Safe-Harbour Recruiting: Worauf Sie achten müssen

# HR-Insights

Am Dienstag, dem 6.10.2015, wurde durch ein Urteil des EuGH das “Safe-Harbour”-Abkommen mit den USA für ungültig erklärt. Personenbezogene Daten dürfen in Zukunft nicht mehr wie bisher in die USA übertragen werden.

Zahlreiche US-Software-Unternehmen transferierten die Daten Ihrer Nutzer bisher zur weiteren Verarbeitung/Analyse/Aufbewahrung/etc. dorthin. In der Vergangenheit geschah dies ohne Probleme wenn das Drittland ein angemessenes Schutzniveau für personenbezogene Daten sicherstellen konnte. Durch die Entscheidung, dass das im Falle der USA nicht zutrifft, müssen betroffene Unternehmen ihre Datenverarbeitungsprozesse künftig anpassen.

Regelmäßige Reformen der EU-Datenschutzregeln, welche noch zurück auf das Jahr 1995 gehen, sind dringend notwendig um dem schnellen technologischen Wandel gerecht zu werden und Missbrauch der Daten bereits im Vorfeld auszuschließen. Zu diesem Thema gibt es auch aktuelle Diskussionen im EU-Parlament bei denen die Rechte und Pflichten der Unternehmen neu definiert bzw. aktualisiert werden sollen.

Sicherheit für personenbezogene Daten im E-Recruiting

Auch in der E-Recruiting-Szene spielt Datensicherheit, sowohl auf der Seite der Unternehmen, als auch auf jener der Bewerber eine große Rolle. Zur Verwendung cloudbasierter Bewerbermanagementsysteme müssen Unternehmen personenbezogene Daten hinterlegen. Auf der anderen Seite gilt dies ebenso für potentielle Bewerber die sich mit Hilfe der Software für eine offene Stelle bewerben möchten.

Sind personenbezogene Daten einmal online, liegt es in der Verantwortung aller Beteiligten für deren Sicherheit zu sorgen.

  • Bewerber müssen bereits im Vorfeld sorgfälltig auswählen welche Informationen sie auf den unterschiedlichen Plattformen öffentlich zugängig machen.
  • Unternehmen müssen sicherstellen, dass personenbezogene Daten nur zu den vereinbarten Zwecken verarbeitet und nicht an Dritte weitergegeben werden.
  • Software-Anbieter müssen als Dienstleister einen sicheren Rahmen für die Verarbeitung der Daten zur Verfügung stellen.

Folgen des Urteils

Was das Urteil für Unternehmen, welche cloudbasierte E-Recruitment-Lösungen, die auf dem “Safe-Harbour”-Abkommen basieren konkret bedeutet, ist noch ungewiss. Die Ausarbeitung bzw. Umsetzung der neuen Richtlinien wird noch dauern. Vor allem kleine und junge Anbieter von US-Lösungen stehen aber vor einem hohen zusätzlichen Aufwand, da im schlimmsten Fall zahlreiche Prozesse für europäische Kunden verändert werden müssen, damit diese zukünftig überhaupt eingesetzt werden dürfen.

Vielen Komplikationen, die in Zukunft auf amerikanische Softwareanbieter und deren Kunden zukommen, kann aus dem Weg gegangen werden, wenn sich Unternehmen für Softwarelösungen entscheiden, die auf europäischen Servern gehostet und den hohen europäischen Sicherheitsstandards gerecht werden.

Safe-Harbour Recruiting Checkliste: Diese Anforderungen sollte Ihr Softwareanbieter erfüllen

Konkret müssen im Rahmen Ihrer Datenschutzvorkehrungen folgende Punkte erfüllt sein, um umfassende Sicherheit gewährleisten zu können und den gesetzlichen Standards zu entsprechen:

  • Die personenbezogenen Daten dürfen aktuell nicht mehr wie bisher in die USA übermittelt werden (vorauss. bis Q1/Q2 2016)
  • Serverstandort: innerhalb der EU
  • Der Bewerber muss über die Umstände der Verwendung seiner Daten und über seine Rechte informiert werden (z.B. über das Auskunftsrecht)*
  • Die Identitäten des Recruiters / Unternehmens („Auftraggeber“) müssen bekannt gegeben werden*
  • Recruiter / Unternehmen müssen über eine rechtliche Befugnis verfügen um die Daten verwenden zu dürfen**
  • Die Daten dürfen nur für den vereinbarten Zweck genutzt werden und müssen für diesen Wesentlich sein**
  • Die Daten müssen richtig und aktuell sein*
  • Die Daten dürfen nicht für Dritte zugänglich sein*
  • Die Daten müssen vor unrechtmäßiger Zerstörung oder Verlust angemessen geschützt werden*
  • Protokollierung des Zugriffs auf die Daten*

* Für weitere Informationen zu den Verpflichtungen die Recruiter im Umgang mit personenbezogenen Daten zukünftig erwarten empfehlen wir folgende Literatur: https://www.datenschutzbeauftragter-info.de/die-aufbewahrungsfristen-von-bewerberdaten/

** Für konkrete Informationen zur längerfristigen Speicherung, Aufbewahrung und Verwaltung von Bewerberdaten (Stichwort: Angemessenheit) können wir diesen Artikel empfehlen: https://edri.org/files/GDPR-key-issues-explained.pdf

Prescreen-Nutzer sind auf der sicheren Seite

Als europäischer Anbieter von E-Recruiting Software verwendet Prescreen unternehmens- bzw. personenbezogene Daten nur im Sinne der vereinbarten Verwendungszwecke. Die zur Registrierung der Nutzer benötigten Daten werden erst nach deren Zustimmung auf unternehmenseigenen Servern in Deutschland gespeichert und unterliegen somit den derzeit geltenden Datenschutzrichtlinien der EU.

Recruiter-Daten

Um die Dienste der Prescreen-Software nutzen zu können müssen sich Unternehmen als Nutzer registrieren. Die angegebenen Daten können von den jeweiligen Recruitern jederzeit eingesehen und aktualisiert werden, da bei unvollständigen Angaben eine reibungslose Nutzung aller Dienste des Tools nicht möglich ist. Im Mittelpunkt der Datensicherheit stehen neben der Unternehmens- und Bewerberprofile auch Präferenzangaben der Recruiter im Bezug auf einzelne Bewerber, sowie Informationen zu den einzelnen Recruitern selbst.

Bewerber-Daten

Um sich über Prescreen für eine freie Stelle bewerben zu können, müssen interessierte Kandidaten im System persönliche Informationen hinterlegen. Dieser Prozess wird durch die Möglichkeit, die Daten aus sozialen Netzwerken zu importieren, vereinfacht. So kann der Bewerber z.B. seinen Lebenslauf von XING oder LinkedIn importieren. Vor Verwendung ihrer Daten erhalten die Bewerber durch die Datenschutzerklärung genaue Informationen zur weiteren Verarbeitung und Nutzung ihrer Angaben.

Hintergrund

Die “Safe-Harbour”-Vereinbarung wurde im Jahr 2000 zwischen der EU und den USA getroffen. Sie sah vor, dass personenbezogene Daten auf legalem Weg in die USA weitergeleitet werden können. Anstoß zum EuGH-Urteil welches die Vereinbarung als nicht gültig erklärt war der Prozess des Österreichers Maximilian Schrems, der Facebook wegen seiner ungenügenden Datenschutzbestimmungen verklagte.

Die Klage wurde in Irland eingereicht, da Facebook, wie auch zahlreiche andere US-Unternehmen dort seinen europäischen Firmensitz hat. Zukünftig dürfen personenbezogene Daten von Nutzern nur mehr auf Servern in Europa gespeichert und nicht mehr, wie bisher üblich, in die USA übermittelt werden.

# Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht. Bitte füllen Sie alle mit * markierten Felder aus.

    Auf dem neuesten Stand bleiben

    Wir informieren Sie über aktuelle Trends und Themen aus der HR-Szene.


    * Durch das Abschicken des Formulars werden Daten elektronisch übermittelt. Bitte beachten Sie unsere Nutzungsbedingungen, die geltende Datenschutzerklärung und die darin erläuterte Widerrufsmöglichkeit.