DSGVO: Was hat sich für das Bewerbermanagement geändert?

Kreatives Anschreiben, spannender Lebenslauf – doch der Kandidat passt nicht auf die ausgeschriebene Stellenbeschreibung. In Zeiten des Fachkräftemangels sollen potentielle Kandidaten für zukünftige Stellen aber nicht verloren gehen. Folglich werden Bewerbungsunterlagen in einer Schublade oder einem Ablagefach auf der Festplatte gespeichert. Doch ist das eigentlich datenschutzkonform?

Der PersonalAnzeigenKönig klärt auf! Hier finden Sie alle wichtigen Informationen, die mit der neuen EU-Datenschutzgrundverordnung (DSGVO) im Bereich Recruiting in Kraft getreten sind.

Was sieht die DSGVO während der Kandidatensuche vor?

Bereits während des Recruitings, also bevor überhaupt irgendwelche personenbezogenen Daten vorliegen, gilt es einige Dinge zu beachten:

  • Verschlüsselte Übermittlung: Um die sensiblen personenbezogenen Daten des Bewerbers vor dem Mitlesen Dritter zu schützen, muss eine verschlüsselte Übermittlung eingerichtet werden.
  • Informationspflicht über den Umgang der Daten: In dem Moment, in dem die Bewerbungsunterlagen eingehen, muss der Bewerber über weitere Schritte informiert werden. Wie werden die Daten erhoben? Wie werden diese verarbeitet und wie werden sie aufbewahrt? Das klingt zunächst aufwendig, doch mit einer automatischen Eingangsbestätigung ist das in der Praxis kinderleicht umsetzbar. Für die Pflichtinformationen, die in dieser Bestätigung enthalten sein müssen, lohnt sich ein Blick in Artikel 13 der DSGVO.
  • Zweckgebundene Speicherung: Wie bisher auch, gilt: Personenbezogene Daten dürfen nur zweckgebunden gespeichert werden. Zum Beispiel im Rahmen eines Bewerbungsverfahrens. Daraus folgt: Ist die Stelle besetzt, dürfen die Bewerbungsunterlagen anderer Kandidaten nicht weiter gespeichert werden. Aber hier kreuzt sich die Regelung mit dem Grundsatz des Allgemeinen Gleichbehandlungsgesetzes (AGG). So lange das Unternehmen mit einer Klage wegen Verstoßes gegen das AGG rechnen muss, dürfen die Daten zur Beweisgrundlage aufbewahrt werden. Hier gibt es keine Einigung über die Dauer, allgemein wird aber ein Zeitraum von zwei bis sechs Monaten empfohlen.
  • Unterlagen für zukünftige Positionen: Möchten Sie jedoch Fachkräfte im Rahmen anderer Stellenausschreibungen kontaktieren können, hilft eine schriftliche Einverständniserklärung.

Unternehmen sind immer in der Beweispflicht: Im Falle eines Rechtsstreits müssen sie beweisen können, dass diese Maßnahmen befolgt wurden. Das heißt dass der komplette Recruiting-Prozess einheitlich und lückenlos dokumentiert werden muss. Wenn dies nicht der Fall ist, drohen hohe Bußgelder: bis zu 20 Millionen Euro oder aber vier Prozent des globalen Umsatzes.

DSGVO vor Ort: Zutritts- und Zugriffskontrollen

In größeren Personalabteilungen herrscht reger Durchgangsverkehr. Wartende Bewerber, Annahme und Ausgabe von Bescheinigungen sowie die Erfassung personenbezogener Daten finden gleichzeitig statt. Die einzige Lösung: PC-Arbeitsplätze und Besucher müssen strikt getrennt werden. Nur so kann gewährleistet werden, dass keine Daten durch Dritte gestohlen, manipuliert oder gelöscht werden. Auch offen zugängliche Drucker stellen eine glückliche Gelegenheit dar: schnell ist eine Mitarbeiterliste entwendet.

Räumliche Maßnahmen und Zugriffskontrollen

Zugriffskontrollsysteme sperren den Zutritt für Unbefugte in die Büroräume der Personalabteilung. Elektronische Systeme arbeiten entweder mit Zutrittssystem mit Chip oder Karte und sorgen so dafür, dass nur befugte Mitarbeiter in die Räume gelangen. Zudem werden Eintritts- und Austrittszeiten gespeichert. Für den Publikumsverkehr sollte idealerweise ein Büro oder Besprechungsraum eingerichtet werden. Aktenschränke, Drucker und Rechner können so sicher für Dritte gesperrt werden.

Elektronische Zugriffskontrollen und gruppenspezifische Zugriffsrechte

Zu den räumlichen Abgrenzungen sind elektronische Zutrittskontrollen notwendig. Auch unter den Mitarbeitern müssen nicht alle auf den kompletten gespeicherten Datensatz zugreifen können. Aus diesem Grund muss z.B. mit Passwörtern die Berechtigung eingeschränkt werden bzw. nur für die den Fall bearbeitenden Mitarbeiter freigeschalten werden. Diese Passwörter müssen unbedingt regelmäßig geändert werden!

Sensible Daten trennen

Achten Sie auch in der Alltagspraxis auf eine zweckgebundene Speicherung personenbezogener Daten. Z. B. braucht der Lohnbuchhalter keine Informationen aus der Personalakte, um eine korrekte Lohnabrechnung zu erstellen. Achtung auch bei den Inhalten der Einwilligungserklärung von Bewerbern: Wurde nur eingewilligt, die Daten für den laufenden Bewerbungsprozess zu speichern, dürfen diese nicht zum Zwecke von Personalmarketing-Aktionen missbraucht werden.

Partner unter die Lupe nehmen

Wenn über verschiedene Kanäle gesucht wird, sollten die Job-Portale und HR-Softwares auf den DSGVO-Prüfstand genommen werden! Hier ist jedoch neu, dass Cloud-Anbieter im Rahmen der DSGVO für Datenschutzverletzungen bei entsprechenden Beweisen haftbar gemacht werden können!

Sie haben Fragen zum Thema DSGVO im Personalrecruiting? Sprechen Sie uns an. Gerne übernimmt der PersonalAnzeigenKönig auch das Management rund um das Schalten von Personalanzeigen – Multiposting nach AGG- und DSGVO-Standards.