DSGVO im Recruitment: Kandidat*innen übernehmen das Steuer

Zuletzt aktualisiert:
.
.
5/8/2022
5/8/2022
Minuten Lesedauer
Luisa Spardel
Recruitee
Über die Folgen der DSGVO im Recruitment wurde wenig diskutiert. Da Einstellungsverfahren viel Datenverarbeitung erfordern, werden sie auch stark von der DSGVO betroffen sein. In diesem Artikel werden wir Ihnen helfen zu verstehen, wie die DSGVO für Personaler*innen aussehen sollte.
Inhalt

Inzwischen haben Sie wahrscheinlich viel über die neuen Datenschutzgesetze Europas und ihre Auswirkungen auf den Umgang der Unternehmen mit Daten von Verbraucher*innen gehört und gelesen. Über die Folgen der DSGVO im Recruitment wurde jedoch wenig diskutiert. Da Einstellungsverfahren viel Datenverarbeitung erfordern, werden sie auch stark von der DSGVO betroffen sein. In diesem Artikel werden wir Ihnen helfen zu verstehen, wie DSGVO für Personaler*innen aussehen sollte.

Was bedeutet die DSGVO für Einstellungen?

Die Erfassung und Verarbeitung von Bewerber*innen-Daten und unaufgefordertes E-Mailing sind wichtige Bestandteile eines Einstellungsprozesses. Durch die Verwendung verschiedener Tools und Suchmaschinen können Sie das Web leicht nach Lebensläufen und E-Mail-Adressen potenzieller Kandidat*innen durchsuchen. Es gibt auch viele Webseiten, auf denen Personalvermittler*innen eine ganze Datenbank mit Lebensläufen kaufen können, die ihren Suchkriterien entsprechen.

Die Daten von Bewerber*innen sind zur Währung der Personalbeschaffungsbranche geworden. Dies geschieht größtenteils ohne die Zustimmung oder gar das Wissen der Kandidat*innen selbst.

Um solche Prozesse zu verhindern, hat die Europäische Union (EU) die Allgemeine Datenschutzgrundverordnung (DSGVO) eingeführt. Seit dem 28. Mai 2018 betrifft die DSGVO alle Unternehmen, die Daten von EU-Bürger*innen verarbeiten, auch wenn sie sich nicht in der EU befinden. Die Nichteinhaltung der Verordnung kann zu einer Geldstrafe von 20 Mio. € führen.

Die DSGVO wird Unternehmen, die von personenbezogenen Daten profitieren, wie beispielsweise in der Personalbeschaffungsbranche, tiefgreifend verändern. Sie gilt für alle Daten von Bewerber*innen, die Sie jemals gesammelt haben, nicht nur für die Daten, die Sie nach Inkrafttreten der DSGVO erhalten. Um Ihnen den Einstieg zu erleichtern, werden wir einige der wichtigsten Punkte der DSGVO im Recruitment im Zusammenhang mit der Personalbeschaffung und Talentakquise behandeln.

Haftungsausschluss: Die folgenden Informationen sollten nur als Richtlinien dienen. Sie repräsentieren meist unseren Standpunkt. Am besten ist es, wenn Sie in dieser Angelegenheit die Unterstützung Ihres Rechtsteams in Anspruch nehmen. Wir übernehmen keine rechtliche Haftung für die Richtigkeit der in diesem Artikel ganz oder teilweise enthaltenen Informationen.

Wichtige Definitionen:

Wir werden bestimmte Begriffe der DSGVO auf den Kontext der Einstellung von neuen Mitarbeiter*innen anwenden.

Der Begriff „Datensubjekt“ bezieht sich auf Ihre Bewerber*innen, und „personenbezogene Daten“ sind alle Informationen, die zur Identifizierung der betroffenen Person verwendet werden können. Dies kann z. B. ein Name, eine E-Mail-Adresse oder eine Telefonnummer sein.

„Controller*innen“ sind die Personen, die entscheiden, wie und welche personenbezogenen Daten verarbeitet werden. Arbeitgeber*innen und Personalvermittler*innen sind einige Beispiele für Verantwortliche.

„Prozessor*innen“ sind Bewerber*innen-Management-Systeme oder alle juristischen Personen, die personenbezogene Daten im Auftrag eines*einer für die Verarbeitung Verantwortlichen verarbeiten.

„Verarbeitung“ bezieht sich auf alle Handlungen, die mit personenbezogenen Daten durchgeführt werden können, wie deren Sammeln, Aufzeichnen, Organisieren, Speichern, Verwenden und Löschen.

Generell zielt die DSGVO darauf ab, den Betroffenen – den Kandidat*innen – Macht zu geben, indem sie sowohl den Kontrolleur*innen als auch den Verarbeiter*innen strenge Richtlinien auferlegt.

Was bedeutet die DSGVO für die Kandidat*innen?

Für die Kandidat*innen bedeutet die DSGVO im Recruitment, dass sie viel mehr Kontrolle über ihre Daten haben. Personenbezogene Daten können ohne deren Zustimmung oder Wissen nicht mehr gehandelt werden.

Hier sind die sechs Rechte, die jede*r Betroffene hat, wie unter der DSGVO aufgeführt.

  1. Zugangsrecht der betroffenen Person: Kandidat*innen können darauf bestehen, dass sie darüber informiert werden, was Sie mit ihren Daten machen, oder sogar eine Aufzeichnung ihrer persönlichen Daten anfordern, die Sie gesammelt haben.
  2. Recht auf Nachbesserung: Kandidat*innen können Sie dazu auffordern, ihre Daten in Ihrer Bewerber*innen-Datenbank zu korrigieren oder zu aktualisieren.
  3. Recht auf Löschung („Recht darauf vergessen zu werden“): Kandidat*innen können von Ihnen verlangen, dass Sie ihre Daten aus Ihrer Bewerber*innen-Datenbank löschen.
  4. Recht auf Einschränkung der Verarbeitung: Kandidat*innen haben das Recht, dass Sie ihre Daten von der Verarbeitung in Ihrer Bewerber*innen-Datenbank ausschließen.
  5. Recht auf Datenübertragbarkeit: Kandidat*innen können verlangen, dass Sie alle ihre Daten aus Ihrer Bewerber*innen-Datenbank exportieren.
  6. Widerspruchsrecht: Kandidat*innen können darauf bestehen, dass Sie die Verarbeitung ihrer Daten auf unbestimmte Zeit einstellen.

Um die Rechte der Kandidat*innen zu wahren, müssen Sie als Controller*in Ihre Personalbeschaffungs-Toolbox gründlich überprüfen und Ihren gesamten Personalbeschaffungsprozess überarbeiten.

Was bedeutet die DSGVO für Personaler*innen?

Im Wesentlichen dreht sich die DSGVO im Recruitment um eine Sache: die Zustimmung der betroffenen Person. Sie als Datenverantwortliche*r benötigen die Erlaubnis Ihrer Kandidat*innen, um 1) ihre Daten einzuholen und 2) diese Daten für Rekrutierungszwecke zu verarbeiten (für den*die in Ihrem Namen handelnde*n Bearbeiter*in).

Sie müssen es den Kandidat*innen so einfach wie möglich machen, ihre Zustimmung zu widerrufen. Sobald dies geschieht, müssen Sie die Verarbeitung ihrer Daten einstellen und sie auf deren Anfrage entfernen.

Die wichtigsten Dinge, die Sie beachten müssen, sind:

Wenn Sie Daten von Bewerber*innen für sich selbst als Controller*in erhalten

Wenn sich Kandidat*innen auf Ihre Stelle bewerben, sollten Sie alle der folgenden Informationen angeben.

  • Den Namen und die Kontaktdaten Ihres Unternehmens oder des*der Vertreter*in Ihres Unternehmens.
  • Den Zweck der Verarbeitung der Bewerber*innen-Daten. Es sollte klar sein, dass die Daten nur für Einstellungszwecke verwendet werden.
  • Wenn Sie zu einer Personalvermittlungsagentur gehören, müssen Sie den*die Empfänger*in der Bewerber*innen-Daten an die Bewerber*innen weitergeben. An welche Kund*innen werden Sie die Bewerber*innen-Daten weitergeben?

Wenn Sie die Bewerbungen der Kandidat*innen erhalten, sollten Sie einige zusätzliche Informationen angeben.

  • Wie lange Sie die Daten der Bewerber*innen speichern. Wenn es schwierig ist, einen genauen Zeitrahmen festzulegen, müssen Sie einige allgemeine Informationen dazu angeben. So werden beispielsweise die Daten von Bewerber*innen so lange gespeichert, wie die Bewerber*innen an Karrieremöglichkeiten in Ihrem Unternehmen interessiert sind.
  • Wie Kandidat*innen den Zugriff auf Ihre Daten, deren Korrektur oder Löschung beantragen können.
  • Wie können Kandidat*innen ihre Zustimmung zur Verarbeitung ihrer Daten widerrufen?
  • An wen können sich die Kandidat*innen wenden, wenn sie eine Beschwerde über die Verarbeitung ihrer Daten einreichen wollen.
  • Die Notwendigkeit der von den Kandidat*innen zur Verfügung gestellten Daten. Warum benötigen Sie solche Daten von Bewerber*innen?
  • Wenn es in Ihrem Rekrutierungsprozess automatisierte Entscheidungen gibt, einschließlich der automatisierten Beurteilung der Beschäftigungsfähigkeit von Bewerber*innen, müssen Sie die Logik hinter einer solchen Automatisierung und die Folgen dieser Automatisierung für die Bewerbenden erläutern. Könnten die Kandidat*innen aufgrund der Ergebnisse der Automatisierung disqualifiziert werden?
  • Wenn Sie beabsichtigen, die Daten der Bewerber*innen für andere Zwecke als für die Personalbeschaffung zu verwenden, müssen Sie diese vor der weiteren Verarbeitung der Daten informieren.

Wenn Sie Profile aus dem Internet oder Daten von Fachkräften auf andere indirekte Weise beziehen, sollten Sie alle der folgenden Informationen angeben.

  • Den Namen und die Kontaktdaten Ihres Unternehmens oder des*der Vertreter*in Ihres Unternehmens.
  • Den Zweck der Verarbeitung der Daten der Bewerber*innen. Es sollte klar sein, dass die Daten nur für Einstellungszwecke verwendet werden.
  • Die Kategorien der bezogenen Bewerber*innen-Daten. Beziehen sie sich auf die Berufserfahrung, die Kontaktdaten oder etwas anderes?
  • Wie lange Sie die Daten der Bewerber*innen speichern. Wenn es schwierig ist, einen genauen Zeitrahmen festzulegen, müssen Sie einige allgemeine Informationen dazu angeben. So werden beispielsweise die Daten der Bewerbenden so lange gespeichert, wie sie an Karrieremöglichkeiten in Ihrem Unternehmen interessiert sind.
  • Wie können Kandidat*innen eine Anfrage stellen, wenn sie auf die Verarbeitung ihrer Daten zugreifen, sie korrigieren, löschen oder einschränken wollen?
  • Wie können Kandidat*innen ihre Zustimmung zur Verarbeitung ihrer Daten widerrufen?
  • An wen können sich die Kandidat*innen wenden, wenn sie eine Beschwerde über die Verarbeitung ihrer Daten einreichen wollen.
  • Die Quelle, von der Sie die Daten der Bewerber*innen erhalten haben, und ob sie öffentlich zugänglich sind.
  • Wenn es in Ihrem Einstellungsprozess automatisierte Entscheidungen gibt, einschließlich der automatisierten Beurteilung der Beschäftigungsfähigkeit von Bewerber*innen, müssen Sie die Logik hinter einer solchen Automatisierung und die Folgen dieser Automatisierung für die Bewerber*innen erläutern. Könnten die Kandidat*innen aufgrund der Ergebnisse der Automatisierung disqualifiziert werden?
  • Wenn Sie beabsichtigen, die Daten der Bewerbenden für andere Zwecke als die Personalbeschaffung zu verwenden, müssen Sie sie vor der weiteren Verarbeitung der Daten informieren.
  • Wenn Sie bei einer Personalvermittlungsagentur sind, müssen Sie die Empfänger*innen der Bewerber*innen-Daten an die Bewerbenden weitergeben. An welche Kund*innen werden Sie die Daten der Bewerber*innen weitergeben?

Wenn Sie nicht vorhaben, sich mit den ausgewählten Kandidat*innen in Verbindung zu setzen, müssen die oben genannten Informationen den Kandidat*innen innerhalb eines Monats nach Erhalt und spätestens nach der Kontaktaufnahme mitgeteilt werden. Wenn Sie bei einer Personalvermittlungsagentur arbeiten, müssen die oben genannten Informationen den Bewerber*innen spätestens beim ersten Austausch ihrer Daten mit Ihren Kund*innen mitgeteilt werden.

Wenn die bearbeitende Person die Daten der Bewerber*innen in Ihrem Namen verarbeitet

Erst wenn Sie die Zustimmung der Kandidat*innen auf der Grundlage der von Ihnen oben angegebenen Informationen eingeholt haben, können Sie deren Daten verarbeiten. Während dieses Prozesses können Kandidat*innen Anträge im Rahmen ihrer Rechte nach der DSGVO im Recruitment stellen, und Sie müssen innerhalb eines Monats entsprechend handeln.

1. Auskunftsrecht der betroffenen Person

Wenn ein*e Kandidat*in darum bittet, senden Sie ihm*ihr eine Kopie seiner*ihrer Daten zusammen mit den Informationen, die Sie oben bezüglich seiner*ihrer Zustimmung angegeben haben.

2. Recht auf Nachbesserung

Wenn ein*e Kandidat*in Ihnen mitteilt, dass seine*ihre Daten falsch oder unvollständig sind, müssen Sie diese Daten in Ihrer Datenbank sofort überprüfen und aktualisieren.

3. Recht auf Löschung („Recht darauf vergessen zu werden“)

Sie müssen die Daten der Bewerber*innen aus Ihrer Datenbank löschen, wenn einer der folgenden Punkte zutrifft.

  • Die Bewerber*innen-Daten sind für Ihren Bewerbungsprozess nicht mehr relevant. Dies geschieht z. B., wenn Sie nicht mehr für eine bestimmte Rolle einstellen. Sie müssen dann alle Daten der Bewerber*innen löschen, die sich für diese Stelle beworben haben.
  • Die Kandidat*innen widerrufen ihre Zustimmung zur Verarbeitung ihrer Daten.
  • Die Kandidat*innen widersprechen der Verarbeitung ihrer Daten (Näheres dazu unter Punkt 6).
  • Sie haben die Daten des*der Kandidat*in unrechtmäßig erhalten.

Wenn Sie die Daten der Bewerbenden zufällig öffentlich gemacht haben und Bewerber*innen Sie auffordern, die Daten zu löschen, müssen Sie sie nicht nur aus Ihrer Datenbank entfernen, sondern auch aus den Datenbanken der Kontrolleur*innen entfernen lassen, die die Daten von Ihnen erhalten haben.

4. Recht auf Einschränkung der Verarbeitung

Sie müssen die Verarbeitung der Bewerber*innen-Daten einstellen, wenn einer der folgenden Punkte zutrifft.

  • Die Kandidat*innen sagen, dass ihre Daten nicht korrekt sind. In diesem Fall können Sie die Verarbeitung der Bewerber*innen-Daten nach Überprüfung ihrer Richtigkeit wieder aufnehmen.
  • Sie haben die Daten der Bewerber*innen ohne deren Zustimmung erhalten, aber sie wollen nur, dass Sie sie nicht weiter bearbeiten, anstatt sie vollständig aus Ihrer Datenbank zu entfernen. Das bedeutet, dass Sie die Kandidat*innen in einen Talent Pool aufnehmen und später, wenn eine geeignete Stelle frei wird, erreichen können.

5. Recht auf Datenübertragbarkeit

Auf Wunsch werden Sie die Daten den Bewerber*innen übertragen. Die übertragenen Dateien sollten lesbar sein, damit die Kandidat*innen sie für andere Stellenangebote nutzen können.

6. Widerspruchsrecht

Wenn Kandidat*innen Sie auffordern, die Verarbeitung ihrer Daten einzustellen, sind Sie verpflichtet, dieser Aufforderung nachzukommen.

Abgesehen von allen oben genannten Punkten müssen Sie, wenn Ihr Unternehmen mehr als 250 Mitarbeiter*innen beschäftigt, eine schriftliche Aufzeichnung der folgenden Punkte führen:

  • Den Namen und die Kontaktdaten Ihres Unternehmens oder des*der Vertreter*in Ihres Unternehmens.
  • Den Zweck der Verarbeitung der Bewerber*innen-Daten.
  • Eine Beschreibung der Kategorien der Datensubjekte (Kandidat*innen) und ihrer persönlichen Daten (Bewerber*innen-Daten).
  • Die Kategorien der Empfänger*innen, mit denen Sie die Daten der Bewerbenden geteilt haben.

Da Sie in Bezug auf die DSGVO im Recruitment so viel bedenken müssen, ist das Letzte, was Sie möchten, eine*n Prozessor*in, der*die ahnungslos oder nicht rechtmäßig arbeitet. Es ist sehr wichtig, dass Sie nur mit den richtigen Daten-Prozessor*innen zusammenarbeiten.

Was bedeutet die DSGVO für Bewerber*innen-Management-Systeme (BMS)?

Die meisten Bewerber*innen-Management-Systeme sind als Prozessor*innen nach der DSGVO im Recruitment klassifiziert. Sie verarbeiten Bewerber*innen-Daten im Auftrag der Arbeitgeber*innen oder Personalvermittler*innen. Um sicherzustellen, dass Sie DSGVO-konform arbeiten, muss das System Verarbeitungsaktivitäten durch einen Vertrag nach EU-Recht regeln lassen. Dieser Vertrag wird das BMS auffordern:

  • Bewerber*innen-Daten nur gemäß den dokumentierten Anweisungen der Steuerung(en) zu verarbeiten.
  • Erforderliche Maßnahmen zum Schutz der Bewerber*innen-Daten durchzuführen, einschließlich:
  • Der Verschlüsselung oder Pseudonymisierung von Bewerber*innen-Daten.
  • Der Fähigkeit, ein hochwertiges Verarbeitungssystem und einen hochwertigen Service aufrechtzuerhalten.
  • Der Möglichkeit, den Zugriff auf die Bewerber*innen-Daten im Falle von Vorfällen schnell wiederherzustellen.
  • Regelmäßige Überprüfung und Bewertung der Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  • Auf Anfrage alle Bewerber*innen-Daten zu löschen oder an die Controller*innen zurückzusenden.
  • Nachweis der Einhaltung der DSGVO im Recruitment durch das BMS gegenüber den Controller*innen.

Wenn das BMS mit anderen Prozessor*innen integriert wird, müssen auch diese die DSGVO im Recruitment einhalten.

DSGVO Einstellungstipps

Der wichtigste Teil der Einhaltung der DSGVO im Recruitment ist der Aufbau einer Infrastruktur für Ihre Personalbeschaffung, die in der Lage ist, mit Bewerber*innen-Daten richtig umzugehen. Hier sind einige unserer Vorschläge.

1. Beantragung einer zweiten Genehmigung

In der Regel stimmen die Bewerber*innen zu, dass ihre Daten nur einmal verarbeitet werden, wenn sie sich um eine Stelle bewerben. Unternehmen speichern jedoch oft auch Daten von Bewerber*innen für zukünftige Einstellungen. Um Probleme zu vermeiden, empfehlen wir dir dringend, eine zweite Genehmigung Ihrer Bewerber*innen einzuholen, wenn Sie ihre Lebensläufe in Ihrer Datenbank für zukünftige Einstellungen speichern möchten. Wenn Sie beispielsweise eine Ablehnungs-E-Mail an eine*n Kandidat*in senden, bitten Sie ihn*sie um Zustimmung zur Speicherung der Daten. Auf diese Weise wissen Sie, ob es für sie in Ordnung ist, wenn Sie sie in Ihren Talent Pool aufnehmen.

2. Passen Sie Ihre Bedingungen für Bewerber*innen an

Achten Sie darauf, Ihre Datenschutzerklärung zu aktualisieren und den Prozess der Datenverarbeitung in Ihrem Rekrutierungsprozess zu beschreiben. Sie müssen transparent sein, wenn es darum geht, welche Art von Daten Sie sammeln und warum. Es wäre ratsam, die sechs Rechte der Kandidat*innen in Ihre Vertragsbedingungen aufzunehmen. Sie sollten klar und deutlich und getrennt von anderen Informationen dargestellt werden.

3. Abschluss einer Datenaustauschvereinbarung (DSGVO-konform) mit Partner*innen

Arbeiten Sie bei einer Personalagentur, die Informationen über Kandidat*innen mit Kund*innen teilt? Oder teilen Sie Kandidat*innen mit anderen Unternehmen, die zusammenarbeiten? Sie sollten eine Vereinbarung über den Datenaustausch in Bezug auf die DSGVO im Recruitment treffen.

4. Vertrag mit Prozessor*innen mit Sitz in der EU

Jedes Unternehmen, das mit der EU handelt, muss die DSGVO im Recruitment einhalten, auch wenn Sie nur eine*n einzige*n Kandidat*in aus der EU haben. Als Controller*in können Sie nur Prozessor*innen verwenden, die ausreichende Maßnahmen zur Erfüllung der Anforderungen der DSGVO bereitstellen.

5. Vertrag mit Prozessor*innen mit einer starken Datenschutzerklärung

Wählen Sie ein BMS, das alle Bewerber*innen-Daten verschlüsselt. Bei Recruitee gehen wir noch einen Schritt weiter und verschlüsseln alle Ihre vertraulichen Nachrichten sowie Login-Daten. Dies soll ein Höchstmaß an Sicherheit für die Daten gewährleisten, die Sie uns anvertrauen.

6. Stellen Sie sicher, dass Ihre Bewerber*innen-Datenbank sauber ist

Sammeln Sie die Bewerber*innen-Daten nur für die Personalbeschaffung. Benutzen Sie sie nicht für etwas anderes. Ihr BMS kann dazu beitragen, dass nur relevante Daten von Bewerber*innen erfasst werden.

Wenn Sie glauben, dass Kandidat*innen nicht mehr für die Rolle geeignet sind, sollten Sie ihre Daten aus Ihrem System entfernen. Wenn Sie ohne Zustimmung der Kandidat*innen alte Datensätze von Bewerber*innen-Daten haben, sollten Sie diese um ihre Zustimmung bitten. Wer weiß, vielleicht bauen Sie am Ende eine tolle Beziehung zu dieser Person auf!

7. Handeln Sie während der Datenbeschaffung rechtmäßig

Die Datenbeschaffung wird bei der Rekrutierung weiterhin eine wichtige Rolle spielen. Achten Sie darauf, dass Sie alle notwendigen Schritte gemäß der DSGVO im Recruitment durchführen. Stellen Sie alle Informationen zur Verfügung, die die Kandidat*innen benötigen, wenn Sie sich zum ersten Mal an sie wenden oder wenn Sie ihre Daten zum ersten Mal mit Kund*innen teilen.

Erfahren Sie mehr über die DSGVO für die Personalbeschaffung.

Weitere Einzelheiten darüber, wie sich die neuen Vorschriften der DSGVO im Recruitment auf die Personalvermittlung auswirken werden, finden Sie in unserem DSGVO-Handbuch. Sind Sie bereit, den nächsten Schritt zu wagen? Informieren Sie sich über die Änderungen, die wir zum Schutz Ihrer Personaldaten vorgenommen haben.

Zum Newsletter anmelden

Erhalten Sie wöchentlich umsetzbare Tipps für das Recruiting, Employer Branding und HR.

Share on FacebookShare on TwitterShare on Linked In
Go to the top

Besser, schneller, gemeinsam einstellen

Das All-in-One-Tool, um Ihrem Sourcing einen Boost zu verleihen, Ihr Recruitment zu automatisieren und Kandidat*innen effektiv zu bewerten