Im Recruiting und im Bewerbungsprozess werden viele persönliche Daten ausgetauscht. Die neue Datenschutz-Grundverordung DS-GVO, welche seit dem 25. Mai 2018 in Kraft trat, regelt verbindlich für Unternehmen und Organisationen jeder Größenordnung den Umgang mit persönlichen Daten. Damit hat die DS-GVO direkten Einfluss auf das Recruitment. Sie setzt Grenzen und Normen für die Verarbeitung von Bewerberdaten (i. S. v. Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich, Verknüpfung und die Einschränkung, das Löschen oder das Vernichten).

Wichtiger Kernpunkt ist, dass die betroffene Person (Bewerber/in) ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

In der Praxis bedeutet dies, dass:

  • dem/r Bewerber/in bei oder direkt nach Abgabe seiner Bewerbung mitgeteilt werden muss, was mit seinen/ihren Daten geschehen soll und was nicht,
  • er/sie aktiv die Zustimmung zur Verarbeitung / Speicherung seiner Daten geben muss (z. B.  Checkbox (Formularbewerbung) oder eine explizite Info per E-Mail mit Antwortoption).

Darüber hinaus fordert die Verordnung, dass:

  • der/die Bewerber/in jederzeit Zugang zu den Daten haben muss,
  • die Daten für sie/ihn “verfügbar” gemacht werden müssen,
  • ein Recht auf “Vergessenwerden” eingeräumt und die Bewerbungsdaten restlos löschbar sein müssen,
  • Bewerberdaten so lange aufbewahrt werden müssen, bis ihr Zweck erlischt,
  • Bewerber/innen ein Recht auf Korrektur und Anpassung ihrer Daten haben,
  • alles zuvor genannte protokolliert und damit nachvollziehbar sein muss.

Wichtig ist auch die Frage, wer Zugang zu den Bewerbungen hat. Herumliegende Bewerbungsunterlagen auf Schreibtischen in offenen Büros sind damit genauso tabu wie das Versenden von Rundmails mit Bewerbungen im Anhang an die Nachbarabteilung ohne protokollierbaren Zugriff oder Quittierung.

Unternehmen mit einem gut gemanagten Recruitmentprozess durch geschulte Personaler, die ein aktuelles Bewerbungsmanagementsystem verwenden, haben wenig zu befürchten, wenn ihr Datenschutzbeauftragter für das angewendete Recruitmentverfahren grünes Licht auch für die neue DS-GVO gegeben hat.

Auf der sicheren Seite sind Organisationen, die ihr Recruitment im Sinne eines “Managed Process” durch Auftragsarbeit gem. §28 DS-GVO an einen kompetenten RPO-Partner übertragen, der die Einhaltung der Datenschutz-Grundverordnung DS-GVO in Form einer schriftliche Erklärung und ggf. Vorlage weiterer Nachweise bestätigt.

Für alle anderen Organisationen (Unternehmen, öffentliche Auftraggeber, Kommunen, Vereine, …) wird es eng. Es drohen empfindliche Geldbußen bei Verstößen. Wir raten dringend zu einer Einbindung von Experten, insbesondere der jeweiligen Datenschutzbeauftragten.

Sie wollen mit Ihrem Recruitment Rechtssicherheit erlangen oder haben noch Fragen zur DS-GVO? Rufen Sie uns noch heute an, wir helfen Ihnen gerne weiter.