Wie rekrutiert man DSGVO-konform?
Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung der EU - kurz DSGVO. Wir erklären, auf welche Feinheiten Sie im Recruiting-Prozess unbedingt achten sollten!
Die DSGVO betrifft auch Personalabteilungen
Wie werden eingehende Bewerbungen, Bewerber- und Personaldaten aktuell in Ihrem Unternehmen gehandhabt?
Wir kennen viele Fälle, in denen die Bewerbung per E-Mail noch gang und gäbe ist. Zur Abstimmung mit den Kolleg*innen aus der Fachabteilung werden diese Mails weitergeleitet, mit Kommentaren versehen und wieder zurückgeschickt. Eventuell werden sie sogar ausgedruckt. Es ist nicht wirklich nachvollziehbar, wer alles im Unternehmen Bewerbungen im Download-Ordner aufbewahrt.
Angenommen, ein*e Bewerber*in ruft an und fragt Sie, welche Daten Sie von ihm/ihr gespeichert haben - können Sie die Frage ad hoc beantworten? Wie lange würde es dauern, bis Sie alle, wirklich alle Daten gelöscht haben? Und sind Sie sich sicher, dass Sie dann tatsächlich alle Download-Ordner und Postfächer durchgegangen sind, alle Ablagen, oder ob nicht doch irgendwo noch Daten von dieser Person liegen?
Was ist die DSGVO?
Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.
Wer sich für das Gesetz interessiert, kann es hier lesen.
Grundsätze der Datenschutz Grundverordnung
Die DSGVO führt im Artikel 5 explizit 6 Grundsätze für die Verarbeitung von personenbezogenen Daten auf:
Was bedeutet die DSGVO für den Umgang mit Bewerberdaten?
Laut Artikel 2 der DSGVO gilt diese Verordnung für alle Daten, die automatisiert verarbeitet oder gespeichert werden.
Für Sie als Recruiter heißt das, Sie kommen überall mit der Verordnung in Kontakt, wo Bewerberdaten verarbeitet werden.
Mit der Datenschutz-Grundverordnung steigen die Anforderungen ans Recruiting.
Neben der Verwaltung der Bewerberdaten, sind Sie nun auch dafür verantwortlich, dass Datenschutz-Standards an allen Stellen, die mit diesen Daten in Berührung kommen, eingehalten werden. Das umfasst zum Beispiel auch die Software, die Sie zum Speichern oder zur Kommunikation der Daten nutzen. Sie müssen also sicherstellen, dass die E-Recruiting-Software, die Sie benutzen, DSGVO-konform ist.
Anforderungen an das Recruiting
Zugang zu Bewerberdaten ermöglichen
Der/die Bewerber*in muss Zugang zu seinen/ihren Daten haben und einsehen können, welche seiner/ihrer Daten gespeichert wurden.
Datenübertragung an den/die Bewerber*in
Auf Anfrage müssen die Daten des/der Bewerbers/Bewerberin übertragbar sein. Hier gibt es noch Unklarheit darüber, was »übertragbar« konkret heißt. Ein erster Schritt wäre zum Beispiel, dass Sie das Bewerberprofil als Datei in einem gängigen Format (PDF oder XLS) exportieren und es der Person zusenden können.
Vergessenwerden
Seit einigen Jahren gibt es das “Recht auf Vergessenwerden”. Das heißt, Sie müssen alle Daten vom/von der Bewerber*in löschen können. Hierbei ist Vorsicht geboten, ob die von Ihnen genutzte Software einen Hard- oder Soft-Delete macht. Bei letzterem werden die Daten nur oberflächlich unsichtbar gemacht. In der Datenbank sind sie weiterhin vorhanden und können wiederhergestellt werden. Nur bei einem Hard-Delete werden alle Daten restlos gelöscht.
Aufbewahrung
Sie sind verpflichtet, die Bewerberdaten so lange aufzubewahren, bis ihr Zweck erlischt. Hier ist kein Zeitraum vorgegeben, sondern muss vom Unternehmen individuell festgelegt werden. Ein sogenannter »Zweck« könnte zum Beispiel sein, dass ein*e Bewerber*in Ansprüche aufgrund des AGG gegen Ihr Unternehmen erhebt und geltend machen will. Dazu benötigt er/sie eine Einsicht in seine/ihre Daten.
Korrektur
Ein*e Bewerber*in hat das Recht darauf, dass seine/ihre Daten korrigiert werden können. Das heißt, neben der Einsicht müssen Sie sicherstellen, dass diese modifiziert werden können - egal, wo die Daten sich befinden.
Einwilligung
Der/die Bewerber*in muss der Verarbeitung seiner/ihrer Daten explizit zustimmen
Widerspruch
Jede Person, die sich bei Ihnen bewirbt, hat das Recht, der Verarbeitung von personenbezogenen Daten zu widersprechen.
Transparenz über den Bewerbungsprozess
Sie müssen dem/der Bewerber*in transparent machen, was mit seinen/ihren Daten passiert, also wie Sie sie nutzen und verarbeiten. Außerdem sollten Sie dem/der Bewerber*in die Prozessschritte seiner/ihrer Bewerbung (Eingang, Telefoninterview, Vor-Ort Interview etc.) und die Anzahl der beteiligten Personen im Prozess offen legen.
So hilft Ihnen OnApply bei der Umsetzung der DSGVO
Zugang & Datenübertragung an den/die Bewerber*in
onapply PRO ermöglicht es Ihnen, mit einem Klick alle Bewerberdaten herunterzuladen und dem/der Bewerber*in bereitzustellen.
Vergessenwerden
Mit unserem Bewerbermanagement-System haben Sie alle Daten an einem zentralen Ort. Entsprechend einfach ist es, sicherzustellen, dass alle Daten auch tatsächlich gelöscht werden. Hard-Delete versteht sich.
Aufbewahrung
Alle Bewerberdaten bleiben so lange bestehen, wie das Bewerberprofil Bestand hat. Erst mit der expliziten Löschung des Profils gehen die Daten verloren.
Korrektur
Müssen Sie tatsächlich mal die Daten eines/einer Bewerbers/Bewerberin korrigieren oder anpassen, geschieht dies an einem zentralen Ort. Nicht in »Bewerbungen 2018«, »Bewerbungen 2018 - V2«, »Bewerbungen 2018 - V4 - diese hier«.
Einwilligung
In onapply PRO haben Sie die Möglichkeit, Bewerbungsformulare zu nutzen. Hier gibt es eine Checkbox, mit der Sie ganz unkompliziert die Einwilligung zur Datenverarbeitung einholen können.
Transparenz
Unsere Software hilft Ihnen dabei, Ihren Bewerbungsprozess zu standardisieren. Dies ist die Grundvoraussetzung, den Prozess auch anderen, zum Beispiel den Bewerber*innen gegenüber, offenzulegen. Mithilfe der automatischen Eingangsbestätigung wird der/die Bewerber*in außerdem über die Speicherung seiner/ihrer Daten informiert.
· · ·
Wird aus »wo kein Kläger, da kein Richter« doch mal eine Situation, in der es Kläger*in und Richter*in gibt, weil die DSGVO nicht ordentlich umgesetzt wurde, wird es teuer.
Bisher endete der Regelrahmen für Bußgelder bei 50.000 EUR. In der DSGVO ist die Grenze des Regelbußgeldes auf 20 Mio. EUR, bzw. 4% des letztjährigen globalen Umsatzes hochgeschraubt worden. Also locker 400 mal so hoch.
Aktuell liegen laut den Aufsichtsbehörden durchschnittliche Bußgelder in Deutschland übrigens bei 10.000 bis 15.000 EUR. Das sind circa 20 - 25% der Maximalstrafe. Wird nach dem DSGVO-Stichtag weiterhin nach dieser Praxis verfahren, müssten durchschnittliche Strafgelder bei 4 - 5 Mio. EUR liegen.
Die gute Nachricht: Es wird davon ausgegangen, dass die Bußgelder zwar steigen, jedoch nicht (direkt) so drastisch.