In einem Monat ist es soweit, die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 auch in Österreich gültig. Was gilt es nun aufgrund der DSGVO im Recruiting und Employer Branding zu beachten? Ich habe hier den Versuch unternommen, die wichtigsten Infos kompakt darzustellen und komme zu der Erkenntnis, dass die DSGVO dafür sorgen kann, dass in der Personalbeschaffung (endlich) sorgsam mit Bewerbungen umgegangen wird.
Personenbezogene Daten dürfen gem. Art. 6 DSGVO verarbeitet werden, wenn
- die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat;
- die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt;
- die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
DSGVO und Recruiting
Welche für das Recruiting wesentlichen Rechte haben Bewerberinnen gemäß der neuen Gesetzgebung?
- Die Datenübertragung muss über einen sicheren Kanal (SSL-Verbindung) laufen und es dürfen dabei keine Daten nach außen gelangen.
- Die Bewerberinnen müssen am Beginn des Bewerbungsprozesses über die Art und den Zweck der Verarbeitung/Speicherung ihrer Daten klar informiert werden (Zweckbindung). Dies kann entweder über eine Eingangsbestätigung, in der die Datenschutzerklärung klar kommuniziert wird, oder über Onlinebewerbungsportale, bei denen aktiv und freiwillig eine Zustimmung zur Datenschutzerklärung gegeben werden kann, erfolgen.
- Es dürfen nur jene Daten erhoben werden, die auch wirklich für den Bewerbungsprozess benötigt werden (Datenminimierung).
Bewerberinnen haben zu jedem Zeitpunkt das Recht auf Löschung, Richtigstellung und Einsichtnahme/Auskunft ihrer Daten. Bewerberinnen können jederzeit alle Daten, die über die Person im Unternehmen gespeichert wurden, einfordern. Die Auskunft, Löschung oder Richtigstellung muss unverzüglich passieren, daher sollten Sie jederzeit wissen, wo sich die Daten Ihrer Bewerberinnen befinden. - Die Verarbeitung muss nach Rechtmäßigkeit, Treu und Glauben und Transparenz erfolgen. Die Daten müssen aktuell gehalten werden, die Beweislast liegt diesbezüglich beim Unternehmen.
Daten dürfen nicht grundlos auf ewig gespeichert werden. Nach Ende des Bewerbungsprozesses müssen die Daten gelöscht werden, da der Zweck nicht mehr gegeben ist. Dabei ist allerdings zu beachten, dass nach dem Gleichbehandlungsgesetz ein Anspruch auf Schadensersatz durch die abgelehnte Bewerberin eingeklagt werden kann und dafür die Aufbewahrung der Unterlagen notwendig ist. Daher sollten die Daten (wie auch schon bisher) noch 3 bis 6 Monate nach Ende der Bewerbungsphase gespeichert werden. - Wenn Daten über diesen Zeitraum hinaus für mögliche weitere Positionen gespeichert werden sollen, dann muss eine Einwilligung der Bewerberin für diese längere und über den Zweck hinausgehende Speicherung erfolgen.
- Die Bewerberinnen müssen über das automatisierte Verarbeiten von Daten (Profiling) in Kenntnis gesetzt werden.
DSGVO und Active Sourcing
Die DSGVO bedeutet nicht das Ende von Active Sourcing Aktivitäten, denn nach Art. 6 Abs. 1 S. 1 f) DSGVO ist die Datenverarbeitung zulässig „wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“
Bei Active Sourcing sind zwei berechtigte Interessen gewahrt:
- Das wirtschaftliche Interesse des Unternehmens, das ein berechtigtes Interesse hat, die ausgeschriebene Stelle mit den bestmöglichen Kandidatinnen zu besetzen.
- Die der potentiellen Kandidatin, die das berechtigte Interesse hat, die bestmöglichen Jobangebote zu bekommen. Durch die Anmeldung auf Berufsplattformen, wie XING und LinkedIn, zeigt die Kandidatin, dass sie solche Jobs angeboten bekommen möchte und von Unternehmen kontaktiert werden kann.
An der grundsätzlichen Zulässigkeit einer Verarbeitung von im Internet öffentlich gemachten Daten eines potentiellen Kandidaten zu Sourcing-Zwecken ändert sich also nichts gravierend. Auf Facebook & anderen privaten Sozialen Netzwerken, ist eine direkte Ansprache nicht erlaubt. Unternehmen, die Active Sourcing oder Direktansprachen betreiben, müssen darüber informieren, am besten über die Datenschutzerklärung auf ihrer Website. Außerdem sind die Nutzungsbedingungen der einzelnen Plattformen zu beachten.
DSGVO und Initiativbewerbungen
Daten von Bewerberinnen sollten nur für die ausgeschriebene Stelle gespeichert werden und darüber hinaus nur mit freiwilliger Einwilligung der Kandidatin. Initiativbewerbungen verfolgen einen anderen Zweck – es geht nicht um eine spezifische Stelle, hier sind deutlich längere Aufbewahrungsfristen (bis zu 3 Jahre) möglich. Daten von abgelehnten Bewerberinnen sollten ebenfalls bis 6 Monate nach der Absage gespeichert werden.
DSGVO und Eignungstests
Beim Einsatz von Eignungstests im Recruitingverfahren sind einige Punkte zu beachten, da man in diesem Fall hoch sensible personenbezogene Daten einer Person sammelt.
Zwischen dem Testanbieter und dem Unternehmen muss eine Auftragsverarbeitungsvereinbarung abgeschlossen werden. Damit wird ein Vertrag geschlossen, der die Rechte und Pflichten des Testanbieters und des Unternehmens in Zusammenhang mit der Verarbeitung personenbezogener Daten regelt. Solche Vereinbarungen sind recht komplex, seriöse Anbieter sollten sich allerdings schon lange mit dem Thema Datenschutz auseinandersetzen und solche Vereinbarungen parat haben. Verlangt daher von eurem Testanbieter, euch die entsprechenden Dokumente zu zeigen und prüft, ob alle relevanten Bestandteile im Vertrag zu finden sind.
Beim Einsatz von Eignungstests ist außerdem wichtig auch die Kandidatinnen miteinzubeziehen. Es ist zu empfehlen, zu Beginn des Bewerbungsprozesses bei der allgemeinen Aufklärung über den Datenschutz bereits über den Einsatz eines Eignungstests zu informieren. Zusätzlich sollte die Datenschutzerklärung auch direkt im Rahmen der Testvorgabe integriert werden und noch einmal dezidiert über die Verarbeitung der Daten im Zuge des Tests informiert werden.
DSGVO und Personaldienstleistung
Auf was muss ich achten, wenn ich Personaldienstleister engagiere?
Wenn Sie einen Personaldienstleister beauftragen, geben Sie damit Daten an Dritte weiter bzw. erhalten Sie Daten von Dritten. Sie müssen also eine Auftragsverarbeitungsvereinbarung zwischen Ihnen und dem Personaldienstleister abschließen. Achten Sie darauf (soweit möglich), dass der Personaldienstleister seriös und verantwortungsvoll mit den Daten der Kandidatinnen umgeht.
DSGVO und die Personalakte
Wird eine Bewerberin eingestellt, werden die Bewerbungsunterlagen in der Regel Teil der Personalakte. Die Daten dürfen aber nicht pauschal in die Akte wandern, sondern nur in dem Umfang, der erforderlich ist, um das Beschäftigungsverhältnis durchzuführen. Die restlichen Daten des Auswahlverfahrens sind – wieder unter Beachtung des Allgemeinen Gleichbehandlungsgesetzes (AGG) – zu löschen oder der Bewerberin zurückzugeben.
DSGVO und Profiling
Ein nochmals deutlich höheres Schutzniveau gilt für personenbezogene Daten, wenn diese benutzt werden, „um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.
Bei dem sogenannten Profiling, das in Art. 4 Nr. 4 DSGVO definiert ist, müssen die Betroffenen umfassend über die angestrebten Auswirkungen und die Tragweite des Verfahrens informiert werden. Zusätzlich müssen weitergehende Informationen, etwa zu den verwenden Analyse-Algorithmen bereitgestellt werden. Werden im Rahmen von Bewerbungsverfahren solche Daten zu Profiling-Zwecken erhoben, gelten künftig diese erweiterten Informationspflichten und es muss vor der Verarbeitung die Zustimmung eingeholt werden.
DSGVO und Social Media
IT-Anbieter wie Google und Facebook haben sich bereits auf die DSGVO in Europa vorbereitet und ihre Datenschutzrichtlinien angepasst. Für Unternehmen ist zu beachten, dass beispielsweise die Nutzung von Cloudlösungen eine Auftragsverarbeitung darstellt und dementsprechend eine Vereinbarung zwischen dem Unternehmen und dem Auftragsverarbeiter vorliegen muss.
Bei der Verwendung von Whats-App und Co. sollten Unternehmen sich speziell mit dem Thema befassen, da es sich dabei um eine Datenweitergabe ins EU-Ausland handelt. Darauf muss spezifisch in den Datenschutzerklärungen hingewiesen werden.
Bei der Veröffentlichung von Fotos auf Sozialen Netzwerken, wie Facebook, müssen die abgebildeten Personen ihre Einwilligung für die Veröffentlichung geben.
Über die Einbindung von Social Media-Plug-Ins und Tracking-Tools, wie Google-Analytics, auf der Website müssen Sie als Unternehmen in Ihrer Datenschutzerklärung informieren.
DSGVO als Chance
Die DSGVO fordert Personalverantwortliche auf, verantwortungsvoller mit den Daten von Mitarbeiterinnen, aber eben auch Bewerberinnen umzugehen. Die leichtfertige Weitergabe von Daten von Bewerberinnen ist mit Eintreten der Datenschutzgrundverordnung illegal. Die DSGVO zwingt die Beteiligten, im Recruitingprozess sorgsam mit Daten umzugehen.
Wir können die DSGVO also nutzen, um eine notwendige Verschlankung von Prozesses und das Hinterfragen bestehender Abläufe voranzutreiben. Verstaubte Evidenzdatenbanken werden entrümpelt und damit wieder auf den aktuellsten Stand gebracht. Veraltete und nicht aktuelle Informationen nützen Ihnen im Recruiting ja ohnehin nichts. Ein weiterer wichtiger Vorteil der gesetzlichen Verschärfung ist, dass man sich aktiv mit dem Thema auseinandersetzen muss und damit einen Überblick bekommt, welche Daten man in seinem Unternehmen verarbeitet.
Für Unternehmen aber auch Personalberatungen ist es eine Chance, Prozesse transparent für die Kandidatinnen zu gestalten und damit das Vertrauen und Image ihres Unternehmens zu stärken. Die DSGO zahlt sich somit hinsichtlich dem Employer Branding und dem Recruiting inkl. Active Sourcing sicher aus. In Zeiten von Fachkräftemangel & Co wird diese Transparenz von den Bewerberinnen eingefordert. Das Unternehmensimage nach schlechter Publicity auf Grund von Datenmissbrauch wieder geradezurücken bedeutet deutlich mehr Aufwand, als sich mit einer transparenten und vernünftigen Datenverarbeitung auseinanderzusetzen.
Also sehen wir die DSGVO nicht nur als lästige und arbeitsintensive (was sie ohne Zweifel ist) Plage sondern auch als Chance, uns positiv von unseren Mitbewerbern im Recruiting und Employer Branding abzuheben und das indem wir schlicht und einfach das tun, wozu wir sowieso gesetzlich verpflichtet sind.
Dieser Blogbeitrag ist unter Mitwirkung von Michaela Stoiser, einer HR Einsteigerin, entstanden. Sicher ist sicher: wir haben recherchiert und die Informationen nach bestem Wissen und Gewissen aufbereitet, sind aber beide keine Juristinnen – daher alle Angaben ohne Gewähr ;-).
Herzliche Grüße
Claudia & Michaela
PS: Sie möchten keinen Blogbeitrag verpassen? Newsletter abonnieren, Recruiting-Insider werden und 1 x monatlich alle Beiträge (und mehr) gesammelt direkt ins Postfach erhalten; oder per RSS Feed und Social Media am Laufenden bleiben – damit Recruiting wieder einfach wird.
Quellen:
https://diercks-digital-recht.de/category/eu-dsgvo/
https://www.erecruiter.net/2017/11/20/eu-dsgvo-recruiting/
https://personalmarketing2null.de/2018/01/dsgvo-recruiting-active-sourcing/
https://prescreen.io/de/dsgvo-und-recruiting-rechte-und-pflichten-fuer-recruiter-und-bewerber/
http://www.futureofwork.co.at/dsgvo-modernes-recruiting-wie-laesst-sich-das-vereinbaren/
https://prescreen.io/de/dsgvo-recruiting-fragen-antworten/
https://arbeitgeber.monster.de/hr/personal-tipps/personalmanagement/arbeitsrecht/datenschutz-umgang-mit-bewerberdaten.aspx
https://www.karriere.at/blog/datenschutz-grundverordnung.html
https://www.datenschutz-praxis.de/fachartikel/umgang-mit-bewerberdaten-datenschutzkonformes-e-recruiting/
https://www.haufe.de/compliance/recht-politik/auswirkung-der-datenschutzgrundverordnung-auf-personalrecruiting_230132_427484.html
https://hr-blog.prosoft.net/eu-datenschutz-grundverordnung-eu-dsgvo/
https://blog.recrutainment.de/2018/01/31/datenschutz-was-bedeutet-die-dsgvo-fuer-den-einsatz-von-online-auswahltests-im-recruiting/
https://arbeitgeber.careerbuilder.de/blog/dsgvo-datenschutzerklaerung-recruiting-active-sourcing
https://www.facebook.com/business/gdpr
https://privacy.google.com/intl/de/
https://derstandard.at/2000072014541/Neue-Datenschutzgrundverordnung-Vorteile-fuer-Bewerber
https://www.compliance-manager.net/fachartikel/die-eu-dsgvo-als-chance-nutzen-789518152
https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/eu-dsgvo-soziale-netzwerke-faq.html