Die Datenschutz-Grundverordnung (DSGVO) wird die Art und Weise, wie Unternehmen global rekrutieren, auf den Kopf stellen. In unserem FAQ erfahren Recruiter, was die neuen Regelungen für sie bedeuten und wie sie sich jetzt schon vorbereiten können.
Betrifft die DSGVO auch die Daten von Nicht-EU-Bürgern, die innerhalb der EU leben?
Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von Personen, die sich in der Europäischen Union befinden.
Gilt die DSGVO für alle Daten, die ich ab dem 25. Mai 2018 speichere und verarbeite, oder betrifft sie auch die Daten, die ich bereits besitze, z. B. meinen Talent Pool?
Wenn Sie eine DSGVO-konforme Einwilligung der Kandidaten haben, dürfen Sie diese Daten weiterhin nutzen. Wir empfehlen, vorsichtig zu sein und alle Kandidaten um eine gültige Einwilligung zu ersuchen. Daten, für deren Verarbeitung Sie - aus welchen Gründen auch immer - keine Einwilligung haben, sollten Sie löschen.
Kann ein Bewerber die Einwilligung in die Datenverarbeitung erklären, indem er/sie diese in den eigenen Bewerbungsunterlagen inkludiert?
Die Herausforderung hierbei ist, dass der/die Kandidat/-in nicht weiß, wie Sie seine/ihre Daten verarbeiten werden, wo Sie diese speichern werden, mit wem Sie diese teilen werden. Daher ist ein in der persönlichen Bewerbungsmappe enthaltener Hinweis auf Einwilligung nur gültig, wenn der/die Kandidat/-in Ihre Datenschutzrichtlinien kennt. Beispiel: Wenn ein/-e Kandidat/-in schriftlich bestätigt, dass er/sie die Datenschutzrichtlinie an einem benannten Datum gesehen und verstanden hat und die URL inkludiert, gilt dies als Einwilligung.
In welcher Form kann die Einwilligung von Kandidaten eingeholt werden?
Wenn sich die Erlaubnis zur Datenverarbeitung auf die Einwilligung des Kandidaten stützt, müssen Sie nachweisen können, dass der/die Kandidat/-in diese erteilt hat. Ein schriftlicher Nachweis ist daher empfehlenswert.
Muss ich beim Einholen der Einwilligung explizit erläutern, wie ich die Daten verarbeiten werde?
Ja, Sie müssen dies deutlich und transparent kommunizieren.
Wie kann ich eine Einwilligung einholen, wenn ich kein Bewerbermanagementsystem benutze?
Dies ist eine große Herausforderung, da Sie zum Nachweis der Einwilligung verpflichtet sind. Ein schriftlicher Nachweis, von Ihren Kandidaten unterzeichnet, ist empfehlenswert.
Wenn ich die Einwilligung von einem Kandidaten einhole, muss ich dann mit ihm/ihr in einer bestimmten Sprache, z. B. der Muttersprache, kommunizieren?
Es gibt in der DSGVO keine Regelung, die Sie dazu zwingt, ihre Datenschutzinformationen in der Sprache Ihrer Kandidaten zur Verfügung zu stellen. Allerdings müssen Sie sicherstellen, dass Kandidaten diese verstehen können. Es kann also durchaus hilfreich sein, die Datenschutzrichtlinien zu übersetzen und sie so klar und verständlich zu formulieren, dass Kandidaten jeder Profession diese verstehen können.
Wie erhalte ich die Einwilligung von Kandidaten, deren Lebenslauf ich persönlich auf Recruiting-Messen erhalte?
Sie müssen einen Weg finden, deren Einwilligung zu dokumentieren. Zum Beispiel über ein Standardformular, das Sie unterzeichnen lassen und aufbewahren - dabei müssen Sie alle Rechte der Kandidaten beachten. Wenn Sie eine technische Lösung wie z. B. die Field Recruiting App von SmartRecruiters nutzen, erleichtert dies den Prozess.
Kann ich in der Datenschutzinformation an den Kandidaten alle möglichen Verwendungszwecke eintragen (z. B. sowohl Verarbeitung für bestimmte Position als auch Aufnahme in den Talent Pool) oder muss für jeden Zweck einzeln zugestimmt werden?
Der/Die Kandidat/-in muss akkurate Informationen erhalten. Sie müssen daher klar benennen, für welchen Zweck Sie die Daten nutzen, wer Zugriff auf die Informationen erhält (interne und externe Parteien), welche Rechte die Kandidaten haben, wen Sie im Fall von Beschwerden kontaktieren können, etc.
Wie kann ich bei Mitarbeiter-Empfehlungen DSGVO-konform agieren, da bei empfohlenen Kandidaten selten eine Einwilligung vorliegt?
Wenn Sie eine/-n Kandidaten/-in ansprechen, müssen Sie sicherstellen, dass Sie ein berechtigtes Interesse haben (z. B. eine konkrete Vakanz). Ist dies der Fall, müssen Sie sofort die schriftliche Einwilligung in die Datenverarbeitung einholen und den Kandidaten auf Ihre Datenschutzrichtlinien hinweisen. Sobald diese vorliegt, können Sie die Daten weiter verarbeiten.
Wenn ein Kandidat sich über ein Bewerbermanagementsystem bewirbt, kann dies als Einwilligung gedeutet werden?
Das hängt davon ab, wie Ihr Bewerbermanagementsystem die Einwilligung einholt und nachhält. Wenn dies entsprechend der DSGVO passiert, darf die Bewerbung als Einwilligung gezählt werden. Wir empfehlen, dass Sie sich mit Ihrem Anbieter in Verbindung setzen und sicherstellen, dass die Einwilligung DSGVO-konform eingeholt und dokumentiert wird.
Wenn ein Kandidat auf eine E-Mail antwortet, kann dies als Einwilligung gedeutet werden?
Nein. Um die Daten von Kandidaten speichern und verarbeiten zu dürfen, benötigen Sie die explizite Einwilligung von Kandidaten, d. h. dass Sie diese separat und dokumentierbar einholen müssen.
Wenn ein/-e Kandidat/-in sich nur bewerben kann, wenn er/sie der Datenverarbeitung zustimmt, kann dies als Diskriminierung ausgelegt werden?
Nach der DSGVO ist die Einwilligung ein unerlässlicher Schritt, bevor Sie die Daten Ihrer Kandidaten verarbeiten dürfen. Demnach müssen Sie die Einwilligung einholen, bevor Sie eine Bewerbung verarbeiten können - es handelt sich also nicht um Diskriminierung.
Kann die Abgabe/Einsendung der Bewerbung per E-Mail oder Brief als Einwilligung in die Datenverarbeitung gedeutet werden?
Nein. Um die Daten von Kandidaten speichern und verarbeiten zu dürfen, benötigen Sie die explizite Einwilligung von Kandidaten, d. h. dass Sie diese separat und dokumentierbar einholen müssen.
Darf ich Bewerbungen auf dem Postweg oder per E-Mail überhaupt noch annehmen?
Ja. Allerdings benötigen Sie die explizite Einwilligung von Kandidaten, um deren Daten speichern und verarbeiten zu dürfen, d. h. dass Sie diese separat und dokumentierbar einholen müssen.
Wie erhalte ich die Einwilligung von Bewerbern, die sich auf Ausschreibungen auf einer Stellenbörse bewerben?
Als der Verantwortlicher für die Datenverarbeitung (zukünftiger Arbeitgeber) sind Sie dafür zuständig, die Einwilligung in die Datenverarbeitung einzuholen. Allerdings müssen auch Stellenbörsen DSGVO-konform agieren. Wir empfehlen daher, die Nutzungsbedingungen der entsprechenden Stellenbörsen auf DSGVO-Konformität zu prüfen.
Wie erhalte ich die Einwilligung von Bewerbern, die sich auf Ausschreibungen auf der Homepage bewerben?
Ein Beispiel hierfür ist die Integration einer Checkbox. Durch das Anklicken der Checkbox bestätigen Kandidaten, die Datenschutzrichtlinien gelesen und akzeptiert zu haben, was die Einwilligung darstellt. Daten von Bewerbern sollten ohne diese Einwilligung nicht weiter bearbeitet werden.
Wird die Direktansprache von passiven Kandidaten unter der DSGVO weiterhin möglich sein?
Ja, allerdings gibt es dazu einiges zu beachten. Als Basis für das aktive Ansprechen von Kandidaten können Sie anbringen, dass Sie ein berechtigtes Interesse daran haben, Ihr Unternehmenswachstum durch Recruiting-Maßnahmen zu unterstützen, während die Kandidaten ein berechtigtes Interesse daran haben, von Ihnen bezüglich neuer Jobangebote angesprochen zu werden. Dennoch müssen Sie nach dem Herstellen des ersten Kontakts die Einwilligung der Kandidaten erhalten, deren Daten weiter zu verarbeiten, d. h. zu speichern etc.
Darf ich, um passive Kandidaten nachzuverfolgen, deren Daten in meinem Bewerbermanagementsystem speichern, bevor ich ihre Einwilligung erhalten habe?
Streng gesagt, nein. Um hier pragmatisch zu bleiben, sollten Sie berechtigtes Interesse geltend machen, wenn Sie die Kandidaten ansprechen, und dann sofort deren Einwilligung einholen.
Wie kann ich passive Kandidaten, z. B. auf LinkedIn oder XING, um Einwilligung in die Datenverarbeitung bitten?
Als Basis für das aktive Ansprechen von Kandidaten können Sie anbringen, dass Sie ein berechtigtes Interesse daran haben, Ihr Unternehmenswachstum durch Recruiting-Maßnahmen zu unterstützen, während die Kandidaten ein berechtigtes Interesse daran haben, von Ihnen bezüglich neuer Jobangebote angesprochen zu werden. Dennoch müssen Sie nach dem Herstellen des ersten Kontakts die Einwilligung der Kandidaten erhalten, deren Daten weiter zu verarbeiten, d. h. zu speichern etc.
Muss ich auch Kandidaten um Einwilligung bitten, deren öffentliche Profile anzeigen, dass sie auf der Suche nach neuen beruflichen Herausforderungen sind?
Ja.
Ist es erlaubt, Kandidaten zu kontaktieren, die man mithilfe einer Suchmaschine gefunden hat?
Ja, wenn es sich dabei um ein öffentliches Profil handelt, was es erlaubt, sich auf berechtigtes Interesse zu stützen.
Wenn ich eine/-n Kandidaten/-in in Bezug auf eine Vakanz kontaktiere, muss diese bereits öffentlich ausgeschrieben sein?
Nicht unbedingt. Das Wichtigste ist, dass Sie ein berechtigtes Interesse nachweisen können, diese/-n Kandidaten/-in zu kontaktieren, d. h. dass es eine echte Vakanz gibt.
Wenn ein/-e Kandidat/-in mir sein Profil auf einem Business-Netzwerk mitteilt und seine/ihre Kontaktinformationen mit mir teilt, darf ich ihn/sie dann kontaktieren?
Nach der DSGVO haben Sie das Recht, Kandidaten zu kontaktieren, wenn berechtigtes Interesse vorliegt, d. h. eine echte Vakanz existiert. Dennoch müssen Sie sofort die Einwilligung von Kandidaten einholen, bevor Sie deren Daten weiter verarbeiten dürfen.
Ist es noch erlaubt, mit Sourcing Tools zu arbeiten, die Bewerberdaten wie E-Mail-Adressen oder Telefonnummern recherchieren?
Momentan ist dies noch erlaubt. Das Wichtigste ist, dass Sie ein berechtigtes Interesse nachweisen können, diese/-n Kandidaten/-in zu kontaktieren, d. h. dass es eine echte Vakanz gibt, und dass Sie Kandidaten über ihre Rechte informieren sowie deren Einwilligung einholen. Wir empfehlen außerdem, die Nutzungsbedingungen der entsprechenden Tools zu auf DSGVO-Konformität überprüfen.
Dürfen persönliche Daten gespeichert werden, die öffentlich einsehbar sind, z. B. auf einer Firmen-Homepage?
Nein.
Darf ich weiterhin Profile aus LinkedIn oder XING in mein Bewerbermanagementsystem importieren?
Nach der DSGVO müssen Sie prüfen, ob Sie das Recht haben, Kandidaten-Informationen zu exportieren - prüfen Sie das direkt mit den entsprechenden Anbietern. Es muss außerdem berechtigtes Interesse vorliegen, d. h. eine echte Vakanz. Außerdem müssen Sie die Einwilligung von Kandidaten einholen, bevor Sie deren Daten weiter verarbeiten dürfen.
Ist es erlaubt, die Kontaktdaten von passiven Kandidaten innerhalb eines Excel-Dokuments zu speichern?
Ja, solange Sie ein berechtigtes Interesse nachweisen können, diese/-n Kandidaten/-in zu kontaktieren, d. h. dass es eine echte Vakanz gibt, und dass Sie Kandidaten über ihre Rechte informieren sowie deren Einwilligung einholen.
Wie kann ich sicherstellen, dass Bewerber ihre Daten einsehen können?
Es gibt zwei Möglichkeiten, Kandidaten Zugriff auf ihre persönlichen Daten zu geben:
1) Benennen Sie einen persönlichen Kontakt, der für Anfragen durch Kandidaten zur Verfügung steht und auf diese innerhalb eines genannten Zeitrahmens eingeht sowie die Nachhaltung dokumentiert.
2) Nutzen Sie ein Bewerbermanagementsystem, das es Kandidaten erlaubt, sich in Ihr Profil einzuloggen und Änderungen oder Löschungen eigenhändig vorzunehmen. Diese Option macht es einfacher, Änderungen zu dokumentieren.
Wenn ein/-e Kandidat/-in nicht länger an einer Stelle interessiert ist, darf ich seine/ihre Daten dann dennoch in meiner Datenbank speichern?
Ja, wenn der/die Kandidat/-in Ihnen erlaubt, seinen/ihren Namen in der Datenbank zu speichern. Sie müssen Kandidaten darüber informieren, was Sie mit ihren Daten machen, wenn die Erlaubnis zur Datenverarbeitung zurückgezogen wird oder Sie diese als Bewerber ablehnen.
Wenn ein/-e passive/-r Kandidat/-in der Datenspeicherung und -verarbeitung nicht zustimmt und seine/ihre Daten löschen lassen möchte, wie kann ich dann sicherstellen, dass er/sie nicht von einem anderen Kollegen kontaktiert wird?
Sie müssen sicherstellen, dass diese Daten in Ihrem Unternehmen verbreitet werden. Ihr Prozess sollte garantieren, dass den Wünschen des/-r Kandidaten/-in entsprochen wird. Streng genommen müssten Sie persönlich mit jedem Mitarbeiter sprechen und sicherstellen, dass die Daten gelöscht worden sind. Da dies sehr schwierig umzusetzen ist, sollten Sie Kandidaten um Erlaubnis bitten, Ihre Kontaktdaten aufzubewahren, um die Ehrung des Opt-out zu garantieren.
Welche Kontaktdaten müssen über einen Ansprechpartner für Anfragen von Kandidaten zur Datenverarbeitung bereitgestellt werden?
Es sollten zumindest eine E-Mail- sowie eine Post-Adresse zur Verfügung gestellt werden.
Dürfen persönliche Daten, z. B. Lebensläufe, auf persönlichen Festplatten der Mitarbeiter gespeichert werden?
Ja, wenn der/die Kandidat/-in über diese Form der Speicherung informiert ist.
Dürfen Bewerberdaten mit Kollegen geteilt werden, die in den Recruiting-Prozess involviert sind, z. B. in den Bewerbungsgesprächen?
Sie müssen in Ihren Datenschutzrichtlinien deutlich machen, mit wem Sie die Daten Ihrer Kandidaten teilen werden. Wenn Sie explizit gemacht haben, dass Sie die Daten mit den am Einstellungsprozess beteiligten Kollegen teilen werden, d. h. z. B. den Hiring-Managern, zukünftigen Kollegen und Vorgesetzten, ist dies genügend. Sie müssen nicht die Namen der jeweiligen Personen nennen.
Müssen Bewerber darüber informiert werden, wenn ihre Daten mit anderen, am Bewerbungsprozess beteiligten, Kollegen geteilt werden?
Wenn Sie in Ihren Datenschutzrichtlinien explizit gemacht haben, dass Sie die Daten mit den am Einstellungsprozess beteiligten Kollegen teilen werden, d. h. z. B. den Hiring-Managern, zukünftigen Kollegen und Vorgesetzten, ist dies genügend. Sie müssen nicht die Namen der jeweiligen Personen nennen. Wenn Sie die Daten allerdings mit externen Gruppen teilen möchten, die in den Datenschutzrichtlinien nicht genannt wurden, müssen Sie dafür eine erneute Einwilligung einholen.
Wie lange darf ich die Daten von Bewerbern speichern?
Wenn man die DSGVO sehr streng interpretiert, dürfen Bewerberdaten nur so lange gespeichert werden, wie der Zweck, für den man sie erhoben hat, d. h. die ausgeschriebene Stelle, besteht. Sobald dieser Zweck nicht mehr existiert, müssen die Daten gelöscht werden. Es liegt allerdings an Ihnen, wie Sie diesen Zweck formulieren. Wenn Sie z. B. festhalten, dass Sie die Daten so lange speichern werden, wie ein Kandidat an Stellen in Ihrem Unternehmen interessiert ist, haben Sie etwas Freiraum. In diesem Fall müssen Sie allerdings im Fall eines Audits in der Lage sein nachzuweisen, dass diese Kandidaten in der Tat noch an Stellen in Ihrem Unternehmen interessiert sind, z. B. durch Dokumentation, dass sie ihre Daten in den letzten 6 Monaten aktualisiert haben.
Darf ich Kandidaten um erneute Einwilligung bitten, um ihre Daten länger zu speichern?
Ja. Wenn Sie die Einwilligung Ihrer Kandidaten haben, diese zu kontaktieren, dürfen Sie um eine erneute Einwilligung zur Datenverarbeitung bitten.
Gibt es eine Regelung dafür, wie lange Daten von Bewerbern maximal gespeichert werden dürfen?
In diesem Fall müssen Sie leider die lokale Gesetzgebung zu Rate ziehen. SmartRecruiters bietet ein globales Compliance Center, das es einfach macht, die Datenverarbeitungsprinzipien an die lokalen Regeln anzupassen.
Wenn ich Kandidaten über eine Recruiting-Agentur erhalte, muss ich mit der Agentur ein Abkommen zur Auftragsdatenverarbeitung unterzeichnen?
Ja, in diesem Fall muss eine Datenschutzvereinbarung zwischen den betroffenen Parteien unterzeichnet werden.
Gibt es ein offizielles Gütesiegel für DSGVO-konforme Anbieter?
Aktuell gibt es noch keine offizielle Zertifizierung für DSGVO-Konformität.
Wer ist für die Einhaltung der DSGVO verantwortlich, wenn Kandidaten sich über eine Stellenbörse bewerben?
Als der Verantwortliche für die Datenverarbeitung (zukünftiger Arbeitgeber) sind Sie dafür zuständig, die Einwilligung in die Datenverarbeitung einzuholen. Allerdings müssen auch Stellenbörsen DSGVO-konform agieren. Wir empfehlen daher, die Nutzungsbedingungen der entsprechenden Stellenbörsen auf DSGVO-Konformität zu prüfen.
Wer ist für die Einhaltung der DSGVO verantwortlich, wenn Kandidaten über einen Talent Pool gesourct werden?
Grundsätzlich ist es in der Verantwortung der Anbieter von Talent Pools, DSGVO-Konformität sicherzustellen, wenn die Kandidatenprofile auf Anbieterseite gespeichert werden. Allerdings übernehmen Sie Verantwortung für die Daten, sobald Sie diese in Ihre Systeme einpflegen oder zu verarbeiten beginnen. Daher sollten Sie mit diesen Anbietern in Kontakt treten, um deren DSGVO-Konformität zu prüfen.
Wie kann nachgewiesen werden, welcher Version der Datenschutzbestimmungen ein Kandidat zugestimmt hat?
Die SmartRecruiters-Lösung erlaubt es, die Version der Datenschutzrichtlinien, der Kandidaten zustimmen, zu speichern und mit einem Datum zu versehen. Kandidaten stimmen immer der jeweils aktuellen Datenschutzrichtlinie zu. SmartRecruiters archiviert die Datenschutzrichtlinien, sodass stets nachvollzogen werden kann, welcher Version Kandidaten zugestimmt haben. Möchte ein Kunde jedoch seine speziellen Datenschutzrichtlinien hinzufügen, so ist es in seiner Verantwortung, die entsprechenden Versionen nachzuhalten.
Wer kontrolliert, ob Bewerberdaten tatsächlich aus Ihren Systemen gelöscht wurden?
Im Falle eines Audits müssen Sie in der Lage sein nachzuweisen, dass Sie allen Kandidatenanfragen DSGVO-konform nachgekommen sind. Unsere Empfehlung ist es, einen Datenschutzbeauftragten zu benennen, dessen Verantwortung es ist, innerhalb des Unternehmens Audits durchzuführen und die Einhaltung der DSGVO zu überprüfen.
In unserem Whitepaper erfahren Sie, wie Sie die Einhaltung des Datenschutzes bei der Verarbeitung personenbezogener Daten innerhalb Ihrer Recruiting-Prozesse gewährleisten können:
Sie erfahren außerdem:
Wir unterstützen unsere Kunden bei der Einhaltung ihrer Compliance-Ziele in all ihren Recruiting-Aktivitäten. Falls Sie mehr über die SmartRecruiters-Plattform oder speziell über unsere integrierten Compliance-Funktionen erfahren möchten, würden wir uns gerne mit Ihnen unterhalten.