Datenschutz im Bewerbungsverfahren: Was müssen Recruiter unbedingt beachten?

verfasst von zvoove, 04.09.2019
keyboard_arrow_left Zurück zur Übersicht

Striktes Datenschutzrecht in Deutschland 

Recruiter in den USA haben es leichter, wird der ein oder andere HR-Experte denken: Dort sind die Datenschutzregelungen längst nicht so strikt wie bei uns in Europa. Im US-amerikanischen Raum fehlen allgemeine Gesetzesgrundlagen wie die Datenschutz-Grundverordnung (EU-DSGVO) für Europa. In Übersee gelten vornehmlich Selbstverpflichtungen. Konflikte mit europäischem Recht sind jedoch nicht ausgeblieben, Beispiel Facebook: Der Konzern stand unter anderem in der Kritik, weil er die Passwörter von Millionen von Nutzern im Klartext gespeichert und sie damit für Mitarbeiter zugänglich gemacht hat. Für Facebook sind die Bußgelder bei gravierenden Verstößen – 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes (83 Abs. 5 DSGVO) – eher Peanuts. Für Unternehmen, die nicht zu den Fortune Global 500 gehören, können die Sanktionen durchaus existenzbedrohend werden. Als Verarbeiter personenbezogener Daten spielt Datenschutz für Recruiter eine wichtige Rolle, um DSGVO-konform zu agieren. Ein Großteil der Experten Im Human Resource Bereich nutzt heutzutage eine Bewerbermanagement-Software, um das Bewerbungsverfahren digital abzubilden. Was sollten Recruiter in puncto Bewerbermanagement und E-Recruiting datenschutzrechtlich beachten?

 

Die wichtigsten Pflichten im Überblick 

Entscheidend für Recruiter sind das neue Bundesdatenschutzgesetz (BDSG) – insbesondere § 26 – sowie die EU-DSGVO. Im Recruiting nutzen Personaler Bewerberdaten, um über ein Beschäftigungsverhältnis zu entscheiden oder es zu begründen. Die Datenverarbeitung erfolgt zweckgebunden, so dass Daten nicht auf Vorrat oder Verdacht gespeichert werden dürfen. Recruiter dürfen nur Daten erfassen, die benötigt werden, um die Eignung, Befähigung und Leistung des Kandidaten für einen Arbeitsplatz festzustellen. Dies muss für den Bewerber erkennbar sein.

  • Informationspflicht: Bei Erhebung personenbezogener Daten stehen Personaler unter einer Informationspflicht. Betroffene haben ein entsprechendes Auskunftsrecht (Art. 15 DSGVO). Das bedeutet, dass Recruiter ihre Bewerber z. B. über den Verarbeitungszweck und den Aufbewahrungszeitraum der Daten informieren müssen (Art. 13 Abs. 1 DSGVO). Um Zeit zu sparen, können sie die Informationen in einer automatischen Eingangsbestätigung platzieren. In einer entsprechenden Bewerbermanagement-Software finden Nutzer zum Beispiel konfigurierbare Vorlagen und können Eingangsbestätigungen automatisch versenden. Generell sollte über folgendes informiert werden:

  • Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten

  • Datenverarbeitungszweck

  • Datenempfänger

  • Dauer der Datenspeicherung

  • Betroffenenrechte

  • Widerrufsmöglichkeit der Einwilligung

Dies sollte in verständlicher und transparenter Form bzw. in einfacher Sprache erfolgen.

  • Datenschutzeinwilligung: Kandidaten müssen eine Einwilligung geben, dass ihre Daten für einen oder mehrere Zwecke verarbeitet werden (Art. 6 § 1a DSGVO). Sie haben das Recht, ihre Einwilligung jederzeit zu widerrufen. Einholen lässt sich die Datenschutzeinwilligung schnell per E-Recruiting-Software, wenn diese zum Beispiel eine spezielle Vorlage bietet. In prosoftrecruiting© ist die Einwilligung mit einem Klick per E-Mail-Link oder Online-Bewerbungsformular möglich. Recruiter können einsehen:

  • wann der Kandidat eingewilligt hat und bis wann die Einwilligung gilt (Löschfälligkeit) 

  • wofür der Kandidat eingewilligt hat 

  • in welchen Fällen eine Datenübertragung möglich ist 

 
Datenschutz im Bewerbungsverfahren: Was müssen Recruiter unbedingt beachten?

Quelle Foto: © prosoft

  • spezielle Einwilligung für Talentpool: Um Bewerberdaten für den Kandidatenpool zu speichern, ist eine Einwilligung erforderlich. Der Kandidat muss schriftlich einwilligen, dass er mit einer Datenverarbeitung und Kontaktaufnahme bei etwaigen Vakanzen einverstanden ist. Auch hier sollte er auf sein Recht auf Widerruf hingewiesen werden (z. B. für den Fall, dass er nicht mehr auf Stellensuche ist). Wegen der Zweckgebundenheit der Daten empfiehlt es sich, den Aufbewahrungsgrund festzuhalten (z. B. als Kommentar im Bewerbermanagement-System).

- klare Zuständigkeiten beachten: Im Bewerbungsprozess sind nur ausgewählte Personen dazu berechtigt, Bewerberdaten zu sichten. Der Arbeitgeber muss sicherstellen, dass die Daten nicht in die Hände unbefugter Dritter geraten. Für eine hohe Datensicherheit sollte die Software eine Passwortverschlüsselung und verschlüsselte Versendung von Dokumenten ermöglichen. Wer eine Cloud-Solution nutzt, sollte auf den Anbieter achten. Zu den sichersten Cloud-Lösungen weltweit gehört zum Beispiel die Microsoft Azure Cloud, die allerhöchsten Sicherheitsstandards verpflichtet ist. Wichtig für einen lückenlosen Schutz sind regelmäßige Updates.

  • Datenkorrektur: Kandidaten haben das Recht, fehlerhafte oder unvollständige Daten korrigiere zu lassen. Dieses Recht auf Berichtigung ist in Artikel 16 der Datenschutz-Grundverordnung verankert.

  • Löschpflicht: Nach Artikel 17 haben Personen, deren Daten verarbeitet werden, ein Recht auf Löschung – auch Recht auf Vergessenwerden. Daten dürfen prinzipiell nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Im Bewerbungsverfahren wäre der Löschzeitpunk somit mit der Stellenbesetzung erreicht. Im Sinne des Eigenschutzes kann es für Unternehmen sinnvoll sein, die Daten für ca. 2 Monate nach Ablehnung des Bewerbers aufzubewahren: Will ein Bewerber auf Verstoß gegen das AGG klagen, muss er seinen Anspruch im Regelfall innerhalb einer Frist von 2 Monaten nach der Ablehnung geltend machen (§ 15 Abs. 4 AGG). Danach bleiben ihm 3 Monate, um eine Klage zu erheben (§ 61b ArbGG). Für den ca. 5.-monatigen Zeitraum möglicher Klageerhebungen, kann das Unternehmen die Unterlagen als Beweismittel aufbewahren. Die Daten werden in dem Fall zur Abwehr von geltend gemachten Rechtsansprüchen aus dem Recruiting-Prozess verarbeitet. Im E-Recruiting ist es wichtig, dass die Bewerbermanagement-Software über ein entsprechendes Löschkonzept verfügt. prosoftrecruiting© zum Beispiel, zeigt eine Kandidatenübersicht mit all jenen Bewerbern, die binnen 14 Tagen zu löschen sind. Mithilfe von Filtern lassen sich rasch Sammellöschungen vornehmen. Die Löschaktivitäten werden im Löschprotokoll aufgezeichnet, was die Dokumentationspflicht unterstützt.

 

Fazit

Recruiter dürfen Bewerberdaten zweckgebunden verarbeiten, um über ein Beschäftigungsverhältnis zu entscheiden oder es zu begründen. Dabei sind verschiedene Anforderungen zu beachten, zum Beispiel, dass Daten nur für die Dauer der Zweckbindung verarbeitet und der Datenbestand minimal gehalten werden sollten. Bewerber müssen der Verarbeitung ihrer Daten vorab zustimmen. Mit Ende des Bewerbungsprozesses und unter Berücksichtigung der Aufbewahrungsfrist für AGG-bezogene Klagen sind die Daten zu löschen. Um einen Kandidaten im Bewerberpool zu halten, ist eine Einwilligung erforderlich.

Quelle Foto: © anyaberkut / Fotolia

 

Du besuchst zvoove.com mit dem Internet Explorer

Dieser Browser wird seit 2020 nicht mehr unterstützt. Das bedeutet, dass Dir einige Funktionen von zvoove.com nicht zur Verfügung stehen.

Damit du alle Funtionen von zvoove.com nutzen kannst, empfehlen wir, unsere Webseite mit einem aktuellen Browser wie Microsoft Edge, Mozilla Firefox oder Google Chrome zu besuchen.