DSGVO & Recruiting – Fragen & Antworten

# HR-Insights

Am 25. Mai 2018 ist es soweit – die neue EU Datenschutz-Grundverordnung tritt in Kraft. Dass dieses Thema vor allem im Recruiting relevant ist und vielen HR-Verantwortlichen Kopfzerbrechen bereitet, zeigt die hohe Zahl an Interessierten, die am 10. April 2018 an unserem Webinar zum Thema DSGVO & Recruiting teilgenommen haben.

Bereits während der Vorträge gab es zahlreiche Fragen der Teilnehmer, die leider nicht alle beantwortet werden konnten. Hier finden Sie nun einen kleinen Fragenkatalog mit den Antworten von Nicolas Vorsteher rund um die Umsetzung der DSGVO bei Prescreen. Gerald Sendera, Datenschutzbeauftragter bei SBA Research, beantwortet Ihnen außerdem einige Fragen, die sich allgemein um die DSGVO drehen. 

Da die DSGVO ein sehr komplexes Thema ist und jedes Unternehmen einen anderen Ausgangspunkt hat, bzw. sich die Prozesse zur Datenverarbeitung grundlegend unterscheiden, können wir nicht für jede Frage ein konkretes Praxisbeispiel geben. Die notwendigen Anpassungsmaßnahmen unterscheiden sich zudem stark von Unternehmen zu Unternehmen –  bitte beachten Sie, dass wir keine Rechtsexperten sind und sich die Rechtslage gegebenenfalls ändern kann. Wir haben uns um die Aktualität, Vollständigkeit und Richtigkeit der Inhalte im Webinar und in unserem Whitepaper bemüht, können hierfür jedoch keine Garantie bzw. Haftung übernehmen.

Hier geht’s zur Live-Aufzeichnung des Webinars – jetzt ansehen!


DSGVO & Recruiting: FAQ

Um Ihnen die bestmögliche Übersicht zu geben, haben wir die Fragen in zwei Kategorien eingeteilt. Bitte beachten Sie, dass unser Webinar lediglich einen Einblick in die Veränderungen und Anpassungen, die durch die neue Datenschutz-Grundverordnung notwendig sind, gibt. Für eine ausführliche Rechtsauskunft, wenden Sie sich mit Ihren konkreten Fragen bitte an einen Rechtsexperten.

DSGVO Allgemein

    1. Müssen alle Daten – auch Verträge von ehemaligen Mitarbeitern – gelöscht werden? Wenn ja, wann müssen sie gelöscht werden?
      „Alle Daten“ müssen sicher nicht gelöscht werden. Aber siehe dazu auch Frage 6. Anders ist es bei Verträgen nach Ablauf von Nachweis- oder Einspruchsfristen: diese müssen eher schon gelöscht werden.
    2. Soviel ich weiß, dürfen in Frankreich Daten von Kandidaten nur drei Monate behalten werden. Sie sprechen von sechs Monaten. Haben Sie eine Übersicht der verschiedenen Regelungen in der EU?
      Leider nein.
    3. Muss zwischen Recruiting und Personaldatenmanagement nochmal unterschieden werden, oder gelten die gleichen Richtlinien? Müssen also MitarbeiterInnen-Dossiers jederzeit offengelegt werden können? Wo können vertrauliche interne Informationen hinterlegt werden, die rein im Interesse der Arbeitgeber sind? Oder ist es rechtlich nicht zulässig, solche Aufzeichnungen vorzunehmen?
      Zunächst ja – zwischen Bewerber- und Personalmanagement sollte jedenfalls dann eine interne Unterscheidung vorgenommen werden, wenn im Unternehmen eine solche umgesetzt ist. Offengelegt im Sinne von „veröffentlicht“ dürfen Dossiers der Beschäftigten keinesfalls werden. Die jeweils betroffene Person hingegen hat jederzeit ein Recht auf Auskunft darüber, welche Daten von ihr gespeichert wurden – und dann wäre das Dossier zumindest dieser Person offenzulegen. Zur rechtlichen Zulässigkeit von internen Aufzeichnungen oder Bewertungen von Mitarbeitern möchten wir in diesem Rahmen keine Aussage treffen. Zu bedenken ist, dass diese jedoch Teil des Dossiers werden, dass ggf. der Person vorzulegen ist.
    4. Wie steht die DSGVO zur Löschung von Daten, die wiederhergestellt werden können?
      Wenn das Wiederherstellen so einfach ist, wie mit einem Mausklick aus dem Papierkorb, dann ist es keine Löschung. Dass Daten grundsätzlich in vielen Fällen mit technischen oder forensischen Methoden wiederhergestellt werden können, ist ein anderes Thema. Entscheidungspraxis gibt es dazu in Bezug auf die DSGVO-Relevanz leider noch keine.
    5. Bei direktem Kontakt mit einem Xing-Nutzer, kann ich dessen Daten über Download seiner VC-Card beziehen. Wie sind diese Daten in Bezug auf die DSGVO zu sehen?
      Diese Daten sind vom Betroffenen selbst veröffentlicht worden, daher ist die Speicherung erlaubt. Grundsätzlich sind sie jedoch so sorgfältig wie alle anderen personenbezogenen Daten zu behandeln, für deren Verarbeitung eine Rechtsgrundlage besteht.
    6. Welche Aufbewahrungspflichten existieren für die Daten von Mitarbeitern? Was dürfen alte Personalakten beinhalten/was nicht?
      Das kommt auf die gesetzlichen Grundlagen für die Aufbewahrung der jeweiligen Datenkategorien an (z.B. bis zu 30 Jahre von Namen und Position, wegen des Anspruchs auf ein Dienstzeugnis). Das ist daher für jede Kategorie gesondert festzustellen.
    7. Darf eine Excel-Tabelle mit Informationen aus Xing-Profilen lokal geführt werden?
      Es wäre sinnvollerweise auch abzuklären, was der Zweck und die Rechtsgrundlage dafür sind – aber grundsätzlich ja, da diese Informationen ja vom Betroffenen freiwillig veröffentlicht wurden.
    8. Gibt es zur Orientierung auch für Deutschland Muster für die Erstellung eines Verarbeitungstätigkeitsverzeichnisses?
      Ja, bitte holen Sie sich die entsprechenden Infos z.B. von folgenden Websites:
    9. Wie funktioniert der neue Datenschutz im Home-Office?
      Im rein privaten Bereich kommt die DSGVO nicht zur Anwendung. Wenn Home Office im Rahmen der beruflichen Tätigkeit gemeint ist, müssen angemessene technische und organisatorische Sicherheitsmaßnahmen – auch zu Hause – getroffen werden, da die Verarbeitungstätigkeit an der jeweils gearbeitet wird, ja dem Unternehmen zuzurechnen ist.
    10. Gibt es im Sinne der DSGVO Unterschiede zwischen Konzernen, KMU und Ein-Personen-Firmen?
      Grundsätzlich nicht. Die Regeln gelten für alle in gleicher Weise. Obwohl eine Ausnahme zum Führen des Verzeichnisses der Verarbeitungstätigkeiten für kleinere Unternehmen formuliert wurde, wird diese jedoch in den seltensten Fällen anwendbar sein.
    11. MUSS ich eine verschlüsselte Verbindung zur Übersendung von Bewerberdaten bereitstellen?
      Im Sinne der Angemessenheit der technischen Sicherheitsmaßnahmen ist die verschlüsselte Verbindung (ergänze – mit einem Browser zu einer Webseite/einem Online-Portal) wohl eine sinnvolle und empfehlenswerte Maßnahme nach dem Stand der Technik. Insbesondere dann, wenn die Daten selbst im Klartext dort eingetragen werden (was in den allermeisten Fällen wohl zutreffen wird). Die konkrete Ausgestaltung ist im Einzelfall zu prüfen.
    12. Wie kann ich bei Anfrage eine Löschung bestätigen, wenn alle Daten ja gelöscht wurden? Kann ich zumindestens den Namen speichern und damit das Datum der Löschung verknüpfen?
      Grundsätzlich ja. Die Erfüllung von Löschanträgen kann natürlich dokumentiert und – zumindest für eine gewisse Zeit – aufbewahrt werden, da z.B. auch die Wiederherstellung der Daten aus Backups in der Regel durch organisatorische Maßnahmen verhindert werden muss. Ohne entsprechende Aufzeichnungen wäre das unmöglich. Die Aufbewahrung auf unbestimmte Zeit wird schwer argumentierbar sein. Und eine „Negativauskunft“ für den Fall der Anfrage einer Person, von der eben keine Daten (mehr) gespeichert sind, ist ebenfalls legitim.
    13. Thema Datenlöschung: Wie sieht es von Seiten des Allgemeinen Gleichbehandlungsgesetzes (AGG) aus, wenn Kandidaten gelöscht wurden und Bewerber im Nachgang klagen, dass die Absagen nicht gerechtfertigt wären. Wir können den Verlauf und die Unterlagen nach der Löschung nicht mehr einsehen, was tun?
      Die Aufbewahrung der Daten für die Dauer einer allfälligen Beschwerdefrist (in der Regel drei oder sechs Monate, je nach den einschlägigen gesetzlichen Bestimmungen) ist natürlich sinnvoll. Vor Fristablauf könnte ein Antrag auf Löschung mit der Begründung einer laufenden gesetzlichen Aufbewahrungsfrist abgelehnt werden, jedoch ist die Verarbeitung der Daten einzuschränken (bzw. die Daten für die weitere Verarbeitung zu „sperren“ und das Löschersuchen vorzumerken). Nach Ablauf einer solchen Frist ist eine Beschwerde gegen eine Absage in der Regel nicht mehr möglich und die Daten müssen jedenfalls (auch ohne neuerlichen Antrag der betroffenen Person) nach Prüfung der Rechtsgrundlagen gelöscht und die Person darüber informiert werden.
    14. Muss man als Kleinstunternehmen einen separaten Datenschutzbeauftragten haben?
      Es kommt bei der Pflicht zur Bestellung eines DSB nicht unbedingt auf die Unternehmensgröße, sondern auf Art und Umfang der jeweiligen Verarbeitungstätigkeiten und die Datenkategorien an. Für ein Kleinst- oder Ein-Personen Unternehmen ist die Bestellung eines externen und fachkundigen DSB dann zumindest ernsthaft anzudenken.
    15. Im Webinar wurde der Punkt „persönliche Haftung“ angesprochen, leider wurde nicht klar, ob hier die persönliche Haftung der natürlichen Person (sprich der handelnde bzw. ggf. gegen die DSGVO verstoßende Recruiter) oder die juristische Person (sprich die GmbH) betrifft. Wer genau wird nun bei einem evtl. Verstoß tatsächlich haftbar gemacht?Beides. Es haftet jedenfalls immer zuerst das Unternehmen (nach DSGVO-Begrifflichkeit sind das der Verantwortliche und/oder Auftragsverarbeiter zu ungeteilter Hand) und damit die Geschäftsführer im Rahmen ihrer gesellschaftsrechtlichen Stellung. Gegebenenfalls haften aber auch die Ausführenden persönlich im Rahmen der Arbeitnehmer- oder Mitarbeiterhaftung für ihre Pflichtverletzung (das wären dann Beschäftigte des Unternehmens, die gegen die Bestimmungen, z.B. durch vorsätzliche oder grob fahrlässige Veröffentlichung oder „Leaken“ von Daten verstoßen).
    16. Gilt das berechtigte Interesse für die Offenlegung von Daten nur seitens des Bewerbers oder für die Erhebung seitens des Unternehmens?
      Es gilt auf Kandidatenseite.

Prescreen und die DSGVO

  1. Gibt es Maßnahmen zur Wahrung der Belastbarkeit und der Verfügbarkeit der Daten in Prescreen? Wo werden die Daten gehostet?
    Ja, es gibt ein redundantes Rechenzentrum mit zwei verschiedenen Standorten in Deutschland. Regelmäßige Backups und Tests sind natürlich selbstverständlich.
  2. Was passiert mit den KandidatInnen, die bereits in Prescreen sind? Werden diese automatisch nach sechs Monaten gelöscht (weil sie ja die Zustimmung nicht gegeben haben)? Müssen wir alle individuell anschreiben, oder bleiben sie automatisch in der Datenbank?
    Es sind in Prescreen eigene Löschkonzepte hinterlegt, mit denen man genau definieren kann, nach welcher Frist personenbezogene Daten gelöscht werden bzw. Bewerber über die Löschung informiert werden.
  3. Gibt es in Prescreen die Möglichkeit, dass nur die HR-Abteilung die CVs herunterladen kann und andere User-Gruppen nicht?
    Es gibt in Prescreen ein umfassendes Rollenkonzept, anhand dessen genau eingestellt werden kann, welche Personen was und zu welchem Zeitpunkt sehen und im System ändern können.
  4. Wenn bei Prescreen die automatische Intervall-Löschung der Daten aktiviert wurde – erhalten die Kandidaten eine Bestätigung über die automatische Löschung?
    Ja, die Kandidaten erhalten eine systemgenerierte Löschbestätigung.
  5. Müssen interne Kommentare in Prescreen an die Bewerber weitergegeben werden, wenn diese erfragt werden?
    Ja, da dies den Grundsatz der Transparenz betrifft und ein berechtigtes Interesse besteht. Es besteht somit durch die DSGVO grundlegend eine Nachweispflicht.
  6. Wenn E-Mail-Bewerbungen bei Prescreen eingespeist werden, bekommen die Bewerber zwar eine E-Mail, dass ein Profil erstellt wurde, jedoch nicht die Zugangsdaten für das Profil. Ist es grundsätzlich möglich, dem Bewerber diese automatisch zur Verfügung zu stellen?
    Ja, man kann in die E-Mail einen Link zur Wiederherstellung des Passwortes einpflegen, über den Bewerber dann Zugang erhalten.
  7. Bietet Prescreen eine interne Talent-Pool-Lösung an?
    Ja, man kann Prescreen auch für das interne Recruiting und Aufbauen von Talentpools nutzen.
  8. Dürfen Bewerbungen, die per E-Mail oder postalisch erhalten wurden, einfach in Prescreen erfasst werden, auch wenn aus der Stellenausschreibung eindeutig hervorgeht, dass man sich nur über das System bewerben soll?
    Ja, dies ist gestattet. Der Bewerber muss jedoch darüber verständigt werden. Hierzu bestehen in Prescreen automatisierte Prozesse.

Weitere Infos zum Thema DSGVO und Recruiting, Tipps zur Umsetzung und Musterbeispiele finden Sie auch in unserem Whitepaper – jetzt kostenlos downloaden!

# Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht. Bitte füllen Sie alle mit * markierten Felder aus.

    Auf dem neuesten Stand bleiben

    Wir informieren Sie über aktuelle Trends und Themen aus der HR-Szene.