DSGVO und Active Sourcing

Datenschutz und Active Sourcing – ist das nicht ein Widerspruch in sich? Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung in Österreich gültig. Was gilt es nun aufgrund der DSGVO im Active Sourcing zu beachten? Ich habe hier den Versuch unternommen, die wichtigsten Infos kompakt darzustellen und komme zu der Erkenntnis, dass die DSGVO dafür sorgen kann, dass im Recruiting (endlich) sorgsam mit Bewerbungen und Daten von potenziellen Mitarbeiter:innen umgegangen wird.

Hinweis: dieser Blogbeitrag wurde 2018 erstmalig veröffentlicht und 2023 aktualisiert.

Starten wir mit ein paar Grundlagen:

Personenbezogene Daten dürfen gem. Art. 6 DSGVO verarbeitet werden, wenn …

• die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat;
• die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen;
• die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt;
• die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
• die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
• die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

DSGVO und Recruiting

Welche für das Recruiting wesentlichen Rechte haben Bewerber:innen gemäß der Gesetzgebung?

• Die Datenübertragung muss über einen sicheren Kanal (SSL-Verbindung) laufen und es dürfen dabei keine Daten nach außen gelangen.
• Die Bewerber:innen müssen am Beginn des Bewerbungsprozesses über die Art und den Zweck der Verarbeitung/Speicherung ihrer Daten klar informiert werden (Zweckbindung). Dies kann entweder über eine Eingangsbestätigung, in der die Datenschutzerklärung klar kommuniziert wird, oder über Onlinebewerbungsportale, bei denen aktiv und freiwillig eine Zustimmung zur Datenschutzerklärung gegeben werden kann, erfolgen.
• Es dürfen nur jene Daten erhoben werden, die auch wirklich für den Bewerbungsprozess benötigt werden (Datenminimierung). Bewerber:innen haben zu jedem Zeitpunkt das Recht auf Löschung, Richtigstellung und Einsichtnahme/Auskunft ihrer Daten. Bewerber:innen können jederzeit alle Daten, die über die Person im Unternehmen gespeichert wurden, einfordern. Die Auskunft, Löschung oder Richtigstellung muss unverzüglich passieren, daher solltest du jederzeit wissen, wo sich die Daten befinden.
• Die Verarbeitung muss nach Rechtmäßigkeit, Treu und Glauben und Transparenz erfolgen. Die Daten müssen aktuell gehalten werden, die Beweislast liegt diesbezüglich beim Unternehmen. Daten dürfen nicht grundlos auf ewig gespeichert werden. Nach Ende des Bewerbungsprozesses müssen die Daten gelöscht werden, da der Zweck nicht mehr gegeben ist. Dabei ist allerdings zu beachten, dass nach dem Gleichbehandlungsgesetz ein Anspruch auf Schadensersatz durch die abgelehnte Bewerberin eingeklagt werden kann und dafür die Aufbewahrung der Unterlagen notwendig ist. Daher sollten die Daten (wie auch schon bisher) noch 6 Monate nach Ende der Bewerbungsphase gespeichert werden.
• Wenn Daten über diesen Zeitraum hinaus für mögliche weitere Positionen gespeichert werden sollen, dann muss eine Einwilligung der Bewerber:innen für diese längere und über den Zweck hinausgehende Speicherung erfolgen.
• Die Bewerber:innen müssen über das automatisierte Verarbeiten von Daten (Profiling) in Kenntnis gesetzt werden.

DSGVO und Active Sourcing

Die DSGVO bedeutet nicht das Ende von Active Sourcing Aktivitäten, denn nach Art. 6 Abs. 1 S. 1 f) DSGVO ist die Datenverarbeitung zulässig „wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“

Bei Active Sourcing sind zwei berechtigte Interessen gewahrt:

1. Das wirtschaftliche Interesse des Unternehmens, das ein berechtigtes Interesse hat, die ausgeschriebene Stelle mit den bestmöglichen Kandidatinnen zu besetzen.
2. Die der potenziellen Kandidat:innen, die das berechtigte Interesse haben, die bestmöglichen Jobangebote zu bekommen. Durch die Anmeldung auf Berufsplattformen, wie XING und LinkedIn, zeigen die Kandidat:innen, dass sie solche Jobs angeboten bekommen möchte und von Unternehmen kontaktiert werden können.

An der grundsätzlichen Zulässigkeit einer Verarbeitung von im Internet öffentlich gemachten Daten potenzieller Kandidat:innen zu Sourcing-Zwecken ändert sich also nichts gravierend. Auf Facebook & anderen privaten Sozialen Netzwerken, ist eine direkte Ansprache nicht erlaubt. Unternehmen, die Active Sourcing oder Direktansprachen betreiben, müssen darüber informieren, am besten über die Datenschutzerklärung auf ihrer Website. Außerdem sind die Nutzungsbedingungen der einzelnen Plattformen zu beachten. Warum Active Sourcing und Direktansprache zwei unterschiedliche Themen sind, erläutere ich im Video „Was bedeutet Active Sourcing? Bitte nicht mit Direktansprache verwechseln!“ auf Recruiting TV.

Ob Active Sourcing eine Maßnahme ist, die für dein Unternehmen sinnvoll ist, habe ich in diesem Blogbeitrag beschrieben. Wenn du noch tiefer eintauchen möchtest, dann sichere dir am besten Zugang zu meinem Onlinekurs „Active Sourcing von A – Z“.

DSGVO und Initiativbewerbungen

Daten von Bewerber:innen sollten nur für die ausgeschriebene Stelle gespeichert werden und darüber hinaus nur mit freiwilliger Einwilligung. Initiativbewerbungen verfolgen einen anderen Zweck – es geht nicht um eine spezifische Stelle, hier sind deutlich längere Aufbewahrungsfristen (bis zu 3 Jahre) möglich. Daten von abgelehnten BeBwerber:innen sollten ebenfalls bis 6 Monate nach der Absage gespeichert werden. Wie du einen guten Pool an potenziellen Kandidat:innen aufbaust habe ich in diesem Blogbeitrag über Talent Relationship Management beschrieben.

DSGVO und Eignungstests

Beim Einsatz von Eignungstests im Recruitingverfahren sind einige Punkte zu beachten, da man in diesem Fall hoch sensible personenbezogene Daten einer Person sammelt.
Zwischen dem Testanbieter und dem Unternehmen muss eine Auftragsverarbeitungsvereinbarung abgeschlossen werden. Damit wird ein Vertrag geschlossen, der die Rechte und Pflichten des Testanbieters und des Unternehmens in Zusammenhang mit der Verarbeitung personenbezogener Daten regelt. Solche Vereinbarungen sind recht komplex, seriöse Anbieter:innen sollten sich allerdings schon lange mit dem Thema Datenschutz auseinandersetzen und solche Vereinbarungen parat haben. Verlang daher von deinemTestanbieter, dir die entsprechenden Dokumente zu zeigen und prüfe, ob alle relevanten Bestandteile im Vertrag zu finden sind.

Beim Einsatz von Eignungstests ist außerdem wichtig auch die Kandidat:innen mit einzubeziehen. Es ist zu empfehlen, zu Beginn des Bewerbungsprozesses bei der allgemeinen Aufklärung über den Datenschutz bereits über den Einsatz eines Eignungstests zu informieren. Zusätzlich sollte die Datenschutzerklärung auch direkt im Rahmen der Testvorgabe integriert werden und noch einmal dezidiert über die Verarbeitung der Daten im Zuge des Tests informiert werden.

DSGVO und Personaldienstleistung

Auf was muss ich achten, wenn ich eine Personaldienstleistung engagiere?
Bei der Beauftragung gibst du Daten an Dritte weiter bzw. erhältst Daten von Dritten. Du musst also eine Auftragsverarbeitungsvereinbarung zwischen dir und der Personaldienstleistung abschließen. Achte darauf (soweit möglich), dass dein Partnerunternehmen seriös und verantwortungsvoll mit den Daten von Kandidat:innen umgeht.

DSGVO und die Personalakte

Wird jemand eingestellt, werden die Bewerbungsunterlagen in der Regel Teil der Personalakte. Die Daten dürfen aber nicht pauschal in die Akte wandern, sondern nur in dem Umfang, der erforderlich ist, um das Beschäftigungsverhältnis durchzuführen. Die restlichen Daten des Auswahlverfahrens sind – wieder unter Beachtung des Allgemeinen Gleichbehandlungsgesetzes (AGG) – zu löschen.

DSGVO und Profiling

Ein nochmals deutlich höheres Schutzniveau gilt für personenbezogene Daten, wenn diese benutzt werden, „um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.

Bei dem sogenannten Profiling, das in Art. 4 Nr. 4 DSGVO definiert ist, müssen die Betroffenen umfassend über die angestrebten Auswirkungen und die Tragweite des Verfahrens informiert werden. Zusätzlich müssen weitergehende Informationen, etwa zu den verwenden Analyse-Algorithmen bereitgestellt werden. Werden im Rahmen von Bewerbungsverfahren solche Daten zu Profiling-Zwecken erhoben, gelten diese erweiterten Informationspflichten und es muss vor der Verarbeitung die Zustimmung eingeholt werden.

DSGVO und Social Media

Anbieter wie Google aber auch Facebook, Instagram und Co haben ihre Datenschutzrichtlinien in Europa entsprechend angepasst. Für Unternehmen ist zu beachten, dass beispielsweise die Nutzung von Cloudlösungen eine Auftragsverarbeitung darstellt und dementsprechend eine Vereinbarung zwischen dem Unternehmen und dem Auftragsverarbeiter vorliegen muss.

Bei der Verwendung von Whats-App und Co. sollten Unternehmen sich speziell mit dem Thema befassen, da es sich dabei um eine Datenweitergabe ins EU-Ausland handelt. Darauf muss spezifisch in den Datenschutzerklärungen hingewiesen werden.

Bei der Veröffentlichung von Fotos auf Social Media müssen die abgebildeten Personen ihre Einwilligung für die Veröffentlichung geben.

Über die Einbindung von Social Media-Plug-Ins und Tracking-Tools, wie Google-Analytics, auf der Website muss dein Unternehmen in der Datenschutzerklärung informieren.

Achtung: nicht alles was technisch möglich ist, ist auch erlaubt. Einen Überblick über 7 kostenfreie Tools, die du im Active Sourcing verwenden kannst, habe ich deshalb für dich zusammengestellt.

DSGVO als Chance

Die DSGVO fordert Personalverantwortliche auf, verantwortungsvoller mit den Daten von Mitarbeiter:innen, aber eben auch Bewerber:innen umzugehen. Die leichtfertige Weitergabe von Daten ist illegal. Die DSGVO zwingt die Beteiligten, im Recruitingprozess sorgsam mit Daten umzugehen.

Wir können die DSGVO also nutzen, um eine notwendige Verschlankung von Prozesses und das Hinterfragen bestehender Abläufe voranzutreiben. Verstaubte Evidenzdatenbanken werden entrümpelt und damit wieder auf den aktuellsten Stand gebracht. Veraltete und nicht aktuelle Informationen nützen dir im Recruiting ja ohnehin nichts. Ein weiterer wichtiger Vorteil der gesetzlichen Verschärfung ist, dass man sich aktiv mit dem Thema auseinandersetzen muss und damit einen Überblick bekommt, welche Daten man im Unternehmen verarbeitet.

Für Unternehmen aber auch Personalberatungen ist es eine Chance, Prozesse transparent für die Kandidat:innen zu gestalten und damit das Vertrauen und Image zu stärken. In Zeiten von Arbeitskräftemangel wird diese Transparenz von den Bewerber:innen sicher geschätzt. Das Unternehmensimage nach schlechter Publicity auf Grund von Datenmissbrauch wieder geradezurücken bedeutet deutlich mehr Aufwand, als sich mit einer transparenten und vernünftigen Datenverarbeitung auseinanderzusetzen.

Also sehen wir die DSGVO nicht nur als lästige und arbeitsintensive (was sie ohne Zweifel ist) Plage sondern auch als Chance, uns positiv von unseren Mitbewerber:innen am Arbeitsmarkt abzuheben und das indem wir schlicht und einfach das tun, wozu wir sowieso gesetzlich verpflichtet sind.

Sicher ist sicher: ich habe recherchiert und die Informationen nach bestem Wissen und Gewissen aufbereitet, bin aber keine – daher alle Angaben ohne Gewähr.

Achte auf den Datenschutz, dann wird Recruiting und Active Sourcing für dich wieder einfach.

Herzliche Grüße
Claudia 

P.S.: Hol dir jetzt das PDF „Vermeide die fünf häufigsten Fehler im Active Sourcing“ und starte mit wertvollen Tipps und Tricks.

Quellen:
https://diercks-digital-recht.de/category/eu-dsgvo/
https://personalmarketing2null.de/2018/01/dsgvo-recruiting-active-sourcing/
https://prescreen.io/de/dsgvo-und-recruiting-rechte-und-pflichten-fuer-recruiter-und-bewerber/
http://www.futureofwork.co.at/dsgvo-modernes-recruiting-wie-laesst-sich-das-vereinbaren/
https://arbeitgeber.monster.de/hr/personal-tipps/personalmanagement/arbeitsrecht/datenschutz-umgang-mit-bewerberdaten.aspx
https://www.karriere.at/blog/datenschutz-grundverordnung.html
https://www.datenschutz-praxis.de/fachartikel/umgang-mit-bewerberdaten-datenschutzkonformes-e-recruiting/
https://www.haufe.de/compliance/recht-politik/auswirkung-der-datenschutzgrundverordnung-auf-personalrecruiting_230132_427484.htm
https://blog.recrutainment.de/2018/01/31/datenschutz-was-bedeutet-die-dsgvo-fuer-den-einsatz-von-online-auswahltests-im-recruiting/
https://arbeitgeber.careerbuilder.de/blog/dsgvo-datenschutzerklaerung-recruiting-active-sourcing
https://www.facebook.com/business/gdpr
https://privacy.google.com/intl/de/
https://derstandard.at/2000072014541/Neue-Datenschutzgrundverordnung-Vorteile-fuer-Bewerber
https://www.compliance-manager.net/fachartikel/die-eu-dsgvo-als-chance-nutzen-789518152