16. Januar 2018
Was die DSGVO für Recruiting und Active Sourcing bedeutet
Lesezeit: 9 Min. HRRecruiting
Es ist schon verwunderlich, wie wenig Staub die DSGVO in der Recruiting-Welt bisher aufgewirbelt hat. Allerdings betrifft das nicht nur die HR-Welt. DSGVO steht für Datenschutz-Grundverordnung, quasi die Europäische Rechtsgrundlage für den Datenschutz. Und gerade im Recruiting gibt’s ja jede Menge Daten, die erhoben werden, allen voran die Bewerberdaten. Da diese Regelung, die nun nach zwei Jahren Vorlaufzeit am 25. Mai endgültig in Kraft tritt, doch die ein oder andere Auswirkung aufs Recruiting und des HR-Bullshit Bingos liebstes Kind, das Active Sourcing, hat, habe ich mich des Themas pflichtschuldig angenommen und mich durch staubige Paragraphen gewälzt.
Das allerdings scheint mir auch dringend notwendig, wenn ich mir so manche Karriere-Website bzw. die dort eingeleiteten Recruiting-Prozesse so ansehe oder auch, wenn ich höre, wie teilweise mit Bewerberdaten in Unternehmen umgegangen wird. Natürlich gilt wie immer “wo kein Kläger ist, da auch kein Richter”, wenn aber erstmal ein Kläger da ist, kann es verdammt teuer werden. Aufgrund der nicht unerheblichen Auswirkungen des DSGVO auf Recruiting und Active Sourcing habe ich diesen Aspekt auch mit in den Recruiting Trends für 2018 aufgeführt.
Was ist die DSGVO?
Ich will es nicht unnötig kompliziert machen, daher hier eine möglichst simple Darstellung: Die Datenschutz-Grundverordnung (DSGVO) ist der sinnvolle Versuch, den Datenschutz europaweit zu vereinheitlichen. Im Fokus steht dabei der Schutz personenbezogener Daten innerhalb der Europäischen Union (wobei der uns ja eigentlich total egal ist, wie die fleißige Nutzung von Facebook oder WhatsApp uns immer wieder vor Augen führt).
Was die DSGVO so brisant macht, sind vor allem die abschreckenden Strafen: Je nach Verstoß können Bußgelder von bis zu 10 oder 20 Millionen Euro bzw. 2 oder 4 Prozent des weltweiten Jahresumsatzes erhoben werden. Hier sollte man sich gut überlegen, ob man das Ganze nach Gurken-, Pizza- oder Arbeitstättenverordnung nur als weitere Spinnerei aus Brüssel abtut oder die verbleibende Zeit nutzt und handelt.
Noch
null Tage
bis die DSGVO in Kraft tritt!
Anwendungsbereich
Gemäß Artikel 2 DSGVO gilt diese Verordnung “für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Aufs Recruiting bezogen heißt das, dass es um die Verarbeitung (sprich Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich, Verknüpfung und die Einschränkung, das Löschen oder das Vernichten) von Bewerberdaten geht.
Weiter findet das Ganze neben den “betroffenen Personen” (also den Bewerbern) Anwendung auf “Verantwortliche” (also Sie, die Recruiter oder Personaler oder Hiring Manager) und “Auftragsverarbeiter” (also die Anbieter von E-Recruiting-Software). Allerdings muss an dieser Stelle erwähnt werden, dass Sie als Verantwortlicher (das impliziert ja schon der Begriff) verantwortlich für die DSGVO-Konformität der von Ihnen verwendeten E-Recruiting-Software sind – und nicht der Anbieter der Software selbst. Sie tun also gut daran, zu überprüfen, inwieweit die Lösung DSGVO-konform (das schließt auch das Hosting auf EU-Servern ein, sind diese Dienstleister aus Drittstaaten, müssen Verantwortliche zudem die Rechtsgrundlagen für eine internationale Datenübermittlung prüfen) ist und ob die Datenschutzhinweise gemäß DSGVO aktualisiert wurden.
Und natürlich geht das Ganze weit über das hinaus, schließlich werden Bewerberdaten ja auch gerne noch in anderen Datenbanken (oder auch Ordnern auf der Festplatte oder in Outlook oder im XING Talentmanager oder wo auch immer) gespeichert und auch gerne mal Dokumente ausgedruckt und dann – ganz im Trend des Digitalisierungswahns – ausgedruckt. Die große Herausforderung ist es also, den gesamten Recruiting-Prozess DSGVO-konform zu gestalten. Das indes birgt wunderbare Chancen, ineffiziente Recruiting-Prozesse mal zu durchleuchten und neu zu gestalten. Sie werden staunen, wie effizient sich auf einmal Bewerbungen handhaben lassen!
Eigentlich können Sie als Recruiter nichts tun, was nicht irgendwie unter die DSGVO fällt. Zumindest nicht als pflichtbewusster ;). Schließlich ist die Verarbeitung der Bewerberdaten vor allem dann rechtmäßig, wenn “die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat“.
Einwilligung in Verarbeitung der Bewerberdaten muss explizit erfolgen
Hat nun ein Bewerber seine Einwilligung gegeben, wenn er sich aus freien Stücken bei Ihnen bewirbt? Nein. Denn hier greift nun zusätzlich das novellierte Bundesdatenschutzgesetz, welches auf den schönen Namen “Bundesdatenschutzgesetz (neu)” hört. Genauer auf den Paragraphen 26, der eigentlich für Beschäftigte gilt. Hier wiederum aber sagt das BDSG, dass “Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis als Beschäftigte gelten“. [Anmerkung: In einer früheren Version dieses Artikels war das falsch dargestellt worden. Das kommt eben dabei heraus, wenn man sich als Nicht-Jurist mit solchen Themen beschäftigt. Aber irgendjemand musste Ihnen das Thema noch mal unter die Nase reiben, wie mir die Reaktionen und Zugriffszahlen auf diesen Artikel zeigen. An dieser Stelle vielen Dank an Rechtsanwältin Nina Diercks für die Richtigstellung und den dezenten Hinweis].
Während also bei einer normalen Bewerbung keine Einwilligung erforderlich ist, reicht es bei einer Bewerbung via Online-Formular oder einer Karriere-Website insbesondere dann, wenn diese Daten bspw. in einen Talentpool fließen, nicht aus, einfach nur einen Text à la “mit Abschicken Ihrer Bewerbung haben Sie automatisch Ihre Einwilligung zur Verarbeitung Ihrer Bewerberdaten gegeben” zu hinterlegen. Vielmehr muss der Bewerber hier explizit und aktiv dem Ganzen zustimmen. Sie müssen den Kandidaten gewissermaßen optisch dazu in die Lage versetzen, aktiv diese Zustimmung zu geben. Möglich ist das bspw. durch eine einfache Checkbox oder einen entsprechenden Button und einem Vermerk wie “Hiermit stimme ich der Verarbeitung meiner Bewerberdaten und der Datenschutzerklärung zu”.
Dass die Übertragung der Bewerberdaten verschlüsselt erfolgen muss, sollte eigentlich selbstverständlich sein (schon verrückt, bereits in meiner Diplomarbeit von 2004 habe ich den Punkt abgefragt, bei wie vielen Unternehmen eine verschlüsselte Bewerbung erfolgt. Denn Datenschutz ist nicht erst seit heute ein Thema. Allerdings war es auch nie so bedeutsam und hatte solch massive Auswirkungen, wenn man sich nicht an die Bewerbung gehalten hat, wie das nun dank der DSGVO der Fall ist).
Bewerbung per Post
Besonders spannend wäre es ohne den Paragraphen 26 des BDSG neu im Falle einer Bewerbung per Post geworden. Denn die DSGVO bezieht sich ja nicht nur auf das Online-Recruiting, sondern generell auf alle Bereiche, wo Datenaustausch stattfindet. Im Extremfall (angenommen der Bewerber hat keine Mail-Adresse, was in der Tat gar nicht soo abwegig ist, weil tatsächlich im Jahr 2017 laut ARD/ZDF-Onlinestudie nur rund 62,4 Millionen Menschen in Deutschland das Internet nutzten und längst nicht jeder einen Internetzugang hat) hätte das bedeutet, dass Sie per Post eine Eingangsbestätigung versenden müssen, die eine Einwilligung des Bewerbers zur Datenverarbeitung beinhaltet – mit der Bitte, diese bestätigt per Post zurückzusenden natürlich und erst dann hätten Sie mit der Speicherung der Bewerberdaten beginnen dürfen. Wobei das mit dem Datenschutz bei der Post ohnehin so eine Sache ist. Andererseits hatte das ZDF seinerzeit auf der Suche nach dem Social Media Manager explizit den Postweg gewählt, weil eine Online-Bewerbung nicht sicher sei.
DSGVO und Active Sourcing
Nun werden Sie sich vielleicht fragen, ob Active Sourcing denn dann unter den gegebenen Umständen überhaupt noch möglich ist. Schließlich kann ich ja kaum einen Kandidaten aktiv ansprechen, wenn ich nicht zuvor seine explizite Zustimmung abgefragt habe. Hier zeigt sich einmal wieder sehr schön, wie es ist, wenn man sich eine hübsche Verordnung ausdenkt, aber nicht alle Folgen für die Praxis bedenkt. So auch hier. Theoretisch ist Active Sourcing so also nicht mehr möglich, denn bereits das Anschreiben ohne die Einwilligung des Adressaten würde hier einen Verstoß bedeuten. Allerdings gilt auch hier: Keine Regel ohne Ausnahme. Und derer gibt es hier streng genommen sogar zwei. Die eine ergibt sich wiederum aus Artikel 6 (1) f): Demnach ist die Verarbeitung nämlich auch rechtmäßig, wenn “die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist“.
Und natürlich werden hier gleich zwei berechtigte Interessen gewahrt. Nämlich die des Unternehmens, welches selbstverständlich ein berechtigtes Interesse hat, die ausgeschriebene Stelle mit den bestmöglichen Kandidaten zu besetzen. Und natürlich die des Kandidaten, der natürlich das berechtigte Interesse hat, den bestmöglichen Job angeboten zu bekommen. Und dass er solche Jobs angeboten bekommt und seine Daten von Unternehmen zur Kontaktaufnahme genutzt werden, davon muss er einfach ausgehen, wenn er sich auf XING oder LinkedIn oder einer Lebenslauf-Datenbank anmeldet. Plattformen also, auf denen solche Daten mehr oder minder öffentlich einsehbar liegen und die als Business-Netzwerke bekannt sind. Anders sieht es aus auf Facebook & Co. Hier ist eine aktive Ansprache nicht erlaubt (war es bisher auch nicht, was aber niemanden gestört hat, weil: Wo kein Kläger, da kein Richter).
Datenschutzbestimmungen vollständig und leicht zugänglich
Nun ist die Einwilligung des Bewerbers zur Verarbeitung seiner Daten nur ein Teil der DSGVO. Natürlich muss das Unternehmen auch umfassende Datenschutzbestimmungen bereitstellen. Diese wiederum leicht zugänglich, natürlich auch über mobile Endgeräte. PDF und iFrame im iFrame sind also tabu (aber leider in vielen Fällen an der Tagesordnung. Dies ist zwar besser als keinerlei Datenschutzbestimmungen, was wiederum ebenfalls in vielen Fällen an der Tagesordnung ist, dennoch…). In diesen Bestimmungen muss er erfahren (Auskunftsrecht der betroffenen Person), wer eigentlich die Daten bearbeitet und speichert, er muss darüber informiert werden, wie lange die Daten gespeichert werden und natürlich muss er auch die Möglichkeit haben, seine Zustimmung zurückzunehmen, also ein Widerrufsrecht ausüben zu können. Ein Beispiel, wie eine solche Datenschutzerklärung aussehen könnte, zeigt dieser Screenshot.
Hierbei ergeben sich auch gleich wieder neue Herausforderungen: Zum einen hat der Bewerber das Recht, jederzeit seine Daten (und zwar sämtliche über ihn angelegte) einzusehen. Theoretisch könnte es also sein, dass das Telefon bei Ihnen klingelt und ein Bewerber Dateneinsicht verlangt (das ist zwar relativ unwahrscheinlich, aber man hat auch schon Pferde kotzen sehen). Und dann müssen Sie in der Lage sein, sämtliche Interaktionen mit dem Kandidaten offenzulegen – vom Erstkontakt bis hin zur Einstellung oder auch Freisetzung. Und es muss möglich sein, diese Daten zu ändern und zu löschen. Das wiederum stellt insbesondere die Unternehmen vor eine große Herausforderung, die insbesondere viele Medienbrüche haben: Hier ein Outlook-Eintrag, dort eine Excel-Tabelle, hier ein Recruiting-Tool, da ein Ordner, dort der Ausdruck.
DSGVO als Chance für bessere Recruiting-Prozesse
Was für viele Unternehmen eine echte Herausforderung darstellt, ist für andere wiederum eine Riesen-Chance. Sie können Ihren Recruiting-Prozess komplett neu aufstellen und endlich für die notwendige Transparenz sorgen (die auf der anderen Seite auch viel Effizienz bringen wird), Sie können alte Zöpfe abschneiden und sich von veralteter HR-Software trennen und neue, effiziente Lösungen einführen, die nicht nur effizienter, sondern auch kostengünstiger und zeitgemäßer sind. Letztendlich bietet die DSGVO also auch die Chance, eine neue E-Recruiting-Software einzuführen. Was in Anbetracht dessen, was die DSGVO fordert, ein kaum zu vermeidender Schritt ist (und ganz nebenbei, wie von Zauberhand, zu effizienterem und schnellerem Recruiting führt). Für kleinere Unternehmen gibt’s sogar kostenlose Lösungen wie bspw. Smartrecruiters oder Yawik, aber die wenigen Euro, die eine schlanke, aber leistungsfähige E-Recruiting-Lösung heutzutage kostet, sollte man auf jeden Fall bereit zu investieren.
Datenschutz: Was bedeutet die DSGVO für den Einsatz von (Online-)Auswahltests im Recruiting? - Recrutainment Blog
personalmarketing2null
Barbara Bayer
Joerg Hoefig
personalmarketing2null
Nina Diercks