DSGVO im Recruiting – was sich im Umgang mit Bewerberdaten ändert

Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die auch Auswirkungen auf das Recruiting von Personal hat. Sind personenbezogene Daten im Spiel, müssen die Verarbeitung, die Übertragung sowie die Datenspeicherung an die neuen Bestimmungen angepasst werden. Wird die neue Rechtslage missachtet, drohen empfindliche Geldstrafen, deren Höhe abhängig ist vom jeweiligen Firmenumsatz und bis zu 20 Millionen Euro erreichen kann. Was im Recruiting angepasst werden muss, informieren Sie sich hier.

Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO)

Obwohl sie vielfach auf EU-Ebene kritisiert wurde, tritt die Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft. Sie ersetzt die Richtlinie 95/46/EG, die aus dem Jahr 1995 stammt. Ein wesentlicher Kernbereich der DSGVO ist, die Weitergabe von Verbraucherdaten an Konkurrenten, die sogenannte Datenportabilität, zu unterbinden. Nicht nur der Schutz personenbezogener Daten soll in der EU sichergestellt, sondern auch der freie Datenverkehr soll geschützt werden. Der eigentliche Adressat der DSGVO sind insbesondere große Unternehmen. Doch der Geltungsbereich gilt uneingeschränkt auch für mittelständische und kleine Unternehmen sowie für Dienstleister. Doch was bedeutet die neue Verordnung für das Recruitung, wenn Bewerber einen spannenden Lebenslauf, ein überzeugendes Anschreiben, persönliche Arbeitszeugnisse und Nachweise für Ausbildungen sowie Hochschulzeugnisse an ein Unternehmen verschicken und diese in der unternehmenseigenen Datenbank gespeichert werden?

Was die DSGVO für das Recruiting bedeutet

Im Kern sollen durch die DSGVO personenbezogene Daten natürlicher Personen geschützt werden. Dabei handelt es sich um alle Informationen über eine natürliche Person, die sie identifizieren, unter anderem der Name, Standortdaten, Kennnummern und Online-Kennungen. Insgesamt gibt es drei Gruppen, die entweder verpflichtet sind, personenbezogene Daten zu schützen oder die ein Recht darauf haben, dass ihre Daten geschützt werden. Zu diesen Gruppen gehören Datenverantwortliche, Auftragsverarbeiter und natürliche Personen. Konkret sind das im Recruiting Bewerber, die im Rahmen des Bewerbungsprozesses persönliche und damit personenbezogene Daten von sich preisgeben. Eine entscheidende Rolle kommt dem Datenverantwortlichen zu, der bestimmt, welche Daten benötigt und wie sie verwendet werden, während der Auftragsverarbeiter die Daten nach Anweisung des Datenverantwortlichen verwertet.

Die Maxime der DSGVO

Die DSGVO basiert auf fünf Grundsätzen, die die Sicherheit im Umgang mit personenbezogenen Daten erhöhen soll. Dazu gehören Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und die Speicherbegrenzung.

– Transparenz bedeutet, dass Bewerber darüber informiert werden müssen, welche ihrer Daten wie und wann verarbeitet werden.

– Die Zweckbindung legt fest, dass die Daten ausschließlich für den festgelegten Zweck verwendet werden dürfen. Das bedeutet, dass Daten, die im Rahmen des Bewerbungsprozesses erhoben worden sind, auch nur für diesen Zweck verwendet werden dürfen.

– Die Datenminimierung verlangt, dass die personenbezogenen Daten auf das notwendige Maß minimiert werden.

– Die DSGVO schweigt sich über die Fristen der Speicherung aus, verlangt jedoch eine Speicherbegrenzung. Handlungsbedarf besteht für Recruiter vor allem dann, wenn es sich um Pools handelt, in denen besonders talentierte oder qualifizierte Bewerber für einen längeren Zeitraum abrufbereit gespeichert werden.

Für technische oder organisatorische Sicherheitsmaßnahme sieht die DSGVO keine besonderen Regelungen vor. Dennoch sollten Unternehmen auch in diesem Bereich Vorkehrungen treffen, um Vertraulichkeit nachweisen zu können. Das gilt unter anderem für die Verschlüsselung, die Pseudonymisierung, für die Sicherstellung von Integrität, die Verfügbarkeit und für die Belastbarkeit der Systeme.

So machen Sie Ihr Unternehmen fit für DSGVO-konformes Recruitung

Der wichtigste Schritt für Unternehmen ist, einen Datenbeauftragten zu benennen. Sofern es keinen internen Datenbeauftragten gibt, kann auch ein externer Datenbeauftragter bestellt werden. In jedem Fall ist es sinnvoll, das aktuelle Bewerberdatenmanagement zu prüfen und gegebenenfalls neue Standards und Prozesse, die an die DSGVO angeglichen sind, mit Hilfe eines Projekt-, Zeit- und Budgetplans einzuführen und unter anderem diese Maßnahmen umzusetzen:

1. Unter anderem verlangt die DSGVO in Art. 13 DSGVO, dass der Bewerber über die Art der Datenerhebung sowie über die Dauer des Aufbewahrungszeitraums der Bewerbungsunterlagen informiert wird, was zum Beispiel mit einer automatischen Eingangsbestätigung und den entsprechenden Informationen gelöst werden könnte.

2. Auch die Zugriffsmöglichkeiten auf E-Mails von Bewerbern müssen neu definiert werden. Wird ein Bewerber abgelehnt oder wird eine Stelle besetzt, müssen die Daten aller anderen Bewerber nach Ablauf des zulässigen Aufbewahrungszeitraums gelöscht werden, da die Speicherung personengebundener Daten nur zweckgebunden erfolgen darf.

3. Jeder Bewerber sollte die Möglichkeit erhalten, seine Unterlagen verschlüsselt zu versenden, da ungesicherte Daten von Dritten mitgelesen werden können. Sicher ist das Bewerbungsverfahren, wenn im Bewerberbereich ein verschlüsselter Kanal zur Verfügung gestellt wird.

4. Der Prozess der Umsetzung der Verordnung im Recruiting sollte in einer Verfahrensdokumentation entsprechend nachgewiesen werden.

5. Bei allen Mitarbeitern, die mit dem Recruiting befasst sind, sollte das Bewusstsein für die Bedeutung des Datenschutzes in diesem Bereich intensiviert werden, was insbesondere für die Personalabteilung gilt. Mitarbeiter sollten diesbezüglich geschult und die erlernten Maßnahmen dokumentiert werden.

Die Beweislast für die Einhaltung der DSGVO liegt bei den Unternehmen. Das bedeutet, dass sie im Falle eines Rechtsstreits nachweisen müssen, dass sie alle erforderlichen Maßnahmen zur Einhaltung der DSGVO getroffen haben. Wer die neuen Bestimmungen der DSGVO missachtet, muss mit empfindlichen Geldstrafen rechnen. Bei leichter Fahrlässigkeit können sie 10 Millionen Euro beziehungsweise 2 Prozent des weltweiten Firmenumsatzes betragen, während sie bei grob fahrlässigen Verstößen eine Größenordnung von 20 Millionen Euro oder 4 Prozent des globalen Umsatzes erreichen.