EnglishGerman

DSGVO & datenschutz-konformes Recruiting: 2 X 6 Last-Minute-Tipps für das neue Gesetz


Top20 deutscher Bloggerinnen, referenziert in ZEIT, Wikipedia & Blogger-Relevanz-Index, Seit 15 Jahren Wandel der Arbeitswelt: Beratung, Bücher, News-Dienst Best of HRSeminare & Locations.
Bildrechte: Bildmaterial im Rahmen einer Kooperation kostenlos zur Verfügung gestellt von Shutterstock.

Es ist so weit: Ab dem 25. Mai gilt die EU-Datenschutz-Grundverordnung (DSGVO). Wer dagegen verstößt, wird mit hohen Strafen rechnen müssen. Mittels Bewerbermanagement-System lassen sich alle erforderlichen Vorgänge automatisieren, Daten zentral an einem Ort speichern und verwalten. Außerdem ist der datenschutzkonforme Umgang mit allen Daten lückenlos nachweisbar. Erfahren Sie in der Checkliste, ob Sie an alles gedacht haben. DSGVO & datenschutz-konformes Recruiting: 2 X 6 Last-Minute-Tipps für das neue Gesetz



Hier schreibt für Sie: Tobias Tiedgen ist Geschäftsführer beim Hamburger Recruiting-Unternehmen d.vinci.

Weitere Infos & Leistungen? Werden Sie Mitglied oder profitieren Sie von unserem regelmäßigen Newsletter!

DSGVO im Bezug auf HR

Die Datenschutzgrundverordnung betrifft die gesamte Verarbeitung personenbezogener Daten in Unternehmen. Recruiter sind mit Inkrafttreten der DSGVO dazu verpflichtet, alle Verarbeitungstätigkeiten aufzuzeichnen.

Sie müssen die Zulässigkeit der Datenverarbeitung durch technische oder organisatorische Maßnahmen sicherstellen, die Technik datenschutzfreundlich gestalten, Datenschutzfolgen abschätzen können und Datenschutzverletzungen melden. Im Umgang von Bewerberdaten sind zusammengefasst sechs Grundsätze einzuhalten:

  1. Transparenz Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
  2. Zweckbindung Daten aus einer Bewerbung dürfen nur im Rahmen des Bewerbungsverfahrens genutzt werden und sind nach Beendigung zu löschen.
  3. Datenminimierung Es dürfen nur für den Zweck der Datenerhebung, also nur für den Einstellungsprozess und die Kandidatenauswahl notwendige Daten erfasst werden.
  4. Richtigkeit Alle überlassenen Daten müssen jederzeit korrekt und auf dem neusten Stand sein.
  5. Speicherbegrenzung Daten dürfen nur so lange wie nötig gespeichert werden.
  6. Vertraulichkeit Die Sicherheit der personenbezogenen Daten muss gewährleistet sein. Dazu gehört der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

1. Daten innerhalb der EU speichern

Ohne eigenes IT-System ist die Einhaltung der neuen Gesetzgebung kaum möglich. Wer einen Anbieter beauftragt, sollte darauf achten, dass dieser sowie auch Drittanbieter die Daten in der EU, am besten in Deutschland, speichern. Zudem sollten stets nur die Daten übermittelt werden, die zur Erbringung der Dienstleistung notwendig sind. Prüfen Sie, mit welchen Dienstleistern und mit welcher Software (z. B. ein Bewerbermanagement- oder ein CRM-System) personenbezogene Daten verarbeitet werden. Die Verträge zur Auftragsverarbeitung sollten an die neuen Regelungen der DSGVO angepasst sein. Am besten stellt der Dienstleister einen neuen Auftragsverarbeitungsvertrag zur Verfügung, den Sie als Kunde einfach akzeptieren und sich somit absichern können.

Noch besser ist, wenn Ihr Anbieter nach ISO 27001 zertifiziert ist. Damit ist gewährleistet, dass die unternehmerischen und gesetzlichen Vorgaben eingehalten werden. Beachten Sie den Umfang für eine Zertifizierung, und prüfen Sie, ob alle Prozesse seitens des Anbieters, der Ihre Daten verarbeitet, zertifiziert sind und nicht nur das Rechenzentrum.

2.  Datenschutzerklärung nachweisbar akzeptieren lassen

Bewerber sind ab dem 25. Mai dazu aufzufordern, die Datenschutzerklärung zu akzeptieren. Das lässt sich in einem IT-System dadurch lösen, indem die Kandidaten schon vor dem Absenden ihrer Bewerbung über eine Checkbox aktiv in die Datenschutzerklärung einwilligen müssen. Darin enthalten sein muss:

  • der Hinweis auf technisch-organisatorische Schmutzmaßnahmen,
  • Löschfristen,
  • der Verarbeitungszweck und
  • der Hinweis auf die Verwendung von Cookies.

Für größtmögliche Transparenz empfehle ich, dem Bewerber zusammen mit der Eingangsbestätigung den Link zur Datenschutzerklärung nochmals zuzusenden. Am einfachsten funktioniert dies über eine Korrespondenzvorlage im System.

Was aber, wenn E-Mail-Bewerbungen eingehen? In dem Fall sollten Sie dem Interessenten vorab mailen und ihn darum bitten, die Daten ins Bewerbermanagement-System übertragen zu dürfen.

Übrigens betrifft die Einwilligung in die Datenschutzerklärung auch Mitarbeiterempfehlungen: Erfolgen diese nicht über ein extra Tool, muss der Mitarbeiter, der einen Bewerbung eines Freundes direkt in der HR-Abteilung abgibt, dessen Einverständnis nachweisen können. Ansonsten darf die HR-Abteilung die Unterlagen nicht annehmen.

3. Sichtberechtigung einschränken

Achten Sie darauf, dass die Sichtberechtigung für Bewerberdaten stets eingeschränkt ist. Sie dürfen nur denjenigen, die auch mit der Bewerbung befasst sind, wie dem Personalsachbearbeiter oder dem Betriebsrat, zugänglich sein.

Ist das Laufwerk aber für andere offen, lassen Sie Bewerberunterlagen auf dem Schreibtisch liegen oder nutzen Sie etwa gemeinsam mit anderen Kollegen einen Kalender, in dem Bewerbungsgespräche namentlich vermerkt sind, geben Sie die Identität von Bewerbern preis und verstoßen ganz klar gegen den Datenschutz. Nutzen Sie ein Bewerbermanagement-System, lässt sich die Einsicht in Unterlagen mit einem Rollen- und Rechtekonzept steuern. Aber Achtung: Login-Daten niemals weitergeben!

4. Daten löschen

Zukünftig muss nachgewiesen werden, dass Daten nach einer bestimmten Zeit gelöscht werden. Noch gibt es allerdings keine rechtsverbindliche Definition für Zeiträume. Bei unseren Kunden hat sich eine Löschung nach vier bis sechs Monaten bewährt. So bleiben die Daten auf jeden Fall bis zum Ablauf der Zweimonats-Frist für eine Diskriminierungsklage erhalten, um im Zweifelsfall die Möglichkeit zu haben, Diskriminierungsvorwürfe entkräften zu können. Eine automatisierte Löschfrist kann im System ohne Weiteres implementiert werden.

Ich empfehle Recruitern zudem, den Hinweis auf die Datenlöschung direkt ins Absageanschreiben mit aufzunehmen, um Rückfragen von Bewerbern zuvorzukommen.

5. Auch Bewerberpools müssen datenkonform sein

Kandidaten, die nicht zu der ausgeschriebenen Stelle passen, aber zu einem späteren Zeitpunkt für eine andere Stelle infrage kommen, können in einem Bewerberpool gespeichert werden. Ziel eines Bewerbermanagements ist, den Bewerbungsprozess und die -auswahl IT-technisch zu unterstützen und dabei die Arbeitsabläufe weitgehend automatisiert und effizient zu gestalten.

Das Bewerbermanagement-System ermöglicht im Einzelnen:

  • eine erhöhte Transparenz für Bewerber, Recruiter und Fachbereiche
  • die Dateneingabe durch den Bewerber und somit Zeitersparnis und Fehlervermeidung
  • die Verkürzung der Reaktionszeiten durch standardisierte Prozesse und Erinnerungen
  • die Dokumentation des Recruitingprozesses
  • die Vereinheitlichung der Recruiting-Prozesse
  • eine verbesserte Bewerberauswahl
  • die Optimierung der Recruiting-Kanäle
  • eine Reduzierung der Recruiting-Kosten
  • sowie ein modernes Arbeitgeberimage nach innen und außen.

Aber: Der Kandidat muss vorab gefragt werden, ob er auch explizit einer Aufnahme in den Pool und somit einer längerfristigen Speicherung zustimmt. Zudem muss er über die damit zusammenhängenden Löschfristen informiert werden.

Es empfiehlt sich ein Automatismus, der die HR-Abteilung rechtzeitig daran erinnert, eine erneute Zustimmung zur weiteren Speicherung im Pool einzuholen. Hier kann auch gleichzeitig abgefragt werden, ob die Daten noch aktuell sind (Grundsatz: Richtigkeit).

6. Datenschutz gilt auch für Mitarbeiter

Was für Bewerber gilt, betrifft im Übrigen auch die Mitarbeiter. Viele Unternehmen verwenden Bilder ihrer Mitarbeiter im Außenauftritt. Hier reicht keine Generalvollmacht. Mitarbeiter müssen für jeden Kanal der Verwendung einzeln zustimmen (Website, Social Media, Plakate für z. B. Azubi-Kampagnen etc.).

Klarstellung

Aufgrund eines redaktionellen Fehlers waren in der ersten Version dieses Beitrags fälschlicherweise Referenzen auf Dienstleistungsangebote enthalten. Da der Artikel jedoch eine neutraler Fachbeitrag ist, wurden diese werblichen Elemente entfernt. Wir bitten um Entschuldigung.

Mehr Informationen? Nutzen Sie unsere E-Kurse & persönliche Beratung


E-Kurse Beratungberufebilder

Sie wollen hier kommentieren? Bitte die Debatten-Regeln einhalten, Beiträge müssen freigeschaltet werden. Ihre eMail-Adresse bleibt geheim. Mehr Informationen zur Verwendung Ihrer Daten und wie Sie dieser widersprechen können, finden Sie in unserer Datenschutzerklärung.

  1. Debatte zu diesem Beitrag folgen
  2. Allen Debatten folgen
  3. Debatten per eMail abonnieren (Link hier eintragen!)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Debatten-Regeln und die Datenschutzbedingungen mit der Möglichkeit, der Verwendung meiner Daten jederzeit zu widersprechen.