Seit dem 25. Juni 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Wer dagegen verstößt, wird mit hohen Strafen rechnen müssen. Was müssen Recruiter beachten?

Best of HR – Berufebilder.de®

DSGVO im Bezug auf HR

Die Datenschutzgrundverordnung betrifft die gesamte Verarbeitung personenbezogener Daten in Unternehmen. Recruiter sind mit Inkrafttreten der DSGVO dazu verpflichtet, alle Verarbeitungstätigkeiten aufzuzeichnen. Mittels Bewerbermanagement-System lassen sich alle erforderlichen Vorgänge automatisieren, Daten zentral an einem Ort speichern und verwalten. Außerdem ist der datenschutzkonforme Umgang mit allen Daten lückenlos nachweisbar.

Dennoch müssen Sie die Zulässigkeit der Datenverarbeitung durch technische oder organisatorische Maßnahmen sicherstellen, die Technik datenschutzfreundlich gestalten, Datenschutzfolgen abschätzen können und Datenschutzverletzungen melden. Erfahren Sie in der Checkliste, ob Sie an alles gedacht haben. Im Umgang von Bewerberdaten sind zusammengefasst sechs Grundsätze einzuhalten:

  1. Transparenz: Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
  2. Zweckbindung: Daten aus einer Bewerbung dürfen nur im Rahmen des Bewerbungsverfahrens genutzt werden und sind nach Beendigung zu löschen.
  3. Datenminimierung: Es dürfen nur für den Zweck der Datenerhebung, also nur für den Einstellungsprozess und die Kandidatenauswahl notwendige Daten erfasst werden.
  4. Richtigkeit: Alle überlassenen Daten müssen jederzeit korrekt und auf dem neusten Stand sein.
  5. Speicherbegrenzung: Daten dürfen nur so lange wie nötig gespeichert werden.
  6. Vertraulichkeit: Die Sicherheit der personenbezogenen Daten muss gewährleistet sein. Dazu gehört der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

1. Daten innerhalb der EU speichern

Ohne eigenes IT-System ist die Einhaltung der neuen Gesetzgebung kaum möglich. Wer einen Anbieter beauftragt, sollte darauf achten, dass dieser sowie auch Drittanbieter die Daten in der EU, am besten in Deutschland, speichern. Zudem sollten stets nur die Daten übermittelt werden, die zur Erbringung der Dienstleistung notwendig sind. Prüfen Sie, mit welchen Dienstleistern und mit welcher Software (z. B. ein Bewerbermanagement- oder ein CRM-System) personenbezogene Daten verarbeitet werden. Die Verträge zur Auftragsverarbeitung sollten an die neuen Regelungen der DSGVO angepasst sein. Am besten stellt der Dienstleister einen neuen Auftragsverarbeitungsvertrag zur Verfügung, den Sie als Kunde einfach akzeptieren und sich somit absichern können.

Noch besser ist, wenn Ihr Anbieter nach ISO 27001 zertifiziert ist. Damit ist gewährleistet, dass die unternehmerischen und gesetzlichen Vorgaben eingehalten werden. Beachten Sie den Umfang für eine Zertifizierung, und prüfen Sie, ob alle Prozesse seitens des Anbieters, der Ihre Daten verarbeitet, zertifiziert sind und nicht nur das Rechenzentrum.

2.  Datenschutzerklärung nachweisbar akzeptieren lassen

Bewerber sind ab dem 25. Mai dazu aufzufordern, die Datenschutzerklärung zu akzeptieren. Das lässt sich in einem IT-System dadurch lösen, indem die Kandidaten schon vor dem Absenden ihrer Bewerbung über eine Checkbox aktiv in die Datenschutzerklärung einwilligen müssen. Darin enthalten sein muss:

Für größtmögliche Transparenz empfehle ich, dem Bewerber zusammen mit der Eingangsbestätigung den Link zur Datenschutzerklärung nochmals zuzusenden. Am einfachsten funktioniert dies über eine Korrespondenzvorlage im System.

Was aber, wenn eMail-Bewerbungen eingehen? In dem Fall sollten Sie dem Interessenten vorab mailen und ihn darum bitten, die Daten ins Bewerbermanagement-System übertragen zu dürfen.

Übrigens betrifft die Einwilligung in die Datenschutzerklärung auch Mitarbeiterempfehlungen: Erfolgen diese nicht über ein extra Tool, muss der Mitarbeiter, der einen Bewerbung eines Freundes direkt in der HR-Abteilung abgibt, dessen Einverständnis nachweisen können. Ansonsten darf die HR-Abteilung die Unterlagen nicht annehmen.

3. Sichtberechtigung einschränken

Achten Sie darauf, dass die Sichtberechtigung für Bewerberdaten stets eingeschränkt ist. Sie dürfen nur denjenigen, die auch mit der Bewerbung befasst sind, wie dem Personalsachbearbeiter oder dem Betriebsrat, zugänglich sein.

Ist das Laufwerk aber für andere offen, lassen Sie Bewerberunterlagen auf dem Schreibtisch liegen oder nutzen Sie etwa gemeinsam mit anderen Kollegen einen Kalender, in dem Bewerbungsgespräche namentlich vermerkt sind, geben Sie die Identität von Bewerbern preis und verstoßen ganz klar gegen den Datenschutz. Nutzen Sie ein Bewerbermanagement-System, lässt sich die Einsicht in Unterlagen mit einem Rollen- und Rechtekonzept steuern. Aber Achtung: Login-Daten niemals weitergeben!

4. Daten löschen

Zukünftig muss nachgewiesen werden, dass Daten nach einer bestimmten Zeit gelöscht werden. Noch gibt es allerdings keine rechtsverbindliche Definition für Zeiträume. Bei unseren Kunden hat sich eine Löschung nach vier bis sechs Monaten bewährt. So bleiben die Daten auf jeden Fall bis zum Ablauf der Zweimonats-Frist für eine Diskriminierungsklage erhalten, um im Zweifelsfall die Möglichkeit zu haben, Diskriminierungsvorwürfe entkräften zu können. Eine automatisierte Löschfrist kann im System ohne Weiteres implementiert werden.

Ich empfehle Recruitern zudem, den Hinweis auf die Datenlöschung direkt ins Absageanschreiben mit aufzunehmen, um Rückfragen von Bewerbern zuvorzukommen.

5. Auch Bewerberpools müssen datenkonform sein

Kandidaten, die nicht zu der ausgeschriebenen Stelle passen, aber zu einem späteren Zeitpunkt für eine andere Stelle infrage kommen, können in einem Bewerberpool gespeichert werden. Ziel eines Bewerbermanagements ist, den Bewerbungsprozess und die -auswahl IT-technisch zu unterstützen und dabei die Arbeitsabläufe weitgehend automatisiert und effizient zu gestalten.

Das Bewerbermanagement-System ermöglicht im Einzelnen:

Aber: Der Kandidat muss vorab gefragt werden, ob er auch explizit einer Aufnahme in den Pool und somit einer längerfristigen Speicherung zustimmt. Zudem muss er über die damit zusammenhängenden Löschfristen informiert werden.

Es empfiehlt sich ein Automatismus, der die HR-Abteilung rechtzeitig daran erinnert, eine erneute Zustimmung zur weiteren Speicherung im Pool einzuholen. Hier kann auch gleichzeitig abgefragt werden, ob die Daten noch aktuell sind (Grundsatz: Richtigkeit).

6. Datenschutz gilt auch für Mitarbeiter

Was für Bewerber gilt, betrifft im Übrigen auch die Mitarbeiter. Viele Unternehmen verwenden Bilder ihrer Mitarbeiter im Außenauftritt. Hier reicht keine Generalvollmacht. Mitarbeiter müssen für jeden Kanal der Verwendung einzeln zustimmen (Website, Social Media, Plakate für z. B. Azubi-Kampagnen etc.).

Klarstellung

Aufgrund eines redaktionellen Fehlers waren in der ersten Version dieses Beitrags fälschlicherweise Referenzen auf Dienstleistungsangebote enthalten. Da der Artikel jedoch eine neutraler Fachbeitrag ist, wurden diese werblichen Elemente entfernt. Wir bitten um Entschuldigung.