DSGVO – Grundlagen für Recruiter

Lisa Brandstetter
Alle Artikel
02. Oktober 2020 Lesezeit 8 Minuten
Datenschutz im Recruiting ist ein wichtiges Thema. Seit Inkrafttreten der DSGVO gilt es, sensible Daten noch besser und bewusster zu schützen. Aber was bedeutet das konkret für den Recruitingalltag? Und wie unterstützt eRecruiter dabei? Wir beantworten Ihre wichtigsten Fragen und geben wertvolle Tipps, damit Sie rechtlich nichts zu befürchten haben.

Inhalt

    Der 25. Mai 2018 markierte ein bedeutsames Datum für jeden, der personenbezogene Daten erfasst oder verarbeitet. Seit mehr als zwei Jahren ist die EU-Datenschutz-Grundverordnung (DSGVO) als einheitliche Regelung der Datenverarbeitung in Kraft. Umso verwunderlicher ist es, dass es nach wie vor Recruiter* gibt, die im beruflichen Alltag mit unsicheren Excel-Sheets arbeiten. Hand aufs Herz: Sind Sie datenschutzrechtlich auf der sicheren Seite?

    1

    Die 6 Grundsätze im Artikel 5 der DSGVO

    Ob Eingang und Ablage von Bewerbungen, Abfragen oder Teilen von Bewerberdaten, Zusammentragen von Notizen oder Löschen und Vernichten von Bewerbungsunterlagen – Recruiter haben im Bewerbungsprozess eine ganze Reihe von Berührungspunkten mit den folgenden sechs Grundsätzen der DSGVO:

    1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
    2. Zweckbindung
    3. Datenminimierung
    4. Richtigkeit
    5. Speicherbegrenzung
    6. Integrität und Vertraulichkeit

    Inwiefern hat diese Tatsache Einfluss auf den Alltag von Personalern? Fünf Fragen, fünf Antworten: Wir haben das Wichtigste für Sie auf den Punkt gebracht.

    DSGVO im Recruiting: Wie beantworten die wichtigsten Fragen

    2

    Fünf Fragen – fünf Antworten zur DSGVO im Recruiting

    Ist für das Bewerbungsverfahren grundsätzlich eine Einwilligung erforderlich?

    Nein, die Verarbeitung personenbezogener Daten im Bewerbungsverfahren ist ohne explizite Einwilligung erlaubt. Und das gilt unabhängig davon, ob das Bewerbungsverfahren analog, online oder mittels eines Bewerbermanagementsystems durchgeführt wird. Werden die Daten allerdings nicht ausschließlich im Bewerbungsprozess verwendet, sondern zum Beispiel in einem Talent Pool gespeichert, bedarf es dazu sehr wohl der Einwilligung des Kandidaten.

    Welche Daten sind im Recruitingprozess relevant?

    • personenbezogene Daten: wie Name, Adresse, Geburtsdatum, Kontakt oder auch der Lebenslauf
    • besondere Kategorien (=sensible) personenbezogener Daten: ethnische Herkunft, Religionsbekenntnis, politische Meinung, Gewerkschaftszugehörigkeit, biometrische Daten, Gesundheitsdaten etc.
    • Daten über strafrechtliche Verurteilungen: Leumundszeugnis u. Ä. 

    Über welche Aspekte muss der Bewerber im Sinne der DSGVO informiert werden?

    • Name und Kontakt des für die Datenerhebung Verantwortlichen
    • evtl. Kontakt des Datenschutzbeauftragten
    • Verwendungszweck der personenbezogenen Daten
    • berechtigte Interessen des Verantwortlichen oder von Dritten
    • Empfänger der Bewerberdaten
    • ggf. Absicht der Datenübermittlung
    • Dauer der Datenspeicherung
    • Hinweis auf das Recht auf Auskunft, Berichtigung oder Löschung, Einschränkung der Verarbeitung oder Widerspruch, Datenübertragbarkeit
    • Vermerk, dass die Einwilligung jederzeit widerrufen werden kann
    • Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
    • Aufklärung, ob Datenbereitstellung gesetzlich oder vertraglich vorgeschrieben ist, inklusive der Folgen bei Nichtbereitstellung
    • Bestehen einer automatisierten Entscheidungsfindung, samt involvierter Logik und daraus resultierenden Auswirkungen

    Wie lange darf eine Bewerbung gespeichert bleiben?

    Um diese Frage zu beantworten, sei erneut auf den Grundsatz der Zweckbindung hingewiesen: Durch das Zusenden der Bewerbungsunterlagen stimmen die Kandidaten der Datenspeicherung zu. Allerdings dürfen die Daten nach Zweckerfüllung – also in der Regel sobald die ausgeschriebene Stelle besetzt ist – nicht mehr zugänglich sein. Es sei denn, der Bewerber möchte es und hat seine Zustimmung zur Evidenzhaltung gegeben.

    Ebenfalls wichtig: Ab dem Zeitpunkt des Löschbegehrens durch den Betroffenen sind alle Unterlagen unverzüglich zu löschen.

    Wissenswert

    Uns ist der verantwortungsbewusste Umgang mit sensiblen Daten enorm wichtig. Falls Sie die Entscheidung des EuGH bzgl. des Privacy Shield Abkommens im Juli 2020 verunsichert hat: Bei eRecruiter stellen wir sicher, dass alle Vorgaben erfüllt werden. Das bedeutet: Alle Daten werden verschlüsselt auf europäischen Servern gespeichert.

    Dürfen Bewerbungen intern weitergeleitet und Kandidatenprofile ausgedruckt werden?

    Ja, sofern der sogenannte Erlaubnistatbestand zur Verarbeitung personenbezogener Daten besteht. Die Weitergabe der Daten an Dritte ist zulässig, wenn diese unmittelbar ins Bewerbungsverfahren involviert sind – Beispiele wären die HR-Abteilung, Führungskräfte oder die Geschäftsleitung. Dies gilt immer unter der Voraussetzung der Erforderlichkeit, versteht sich, denn: Im Falle der Löschung sind wiederum alle Abteilungen betroffen, an welche die Bewerbungen weitergeleitet wurden.

    Der Einsatz eines digitalen Recruiting Tools erleichtert die Umsetzung der DSGVO enorm.

    3

    eRecruiter und die DSGVO

    In welcher Beziehung steht eRecruiter zur DSGVO? Kurzum: Unsere Software schafft die Rahmenbedingungen für das DSGVO-konforme Erfassen und Verarbeiten von Bewerberdaten. In weiterer Folge ist ihr Einsatz ressourcenschonend wie auch kostensparend und ermöglicht eine positive Candidate Journey. Unsere Kunden haben wir diesbezüglich bereits vor Inkrafttreten der Verordnung umfassend beraten. Dieser Meinung ist auch DI Alexander Dreßler, Chief Information Security Officer von epunkt: 

    „Die eRe­crui­ter GmbH hat uns im gesam­ten Pro­zess in Hin­blick auf das Inkraft­tre­ten der DSGVO unter­stützt. Wir wur­den lau­fend über aktu­el­le Maß­nah­men und die Mög­lich­kei­ten infor­miert. Ins­be­son­de­re die kos­ten­lo­se Check­lis­te zu Anpas­sun­gen und Ein­stel­lun­gen lie­fer­te uns gut struk­tu­rier­te Infor­ma­tio­nen im Implementierungsprozess. Vorrangig schät­zen wir aber natür­lich, dass eRe­crui­ter alle tech­ni­schen Vor­aus­set­zun­gen bie­tet, um im Recrui­t­ing den gesetz­li­chen Anfor­de­run­gen im Daten­schutz zu ent­spre­chen. Somit kön­nen wir auch wei­ter­hin einen sorg­sa­men und ver­ant­wor­tungs­be­wuss­ten Umgang mit per­so­nen­be­zo­ge­nen Daten anbieten.“

    Sie möchten wissen, wie unserer Recruiting-Software die Datenrechte der Kandidaten erfüllt? Dann sollten Sie unbedingt weiterlesen!

    4

    Noch mehr Datenschutz, bitte!

    Die Sensibilität für das Thema Datenschutz hat durch die DSGVO enorm zugenommen. Was dabei für Kunden von eRecruiter am herausforderndsten war, weiß unsere Datenschutzbeauftragte Claudia Riegler MSc:

    „Die größ­te Her­aus­for­de­rung für die Mehr­zahl unse­rer Kun­den war es, her­aus­zu­fin­den, ob sich Ein­schrän­kun­gen und Umstel­lun­gen durch die DSGVO in ihrem Arbeits­ab­lauf erge­ben, welche das sind und wie sie­ im Sys­tem abge­bil­det wer­den kön­nen.“

    Selbstverständlich haben auch wir uns, wenn auch von anderer Seite, diesen Herausforderungen gestellt. 

    Zu den aus der DSGVO resultierenden Maßnahmen gehörten:

    • Trennung der Datenschutzerklärung in eine Datenschutzinformation und eine Einwilligungserklärung
    • Kennzeichnung, welche Texte die Bewerber gelesen haben und welche akzeptiert oder widerrufen wurden
    • Erweiterungen an bestehenden Features: automatische Bewerberansprache per Mail, automatische Bewerber-Anonymisierung, die vom Kunden individuell gestaltet werden kann, Anpassungen im Bewerber- und Kundenportal
    • Erhöhung und laufende Anpassung der Sicherheitsstandards, um technisch und organisatorisch immer auf dem neuesten Stand zu sein

    Was bedeutet das nun konkret für die Arbeit mit unserer Recruiting-Software? Das verraten wir Ihnen gern! 

    eRecruiter tut so viel wie möglich dafür, dass Recruiter & HR Manager rechtlich auf der sicheren Seite bleiben.

    5

    Welche Datenrechte werden von eRecruiter wie erfüllt?

    • Recht auf Löschung bzw. Recht aufs „Vergessenwerden“: Unsere Recruiting-Software anonymisiert personenbezogene Bewerberdaten nach individuellen Anforderungen völlig automatisch.
    • Recht auf Berichtigung, Recht auf Auskunft/Einsichtnahme, Recht auf Datenübertragbarkeit: In der Self-Service-Zone verwalten und bearbeiten Bewerberinnen ihre Daten ganz einfach selbst.
    • Recht auf Information der Datenerhebung, Widerspruchsrecht, Recht auf Einschränkung der Datenverarbeitung: Durch die Trennung von Datenschutzinformation und Einwilligungserklärung ist es möglich, einen DSGVO-konformen Talent Pool aufzubauen.

    Weitere Pflichten in Bezug auf personenbezogene Daten, die unsere Recruiting-Software erfüllt:

    • Zweckbindung: Der Zweck der Verarbeitung bzw. Speicherung kann den Bewerbern klar vermittelt werden. 
    • Datenverarbeitung nach Rechtmäßigkeit, Treu und Glauben sowie Transparenz: Standardmäßig bietet unsere Software nur Felder zum Zweck des Recruiting.
    • Datenminimierung: Unsere Kunden können so nur die für das Recruiting wirklich notwendigen Daten sammeln und speichern.
    • Profiling: Kandidaten werden über automatisierte Datenverarbeitung in Kenntnis gesetzt. 
    • Wiederherstellung von Daten: Backups sowie redundante Auslegung ermöglichen die Wiederherstellung von Daten nach unvorhergesehenen oder unbeabsichtigten technischen sowie physischen Zwischenfällen.
    • Datenspeicherung innerhalb der EU: Wir hosten unsere Software bei unserem ISO-27001-zertifizierten Rechenzentrumspartner in Österreich.

    6

    Exkurs: DSGVO und Excel

    Excel und DSGVO? Ein Duo, das in den seltensten Fällen harmoniert. Die Zugriffsrechte einer Excel-Liste sind nicht geregelt – eine einzelne fehlgeleitete Mail reicht aus, um die Personenrechte unzähliger Bewerber zu verletzen. Mögliche Folgen dieser unsicheren Datenspeicherung: Neben empfindlichen Geldstrafen muss auch mit negativen Auswirkungen auf das Image als Arbeitgeber gerechnet werden. Beides gilt es unbedingt zu vermeiden!

    Es liegt in der Verantwortung jedes Personalers, sensible Personendaten geheim zu halten. Unsere Recruiting Software stellt sicher, dass alles rechtens vonstattengeht.

    Interessante Kandidaten in einen Talent Pool aufnehmen? Kein Problem, wenn die DSGVO berücksichtigt wird.

    7

    Was geschieht bei Verstößen gegen die DSGVO der EU?

    Wer gegen die DSGVO verstößt, wird zur Kasse gebeten, wobei die Vertretungsorgane des Unternehmens haften. Was bedeutet das konkret? Je nach Vergehen werden Geldbußen von bis zu 20.000.000 Euro oder bis zu vier Prozent des welt­weit erziel­ten Jah­res­um­sat­zes des ver­gan­ge­nen Geschäfts­jah­res verhängt.

    8

    Zu guter Letzt: Datenschutz bei der eRecruiter GmbH

    Für die eRecruiter GmbH basiert das Verhältnis zu Kunden und Nutzern auf einem tiefen wechselseitigen Vertrauen – und das nicht erst seit dem Inkrafttreten der DSGVO. Datenschutz war für uns bereits lange zuvor ein zentrales Thema. Es ist uns ein unmittelbares Anliegen, die Rechte und Freiheiten betreffend personenbezogene Daten zu verwirklichen und zu schützen. Dafür setzen wir alle nötigen technischen wie auch organisatorischen Sicherheits- und Schutzmaßnahmen.

    Fazit

    Seit Verkündung der Datenschutz-Grundverordnung am 25. Mai 2018 hat sich einiges getan, auch bei eRecruiter. Wir empfehlen Ihnen: Risikieren Sie nichts und sorgen Sie dafür, dass Sie rechtlich auf der sicheren Seite bleiben. Am einfachsten geht das mit einem digitalen Recruiting Tool.

    Haben Sie die DSGVO im Griff?

    Möchten Sie sicher sein, dass Ihre Recruiting Prozesse DSGVO-konform sind? eRecruiter macht das ganz unkompliziert möglich.
    Mehr erfahren

    * Um unsere Texte möglichst lesefreundlich zu gestalten, verzichten wir darin auf die gleichzeitige Verwendung von männlichen und weiblichen Sprachformen. Dennoch ist uns wichtig, dass sich alle von uns angesprochen fühlen. Daher verwenden wir die männliche und die weibliche Form im Wechsel. Damit sind immer alle anderen Formen gleichermaßen mitgemeint.

    Weiterlesen

    Case Study mit Synpulse

    Case Study mit Synpulse

    Unsere Kunden haben die besten Beraterinnen und Berater verdient. Da Beratungsqualität unmittelbar mit dem Ausbildungsniveau zusammenhängt, investieren wir in unser «Academy Program®»...
    Paul Kneidinger
    25. Januar 2017