Datenschutz bei Bewerbungen: Was gilt und wie wird er aktuell umgesetzt?

Warum ist Datenschutz bei Bewerbungen wichtig?

Jedes Jahr versenden Jobsuchende in der Schweiz insgesamt mehrere Millionen Bewerbungen. Bewerbungsunterlagen enthalten unglaublich viele personenbezogene Daten. Von Namen und Kontaktdaten über Geburtsdatum und -ort bis zu exakten Angaben darüber, wer wann wo in die Schule ging. All dies sind per Gesetz schützenswerte Angaben.

Für Bewerbende

• Schutz der Privatsphäre: Viele der Daten in Bewerbungsunterlagen sind nicht dafür bestimmt, dass diverse Personen darauf Zugriff haben.
  
  
• Schutz vor Missbrauch und Betrug: Gelangen Lebensläufe oder Zeugnisse an Unbefugte, könnte Identitätsdiebstahl, Phishing oder Fake-Stellenangebote drohen.
  
  
• Fairness im Auswahlprozess: Unternehmen sollen nur Informationen erheben, die für die Stelle wirklich relevant sind. Das hilft, der Diskriminierung vorzubeugen.
  
  
  

Für Unternehmen

• Rechtliche Sicherheit: Seit dem revidierten Datenschutzgesetz (revDSG), das am 1. September 2023 in der Schweiz in Kraft trat. Bei Verstoss drohen Bussen bis zu 250’000 Franken. Haftbar sind natürliche Personen, nicht Unternehmen.
  
  
• Vertrauen aufbauen: Der Umgang mit sensiblen Daten wirkt sich auf dein Arbeitgeberimage aus. Giltst du als vertrauenswürdig, bewerben sich Menschen eher.
  
  

Welche heiklen Daten enthalten Bewerbungen?

Bewerbungsunterlagen sind wahre Datenschätze. Dabei unterscheidet das Gesetz zwischen zwei verschiedenen Datenkategorien:

• Personenbezogene Daten
  • Name
  • Adresse
  • Geburtsdatum
  • AHV-Nummer
  • Foto
  • Besondere Merkmale
    
    
• Besonders schützenswerte Daten
  • Religiöse und ethnische Zugehörigkeit
  • Politische/weltanschauliche Ansichten
  • Gewerkschaftszugehörigkeit
  • Sexuelle Orientierung
  • Gesundheitsinformationen
  • Sammlung von Daten, die zu einem Persönlichkeitsprofil führen
  • Daten über verwaltungs- und strafrechtliche Massnahmen sowie Sozialhilfe/
    
    

Wie genau nehmen es Firmen mit dem Datenschutz?

• Nur 6% der Karriere-Websites in der Schweiz sind technisch gegen Datenabgriff abgesichert.
  
  
• 28% der Bewerbenden fürchten, dass ihre Bewerbungsdaten bei Arbeitgebern nicht sicher sind (Umfrage aus Deutschland).
  
  
• Über 50% der Recruiter/innen holen unzulässige, informelle Referenzen ein.
  
  
• Viele Bewerbungen werden immer noch per E-Mail versendet. Ein grosses Problem hierbei ist die häufig fehlende Verschlüsselung der E-Mails.
  
  
• 59% der Unternehmen antworten nicht auf Bewerbungen. Was mit den Daten passiert, bleibt gerade in diesen Fällen unklar.
  
  

Was müssen Unternehmen gesetzlich einhalten?

Grundsätzlich gilt: «Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind.» (Art. 328b OR)

Für die Bearbeitung personenbezogener Daten gilt zudem die Informationspflicht. Das heisst, als Arbeitgeber musst du darüber informieren, welche personenbezogenen Daten bearbeitet werden (z.B. in der Datenschutzerklärung).

Daten, die unter die Kagetorie «Besonders schützenswert» fallen, dürfen nur mit dem freiwilligen Einverständnis der Bewerbenden bearbeitet werden.

Zugriff auf und Aufbewahrung von Bewerbungsunterlagen

Das Schweizer Datenschutzgesetz sagt: Du darfst Bewerbungsdaten nur so lange aufbewahren, wie es für den Zweck der Bearbeitung erforderlich ist.

Die DSGVO ist über die Aufbewahrungsdauer eindeutiger: bis sechs Monate nach Abschluss des Prozesses.

Darüber hinaus (z.B. für die Aufnahme in einen Talentpool) bedarf es in beiden Fällen der ausdrücklichen Zustimmung der Bewerbenden.

Du musst sicherstellen, dass:

• Bewerbungsunterlagen verschlüsselt gespeichert werden
• Nur autorisierte Personen Zugang haben
• Eine Löschungsroutine existiert
• Papierunterlagen sicher vernichtet werden (z.B. durch Aktenvernichtung)
  
  
  

Umgang mit Referenzen

Referenzauskünfte sind heikel. Du darfst Referenzen nur mit ausdrücklicher Zustimmung der bewerbenden Person einholen.

• Schriftliche Einwilligung: Hole die Erlaubnis ein, bevor du Referenzpersonen kontaktierst.
  
  
• Informationspflicht: Die bewerbende Person muss wissen, welche Referenzen du einholen wirst.
  
  
• Datensparsamkeit: Frage bei Referenzen nur nach jobrelevanten Informationen.

Achtung: Wenn du ohne Zustimmung Referenzen einholst, verletzt du die Persönlichkeitsrechte der sich bewerbenden Person. Das kann zu rechtlichen Konsequenzen führen.

Formulare auf der Website

Dein Online-Bewerbungsformular muss datenschutzkonform sein. Das bedeutet:

• Pflichtfelder begrenzen: Frage nur nach Informationen, die du wirklich brauchst.
  
  
• Datenschutzerklärung verlinken: Direkt beim Formular muss ein Link zu deiner Datenschutzerklärung sichtbar sein. Diese muss in verständlicher Sprache erklären:
  
  
  • Welche Daten du sammelst
  • Zu welchem Zweck du Daten sammelst
  • Wie lange du Daten speicherst
  • An wen du Daten weitergibst (z.B. Führungskräfte, externe Berater)
  • Welche Rechte Bewerbende in Bezug auf Daten haben
    
    
• Einwilligungserklärung: Bewerbende müssen aktiv zustimmen, dass ihre Daten verarbeitet werden, insbesondere bei besonders schützenswerten Daten.
  
  

Ein typischer Fehler: Ein fiktives KMU fragt in seinem Online-Formular nach Konfession, Familienstand und Gesundheitszustand – alles Pflichtfelder. Keine dieser Informationen ist für die ausgeschriebene Stelle als Sachbearbeiter/in relevant. Nach einer Beschwerde muss das Unternehmen das Formular anpassen und erhält eine Verwarnung.

DSGVO-Anforderungen

Wenn du gezielt EU-Bewerbende anwirbst (internationale Plattformen) oder EU-Bürger/innen online trackst (z.B. mit Google Analytics) ist die DSGVO relevant. Die Anforderungen sind ähnlich wie beim Schweizer DSG, aber teilweise strenger:

• Erweiterte Informationspflicht: Du musst noch detaillierter darüber informieren, was mit den Daten geschieht.
  
  
• Recht auf Datenübertragbarkeit: Bewerbende können verlangen, dass du ihre Daten in einem strukturierten, gängigen Format herausgibst.
  
  
• Höhere Bussen: Bei Verstössen drohen Bussen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
  
  

Praxistipp: Wenn du Personen aus der EU aktiv anwirbst, richte deine Prozesse DSGVO-konform ein.

Weitere rechtliche Aspekte

• Auskunftsrecht: Bewerbende können jederzeit Auskunft darüber verlangen, welche Daten du über sie gespeichert hast. Du hast 30 Tage Zeit, um zu antworten.
  
  
• Recht auf Berichtigung: Sind Daten falsch, müssen sie korrigiert werden.
  
  
• Recht auf Löschung: Nach Abschluss des Bewerbungsverfahrens können Bewerbende verlangen, dass ihre Daten gelöscht werden.
  
  
• Diskriminierungsverbot: Das Gleichstellungsgesetz verbietet es, Bewerbende aufgrund von Geschlecht, Alter, Herkunft, Religion oder sexueller Orientierung zu benachteiligen. Deine Datenverarbeitung darf keine Diskriminierung begünstigen.
  
  
  

Privacy-by-Design: Weniger heikle Daten dank Skills-basierter Vorauswahl

Datenschutz klingt erst mal kompliziert und mühsam. Aber wer den klassischen Rekrutierungsprozess überdenkt, merkt schnell, dass dies nicht der Fall sein muss.

Anstatt die Frage zu stellen:

Wie bewahre ich all die gesammelten Daten sicher auf?

Frage dich:

Brauche ich überhaupt so viele Daten?

Ein grosser Teil der Datenschutzprobleme entsteht bereits früh im Recruiting-Prozess. Unternehmen erhalten oder fordern Lebensläufe, inklusive Angaben zu Alter, Herkunft oder Geschlecht, ganz am Anfang. Daten, die für die Eignung oft irrelevant sind, aber hohen Datenschutzaufwand verursachen.

Mit der Work-ID und dem Skills-Manager läuft die erste Phase des Recruitings ohne personenbezogene Daten ab:

• Der erste Match basiert ausschliesslich auf Fähigkeiten und Werten
• Unternehmen sehen, was jemand kann, nicht wer jemand ist
• Bewerbende bleiben anonym, solange sie das möchten

Erst später im Prozess, wenn es zu einem persönlichen Kennenlernen oder Bewerbungsgespräch kommt, können – gezielt und bei Bedarf – weitere Informationen ausgetauscht werden. Dann aber bewusst, transparent und im richtigen Kontext.

Warum ist das ein Vorteil für beide Seiten?

Für Bewerbende

• Weniger sensible Daten im Umlauf
• Mehr Kontrolle darüber, wann und für wen persönliche Informationen zugänglich sind
• Fairere Chancen in der ersten Auswahlrunde
  
  
  

Für Unternehmen

• Deutlich geringeres Datenschutzrisiko in der frühen Phase
• Weniger Daten, die gespeichert, geschützt und später gelöscht werden müssen
• Fokus auf Eignung statt auf formale oder persönliche Merkmale
• Ein Recruiting-Prozess, der mit dem Datenschutzgesetz deutlich besser vereinbar ist

Jetzt Skills-Manager ausprobieren