Die Erfassung und Verarbeitung von Bewerber*innen-Daten sowie das Active Sourcing von Kandidat*innen sind wichtige Bestandteile eines jeden Einstellungsprozesses. Durch die Verwendung verschiedener Tools und Suchmaschinen kann man das Internet leicht nach Lebensläufen und E-Mail-Adressen potentieller Kandidat*innen durchsuchen. So sind die Daten von Bewerber*innen schnell zur Währung der Personalbeschaffungsbranche geworden.
Um den Umgang mit personenbezogen Daten zu regeln, hat die Europäische Union im Mai 2018 die Allgemeine Datenschutz-Grundverordnung (DSGVO) eingeführt. Auch zwei Jahre nach der Einführung gibt es noch Unklarheiten zur Umsetzung der Bestimmungen. Eine Studie der Haufe Gruppe aus dem Jahr 2019 zeigt, dass erst knapp die Hälfte der befragten Unternehmen die DSGVO-Bestimmungen ausreichend umgesetzt hat. Als Gründe werden fehlende Umsetzungshilfen und fehlendes Fachpersonal genannt.
Um Klarheit in den DSGVO-Dschungel zu bringen, fassen wir in diesem Artikel die wichtigsten Punkte der DSGVO im Recruiting zusammen und führen ein Expert*innen-Interview mit der Keyed GmbH.
Wofür steht DSGVO?
Als Erneuerung der Datenschutzrichtlinien von 1995 trat im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft. Nach jahrelangen Diskussionen einigte sich die EU auf ein einheitliches Datenschutzgesetz in Europa. Es gilt für alle Unternehmen und Organisationen, die Daten von EU-Bürger*innen verarbeiten. Die Nichtbeachtung der DSGVO kann zu Strafen von bis zu 20 Millionen Euro führen.
Die DSGVO bündelt die Rechte der betroffenen Personen, die Pflichten der Organisationen und Unternehmen, die mit personenbezogenen Daten arbeiten, sowie diejenigen, die die Verarbeitung der Daten durchführen. Darüber hinaus gilt die Grundverordnung bei internationalen Datenübermittlungen und den Befugnissen der Aufsichtsbehörden.
DSGVO im Recruiting
Die DSGVO verändert, wie Unternehmen mit personenbezogenen Daten umgehen. Davon ist auch die Personalbeschaffungsbranche betroffen. Sie gilt für alle Daten von Bewerber*innen, die ein Unternehmen jemals gesammelt hat, und nicht nur für die Daten, die nach Inkrafttreten der DSGVO erfasst wurden.
In unserem DSGVO-Handbuch erklären wir im Detail, wie Sie Ihr Recruiting DSGVO-konform gestalten können und so Rechtsstreitigkeiten vermeiden. Durch die Verordnung haben Kandidat*innen weitaus mehr Rechte als zuvor – erfahren Sie in unserem kostenlosen E-Book, wie Sie ihnen die Kontrolle über ihre Daten geben können!
Was bedeutet die DSGVO für das Recruiting?
Im Wesentlichen dreht sich DSGVO im Recruiting um eine Sache: die Zustimmung der betroffenen Person. Sie als Datenverantwortliche*r benötigen die Erlaubnis Ihrer Kandidat*innen, um 1. deren Daten einzuholen und 2. diese Daten für Rekrutierungszwecke zu verarbeiten.
Es ist wichtig, dass Sie es den Kandidat*innen so einfach wie möglich machen, ihre Zustimmung zu widerrufen. Sobald dies geschieht, müssen Sie die Verarbeitung ihrer Daten einstellen und sie auf deren Anfrage hin löschen.
Die Rechte von Kandidat*innen
Kandidat*innen haben mehr Kontrolle über ihre personenbezogenen Daten, da diese ohne ihre Zustimmung oder ihr Wissen nicht erfasst oder verarbeitet werden dürfen.
Hier sind die Rechte, die jede*r Betroffene laut der DSGVO hat:
- Zugangsrecht der betroffenen Person: Kandidat*innen können verlangen, dass sie darüber informiert werden, was mit ihren Daten gemacht wird, sowie eine Aufzeichnung ihrer persönlichen Daten anfordern.
- Recht auf Nachbesserung: Kandidat*innen können Sie auffordern, ihre Daten in Ihrer Bewerber*innen-Datenbank zu korrigieren oder zu aktualisieren.
- Recht auf Löschung: Kandidat*innen haben das Recht, Sie dazu zu veranlassen, dass Sie ihre Daten aus Ihrer Bewerber*innen-Datenbank löschen.
- Recht auf Einschränkung der Verarbeitung: Kandidat*innen können von Ihnen verlangen, dass Sie ihre Daten von der Verarbeitung in Ihrer Bewerber*innen-Datenbank ausschließen.
- Recht auf Datenübertragbarkeit: Kandidat*innen können Sie dazu auffordern, alle ihre Daten aus Ihrer Bewerber*innen-Datenbank zu exportieren.
- Widerspruchsrecht: Kandidat*innen können anfordern, dass Sie die Verarbeitung ihrer Daten auf unbestimmte Zeit einstellen.
Die daraus resultierenden Pflichten für Unternehmen gilt es unbedingt einzuhalten, um teure Strafen zu vermeiden.
Nicht jede*r kann auf spezifisches Fachwissen rund um den Datenschutz zugreifen, daher gibt es Unternehmen wie die Keyed GmbH, die Unternehmen bei der Einführung und Einhaltung der DSGVO-Bestimmungen unterstützt.
Um Ihnen weiterführende Informationen zum Thema Datenschutz und Bewerber*innen-Daten zu geben, haben wir die Expert*innen direkt befragt:
1. Wie können Unternehmen ihren Bewerbungsprozess im Sinne des Datenschutzes optimieren?
Hierfür müssen Unternehmen zunächst die datenschutzrechtlichen Anforderungen aus der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutz (BDSG-neu) an die Verarbeitung von personenbezogenen Daten im Rahmen von Bewerbungsprozessen einhalten. Der wesentliche Fokus liegt in diesem Zusammenhang bei Informationspflichten und, falls erforderlich, Einwilligungserklärungen. Darüber hinaus ist ein Lösch- und Berechtigungskonzept eine weitere wichtige Maßnahme, um auch hier die gesetzlichen Anforderungen einzuhalten.
Im ersten Schritt sollten die bestehenden Bewerbungsprozesse nach den unterschiedlichen Daten-Empfänger*innen und -Orten analysiert werden. Am einfachsten kann die datenschutzrechtliche Optimierung vollzogen werden, wenn eine zentrale HR-Software inkl. Bewerber*innen-Management eingesetzt wird. Sobald die Prozesse übersichtlich skizziert wurden, können datenschutzrechtliche Prüfmechanismen auf diese Verarbeitung angewendet werden. Im Ergebnis sollte dann ein konkreter Handlungsbedarf erarbeitet werden, welcher in verschiedene Arbeitspakete eingeteilt wird.
2. Unternehmen müssen ihre Bewerber*innen über die Verarbeitung ihrer personenbezogenen Daten informieren. Um welche Angaben handelt es sich dabei konkret?
Für die Erfüllung der Informationspflichten müssen Unternehmen die Bewerbenden nach den Vorgaben von Art. 12 und Art. 13 DSGVO informieren. Dabei müssen die Bewerber*innen, vor Beginn der Erhebung der personenbezogenen Daten, u.a. über die Kontaktdaten des*der Verantwortlichen, die Rechtsgrundlage, die Dauer und die Zwecke der Verarbeitung informiert werden.
3. Welche Konsequenzen drohen Unternehmen, wenn die DSGVO nicht eingehalten wird?
Für den Fall von Verstößen gegen die DSGVO drohen Unternehmen Bußgelder von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.
4. Welche häufigen Fehler erkennen Sie bei der Umsetzung der DSGVO in Unternehmen?
Speziell im Bereich der Bewerbungsprozesse werden die Informationspflichten häufig nicht oder nur fehler- und lückenhaft umgesetzt. Dieser Fehler kann von der Öffentlichkeit und somit von der zuständigen Aufsichtsbehörde schnell wahrgenommen werden, da diese Informationen in der Regel in der Datenschutzerklärung der Webseite des jeweiligen Unternehmens öffentlich einsehbar präsentiert werden. Weitere typische Fehler sind fehlende Einwilligungserklärungen von Bewerber*innen für den Fall, dass Bewerbungen länger als die gesetzlich erlaubten vier bis sechs Monate gespeichert werden, oder generell die Einhaltung von gesetzlich erlaubten Aufbewahrungsfristen für Bewerbungen.
Häufig beginnen die datenschutzrechtlichen Fehler bei der Einstellung von neuem Personal, da der Arbeitsvertrag in den meisten Fällen nicht die Anforderungen der Datenschutz-Grundverordnung einhält. Ein Arbeitsvertrag muss datenschutzrechtlich immer um die Verpflichtung auf das Datengeheimnis und weitere Verschwiegenheitsverpflichtungen erweitert werden. Je nach Branche können hier verschiedene Anforderungen einschlägig sein.
Thematisch übergreifend ist nicht zu vernachlässigen, dass selbst dann, wenn eine Verarbeitung rechtmäßig ist, also eine Rechtsgrundlage gem. Artikel 6 Abs. 1 DSGVO vorliegt, ein angemessenes Schutzniveau der personenbezogenen Daten gewährleistet werden muss. Hierfür werden regelmäßig technische- und organisatorische Maßnahmen im Unternehmen ausgearbeitet und überprüft. Zu beachten ist, dass das Schutzniveau immer auf die Sensibilität der Daten und das Risiko einer Datenpanne abgestimmt wird.
Wir sind ein dynamisches Team aus zertifizierten Juristen, Datenschutzbeauftragten und IT-Experten. Wir sehen die Art und Weise, wie Datenschutz gesteuert und optimiert werden kann, anders als marktüblich. Unsere Kunden erhalten die passende Lösung, die sie benötigen, um über die komplexe Thematik Datenschutz die volle Übersicht zu behalten, Zeit zu sparen und die Performance datenschutzkonform zu steigern.
Keyed GmbH
DSGVO und Recruitee
Kürzlich wurden wir von Keyed als datenschutzkonforme*r Anbieter*in einer Bewerbermanagementsoftware ausgezeichnet. Das freut uns sehr, da wir den Datenschutz sehr ernst nehmen.
Bis zur Einführung der DSGVO im Mai 2018 hat Recruitee einige Schritte unternommen, um die DSGVO-Konformität gewährleisten zu können.
Neben einem engagierten Datenschutzbeauftragten hat Recruitee mehrere Funktionen, die es Ihnen ermöglichen, datenschutzkonform mit den Daten Ihrer Bewerber*innen umzugehen. Dazu gehört zum Beispiel, dass Sie steuern können, wie lange Sie Bewerber*innen-Daten aufbewahren möchten. Eine weitere Funktion erlaubt es Kandidat*innen, Anfragen zu stellen, wenn sie auf ihre Daten in Ihrer Datenbank in Recruitee zugreifen, sie entfernen oder korrigieren möchten.
Eine Übersicht aller Funktionen finden Sie auf unserer Webseite.
Sicherheit, Verfügbarkeit und Skalierbarkeit sind die Eckpfeiler der Strategie von Recruitee. Alle Datenübertragungen von Recruitee werden verschlüsselt. Der physische und Fernzugriff auf Ihre Daten wird streng kontrolliert und überwacht. Darüber hinaus verfügen wir über Backups Ihrer Daten in mehreren Rechenzentren, um sicherzustellen, dass diese jederzeit für Sie verfügbar sind.