Newsroom:
DSGVO: Ohne System lässt sich die Gesetzgebung kaum einhalten
DSGVO – diese Abkürzung sorgt bei Personalverantwortlichen für Stirnrunzeln. Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (https://dsgvo-gesetz.de) in Kraft, doch noch sind viele Firmen unvorbereitet oder ignorieren die Verordnung der Europäischen Union sogar.
DSGVO: Ohne System lässt sich die Gesetzgebung kaum einhalten
Dabei kann der falsche Umgang mit Bewerberdaten teuer werden. Was im Recruiting künftig zu beachten ist, erklärt Tobias Tiedgen (Foto), Geschäftsführer beim Hamburger Recruiting-Spezialisten d.vinci.
Herr Tiedgen, die Datenschutzgrundverordnung betrifft die gesamte Verarbeitung personenbezogener Daten in Unternehmen. Für Recruiter ergeben sich damit neue Pflichten im Umgang von Bewerberdaten. Welche sind das?
Richtig, es gibt zusammengefasst sechs einzuhaltende Grundsätze:
- Transparenz: Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
- Zweckbindung: Daten aus einer Bewerbung dürfen nur im Rahmen des Bewerbungsverfahrens genutzt werden und sind nach Beendigung zu löschen.
- Datenminimierung: Es dürfen nur für den Zweck der Datenerhebung, also nur für den Einstellungsprozess und die Kandidatenauswahl notwendige Daten erfasst werden.
- Richtigkeit: Alle überlassenen Daten müssen jederzeit korrekt und auf dem neusten Stand sein.
- Speicherbegrenzung: Daten dürfen nur so lange wie nötig gespeichert werden.
- Vertraulichkeit: Die Sicherheit der personenbezogenen Daten muss gewährleistet sein. Dazu gehört der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Recruiter sind mit Inkrafttreten der DSGVO außerdem verpflichtet, alle Verarbeitungstätigkeiten aufzuzeichnen. Sie müssen die Zulässigkeit der Datenverarbeitung durch technische oder organisatorische Maßnahmen sicherstellen, die Technik datenschutzfreundlich gestalten, Datenschutzfolgen abschätzen können und Datenschutzverletzungen melden.
Wie lässt sich das alles umsetzen?
Ohne eigenes IT-System ist die Einhaltung der neuen Gesetzgebung kaum möglich. Es fängt damit an, dass Kandidaten in die Datenschutzerklärung einwilligen müssen. Weiter geht es damit, dass die Sichtberechtigung für Bewerberdaten, die auf dem Laufwerk gespeichert werden, stets eingeschränkt zu sein hat. Sie dürfen nur denjenigen, die auch mit der Bewerbung befasst sind, wie der Geschäftsführung, dem Personalsachbearbeiter, potenziellen Vorgesetzten und dem Betriebsrat, zugänglich sein. Ist das Laufwerk aber für andere offen, lassen Sie Bewerberunterlagen auf dem Schreibtisch liegen oder nutzen Sie etwa gemeinsam mit anderen Kollegen einen Kalender, in dem Bewerbungsgespräche namentlich vermerkt sind, geben Sie die Identität von Bewerbern preis und verstoßen somit ganz klar gegen den Datenschutz.
Des Weiteren muss nachgewiesen werden, dass Daten nach einer bestimmten Zeit gelöscht werden. Kommuniziert man mit Bewerbern per E-Mail und leitet interessante Bewerbungen an Fachbereiche weiter, wird es schwer sein, sicherzustellen, dass die Daten endgültig gelöscht sind. Mittels Bewerbermanagement-System lassen sich all diese Vorgänge automatisieren und Daten zentral an einem Ort speichern und verwalten. Außerdem ist der datenschutzkonforme Umgang mit allen Bewerberdaten lückenlos nachweisbar.
Ich empfehle Recruitern zudem immer, den Hinweis auf die Datenlöschung direkt ins Absageanschreiben mit aufzunehmen, um Rückfragen von Bewerbern zuvorzukommen.
Was raten Sie den betroffenen Firmen?
Meines Erachtens sind Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz nur mit einem elektronischen System rechtssicher möglich. Übertragen Sie die Aufgaben an einen Auftragsdatenverarbeiter, ist dieser ist in der Pflicht, Datensicherheitsmaßnahmen zu implementieren und Risikoanalysen der Datenverarbeitung durchzuführen. Firmen müssen nachweisen können, dass ihre Bewerber ihrer Datenschutzerklärung zugestimmt haben. Unsere Kunden lösen das mit dem d.vinci Bewerbermanagement-System, indem die Kandidaten schon vor dem Absenden über eine Checkbox aktiv in die Datenschutzerklärung des Kunden einwilligen müssen.
Ohne Genehmigung kommt der Bewerber gar nicht weiter. Alle Nutzer des Unternehmens werden mit einem individuell anpassbaren Rollenkonzept dargestellt, in dem jeder gemäß seiner Position die entsprechenden Berechtigungen erhält und somit nur die Daten sehen kann, für die er berechtigt ist. Außerdem muss auf Kundenseite sichergestellt werden, dass die Bewerberdaten einer Löschung zugeführt werden. Auch das ist kein Problem: Eine automatisierte Löschfrist kann im System ohne Weiteres implementiert werden. Noch gibt es keine rechtsverbindliche Definition für Zeiträume, sodass Verantwortliche eigene Fristen definieren und deren Einhaltung gewährleisten sollten. Bei unseren Kunden hat sich eine Löschung nach vier bis sechs Monaten bewährt. So bleiben die Daten auf jeden Fall bis zum Ablauf der Zweimonats-Frist für eine Diskriminierungsklage erhalten, um im Zweifelsfall die Möglichkeit zu haben, Diskriminierungsvorwürfe entkräften zu können.
Was wird dann aus Kandidaten, die möglicherweise nicht zu der ausgeschriebenen Stelle passen, aber zu einem späteren Zeitpunkt für eine andere Stelle infrage kämen?
Bewerberpools lassen sich auch immer noch aufbauen. Der Kandidat muss nur stets gefragt werden, ob er auch explizit einer Aufnahme in den Pool und somit einer längerfristigen Speicherung zustimmt, und er muss über die damit zusammenhängenden Löschfristen informiert werden.
Worauf sollten Unternehmen bei der Wahl eines Bewerbermanagement-Systems achten?
Wer einen Anbieter beauftragt, sollte darauf achten, dass dieser sowie auch Drittanbieter die Daten in der EU, am besten natürlich in Deutschland, speichern. Zudem sollten stets nur die Daten übermittelt werden, die zur Erbringung der Dienstleistung notwendig sind. Die d.vinci HR-Systems GmbH betreibt ihr Rechenzentrum in Hamburg und somit innerhalb der Europäischen Union. Darüber hinaus setzen wir auf bewährte Zertifizierungen (ISO 27001), die durch technisch-organisatorische Maßnahmen sicherstellen, dass die unternehmerischen und gesetzlichen Vorgaben eingehalten werden. Hierbei ist es auf jeden Fall wichtig, den Umfang (Scope) für eine Zertifizierung zu beachten und zu prüfen, ob nur das Rechenzentrum, in dem die Daten gespeichert werden, zertifiziert ist oder ALLE Prozesse seitens des Anbieters, der Ihre Daten verarbeitet.