E-Recruiting und die DSGVO: Darauf müssen Sie achten
Bewerbungsunterlagen enthalten personenbezogene und oft hochsensible Daten und sind deshalb besonders schützenswert. Unternehmen müssen spätestens ab 25. Mai 2018 sicherstellen, dass die Rechte von Bewerbern im digitalen Prozess DSGVO-konform gewahrt werden. Personaler haben ihre Müh und Not alle Anforderungen einzuhalten. Doch Datenschutz, E-Recruiting und Active Sourcing müssen sich nicht zwingend ausschließen.
Online Bewerbungen – was muss man beachten?
Heutzutage werden Stellen häufig online ausgeschrieben und eingereicht. Wenn Sie Stellenanzeigen online ausschreiben, sollten Sie es möglich machen, die Bewerbungsunterlagen verschlüsselt per Email oder über eine geeignete Plattform zu übermitteln. Ist die verschlüsselte Übertragung nicht möglich, empfehlen wir, einen klar formulierten Hinweis in der Stellenanzeige anzubringen. Schließlich handelt es sich um personenbezogene und deshalb schutzwürdige Daten. Initiativbewerbungen werden freiwillig eingesandt, hierfür müssen Sie keine besondere Art der Übertragung anbieten.
Wie sollen Bewerbungen im Unternehmen gehandhabt werden?
Unternehmensintern muss sichergestellt werden, dass nur die Personalabteilung und betroffene Führungskräfte Zugriff auf Bewerberdaten haben. Nehmen Sie die Dienste eines externen Dienstleisters in Anspruch? Dann sollten Sie einen datenschutzrechtlichen Vertrag abschließen. Vor allem Anbieter, die Ihren Sitz außerhalb der EU haben, müssen in Hinblick auf die DSGVO genau überprüft werden. Bedenken Sie: Nicht nur Ihr Dienstleister wird bei Datenschutzverletzungen haftbar gemacht, sondern auch Sie! Um auf Nummer sicher zu gehen, empfehlen wir einen Dienstleister innerhalb der EU zu beauftragen. .
Active Sourcing: Was zu beachten ist.
Das Active Sourcing ist das aktive Ansprechen potentieller Bewerber. Die Suche verläuft dabei meist über soziale Netzwerke. Häufig legen Unternehmen zu diesem Zweck Datenbanken an, um sich einen möglichst großen Bewerberpool zu schaffen. Gerade in Zeiten des Fachkräftemangels eine unabdingbare Möglichkeit, sich geeignete Kandidaten in Evidenz zu halten und dann bei Bedarf gezielt anzusprechen.
Aber Achtung: Bereits der Weg der Datengenerierung unterliegt dem Datenschutz! Es dürfen keine Daten aus sozialen Netzwerken oder Plattformen generiert werden, es sei denn, sie sind öffentlich zugänglich und es handelt sich dabei nicht um sensible Daten, wie z.B. die Religionszugehörigkeit, rassische und ethnische Herkunft, sexuelle Orientierung oder Gewerkschaftszugehörigkeit.
Neu ist, dass der potentielle Kandidat laut DSGVO aktiv seine Einwilligung geben muss. Das heißt, eine schon vorher angehakte Box oder anderes stilles Einverständnis ist unzulänglich. Möchte ein Bewerber nicht (mehr), dass seine Daten gespeichert werden, muss das Unternehmen innerhalb von 30 Tagen alle Daten löschen (Stichwort: „Recht auf Vergessenwerden“).
Nach dem Bewerbungsprozess
Ist ein Bewerberprozess abgeschlossen und wird der Bewerber nicht eingestellt, müssen Sie die Daten normalerweise gründlich löschen. Möchten Sie die Daten aber über den Prozess hinaus speichern (beispielsweise für den Bewerberpool), so muss auch in diesem Fall die Erlaubnis der betroffenen Person aktiv eingeholt und der Bewerber über die Speicherdauer und den Zweck informiert werden.
Ist Ihr Unternehmen bereits DSGVO-Sattelfest? Wir checken Ihr Unternehmen – Sie können im Prüfungsfall nachweisen, welche Schritte Sie gesetzt haben, um der DSGVO zu entsprechen. Unser Team arbeitet mit der Rechtsanwaltskanzlei PHH Rechtsanwälte zusammen und bietet umfassende Beratung zur neuen Datenschutz-Rechtslage sowie Unterstützung bei der technischen und organisatorischen Umsetzung der DSGVO.