Bewerbermanagementsysteme (Applicant Tracking Systems, ATS) müßen datenschutzkonform eingesetzt werden.
Rechtsgrundlage: Die Verarbeitung von Bewerberdaten ist für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich (Paragraph 26 Abs. 1 S. 1 BDSG). Die Speicherung in einem ATS ist zuläßig, solange das Bewerbungsverfahren läuft.
Auftragsverarbeitung: Wird ein externes, cloudbasiertes ATS genutzt, liegt Auftragsverarbeitung nach Art. 28 DSGVO vor. Ein AVV mit dem Anbieter ist Pflicht. Bei nicht-EU-Anbietern sind die Drittlandstransfer-Regelungen (Art. 44 ff. DSGVO) zu beachten.
Automatisierte Entscheidungen: Werden Bewerbungen automatisiert vorsortiert oder bewertet (z.B. durch KI-basiertes Screening), greift Art. 22 DSGVO: Bewerber dürfen keiner außchließlich automatisierten Entscheidung mit erheblicher Wirkung unterworfen werden. Ein menschlicher Entscheidungsspielraum muss real bestehen (DSK-OH Künstliche Intelligenz, Mai 2024).
Informationspflichten: Bewerber müßen gemäß Art. 13 DSGVO über die Verarbeitung ihrer Daten informiert werden: Wer verarbeitet, zu welchem Zweck, wie lange, welche Rechte bestehen. Diese Information sollte bereits in der Stellenanzeige oder spätestens bei Eingang der Bewerbung bereitgestellt werden.
Löschfristen: Nach Abschluss des Verfahrens sind die Daten abgelehnter Bewerber zu löschen. Die übliche Aufbewahrungsfrist liegt bei 3-6 Monaten. Eine längere Speicherung in einem Talentpool erfordert die Einwilligung des Bewerbers.