DSGVO und Recruiting Rechte und Pflichten für Recruiter und Bewerber

Die neue EU-Datenschutz-Grundverordnung (kurz: DSGVO) nähert sich mit großen Schritten. Für die meisten – wenn nicht sogar alle – Unternehmen bedeutet das eine Umstellung in der Arbeitsweise. Denn sind personenbezogene Daten im Spiel, muss jede Verarbeitung, Übertragung und/oder Speicherung an die neue Verordnung angepasst sein. Ist die Datenanwendung nicht DSGVO-konform, drohen hohe Geldstrafen. Bei grob fahrlässigem Verstoß wird ein Bußgeld von 20 Millionen Euro bzw. 4% des weltweiten Firmenumsatzes (der höhere Wert ist maßgeblich) – bei leichter Fahrlässigkeit 10 Millionen Euro, bzw. 2% des globalen Firmenumsatzes fällig. Warum DSGVO und Recruiting sich näherstehen als es vielleicht auf den ersten Blick scheint, erfahren Sie auch in unserem neuen Whitepaper zum Thema.

Die Fakten im Überblick

Im Zentrum der DSGVO steht der Schutz personenbezogener Daten natürlicher Personen. Diese Daten umfassen alle Informationen, die sich auf eine natürliche Person beziehen bzw. diese identifizierbar machen. Konkret ist also von Namen, Kennnummern, Standortdaten und Online-Kennungen die Rede. Außerdem schützenswert sind physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale einer Person. Kommt es zu einer Verarbeitung dieser Daten, sind diese gemäß der Grundsätze der DSGVO zu melden. Dazu später mehr.

Die DSGVO teilt in 3 Gruppen ein

Jede der drei Gruppen hat entweder das Recht auf Schutz personenbezogener Daten oder die Verpflichtung zum Schutz dieser Daten:

• betroffene Personen
• Datenverantwortliche
• Auftragsverarbeiter

Betroffene Personen sind natürliche Personen, denen der Schutz ihrer Daten zusteht. Im Recruiting sind das Kandidaten, die im Zuge des Bewerbungsprozesses personenbezogene Daten preisgeben. Der Datenverantwortliche bestimmt, welche personenbezogenen Daten benötigt werden und wie diese verwendet werden sollen. Zu dieser Gruppe zählen also Recruiter oder Unternehmen, die bestimmen, welche Daten im Recruiting-Prozess erforderlich sind. Der Auftragsverarbeiter verarbeitet Daten nach Anweisung des Datenverantwortlichen. Das können beispielsweise Anbieter von Bewerbermanagementsystemen sein, denn sie erheben und verarbeiten die Daten der jeweiligen Bewerber.

Die 5 Grundsätze der DSGVO

Die DSGVO baut auf fünf Maximen auf, die die Fairness und Sicherheit im Umgang mit personenbezogenen Daten erhöhen soll.

1. Transparenz
   Betroffenen Personen muss immer offengelegt werden, wenn ihre Daten verarbeitet werden. Bewerber müssen also immer darüber informiert sein, welche ihrer Daten wie und wann verarbeitet werden.
2. Zweckbindung
   Die Verwendung von Daten darf nur für den explizit festgelegten Zweck und die Speicherung nur für begrenzte Zeit erfolgen. Daten, die im Zuge des Bewerbungsprozesses erhoben worden sind, sind auch wirklich nur für diesen zu verwenden.
3. Datenminimierung
   Personenbezogene Daten müssen auf das notwendige Maß beschränkt sein. Sind Informationen für den Bewerbungsprozess nicht relevant, dürfen Recruiter im Sinne der DSGVO diese auch nicht erheben.
4. Richtigkeit
   Liegen einem Datenverantwortlichen Informationen vor, muss dieser dafür Sorge tragen, dass sie immer auf dem neuesten Stand und korrekt sind. Für Recruiter ist das wohl der am schwierigsten einzuhaltende Grundsatz. In unserem Whitepaper: DSGVO & Recruiting, das sie in der Download-Section finden und kostenlos herunterladen können, erfahren Sie mehr dazu.
5. Speicherbegrenzung
   Obwohl die DSGVO keine genauen Fristen vorgibt, verlangt sie dennoch eine zeitlich begrenzte Speicherung von Daten. Auch hier besteht für Recruiter besonderer Handlungsbedarf, vor allem dann, wenn Talent Pools zum Einsatz kommen.

“Im Recruiting oder Bewerbermanagement liegen die Herausforderungen weniger in der Begründung einer grundsätzlichen Rechtmäßigkeit der Verarbeitungstätigkeiten, als vielmehr in der Sicherstellung eines dem Risiko angemessenen technischen und organisatorischen Sicherheitsniveaus.”

Mag. Gerald Sendera

Die DSGVO sieht keine konkreten Regelungen für technische oder organisatorische Sicherheitsmaßnahmen (kurz TOM) vor. Jedoch ist es – je nach Umstand oder Zweck der Datenverarbeitung – sinnvoll, unter anderem folgende Maßnahmen zu ergreifen, um eine DSGVO-Compliance sicherstellen zu können:

• Pseudonymisierung
• Verschlüsselung
• Gewährleistung der Vertraulichkeit
• Gewährleistung der Integrität
• Gewährleistung der Verfügbarkeit
• Gewährleistung der Belastbarkeit der Systeme
• etc.

Weitere Maßnahmen, die Sie DSGVO-konform machen, finden Sie hier: DSGVO & Recruiting.

Wie machen Sie Ihr Recruiting fit für die DSGVO?

Gut geplant ist halb gewonnen. Allem voran empfiehlt es sich, einen Datenschutzbeauftragten zu benennen, egal ob dieser intern oder extern bestellt wird. Wichtig ist nur, nicht jemanden dafür zu wählen, der in Sachen Datenschutz ein unbeschriebenes Blatt ist und sich zusätzlich, neben dem laufenden Tagesgeschäft, auch noch mit der Umstellung zur DSGVO-Konformität herumschlagen und sich das notwendige Know-How erst aneignen muss. Auch die Aufstellung eines Zeit- und Budgetplans ist – wie bei allen Projekten – durchaus sinnvoll. Priorisieren Sie Ihre Ziele. Danach kann der Status Quo erhoben werden. Dabei sollten Antworten und valide Aussagen zu Fragen um den derzeitigen Stand der Datensicherheit im eigenen Unternehmen gefunden werden. Erforderliche Schriftstücke wie Verträge, Formulare oder Vereinbarungen können ebenfalls bereits vorab verfasst werden. Dies hilft einerseits bei der erwähnten Priorisierung von Zielen und spart andererseits Zeit, wenn die DSGVO am 25. Mai 2018 tatsächlich zur Anwendung kommt.