Bewerbung: Welche Daten beim Recruiting erhoben werden dürfen
Der EuGH hat die datenschutzrechtlichen Grundlagen im Bewerbungsprozess ins Wanken gebracht. Ein versprochenes Spezialgesetz lässt auf sich warten.
- Holger Bleich
Die Zeit, als Unternehmen auf ausgeschriebene Stellen stapelweise Bewerbungen postalisch empfangen und händisch ausgewertet haben, ist vorbei. Schreiben gehen via Webformular oder E-Mail ein und werden von einer Software analysiert und vorsortiert. Manche Bewerber landen zur Wiedervorlage in einem digitalen Talentpool. Mehr und mehr kommen dabei KI-Tools zum Einsatz.
Personalabteilungen bewegen sich in einem datenschutzrechtlichen Minenfeld, denn sie benötigen für all diese Erhebungen und Verarbeitungsprozesse Rechtsgrundlagen. Damit nicht genug: In Bewerbungen sind in vielen Fällen besonders sensible Daten enthalten, was die gesetzlichen Anforderungen noch erhöht. Die Datenschutz-Grundverordnung gibt diese Grundlagen seit 2018 vor, hat den Mitgliedstaaten allerdings in Art. 88 ("Datenverarbeitung im Beschäftigungskontext") offengelassen, "spezifischere Vorschriften" zum Beschäftigtendatenschutz zu formulieren.
Bis ins vergangene Jahr 2023 galt § 26 des Bundesdatenschutzgesetzes (BDSG) als genau eine solche Vorschrift. Er regelt die "Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses" und sieht gleich im ersten Satz vor, dass auch Bewerber und gekündigte Personen als Beschäftigte gelten und damit umfasst sind. Auf diesen § 26 konnten sich Unternehmen und öffentliche Stellen also auch beim Recruiting stützen.
Das war die Leseprobe unseres heise-Plus-Artikels "Bewerbung: Welche Daten beim Recruiting erhoben werden dürfen". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.