Bewerbungen enthalten viele personenbezogene Informationen und Unternehmen tragen die Verantwortung, damit gesetzeskonform umzugehen. Diese Checkliste unterstützt dich dabei, den Datenschutz im Bewerbungsprozess einzuhalten. Sie zeigt auf, was gesetzlich Pflicht ist und wie du diese Vorgaben praxisnah umsetzen kannst.
Inhaltsverzeichnis
- Recruiting-Prozess datenschutzkonform gestalten
- Datensparsamkeit bei der Bewerbung
- Informationspflicht erfüllen und Einwilligung einholen
- Zugriff auf Bewerbungsdaten begrenzen
- Umgang mit personenbezogenen Daten im Interview
- Referenzen datenschutzkonform einholen
- Umgang mit Absagen
- Talentpool
- Auskunfts-, Berichtigungs- und Löschrechte
- Dokumentation der Datenschutzmassnahmen
1. Recruiting-Prozess datenschutzkonform gestalten
Pflicht
- Datenschutz muss bereits bei der Gestaltung des Bewerbungsprozesses berücksichtigt werden.
- Es dürfen nur Daten erhoben werden, die für den Zweck notwendig sind.
Mögliche praktische Umsetzung
- Erste Auswahl ohne personenbezogene Daten (z.B. skills-basierte, anonyme Vorauswahl).
- Klare Definition, welche Daten in welcher Phase benötigt werden.
2. Datensparsamkeit bei der Bewerbung
Pflicht
- Nur Daten dürfen erhoben werden, welche für die Eignungsabklärung für die spezifische Stelle relevant sind.
- Besonders schützenswerte Daten nur mit ausdrücklicher Einwilligung.
Mögliche praktische Umsetzung
- Pflichtfelder zu persönlichen Daten im Formular auf ein Minimum reduzieren.
- Keine Aufforderung zur Einreichung unnötiger personenbezogener Daten in der Stellenanzeige oder im Bewerbungsformular (z.B. kein Foto oder keine Angaben zu Alter, Zivilstand, Religion oder Gesundheit in der ersten Phase verlangen).
- Anforderungsprofil automatisch basierend auf bestehender Stellenanzeige im Skills-Manager erstellen und den ersten Bewerbungsschritt Skills-basiert mit der Work-ID ermöglichen.
3. Informationspflicht erfüllen und Einwilligung einholen
Pflicht
- Bewerbende müssen darüber informiert werden,
- welche Daten bearbeitet werden,
- zu welchem Zweck sie verwendet werden und
- wer für die Bearbeitung verantwortlich ist.
- Besonders schützenswerte Daten dürfen nur mit ausdrücklicher Zustimmung erhoben werden.
- Die Einwilligung muss freiwillig und jederzeit widerrufbar sein.
Mögliche praktische Umsetzung
- Verständliche Datenschutzerklärung direkt beim Bewerbungsformular verlinken.
- Eindeutige Angabe zur Aufbewahrungsdauer und Löschung.
4. Zugriff auf Bewerbungsdaten begrenzen
Pflicht
- Technische und organisatorische Massnahmen zur Datensicherheit müssen gewährleistet sein.
Mögliche praktische Umsetzung
- Den Zugriff auf Bewerbungsunterlagen nur für direkt am Auswahlprozess beteiligte Personen erlauben.
- Sichere Server benutzen, idealerweise in der Schweiz oder in der EU.
- Die Bewerbungsunterlagen nicht im E-Mail-Konto ablegen und idealerweise nicht per E-Mail anfordern (im E-Mail-Konto geht schnell mal etwas vergessen und bleibt liegen).
5. Umgang mit personenbezogenen Daten im Interview
Pflicht
- Auch im Interview dürfen nur jobrelevante Informationen erhoben werden.
Mögliche praktische Umsetzung
- Interviewleitfäden mit zulässigen Fragen erstellen.
- Keine informellen Notizen zu privaten Umständen während des Interviews machen.
6. Referenzen datenschutzkonform einholen
Pflicht
- Referenzen dürfen nur mit vorheriger Zustimmung der bewerbenden Person eingeholt werden.
Mögliche praktische Umsetzung
- Zustimmung schriftlich abholen.
- Transparenz darüber, welche Referenzen kontaktiert werden.
- Beschränkung auf jobrelevante Informationen.
- Bei Anfrage zu einer Referenz keine Auskunft geben, ohne dass die Person eine Referenzanfrage angekündigt hat.
7. Umgang mit Absagen
Pflicht
- Daten dürfen nur so lange aufbewahrt werden, wie es für den Zweck nötig ist.
- Die Zweckbindung endet mit dem Abschluss des Bewerbungsprozesses.
Mögliche praktische Umsetzung
- Um sich vor Vorwürfen aufgrund des Gleichstellungsgesetzes oder aufgrund nicht gerechtfertigter Absagen zu schützen, dürfen Bewerbungsunterlagen bis zu einer gewissen Zeit nach Beendigung des Bewerbungsprozesses aufbewahrt werden.
- Maximale Aufbewahrungsdauer: 6 Monate nach Abschluss des Bewerbungsprozesses (gemäss DSGVO, im Schweizer DSG gibt es keine eindeutige Angabe. 6 Monate sind daher ein guter Referenzrahmen).
- Klare Kommunikation darüber, was mit den Daten nach einer Absage passiert, am besten direkt im Absageschreiben.
8. Talentpool
Pflicht
- Die Aufbewahrung der Daten über den Bewerbungsprozess hinaus darf nur mit ausdrücklicher Einwilligung erfolgen.
Mögliche praktische Umsetzung
- Um personenbezogene Daten im Talentpool zu speichern, bedarf es einer separaten Zustimmung. Mit dem Talentpool im Skills-Manager ist das ganz einfach.
- Unkomplizierter Widerruf der Einwilligung muss jederzeit möglich sein.
9. Auskunfts-, Berichtigungs- und Löschrechte
Pflicht
- Bewerbende haben Anspruch auf:
- Auskunft, welche Daten von ihnen gespeichert/erhoben wurden
- Berichtigung falscher Daten
- Löschung nicht mehr benötigter Daten
- Antwortfrist: 30 Tage.
Mögliche praktische Umsetzung
- Zuständigkeiten für solche Anfragen eindeutig regeln.
- Hinweis und Kontaktinformation beim Bewerbungsformular oder mindestens in den Datenschutzbestimmungen.
10. Dokumentation der Datenschutzmassnahmen
Pflicht
- Unternehmen müssen nachweisen können, dass sie den Datenschutz einhalten.
Mögliche praktische Umsetzung
- Interne Übersicht oder direkt in der Datenschutzbestimmung:
- Welche personenbezogenen Daten werden erhoben?
- Wie lange werden Daten gespeichert?
- Wer hat Zugriff auf die Daten?
- Wo werden die Daten gespeichert?
Hinweis: Diese Checkliste bietet eine praxisnahe Orientierung entlang der geltenden gesetzlichen Vorgaben. Sie hat keinen Anspruch auf Vollständigkeit und ersetzt keine individuelle Rechtsberatung.