Was ist die DSGVO?

• Seit wann gilt die DSGVO?
• Was sind personenbezogene Daten?
• Welche Artikel sind fürs Recruiting wichtig?
• Wie sieht ein DSGVO-konformer Bewerbungsprozess aus?
• Wie können Unternehmen die DSGVO-Konformität sicherstellen?

Seit wann gelten die Bestimmungen der DSGVO?

Die DSGVO (Datenschutzgrundverordnung) trat im Mai 2018 in Kraft und regelt seitdem die Behandlung personenbezogener Daten nach geltendem EU-Recht.

Ist die DSGVO das einzige Datenschutzgesetz?

Nein. Die DSGVO deckt nicht alle relevanten Themengebiete des Datenschutzes ab und muss daher mit nationalen Gesetzen kombiniert und mit dessen Hilfe ergänzt bzw. präzisiert werden.

In Deutschland ist daher neben der DSGVO zusätzlich auch das BDSG (Bundesdatenschutzgesetz) zu beachten, das seit 1977 existiert, jedoch im Mai 2018 in Form einer Neuverfassung zeitgleich mit der Datenschutzgrundverordnung in Kraft trat.

Personal einstellen - besser, schneller und klüger

Mit automatisierten und optimierten Prozessen

Jetzt registrieren – kostenlos!

Was sind personenbezogene Daten?

Auf dem Informationsportal der Europäischen Kommission werden personenbezogene Daten wie folgt definiert:

„Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen.“ 

Ebenfalls als personenbezogene Daten nach DSGVO gelten im Datenschutzrecht übrigens “Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können”. 

Noch etwas breiter ausgeführt findet sich diese Information direkt im DSGVO-Artikel 4 wider:

Hier ist die Rede von allen Informationen und Merkmalen, die “der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der Person zugeordnet werden können”.

Personenbezogene Daten: Beispiele

Das DSGVO-Gesetz behandelt ausschließlich Daten, die sich auf natürliche Personen beziehen. Nach dieser Definition gelten per DSGVO folgende Daten als personenbezogen:

• Vor- und Nachname
• private Adresse
• Telefonnummer
• nicht anonymisierte E-Mail-Adressen ([email protected], egal ob privat oder geschäftlich)
• Geburtsdaten
• Ausweisnummer

Daten zu juristischen Personen, also Unternehmen, Gesellschaften oder Vereinen, gelten nicht als personenbezogen und fallen daher nicht unter dieses Gesetz. 

Als nicht-personenbezogene Daten gelten demnach zum Beispiel:

• Handelsregisternummer
• allgemeine/anonymisierte E-Mail-Adressen ([email protected])
• anonymisierte Daten im Allgemeinen

Welche DSGVO-Artikel sind fürs Recruiting besonders wichtig?

Die Datenschutzgrundverordnung besteht aus insgesamt 11 Kapiteln mit 99 Artikeln, die die Erhebung, Speicherung und Verarbeitung personenbezogener Daten. Diese sollten Recruiter auf jeden Fall kennen, um 

• Art. 5 DSGVO (Zweckbindung)
  
  Steht ein Bewerbungsverfahren an, müssen Recruiter sicherstellen (und nachweisen können), dass sie personenbezogene Daten ausschließlich zum Zwecke der Kandidatenauswahl (“Datenverarbeitung zur Begründung eines Beschäftigungsverhältnisses”) erheben und dabei den Grundsatz der Notwendigkeit befolgen.
  
  Sprich: Es dürfen nur die wirklich nötigsten Daten abgefragt werden (Vor- und Nachname, Kontaktdaten, Qualifikationen), die für die Findung des neuen Teammitglieds unverzichtbar sind.
  
  
• Art. 6 + 7 DSGVO (Rechtmäßigkeit der Verarbeitung, Einwilligung)
  
  Soll ein Talentpool aufgebaut werden, sollten Recruiter sich mit diesen beiden Artikeln beschäftigen, denn die Daten dürfen ohne Einwilligung des Kandidaten ausschließlich für den Zeitraum des Bewerbungsprozesses verarbeitet und gespeichert werden.
  
  Die Aufnahme in einen solchen Talentpool bedeutet eine längerfristige Speicherung der erhobenen Daten (über das Bewerbungsverfahren hinaus) und bedarf daher der ausdrücklichen Zustimmung der betreffenden Person.
  
  Doch auch die Weiterleitung der personenbezogenen Daten innerhalb eines Unternehmens an Recruiting-Kollegen oder die Geschäftsleitung ist nur mit Zustimmung erlaubt.
  
  
• Art. 9 DSGVO (besondere Kategorien personenbezogener Daten)
  
  Gehen nicht genug oder keine qualifizierten Bewerbungen ein, können sich Recruiter auch selbst auf die Suche machen (“Talent Sourcing“) und Daten ohne vorherige Zustimmung erheben.
  
  Grundsätzlich muss hierfür zwar ein berechtigtes Interesse seitens des Erhebenden vorliegen, Art. 9 DSGVO beinhaltet jedoch eine Ausnahmeregelung. Nach dieser dürfen unter bestimmten Voraussetzungen bestimmte personenbezogene Daten ohne vorherige Zustimmung erhoben werden, wenn die betroffene Person diese Informationen selbst veröffentlicht hat.
  
  Dies ist allerdings nur auf Xing, Indeed oder LinkedIn-Profile anwendbar, nicht jedoch auf private Social Networks wie Facebook.
  
  
• Art. 12, 13 + 14 DSGVO (Transparenz & Informationspflicht zur Datenerhebung, Rechte)
  
  Recruiter sind verpflichtet, potenzielle Bewerber zu informieren und aufzuklären. Kandidaten müssen wissen, welche Daten sie für den Auswahlprozess wie erhoben werden, wer sie erhebt und verarbeitet, an wen die Daten übermittelt werden, wo sich derjenige befindet und vieles mehr.
  
  Und das unabhängig davon, ob die personenbezogenen Informationen unmittelbar über die betreffende Person oder über Dritte (Headhunter, soziale Netzwerke, etc.) eingeholt werden. Darüber hinaus muss der Kandidat über seine Rechte informiert und deren Ausübung auf einfachem Wege ermöglicht werden.
  
  
• Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten)
  
  Über die Verarbeitungstätigkeiten mit personenbezogenen Daten muss ein Verzeichnis geführt werden, das sämtliche Prozesse des Bewerbermanagements auflistet.
  
  Dieses Verzeichnis dient der Beweisführung. Sollte ein Bewerber sich bei einer zuständigen Behörde über eine unzulässige Verarbeitung seiner Daten beschweren, müssen Recruiter in der Lage sein, der Datenschutzaufsicht einen Nachweis zur ordnungsgemäßen Verarbeitung vorzulegen.
  
  
• Art. 17 DSGVO (Recht auf Löschung/”Vergessenwerden”)
  
  Wer sich beworben hat, hat grundsätzlich ein Recht darauf, dass seine Daten nach Abschluss des Bewerbungsverfahrens gelöscht werden.
  
  Das wäre eigentlich mit der Absage der Fall. Doch Vorsicht: Ab dann müssen die Daten noch mindestens fünf Monate aufbewahrt werden. Diese Zeit wird Bewerbern für Schadensersatzansprüche nach AGG zugestanden.
  
  Unternehmen müssen eine nicht diskriminierende Entscheidung nachweisen können. Werden keine Maßnahmen ergriffen, ist der Löschungszeitpunkt nach Ablauf dieser Frist gekommen. Aus dem Talentpool hingegen muss ein Bewerber auf Wunsch hin jederzeit unverzüglich gelöscht werden.

Für alles, was nach dem Bewerbungsprozess stattfindet (Datenverarbeitung für die Personalakte, Speicherung der Personaldaten, etc.) wird im Artikel 88 der DSGVO auf die nationale Gesetzgebung, und somit für Deutschland auf das BDSG (§ 26, Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) verwiesen.

Wie sieht ein DSGVO-konformer Bewerbungsprozess aus?

Auch ohne tiefgehende Kenntnisse des DSGVO-Gesetzes können Maßnahmen ergriffen werden, um für einen konformen Bewerbungsprozess zu sorgen:

Frühe Aufklärung zur Erhebung, Verarbeitung und Speicherung von Daten

Bewerber müssen über den Umgang mit ihren personenbezogenen Daten und natürlich über ihre Rechte informiert werden. Für die Bewerbung über die unternehmenseigene Karriereseite oder ein Bewerbermanagementsystem (ATS) kann hierfür zum Beispiel ein direkter, gut sichtbarer Verweis auf die Datenschutzerklärung platziert werden.

Handelt es sich um Initiativbewerbungen oder Bewerbungen über Jobbörsen, könnten entsprechende Dokumente an die Eingangsbestätigung angehängt werden.

Active Sourcing nur auf professionellen Netzwerken

Muss dem Bewerbungsfluss nachgeholfen werden, dürfen lediglich Daten erhoben werden, die potenzielle Kandidaten selbst veröffentlicht und somit freiwillig zur Verfügung gestellt haben.

Kandidatenrecherchen sollten daher ausschließlich über professionelle Netzwerke, niemals jedoch über Social Media stattfinden.

Rein zweckdienliche Fragen im Interview stellen 

Personenbezogene Daten dürfen ausschließlich zweckgebunden erhoben und verarbeitet werden. Der Zweck lautet “Ermittlung der Qualifikation und kulturellen Eignung des Kandidaten für die Beschäftigung in einem Unternehmen”.

Folglich dürfen sich auch die Fragen des Interview-Prozesses ausschließlich darauf beziehen und keine unnötigen Details und Daten erfragen.

Aktivitäten zur Datenverarbeitung aufzeichnen

Siehe Artikel 30 DSGVO: Alle Aktivitäten zur Datenverarbeitung müssen ins Verzeichnis aufgenommen werden.

Keine Background-Checks!

Background-Checks mögen verlockend und manchmal sehr aussagekräftig sein, sie sind jedoch rechtlich äußerst bedenklich, da sie eine Datenerhebung über den ursprünglichen Zweck hinaus darstellen.

Weiterhin verstoßen sie gegen den Grundsatz der zwingenden Notwendigkeit. Auch hier gibt es Ausnahmen, diese sind jedoch sehr selten.

Talentpool: Aufnahme erst nach Absage und Einwilligung

Während für die eigeninitiative Teilnahme am Auswahlverfahren nach DSGVO keine Einwilligung nötig ist, muss der Aufnahme in den Talentpool ausdrücklich zugestimmt werden.

Die Aufnahme in den Talentpool sollten Recruiter aber erst nach einer Absage vorschlagen. Hier greift der Grundsatz der freien Wahlmöglichkeit.

Mit der Bewerbung hat der Kandidat jedoch bereits entschieden, Teil eines Unternehmens werden zu wollen und hätte somit keine alternativen Wahlmöglichkeiten mehr. Anders sieht es nach der Absage aus.

Talentpool: Regelmäßig nachfragen

Auch die Speicherung personenbezogener Daten nach DSGVO kann eine problematische Angelegenheit sein, da es hierfür keine offizielle zeitliche Begrenzung gibt.

Es ist ratsam, den Status quo hinsichtlich der erwünschten Datenspeicherung im Talentpool daher in regelmäßigen Abständen (ca. 1 Jahr) zu hinterfragen oder die Löschung automatisch nach einem Jahr zu veranlassen und dem Kandidaten die Möglichkeit zur Verlängerung oder Löschung einzuräumen.

Warum ist Datenschutz so wichtig?

In erster Linie ist der Datenschutz nach DSGVO und BDSG so wichtig, weil personenbezogene Daten, die in falsche Hände geraten, schwere Schäden verursachen können (Bußgelder bei Verstößen für Unternehmen, Missbrauch der Bewerberdaten, finanzielle Folgeschäden, etc.)

Da jedoch auch in der Gesellschaft das Bewusstsein für den Wert und den Schutzbedarf persönlicher Daten stetig wächst, kann ein Unternehmen, das ein Bewusstsein, Expertise und einen professionellen Umgang mit diesem Thema demonstriert, auch bei seinem Arbeitgeberimage punkten.

Gleichzeitig wird damit für ein vertrauensvolles Miteinander mit Angestellten und potenziellen Teammitgliedern gleichermaßen gesorgt.

Wie können Unternehmen die DSGVO-Konformität sicherstellen?

Die DSGVO erfordert viel Aufmerksamkeit und tiefergreifende Kenntnisse des Datenschutzes und des Rechtswesens. Doch wie können Unternehmen ohne diese Kenntnisse die Konformität sicherstellen?

Hier gibt es zwei Wege: einen externen Dienstleister zum Vertreter in Datenschutzangelegenheiten ernennen oder einen inhouse-Fachmann engagieren.

Nach Artikel 37 DSGVO muss jede Organisation ohnehin einen Datenschutzbeauftragten bestellen und bekannt geben, der die rechtskonforme Datenverarbeitung sicherstellt.

Mithilfe unserer kostenlosen Stellenanzeigen-Vorlage für DSGVO-Datenschutzbeauftragte können Sie sich die Suche erleichtern und schneller kompetente und talentierte Fachkräfte finden.

Disclaimer: 

Die in diesem Artikel aufgeführten Informationen sind sorgfältig recherchiert, erheben jedoch keinerlei Anspruch auf Vollständigkeit und Richtigkeit und ersetzen keine professionelle Rechtsberatung.

Wir empfehlen bei Unklarheiten sowie in Zweifelsfällen stets die individuelle Konsultation spezialisierter Fachkräfte.