Hannover. Immer mehr Unternehmen erhalten Initiativbewerbungen – also Bewerbungen ohne konkrete Stellenausschreibung. Doch auch in diesen Fällen greifen die strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO). Arbeitgeber riskieren empfindliche Sanktionen, wenn sie personenbezogene Daten der Bewerber nicht korrekt behandeln.

Wann liegt eine Datenverarbeitung vor?
Nach Art. 2 Abs. 1 DSGVO gilt bereits jede Verarbeitung personenbezogener Daten als datenschutzrelevant. Schon das Erfassen und Beantworten einer Initiativbewerbung – auch mit einer Absage – stellt eine Verarbeitung dar. Arbeitgeber müssen daher nach Art. 13 DSGVO den Bewerber informieren, wie mit den Daten umgegangen wird.

Pflichten für Unternehmen im Überblick:

• Informationspflicht: Bewerber müssen u. a. über den Verantwortlichen, Zweck der Verarbeitung und Rechtsgrundlage informiert werden.
• Löschpflicht: Daten müssen nach einer Absage unverzüglich gelöscht werden (Art. 17 DSGVO).
• Speicherung im Bewerberpool: Nur mit ausdrücklicher, freiwilliger Einwilligung des Bewerbers zulässig.
• Datensicherheit: Arbeitgeber sind verpflichtet, geeignete Schutzmaßnahmen wie Verschlüsselung, Firewalls und Pseudonymisierung umzusetzen (Art. 32 DSGVO).

Besonderheit bei Absagen
Selbst wenn ein Unternehmen keine passende Stelle hat, reicht allein die Antwort an den Bewerber, um eine Verarbeitung auszulösen. Damit entsteht auch die Pflicht, über den Datenschutz aufzuklären.

Fazit
Unternehmen sollten Initiativbewerbungen nicht auf die leichte Schulter nehmen. Wer Daten zu lange speichert oder Informationspflichten missachtet, riskiert Bußgelder nach Art. 83 DSGVO sowie Schadensersatzforderungen der Bewerber.