Active Sourcing und DSGVO: Datenschutz-Leitfaden

verfasst von zvoove, 06.11.2019
keyboard_arrow_left Zurück zur Übersicht

Datenverarbeitung im Active Sourcing 

Im Active Sourcing verarbeiten Recruiter personenbezogene Daten. Darunter fallen alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen (Art. 4 Abs. 1 DSGVO; § 46 Abs. 1 BDSG). Eine Person lässt sich durch eine Reihe von Merkmalen identifizieren, z. B. durch ihren Namen, ihr Geburtsdatum, ihre Adresse, ihre Standortdaten, ihre Online-Kennung oder IP-Adresse. Im Active Sourcing (z. B. über XING) werden im Regelfall personenbezogene Daten verarbeitet. Ein HR-Mitarbeiter kontaktiert einen Kandidaten telefonisch oder per E-Mail. Die Daten geeigneter Talente werden erfasst, geordnet und im Talentpool gespeichert. Dadurch können Recruiter bei Vakanzen flexibel auf Kandidaten zugehen. Vielleicht nutzt der Recruiter ein Parsing-Tool, das Daten automatisch in eine Recruiting-Software überträgt. Ein Parser liest z. B. XING-Profildaten aus und transferiert sie in die Software. Stellt sich heraus, dass Daten fehlerhaft oder unvollständig sind, werden diese korrigiert und ergänzt. Zur Auswahl passender Talente gleicht der Recruiter die Kandidatenprofile miteinander ab. Hat er einen geeigneten Kandidaten ausgewählt, übermittelt er das Profil an Kollegen oder Kunden. Nicht mehr gebrauchte Informationen werden gelöscht.

All diese Vorgänge fallen unter den Begriff der Datenverarbeitung und sind datenschutzrechtlich relevant. Wann verarbeiten Personaler personenbezogene Daten? Ein kurzer Überblick:

  • Erheben und Erfassen
  • Organisation und Ordnung:
  • Speicherung
  • Anpassung oder Veränderung
  • Auslesen
  • Abfragen
  • Verwendung
  • Übermittlung
  • Bereitstellen
  • Abgleichen
  • Verknüpfen
  • Einschränken
  • Löschen

Was genau unter den Begriff Datenverarbeitung fällt, wird in der EU-Datenschutzgrundverordnung konkretisiert (Art. 4 Abs. 2 DSGVO).

Profiling 

Explizit in Art. 4 Abs. 4 DSGVO aufgeführt ist der Punkt Profiling. Darunter ist eine automatisierte Verarbeitung von Daten zu verstehen, die darauf abzielt, persönliche Aspekte eines Kandidaten zu bewerten. Eine solche Bewertung findet bspw. bei einem automatischen Bewerbermatching statt. Ein Matching-Algorithmus vergleicht Kandidatenprofile mit Stellenanforderungen und erstellt ein Ranking. Dieses zeigt an, wie sehr das Profil in einzelnen Aspekten zu der Stelle passt (z. B. Gehaltswunsch, Skills, Mobilität).

Infos zum EU-DSGVO: Ein Kurzüberblick

Die EU-Datenschutzgrundverordnung ist im Frühjahr 2016 in Kraft getreten. Sie betrifft alle geschäftsmäßigen Verarbeiter personenbezogener Daten der EU-Mitgliedsstaaten. In einer Übergangsfrist bis zum 25.Mai 2018 hatten Datenverarbeiter Zeit, die Verordnung umzusetzen. Die DSGVO ersetzt die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) aus dem Jahr 1995. Durch die Verordnung soll das Datenschutzrecht europaweit vereinheitlicht werden. Datenverarbeiter müssen die geforderten Mindeststandards erfüllen. Bei Verstößen drohen ihnen Sanktionen, z.B. Geldbußen bis zu 20 Millionen Euro oder 4% des weltweit erwirtschafteten Jahresumsatzes. Folgendes müssen Datenverarbeiter beachten:

  • datenschutzrechtliche Grundprinzipien aus Art. 5 DSGVO: Rechtmäßigkeit der Datenverarbeitung, Zweckbindung der Daten, Datenminimierung, Richtigkeit der Daten, Speicherbegrenzung, Integrität und Vertraulichkeit.
  • Rechte betroffener Personen: u.a. Informationsrecht Art.13 DSGVO, Auskunftsrecht in Art. 15 DSGVO, Recht aus Berichtigung in Art. 16 DSGVO, Recht auf Löschung in Art. 17 DSGVO, Recht auf Einschränkung der Verarbeitung in Art. 18 DSGVO, Recht auf Datenübertragbarkeit in Art 20 DSGVO, Widerspruchsrecht in Art. 21 DSGVO, Beschwerderecht in Art. 77 DSGVO.

Datenschutz im Active Sourcing 

Grundsätzlich ist die Direktansprache von Kandidaten unter der DSGVO möglich. Art. 6 Abs. 1 DSGVO spezifiziert, wann eine Datenverarbeitung rechtmäßig ist. Dies ist z. B. der Fall, wenn die Verarbeitung der Wahrung berechtigter Interessen dient. Laut Erwägungsgrund 47 lassen sich hierunter auch wirtschaftliche Interessen verstehen. Ein Recruiter hat ein Interesse an der Personalrekrutierung, um das Unternehmenswachstum voranzutreiben. Ein Kandidat kann daran interessiert sein, bei Vakanzen benachrichtigt zu werden. Dies gilt insbesondere, wenn Recruiter öffentliche Profile mir berufsrelevanten Informationen als Recherchequelle nutzen (z. B. in Karrierenetzwerken). Mit freizeitorientierten Netzwerken sollten Recruiter vorsichtig umgehen.

Wichtig ist, dass nach dem Erstkontakt mit der Zielperson eine Einwilligungserklärung folgt. Der Kandidat muss einwilligen, dass er mit der Verarbeitung seiner Daten für einen genannten Zweck einverstanden ist. Dies gilt auch, wenn ein Kandidat in den Talentpool aufgenommen werden soll. Der Prozess der Einwilligung sollte dokumentiert werden. Aufgrund des Sparsamkeitsprinzips sollten nur die Daten verarbeitet werden, die tatsächlich benötigt werden. Außerdem ist der Kandidat über die Datenverarbeitung zu informieren (Art. 14 DSGVO). Darunter u. a.:

  • Zwecke der Datenverarbeitung
  • Datenquellen
  • Speicherdauer
  • Bestehen eines Auskunfts- und Beschwerderechts

(Ausnahmen in puncto Informationspflicht werden in Erwägungsgrund 62 besprochen).

Der Kandidat muss außerdem die Möglichkeit haben, seine Zustimmung zurückzunehmen (Widerrufsrecht). Sollte er eine Dateneinsicht fordern, muss das Unternehmen die Daten zur Verfügung stellen können. Für den Fall, dass Daten nicht mehr benötigt werden, müssen sie gelöscht werden. Es empfiehlt sich, ein Löschsystem zu etablieren, um alle Daten rechtzeitig zu entfernen. Damit Recruiter die Löschung nachweisen können, sollte der Löschprozess dokumentiert werden.

 
Active Sourcing und DSGVO: Datenschutz-Leitfaden

Quelle: © prosoft

Manche Arbeitgeber haben Mitarbeiterempfehlungsprogramme (MEP) etabliert. Die eigenen Mitarbeiter fungieren als Unternehmensbotschafter, indem sie Bekannte anwerben. Existiert ein Prämiensystem, erhalten sie für erfolgreiche Anwerbung z. B. eine Prämie. Nutzen Recruiter eine Software mit Empfehlungsfunktion, werden darin auch Mitarbeiterdaten verarbeitet. Demnach sind ihre personenbezogenen Daten zu schützen. Recruiter müssen eine Einwilligung der Mitarbeiter einholen und sie über die Datenverarbeitung informieren. Einige MEP-Softwareangebote erhalten umfangreiche Trackingoptionen. Sie tracken zum Beispiel, welcher Mitarbeiter eine Stelle wie oft geteilt hat. Solche Trackingmethoden sind mit Vorsicht zu genießen. Recruiter sollten sich informieren, in welchem Maße ein Tracking datenschutzrechtlich zulässig ist. Außerdem ist bei Einführung eines solchen Tools der Betriebsrat einzubeziehen (§ 87 Abs. 1 Nr. 6 BtrVG).

Generell gilt: Arbeitgeber sollten vor Einführung einer Recruiting-Software prüfen, ob diese datenschutzkonform ist bzw. Compliance-Kriterien genügt.

 

Checkliste für das Active Sourcing

  • Recruiter nutzen berufsrelevante Recherchequellen (z. B. Karrierenetzwerke mit öffentlichen Profilen wie XING, LinkedIn oder eine Lebenslauf-Datenbank).
  • Die Daten werden für einen determinierten Zweck erhoben.
  • Die Datenverarbeitung dient dem berechtigten Interesse von Recruiter und Kandidat.
  • Nach dem Erstkontakt erfolgt eine Einwilligung durch den Kandidaten. Das gilt auch bei Aufnahme in den Talentpool oder Integration von Mitarbeitern in MEP.
  • Der Kandidat wird über die Datenverarbeitung und deren Zweck informiert.
  • Er kann eine Einsicht in seine Daten verlangen. Das Unternehmen muss diese also bereitstellen können. Sämtliche Interaktionen mit dem Kandidaten sollten dokumentiert werden.
  • Bei Bedarf muss das Unternehmen Daten ändern oder korrigieren können.
  • Der Recruiter beachtet die datenschutzrechtlichen Grundprinzipien aus Art. 5 DSGVO.
  • Er erfüllt die Rechte Betroffener, z. B. Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung.
  • Nicht mehr benötigte Daten werden** systematisch gelöscht**. Der Löschvorgang wird dokumentiert.
  • Plant das Unternehmen die Einführung einer Software zur Leistungs- und Verhaltensüberwachung, ist der **Betriebsrat **zu konsultieren.

 

Fazit

Das Active Sourcing ist auch unter der EU-DSGVO zulässig, sofern die Datenverarbeitung berechtigten Interessen dient (Art. 6 Abs. 1 Buchstabe f DSGVO). Dies gilt insbesondere, wenn Recruiter öffentliche Profile in Karrierenetzwerken als Recherchequelle nutzen. Nach dem Erstkontakt sollte eine aktive Einwilligung des Kandidaten zur Datenverarbeitung erfolgen. Außerdem sind die datenschutzrechtlichen Grundprinzipien in Art. 5 DSGVO und Betroffenenrechte einzuhalten.

Quelle Foto: © dima_sidelnikov / Fotolia

 

Du besuchst zvoove.com mit dem Internet Explorer

Dieser Browser wird seit 2020 nicht mehr unterstützt. Das bedeutet, dass Dir einige Funktionen von zvoove.com nicht zur Verfügung stehen.

Damit du alle Funtionen von zvoove.com nutzen kannst, empfehlen wir, unsere Webseite mit einem aktuellen Browser wie Microsoft Edge, Mozilla Firefox oder Google Chrome zu besuchen.