Artikel

DSGVO im Recruitment: Kandidaten übernehmen das Steuer

Inzwischen hast du wahrscheinlich viel über die neuen Datenschutzgesetze Europas und ihre Auswirkungen auf den Umgang der Unternehmen mit Verbraucherdaten gehört und gelesen. Über die Folgen der DSGVO im Recruitment wurde jedoch wenig diskutiert. Da Einstellungsverfahren viel Datenverarbeitung erfordern, werden sie auch stark von der DSGVO betroffen sein. In diesem Artikel werden wir dir helfen zu verstehen, wie DSGVO für Personaler aussehen sollte.

Was bedeutet DSGVO für Einstellungen?

Die Erfassung und Verarbeitung von Bewerberdaten und unaufgefordertes E-Mailing sind wichtige Bestandteile eines Einstellungsprozesses. Durch die Verwendung verschiedener Tools und Suchmaschinen kannst du das Web leicht nach Lebensläufen und E-Mail-Adressen potenzieller Kandidaten/innen durchsuchen. Es gibt auch viele Websites, auf denen Personalvermittler eine ganze Datenbank mit Lebensläufen kaufen können, die ihren Suchkriterien entsprechen.

Bewerberdaten sind zur Währung der Personalbeschaffungsbranche geworden. Dies geschieht größtenteils ohne die Zustimmung oder gar das Wissen der Kandidaten/innen selbst.

Um solche Prozesse zu verhindern, hat die Europäische Union (EU) die Allgemeine Datenschutzgrundverordnung (DSGVO) eingeführt. Ab dem 28. Mai 2018 wird DSGVO alle Unternehmen betreffen, die Daten von EU-Bürgern verarbeiten, auch wenn sie sich nicht in der EU befinden. Die Nichteinhaltung der Verordnung kann zu einer Geldstrafe von 20 Mio. € führen.

DSGVO wird Unternehmen, die von personenbezogenen Daten profitieren, wie beispielsweise in der Personalbeschaffungsbranche, tiefgreifend verändern. Es gilt für alle Bewerberdaten, die du jemals gesammelt hast, nicht nur für die Daten, die du nach Inkrafttreten der DSGVO erhältst. Um dir den Einstieg zu erleichtern, werden wir einige der wichtigsten Punkte der DSGVO im Recruitment im Zusammenhang mit der Personalbeschaffung und Talentakquise behandeln.

*Haftungsausschluss: Die folgenden Informationen sollten nur als Richtlinien dienen. Sie repräsentieren meist unseren Standpunkt. Am besten ist es, wenn du in dieser Angelegenheit die Unterstützung deines Rechtsteams in Anspruch nimmst. Wir übernehmen keine rechtliche Haftung für die Richtigkeit der in diesem Artikel ganz oder teilweise enthaltenen Informationen.

Wichtige Definitionen:

Wir werden bestimmte Begriffe der DSGVO auf den Kontext der Einstellung von neuen Mitarbeitern anwenden.

Der Begriff „Datensubjekt“ bezieht sich auf deine Bewerber/innen und „personenbezogene Daten“ sind alle Informationen, die zur Identifizierung der betroffenen Person verwendet werden können. Dies kann z.B. ein Name, eine E-Mail oder eine Telefonnummer sein.

„Controller“ sind die Personen, die entscheiden, wie und welche personenbezogenen Daten verarbeitet werden. Arbeitgeber/innen und Personalvermittler/innen sind einige Beispiele für Verantwortliche.

„Prozessoren“ sind Bewerbermanagement-Systeme oder alle juristischen Personen, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeiten.

„Verarbeitung“ bezieht sich auf alle Handlungen, die mit personenbezogenen Daten durchgeführt werden können, wie das Sammeln, Aufzeichnen, Organisieren, Speichern, Verwenden und Löschen.

Generell zielt DSGVO darauf ab, den Betroffenen – den Kandidaten/innen – Macht zu geben, indem es sowohl den Kontrolleuren/innen als auch den Verarbeitern/innen strenge Richtlinien auferlegt.

Was bedeutet DSGVO für die Kandidaten/innen?

Für die Kandidaten/innen bedeutet DSGVO im Recruitment, dass sie viel mehr Kontrolle über ihre Daten haben. Personenbezogene Daten können ohne deren Zustimmung oder Wissen nicht mehr gehandelt werden.

Hier sind die sechs Rechte, die jede/r Betroffene hat, wie unter DSGVO aufgeführt.

  1. Zugangsrecht der betroffenen Person: Kandidaten/innen können verlangen, dass sie darüber informiert werden, was du mit ihren Daten machst, oder sogar eine Aufzeichnung ihrer persönlichen Daten anfordern, die du gesammelt hast.
  2. Recht auf Nachbesserung: Kandidaten/innen können dich auffordern, ihre Daten in deiner Bewerberdatenbank zu korrigieren oder zu aktualisieren.
  3. Recht auf Löschung („Recht darauf vergessen zu werden“): Kandidaten/innen können dich auffordern, ihre Daten aus deiner Bewerberdatenbank zu löschen.
  4. Recht auf Einschränkung der Verarbeitung: Kandidaten/innen können dich auffordern, ihre Daten von der Verarbeitung in deiner Bewerberdatenbank auszuschließen.
  5. Recht auf Datenübertragbarkeit: Kandidaten/innen können dich auffordern, alle ihre Daten aus deiner Bewerberdatenbank zu exportieren.
  6. Widerspruchsrecht: Kandidaten/innen können dich auffordern, die Verarbeitung ihrer Daten auf unbestimmte Zeit einzustellen.

Um die Rechte der Kandidaten zu wahren, musst du als Controller deine Personalbeschaffungs-Toolbox gründlich überprüfen und deinen gesamten Personalbeschaffungsprozess überarbeiten.

Was bedeutet DSGVO für Personaler?

Im Wesentlichen dreht sich DSGVO im Recruitmentum eine Sache: die Zustimmung der betroffenen Person. Du als Datenverantwortliche/r benötigst die Erlaubnis deiner Kandidaten/innen, um 1) ihre Daten einzuholen und 2) diese Daten für Rekrutierungszwecke zu verarbeiten (für den/die in deinem Namen handelnden Bearbeiter/in).

Du musst es den Kandidaten/innen so einfach wie möglich machen, ihre Zustimmung zu widerrufen. Sobald dies geschieht, musst du die Verarbeitung ihrer Daten einstellen und sie auf deren Anfrage entfernen.

Die wichtigsten Dinge, die du beachten musst, sind:

Wenn du Bewerberdaten für dich selbst als Controller erhältst

Wenn sich Kandidaten/innen auf deine Stelle bewerben, solltest du alle der folgenden Informationen angeben.

  • Den Name und die Kontaktdaten deines Unternehmens oder des/der Vertreters/in deines Unternehmens.
  • Den Zweck der Verarbeitung der Bewerberdaten. Es sollte klar sein, dass die Daten nur für Einstellungszwecke verwendet werden.
  • Wenn du zu einer Personalvermittlungsagentur gehörst, musst du den/die Empfänger/in der Bewerberdaten an die Bewerber/innen weitergeben. An welche Kunden/innen wirst du die Bewerberdaten weitergeben?

Wenn du die Bewerbungen der Kandidaten/innen erhältst, solltest du einige zusätzliche Informationen angeben.

  • Wie lange du die Bewerberdaten speicherst. Wenn es schwierig ist, einen genauen Zeitrahmen festzulegen, musst du einige allgemeine Informationen dazu angeben. So werden beispielsweise die Bewerberdaten so lange gespeichert, wie die Bewerber/innen an Karrieremöglichkeiten in deinem Unternehmen interessiert sind.
  • Wie Kandidaten/innen Zugriff, Korrektur oder Löschung ihrer Daten beantragen können.
  • Wie können Kandidaten/innen ihre Zustimmung zur Verarbeitung ihrer Daten widerrufen?
  • An wen können sich die Kandidaten/innen wenden, wenn sie eine Beschwerde über die Verarbeitung ihrer Daten einreichen wollen.
  • Die Notwendigkeit der von den Kandidaten/innen zur Verfügung gestellten Daten. Warum benötigst du solche Daten von Bewerbern/innen?
  • Wenn es in deinem Rekrutierungsprozess automatisierte Entscheidungen gibt, einschließlich der automatisierten Beurteilung der Beschäftigungsfähigkeit von Bewerbern/innen, musst du die Logik hinter einer solchen Automatisierung und die Folgen dieser Automatisierung für die Bewerber/innen erläutern. Könnten die Kandidaten/innen aufgrund der Ergebnisse der Automatisierung disqualifiziert werden?
  • Wenn du beabsichtigst, die Bewerberdaten für andere Zwecke als für die Personalbeschaffung zu verwenden, musst du diese vor der weiteren Verarbeitung der Daten informieren.

Wenn du Profile aus dem Internet beziehst oder Daten von Fachkräften auf andere indirekte Weise beziehst, solltest du alle der folgenden Informationen angeben.

  • Den Namen und die Kontaktdaten deines Unternehmens oder des/der Vertreters/in deines Unternehmens.
  • Den Zweck der Verarbeitung der Bewerberdaten. Es sollte klar sein, dass die Daten nur für Einstellungszwecke verwendet werden.
  • Die Kategorien der bezogenen Bewerberdaten. Beziehen sie sich auf die Berufserfahrung, die Kontaktdaten oder etwas anderes?
  • Wie lange du die Bewerberdaten speicherst. Wenn es schwierig ist, einen genauen Zeitrahmen festzulegen, musst du einige allgemeine Informationen dazu angeben. So werden beispielsweise die Bewerberdaten so lange gespeichert, wie die Bewerber/innen an Karrieremöglichkeiten in deinem Unternehmen interessiert sind.
  • Wie können Kandidaten eine Anfrage stellen, wenn sie auf die Verarbeitung ihrer Daten zugreifen, sie korrigieren, löschen oder einschränken wollen?
  • Wie können Kandidaten/innen ihre Zustimmung zur Verarbeitung ihrer Daten widerrufen?
  • An wen können sich die Kandidaten/innen wenden, wenn sie eine Beschwerde über die Verarbeitung ihrer Daten einreichen wollen.
  • Die Quelle, von der du die Bewerberdaten erhalten hast und ob sie öffentlich zugänglich sind.
  • Wenn es in deinem Einstellungsprozess automatisierte Entscheidungen gibt, einschließlich der automatisierten Beurteilung der Beschäftigungsfähigkeit von Bewerbern/innen, musst du die Logik hinter einer solchen Automatisierung und die Folgen dieser Automatisierung für die Bewerber/innen erläutern. Könnten die Kandidaten/innen aufgrund der Ergebnisse der Automatisierung disqualifiziert werden?
  • Wenn du beabsichtigst, die Bewerberdaten für andere Zwecke als die Personalbeschaffung zu verwenden, musst du sie vor der weiteren Verarbeitung der Daten informieren.
  • Wenn du bei einer Personalvermittlungsagentur bist, musst du die Empfänger/innen der Bewerberdaten an die Bewerber/innen weitergeben. An welchen Kunden/innen wirst du die Bewerberdaten weitergeben?

Wenn du nicht vorhast, dich mit den ausgewählten Kandidaten/innen in Verbindung zu setzen, müssen die oben genannten Informationen den Kandidaten/innen innerhalb eines Monats nach Erhalt und spätestens nach der Kontaktaufnahme mitgeteilt werden. Wenn du bei einer Personalvermittlungsagentur arbeitest, müssen die oben genannten Informationen den Bewerbern/innen spätestens beim ersten Austausch ihrer Daten mit deinen Kunden/innen mitgeteilt werden.

Wenn der/die Bearbeiter/in die Bewerberdaten in deinem Namen verarbeitet.

Erst wenn du die Zustimmung der Kandidaten/innen auf der Grundlage der von dir oben angegebenen Informationen eingeholt hast, kannst du deren Daten verarbeiten. Während dieses Prozesses können Kandidaten/innen Anträge im Rahmen ihrer Rechte nach DSGVO im Recruitment stellen, und du musst innerhalb eines Monats entsprechend handeln.

1. Auskunftsrecht der betroffenen Person

Wenn ein/e Kandidat/in darum bittet, sende ihm eine Kopie seiner Daten zusammen mit den Informationen, die du oben bezüglich seiner Zustimmung angegeben hast.

2. Recht auf Nachbesserung

Wenn ein/e Kandidat/in dir mitteilt, dass seine/ihre Daten falsch oder unvollständig sind, musst du diese Daten in deiner Datenbank sofort überprüfen und aktualisieren.

3. Recht auf Löschung („Recht darauf vergessen zu werden“)

Du musst die Bewerberdaten aus deiner Datenbank löschen, wenn einer der folgenden Punkte zutrifft.

  • Die Bewerberdaten sind für deinen Bewerbungsprozess nicht mehr relevant. Dies geschieht z.B., wenn du nicht mehr für eine bestimmte Rolle einstellst. Du musst dann alle Daten der Bewerber/innen löschen, die sich für diese Stelle beworben haben.
  • Die Kandidaten/innen widerrufen ihre Zustimmung zur Verarbeitung ihrer Daten.
  • Die Kandidaten/innen widersprechen der Verarbeitung ihrer Daten (näheres dazu unter Punkt 6).
  • Du hast die Daten des/r Kandidaten/in unrechtmäßig erhalten.

Wenn du die Bewerberdaten zufällig öffentlich gemacht hast und Bewerber/innen dich auffordern, die Daten zu löschen, musst du sie nicht nur aus deiner Datenbank entfernen, sondern auch aus den Datenbanken der Kontrolleure entfernen lassen, die die Daten von dir erhalten haben.

4. Recht auf Einschränkung der Verarbeitung

Du musst die Verarbeitung der Bewerberdaten einstellen, wenn einer der folgenden Punkte zutrifft.

  • Die Kandidaten/innen sagen, dass ihre Daten nicht korrekt sind. In diesem Fall kannst du die Verarbeitung der Bewerberdaten nach Überprüfung ihrer Richtigkeit wieder aufnehmen.
  • Du hast die Bewerberdaten ohne deren Zustimmung erhalten, aber sie wollen nur, dass du sie nicht weiter bearbeitest, anstatt sie vollständig aus deiner Datenbank zu entfernen. Das bedeutet, dass du die Kandidaten/innen in einen Talentpool aufnehmen und später, wenn eine geeignete Stelle frei wird, erreichen kannst.

5. Recht auf Datenübertragbarkeit

Auf Wunsch wirst du die Bewerberdaten den Bewerber/innen übertragen. Die übertragenen Dateien sollten lesbar sein, damit die Kandidaten/innen sie für andere Stellenangebote nutzen können.

6. Widerspruchsrecht

Wenn Kandidaten/innen dich auffordern, die Verarbeitung ihrer Daten einzustellen, bist du verpflichtet, dieser Aufforderung nachzukommen.

Abgesehen von allen oben genannten Punkten musst du, wenn dein Unternehmen mehr als 250 Mitarbeiter beschäftigt, eine schriftliche Aufzeichnung der folgenden Punkte führen:

  • Den Name und die Kontaktdaten deines Unternehmens oder des/der Vertreters/in deines Unternehmens.
  • Den Zweck der Verarbeitung der Bewerberdaten.
  • Eine Beschreibung der Kategorien der Datensubjekte (Kandidaten/innen) und ihrer persönlichen Daten (Bewerberdaten).
  • Die Kategorien der Empfänger/innen, mit denen du die Bewerberdaten geteilt hast.

Da du in Bezug auf  DSGVO im Recruitment so viel bedenken musst, ist das Letzte, was du willst, einen Prozessor der ahnungslos oder nicht rechtmäßig arbeitet. Es ist sehr wichtig, dass du nur mit den richtigen Daten-Prozessoren zusammenarbeitest.

Was bedeutet das DSGVO für Bewerbermanagement-Systeme (BMS)?

Die meisten Bewerbermanagement-Systeme sind als Prozessoren nach der DSGVO im Recruitment klassifiziert. Sie verarbeiten Bewerberdaten im Auftrag der Arbeitgeber/innen oder Personalvermittler/innen. Um sicherzustellen, dass du DSGVO-konform arbeitest, muss das System Verarbeitungsaktivitäten durch einen Vertrag nach EU-Recht regeln lassen. Dieser Vertrag wird das BMS auffordern:

  • Bewerberdaten nur gemäß den dokumentierten Anweisungen der Steuerung(en) zu verarbeiten.
  • Erforderliche Maßnahmen zum Schutz der Bewerberdaten durchzuführen, einschließlich:
  • Der Verschlüsselung oder Pseudonymisierung von Bewerberdaten.
  • Der Fähigkeit, ein hochwertiges Verarbeitungssystem und einen hochwertigen Service aufrechtzuerhalten.
  • Der Möglichkeit, den Zugriff auf die Bewerberdaten im Falle von Vorfällen schnell wiederherzustellen.
  • Regelmäßiger Überprüfung und Bewertung der Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  • Auf Anfrage alle Bewerberdaten zu löschen oder an die Controller zurückzusenden.
  • Nachweis der Einhaltung des DSGVO im Recruitment durch das BMS gegenüber den Controllern.

Wenn das BMS mit anderen Prozessoren integriert wird, müssen auch diese das DSGVO im Recruitment einhalten.

DSGVO Einstellungstipps

Der wichtigste Teil der Einhaltung des DSGVO im Recruitment ist der Aufbau einer Infrastruktur für deine Personalbeschaffung, die in der Lage ist, mit Bewerberdaten richtig umzugehen. Hier sind einige unserer Vorschläge.

1. Beantragung einer zweiten Genehmigung

In der Regel stimmen die Bewerber zu, dass ihre Daten nur einmal verarbeitet werden, wenn sie sich um eine Stelle bewerben. Unternehmen speichern jedoch oft auch Bewerberdaten für zukünftige Einstellungen. Um Probleme zu vermeiden, empfehlen wir dir dringend, eine zweite Genehmigung deiner Bewerber/innen einzuholen, wenn du ihre Lebensläufe in deiner Datenbank für zukünftige Einstellungen speichern möchtest. Wenn du beispielsweise eine Ablehnungs-E-Mail an eine/n Kandidaten/in sendest, bitten ihn/sie um Zustimmung zur Speicherung der Daten. Auf diese Weise weißt du, ob es für sie in Ordnung ist, wenn du sie in deinen Talentpool aufnimmst.

2. Pass deine Bedingungen für Bewerber/innen an.

Achte darauf, deine Datenschutzerklärung zu aktualisieren und den Prozess der Datenverarbeitung in deinem Rekrutierungsprozess zu beschreiben. Du musst transparent sein, wenn es darum geht, welche Art von Daten du sammelst und warum. Es wäre ratsam, die sechs Rechte der Kandidaten in deinen Vertragsbedingungen aufzunehmen. Sie sollten klar und deutlich und getrennt von anderen Informationen dargestellt werden.

3. Abschluss einer Datenaustauschvereinbarung (DSGVO-konform) mit Partnern/innen

Arbeitest du bei einer Personalagentur, die Kandidateninformationen mit Kunden/innen teilt? Oder teilst du Kandidaten/innen mit anderen Unternehmen, die zusammenarbeiten? Du solltest eine Vereinbarung über den Datenaustausch in Bezug auf das DSGVO im Recruitment treffen.

4. Vertrag mit Prozessoren mit Sitz in der EU

Jedes Unternehmen, das mit der EU handelt, muss die DSGVO im Recruitment einhalten, auch wenn du nur einen einzige/n Kandidaten/in aus der EU hast. Als Controller kannst du nur Prozessoren verwenden, die ausreichende Maßnahmen zur Erfüllung der Anforderungen der DSGVO bereitstellen.

5. Vertrag mit Prozessoren mit einer starken Datenschutzerklärung

Wähle ein BMS, das alle Bewerberdaten verschlüsselt. Bei Recruitee gehen wir noch einen Schritt weiter und verschlüsseln alle deine vertraulichen Nachrichten sowie Login-Daten. Dies soll ein Höchstmaß an Sicherheit für die Daten gewährleisten, die du uns anvertraust.

6. Stell sicher, dass deine Bewerberdatenbank sauber ist

Sammle die Bewerberdaten nur für die Personalbeschaffung. Benutze sie nicht für etwas anderes. Dein BMS kann dazu beitragen, dass nur relevante Bewerberdaten erfasst werden.

Wenn du glaubst, dass Kandidaten/innen nicht mehr für die Rolle geeignet sind, solltest du ihre Daten aus deinem System entfernen. Wenn du ohne Zustimmung der Kandidaten/innen alte Datensätze von Bewerberdaten hast, solltest du diese um ihre Zustimmung bitten. Wer weiß, vielleicht baust du am Ende eine tolle Beziehung zu dieser Person auf!

7. Handle während der Datenbeschaffung rechtmäßig

Die Datenbeschaffung wird bei der Rekrutierung weiterhin eine wichtige Rolle spielen. Achte darauf, dass du alle notwendigen Schritte gemäß der DSGVO im Recruitment durchführst. Stell alle Informationen zur Verfügung, die die Kandidaten/innen benötigen, wenn du dich zum ersten Mal an sie wendest oder wenn du ihre Daten zum ersten Mal mit Kunden/innen teilst.

Erfahre mehr über die DSGVO für die Personalbeschaffung.

Weitere Einzelheiten darüber, wie sich die neuen Vorschriften der DSGVO im Recruitment auf die Personalvermittlung auswirken werden, findest du in unserem DSGVO-Handbuch. Bist du bereit, den nächsten Schritt zu wagen? Informiere dich über die Änderungen, die wir zum Schutz deiner Personaldaten vorgenommen haben.

Vielleicht interessiert dich auch

Kandidatenerfahrung

50 bekannte Sätze aus dem Home Office

Von Luisa Spardel

Kandidatenerfahrung

Onboarding: Mit dieser Checkliste wirst du nichts vergessen

Von Julia Saxena

Kandidatenerfahrung

Die wahre Kunst des Videointerviews

Von Luisa Spardel