr notwendig sind, zB die ausgeschriebene Stelle wurde besetzt, oder es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt.
Eine Information der WK OÖ verweist auf zwei relevante Löschfristen vor Begründung eines Arbeitsverhältnisses: [1]
- Ansprüche auf Ersatz wegen diskriminierender Ablehnung einer Bewerbung nach §§ 15 Abs 1 und 29 Abs 1 GlbG sowie § 7k Abs 1 iVm Abs 2 Z 1 BEinstG: 6 Monate;
Fristbeginn: Ab dem Tag, an dem die Ablehnung zugegangen ist bzw. 7 Monate ab Bewerbungseingang; - Ansprüche auf Ersatz von allfälligen Vorstellungskosten nach § 1486 Z 5 ABGB: 3 Jahre;
Fristbeginn: Der Tag, an dem die Kosten angefallen sind;
Alle in den Bewerbungsprozess involvierten Personen und Stellen müssen sich darüber im Klaren sein, dass sämtliche Kopien, E-Mails und Ausdrucke der Bewerbung nach Zweckerfüllung gelöscht bzw. vernichtet werden müssen.
Eine Ausnahme der Löschpflichten gibt es nur, wenn der Bewerber über einer längere Aufbewahrung seiner Bewerbungsunterlagen hinreichend informiert wurde und dieser ausdrücklich zugestimmt hat.
—
[1] Seite: EU-Datenschutz-Grundverordnung (DSGVO): Speicher-, Verjährungs- und Aufbewahrungsfristen, URL: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-speicher-und-aufbewahrungsfristen.html;