HR Fachartikel

Sie wollen fachlich in die Tiefe gehen und das möglichst mit geringem Aufwand? Dann nutzen Sie unser für Sie zusammengestelltes HR Magazin. Hier finden Sie mit nur einem Klick Fachartikel zu allen HR relevanten Themen wie Lohn & Gehalt, Talent Management, Employer Branding und vielen mehr. 

 

« Zurück

DSGVO und Recruiting: Was Personaler dürfen und was nicht

Sie ist derzeit nicht nur in der HR-Szene eines der beherrschenden Themen: die EU-Datenschutzgrundverordnung (DSGVO). Vor zwei Jahren in Kraft getreten, ist sie vom 25. Mai 2018 an in allen EU-Staaten anzuwenden. Das bringt einige Änderungen bei der Verarbeitung von personenbezogenen Bewerberdaten mit sich, die Personaler kennen müssen. Bei Nichtbeachtung drohen drakonische Strafen.

DSGVO betrifft fast alle Unternehmen

Die DSGVO scheint sich zu einer Art Schreckgespenst für Unternehmen zu entwickeln. Kaum eine Woche vergeht, an dem nicht eine neue Studie konstatiert, dass die deutsche Wirtschaft mangelhaft auf den Stichtag vorbereitet ist. Das Thema ist komplex, weil heutzutage nahezu in allen Bereichen personenbezogene Daten verarbeitet werden - beim E-Mail-Marketing beispielsweise, in der Weiterbildung oder auf der Unternehmenswebseite. Ganz besonders aber betrifft es Personaler, bei denen die Arbeit mit Mitarbeiter- und Bewerberdaten zu den Kerntätigkeiten zählt.

Einiges, was nun in neuen Schläuchen daherkommt, stand so oder so ähnlich zwar bereits im Bundesdatenschutzgesetz (BDSG). Die Gefahr, bei einer missbräuchlichen Verwendung von Daten aufzufliegen, hielt sich aber ebenso wie ein eventuelles Strafmaß in Grenzen. Mit der DSGVO ändert sich das. Im schlimmsten Fall können Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des im Vorjahr erzielten Jahresumsatzes fällig werden. Daher ist es hinsichtlich der Recruiting-Prozesse unerlässlich, zu wissen, was künftig noch erlaubt ist - und was nicht.

Bewerberpool nur mit Zustimmung

Bewerber müssen bereits beim Eingang der Unterlagen über die Art der Datenerhebung informiert werden (Artikel 13 DSGVO). Darauf weist Klaus-Dieter Franzen, Fachanwalt für Arbeitsrecht, hin. Unter anderem sind ihnen der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls des Datenschutzbeauftragten zu nennen. Außerdem sind ihnen die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, und deren Rechtsgrundlage mitzuteilen. Auf die Unterlagen dürfen nur Personen zugreifen, die direkt mit dem Einstellungsprozess befasst sind. Hier müssen bei elektronischen Lösungen gegebenenfalls die Zugriffsrechte geprüft und eventuell eingeschränkt werden.

Auch Hinweise auf das Auskunfts- und das Löschungsrecht (Artikel 15 und 17) dürfen nicht fehlen. Dass die Bewerberdaten nur zweckgebunden gespeichert werden dürfen, war bisher schon so geregelt. Sie sind zu löschen oder zurückzugeben, wenn die Stelle besetzt wurde - mit zwei Ausnahmen. Zum einen können sie mit ausdrücklicher Zustimmung des Bewerbers länger gespeichert werden. Dies ist beispielsweise sinnvoll, wenn der Bewerber in einen Pool aufgenommen werden soll, um möglicherweise bei einer anderen, später ausgeschriebenen Vakanz zum Zug kommen zu können. "Der Bewerber hat das Recht, seine Einwilligung jederzeit zu widerrufen", erklärt Arbeitsrechtsexpertin Katharina Schumann von der Kanzlei Lehner und Kollegen.

Zudem wird eine Speicherung für bis zu sechs Monate nach der Besetzung noch als zulässig angesehen: Falls ein Bewerber wegen eines Verstoßes gegen das Allgemeine Gleichbehandlungsgesetz Klage erhebt, müssen Unternehmen zur Verteidigung beziehungsweise zur Klageerwiderung noch auf die Daten des Bewerbungsprozesses zugreifen können.

"Es ist strittig, ob es den Unternehmen datenschutzrechtlich erlaubt ist, Daten und Informationen des Bewerbers im Internet zu suchen", hebt Fachanwalt Franzen hervor. Die Recherche dürfte aber zumindest in berufsbezogenen Netzwerken zulässig sein.

Profiling in engen Grenzen

Eine wesentliche Änderung der DSGVO ist die Beweislastumkehr (Artikel 82 Abs. 3). Im Falle eines Rechtsstreits müssen Unternehmen nachweisen können, dass alle erforderlichen Maßnahmen zur Gewährleistung des Schutzes der personenbezogenen Daten getroffen wurden", erklären der Unternehmensberater Volker Reitler und Christoph Buluschek von Agenda Informationssysteme bei monster.de. Sie raten daher, die entsprechenden Sicherheitsvorkehrungen einheitlich und lückenlos zu dokumentieren.

Mit der DSGVO wird zudem auch das Profiling explizit geregelt (Artikel 22). Demnach haben betroffene Personen das Recht, "nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt". Dazu zählen nach Angaben der Wirtschaftskammer Österreich auch Online Assessment Tools, wenn dadurch vollautomatisch Bewerber aus dem Prozess ausgeschieden werden, ohne dass ein Mensch dies nachprüft. Ein solches Profiling ist im Regelfall nur mit der Einwilligung des Bewerbers möglich.

DSGVO als Chance begreifen

Auch wenn die DSGVO für die meisten Arbeitgeber viel Aufwand bedeutet, sollte sie nicht verteufelt werden. Im Gegenteil: Wer Bewerbern gegenüber signalisiert, dass seine Daten beim Unternehmen in guten Händen sind, kann Pluspunkte sammeln. Skandale wie jüngst etwa bei Facebook haben gezeigt, welch immenser Imageschaden bei unsachgemäßer Datenverarbeitung droht - von den finanziellen Sanktionsmöglichkeiten der Verordnung ganz zu schweigen. Der Dienstleister Jobtender24 hat einen Readyness-Check entwickelt, mit dem sich Unternehmen auf die neuen Vorgaben zum Bewerberdatenschutz vorbereiten können. Er kann kostenfrei nach Angabe von Kontaktdaten heruntergeladen werden.

Dieser Beitrag wurde erstellt von David Schahinian.

Durchschnitt (0 Stimmen)
Die durchschnittliche Bewertung ist 0.0 von max. 5 Sternen.