Eine Menge ist bereits geschrieben worden über die neue Datenschutz-Grundverordung DS-GVO. Ab 25. Mai 2018 tritt die Datenschutz-Grundverordnung in Kraft und regelt verbindlich für Unternehmen und Organisationen jeder Größenordnung den Umgang mit persönlichen Daten. Damit hat die DS-GVO direkten Einfluss auf das Recruitment. Sie setzt Grenzen und Normen für die Verarbeitung von Bewerberdaten (i.S.v. Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung oder Veränderung,

Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich, Verknüpfung und die Einschränkung, das Löschen oder das Vernichten).

Wichtiger Kernpunkt ist, dass die betroffene Person (BewerberIn) ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

In der Praxis bedeutet dies, dass

  • dem/r BewerberIn bei oder direkt nach Abgabe seiner Bewerbung mitgeteilt werden muss, was mit seinen/ihren Daten geschehen soll und was nicht,
  • er/sie aktiv die Zustimmung zur Verarbeitung / Speicherung seiner Daten geben muss (z.B.  Checkbox (Formularbewerbung) oder eine explizite Info per E-Mail mit Antwortoption).

 

Darüber hinaus fordert die Verordnung, dass

  • der/die BewerberIn jederzeit Zugang zu den Daten haben muss,
  • die Daten für sie/ihn "verfügbar" gemacht werden müssen,
  • ein Recht auf "Vergessenwerden" eingeräumt und die Bewerbungsdaten restlos löschbar sein müssen,
  • BewerberInnendaten so lange aufbewahrt werden müssen, bis ihr Zweck erlischt,
  • BewerberInnen ein Recht auf Korrektur und Anpassung ihrer Daten haben,
  • alles zuvor genannte protokolliert und damit nachvollziehbar sein muss.

 

Wichtig ist auch die Frage, wer Zugang zu den Bewerbungen hat. Herumliegende Bewerbungsunterlagen auf Schreibtischen in offenen Büros sind damit genauso tabu wie das Versenden von Rundmails mit Bewerbungen im Anhang an die Nachbarabteilung ohne protokollierbaren Zugriff oder Quittierung.

Unternehmen mit einem gut gemanagten Recruitmentprozess durch geschulte Personaler, die ein aktuelles Bewerbungsmanagementsystem verwenden, haben wenig zu befürchten, wenn ihr Datenschutzbeauftragter für das angewendete Recruitmentverfahren grünes Licht auch für die neue DS-GVO gegeben hat.

Auf der sicheren Seite sind Organisationen, die ihr Recruitment im Sinne eines "Managed Process" durch Auftragsarbeit gem. §28 DS-GVO an einen kompetenten RPO-Partner übertragen, der die Einhaltung der Datenschutz-Grundverordnung DS-GVO in Form einer schriftliche Erklärung und ggf. Vorlage weiterer Nachweise bestätigt.

Für alle anderen Organisationen (Unternehmen, öffentliche Auftraggeber, Kommunen, Vereine, ...) wird es eng. Es drohen empfindliche Geldbußen ab Gültigkeit der DS-GVO (Ende Mai 2018). Wir raten dringend zu einer Einbindung von Experten, insbesondere der jeweiligen Datenschutzbeauftragten.

Sie wollen mit Ihrem Recruitment Rechtssicherheit erlangen oder haben noch Fragen zur DS-GVO? Rufen Sie uns noch heute an, wir helfen Ihnen gerne weiter.