Artikel

DSGVO im Recruiting

Die Erfassung und Verarbeitung von Bewerberdaten sowie das Active Sourcing von Kandidatinnen und Kandidaten sind wichtige Bestandteile eines jeden Einstellungsprozesses. Durch die Verwendung verschiedener Tools und Suchmaschinen, kann man das Internet leicht nach Lebensläufen und E-Mail-Adressen potentieller Kandidatinnen und Kandidaten durchsuchen. So sind Bewerberdaten schnell zur Währung der Personalbeschaffungsbranche geworden. 

Um den Umgang mit personenbezogen Daten zu regeln, hat die Europäische Union im Mai 2018 die Allgemeine Datenschutz-Grundverordnung (DSGVO) eingeführt. Auch zwei Jahre nach der Einführung gibt es noch Unklarheiten zur Umsetzung der Bestimmungen. Eine Studie der Haufe Gruppe aus dem Jahr 2019 zeigt, dass erst knapp die Hälfte der befragten Unternehmen, die DSGVO-Bestimmungen ausreichend umgesetzt haben. Als Gründe werden fehlende Umsetzungshilfen und fehlendes Fachpersonal genannt

Um Klarheit in den DSGVO-Dschungel zu bringen, fassen wir in diesem Artikel die wichtigsten Punkte der DSGVO im Recruiting zusammen und führen ein Experteninterview mit der Keyed GmbH.

Wofür steht DSGVO?

Als Erneuerung der Datenschutzrichtlinien von 1995 trat im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft. Nach jahrelangen Diskussionen einigte sich die EU auf ein einheitliches Datenschutz-Gesetz in Europa. Sie gilt für alle Unternehmen und Organisationen, die Daten von EU-Bürgern verarbeiten. Die Nichtbeachtung der DSGVO kann zu Strafen von bis zu 20 Millionen Euro führen.

Die DSGVO bündelt die Rechte der betroffenen Personen, die Pflichten der Organisationen und Unternehmen, die mit personenbezogenen Daten arbeiten sowie diejenigen, die die Verarbeitung der Daten durchführen. Darüber hinaus gilt die Grundverordnung bei internationalen Datenübermittlungen und den Befugnissen der Aufsichtsbehörden.

DSGVO im Recruiting

Die DSGVO verändert, wie Unternehmen mit personenbezogenen Daten umgehen. Davon ist auch die Personalbeschaffungsbranche betroffen. Es gilt für alle Bewerberdaten, die ein Unternehmen jemals gesammelt hat und nicht nur für die Daten, die nach Inkrafttreten der DSGVO erfasst wurden. 

In unserem DSGVO-Handbuch erklären wir im Detail, wie du dein Recruiting DSGVO-konform gestalten kannst und so Rechtsstreitigkeiten vermeidest. Durch die Verordnung haben Kandidatinnen und Kandidaten weitaus mehr Rechte als zuvor – erfahre in unserem kostenlosen E-Book, wie du ihnen die Kontrolle über ihre Daten geben kannst!

Was bedeutet die DSGVO für das Recruiting?

Im Wesentlichen dreht sich DSGVO im Recruiting um eine Sache: die Zustimmung der betroffenen Person. Du als Datenverantwortliche/r benötigst die Erlaubnis deiner Kandidatinnen und Kandidaten, um 1. ihre Daten einzuholen und 2. diese Daten für Rekrutierungszwecke zu verarbeiten.

Es ist wichtig, dass du es den Kandidatinnen und Kandidaten so einfach wie möglich machst, ihre Zustimmung zu widerrufen. Sobald dies geschieht, musst du die Verarbeitung ihrer Daten einstellen und sie auf deren Anfrage hin löschen. 

Die Rechte von Kandidatinnen und Kandidaten

Kandidatinnen und Kandidaten haben mehr Kontrolle über ihre personenbezogenen Daten, da diese ohne ihre Zustimmung oder ihr Wissen nicht erfasst oder verarbeitet werden dürfen.  

Hier sind die Rechte, die jede/r Betroffene laugt DSGVO hat:

  • Zugangsrecht der betroffenen Person: Kandidatinnen und Kandidaten können verlangen, dass sie darüber informiert werden, was mit ihren Daten gemacht wird, sowie eine Aufzeichnungen ihrer persönlichen Daten anfordern.
  • Recht auf Nachbesserung: Kandidatinnen und Kandidaten können dich auffordern, ihre Daten in deiner Bewerberdatenbank zu korrigieren oder zu aktualisieren.
  • Recht auf Löschung: Kandidatinnen und Kandidaten können dich auffordern, ihre Daten aus deiner Bewerberdatenbank zu löschen.
  • Recht auf Einschränkung der Verarbeitung: Kandidatinnen und Kandidaten können dich auffordern, ihre Daten von der Verarbeitung in deiner Bewerberdatenbank auszuschließen.
  • Recht auf Datenübertragbarkeit: Kandidatinnen und Kandidaten können dich auffordern, alle ihre Daten aus deiner Bewerberdatenbank zu exportieren.
  • Widerspruchsrecht: Kandidaten und Kandidatinnen können dich auffordern, die Verarbeitung ihrer Daten auf unbestimmte Zeit einzustellen.

Die daraus resultierenden Pflichten für Unternehmen gilt es unbedingt einzuhalten, um teure Strafen zu vermeiden.

Nicht jeder kann auf spezifisches Fachwissen rund um den Datenschutz zugreifen, daher gibt es Unternehmen wie die Keyed GmbH, die Unternehmen bei der Einführung und Einhaltung der DSGVO-Bestimmungen unterstützt.

Keyed Logo

Um dir weiterführende Informationen zum Datenschutz und Bewerberdaten zu geben, haben wir die Experten direkt befragt:

1.Wie können Unternehmen ihren Bewerbungsprozess im Sinne des Datenschutzes optimieren?

Hierfür müssen Unternehmen zunächst die datenschutzrechtlichen Anforderungen aus der europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutz (BDSG-neu) an die Verarbeitungen von personenbezogenen Daten im Rahmen von Bewerbungsprozessen einhalten. Der wesentliche Fokus liegt in diesem Zusammenhang bei Informationspflichten und, falls erforderlich, Einwilligungserklärungen. Darüber hinaus ist ein Lösch- und Berechtigungskonzept eine weitere wichtige Maßnahme, um auch hier die gesetzlichen Anforderungen einzuhalten. 

Im ersten Schritt sollten die bestehenden Bewerbungsprozesse nach den unterschiedlichen Daten-Empfängern und -Orten analysiert werden. Am einfachsten kann die datenschutzrechtliche Optimierung vollzogen werden, wenn eine zentrale HR-Software inkl. Bewerbermanagement eingesetzt wird. Sobald die Prozesse übersichtlich skizziert wurden, können datenschutzrechtliche Prüfmechanismen auf diese Verarbeitungen angewendet werden. Im Ergebnis sollte dann ein konkreter Handlungsbedarf erarbeitet werden, welche in verschiedene Arbeitspakete eingeteilt wird.

2. Unternehmen müssen ihre Bewerber und Bewerberinnen über die Verarbeitung ihrer personenbezogenen Daten informieren. Um welche Angaben handelt es sich dabei konkret?

Für die Erfüllung der Informationspflichten müssen Unternehmen die Bewerber nach den Vorgaben von Art. 12 und Art. 13 DSGVO informieren. Dabei müssen die Bewerber, vor Beginn der Erhebung der personenbezogenen Daten, u.a. über die Kontaktdaten des Verantwortlichen, Rechtsgrundlage, Dauer und die Zwecke der Verarbeitung informiert werden.

3. Welche Konsequenzen drohen Unternehmen, wenn die DSGVO nicht eingehalten wird?

Für den Fall von Verstößen gegen die DSGVO drohen Unternehmen Bußgelder von bis zu bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

4. Welche häufigen Fehler erkennen Sie bei der Umsetzung der DSGVO in Unternehmen?

Speziell im Bereich der Bewerbungsprozesse werden die Informationspflichten häufig nicht oder nur fehler- und lückenhaft umgesetzt. Dieser Fehler kann von der Öffentlichkeit und somit von der zuständigen Aufsichtsbehörde schnell wahrgenommen werden, da diese Informationen in der Regel in der Datenschutzerklärung der Website des jeweiligen Unternehmens öffentlich einsehbar präsentiert werden. Weitere typische Fehler sind fehlende Einwilligungserklärungen von Bewerbern für den Fall, dass Bewerbungen länger als die gesetzlich erlaubten vier bis sechs Monate gespeichert werden oder generell die Einhaltung von gesetzlich erlaubten Aufbewahrungsfristen für Bewerbungen. 

Häufig beginnen die datenschutzrechtlichen Fehler bei der Einstellung von neuem Personal, da der Arbeitsvertrag in den meisten Fällen nicht die Anforderungen der Datenschutz-Grundverordnung einhält. Ein Arbeitsvertrag muss datenschutzrechtlich immer erweitert werden um die Verpflichtung auf das Datengeheimnis und weiteren Verschwiegenheitsverpflichtungen. Je nach Branche können hier verschiedene Anforderungen einschlägig sein. 

Thematisch übergreifend ist nicht zu vernachlässigen, dass selbst dann, wenn eine Verarbeitung rechtmäßig ist, also eine Rechtsgrundlage gem. Artikel 6 Abs. 1 DSGVO vorliegt, ein angemessenes Schutzniveau der personenbezogenen Daten gewährleistet werden muss. Hierfür werden regelmäßig technische- und organisatorische Maßnahmen im Unternehmen ausgearbeitet und überprüft. Zu beachten ist, dass das Schutzniveau immer auf die Sensibilität der Daten und das Risiko einer Datenpanne abgestimmt wird.

Wir sind ein dynamisches Team aus zertifizierten Juristen, Datenschutzbeauftragten und IT-Experten. Wir sehen die Art und Weise, wie Datenschutz gesteuert und optimiert werden kann, anders als marktüblich. Unsere Kunden erhalten die passende Lösung, die sie benötigen, um über die komplexe Thematik Datenschutz die volle Übersicht zu behalten, Zeit zu sparen und die Performance datenschutzkonform zu steigern.

DSGVO und Recruitee

Kürzlich wurden wir von Keyed als datenschutzkonformer Anbieter einer Bewerbermanagementsoftware ausgezeichnet. Das freut uns sehr, da wir den Datenschutz sehr ernst nehmen.

Bis zur Einführung der DSGVO im Mai 2018, hat Recruitee einige Schritte unternommen, um DSGVO-Konformität gewährleisten zu können.

Neben einem engagierten Datenschutzbeauftragten, hat Recruitee mehrere Funktionen, die es dir ermöglichen, datenschutzkonform mit deinen Bewerberdaten umzugehen. Dazu gehört zum Beispiel, dass du steuern kannst, wie lange du Bewerberdaten aufbewahren möchtest. Eine weitere Funktion erlaubt es Kandidatinnen und Kandidaten Anfragen zu stellen, wenn sie auf ihre Daten in deiner Datenbank in Recruitee zugreifen, sie entfernen oder korrigieren möchten.

Eine Übersicht aller Funktionen findest du hier.

Sicherheit, Verfügbarkeit und Skalierbarkeit sind die Eckpfeiler der Strategie von Recruitee. Alle Datenübertragungen von Recruitee werden verschlüsselt. Der physische und Fernzugriff auf deine Daten wird streng kontrolliert und überwacht. Darüber hinaus verfügen wir über Backups deiner Daten in mehreren Rechenzentren, um sicherzustellen, dass diese jederzeit für dich verfügbar sind.

Vielleicht interessiert dich auch

Daten & Automatisierung

10 Änderungen, die Recruitee für DSGVO-Konformität vorgenommen hat

Von Luisa Spardel

Daten & Automatisierung

People Analytics: Wie du Big Data für das Recruiting nutzt

Von Adrie Smith

Daten & Automatisierung

Die Personaldatensilos, die dein Recruitment blockieren

Von Adrie Smith