Was die DSGVO für Recruiting und Active Sourcing bedeutet

Lesezeit: 9 Min. HRRecruiting

Es ist schon verwunderlich, wie wenig Staub die DSGVO in der Recruiting-Welt bisher aufgewirbelt hat. Allerdings betrifft das nicht nur die HR-Welt. DSGVO steht für Datenschutz-Grundverordnung, quasi die Europäische Rechtsgrundlage für den Datenschutz. Und gerade im Recruiting gibt’s ja jede Menge Daten, die erhoben werden, allen voran die Bewerberdaten. Da diese Regelung, die nun nach zwei Jahren Vorlaufzeit am 25. Mai endgültig in Kraft tritt, doch die ein oder andere Auswirkung aufs Recruiting und des HR-Bullshit Bingos liebstes Kind, das Active Sourcing, hat, habe ich mich des Themas pflichtschuldig angenommen und mich durch staubige Paragraphen gewälzt.

Das allerdings scheint mir auch dringend notwendig, wenn ich mir so manche Karriere-Website bzw. die dort eingeleiteten Recruiting-Prozesse so ansehe oder auch, wenn ich höre, wie teilweise mit Bewerberdaten in Unternehmen umgegangen wird. Natürlich gilt wie immer “wo kein Kläger ist, da auch kein Richter”, wenn aber erstmal ein Kläger da ist, kann es verdammt teuer werden. Aufgrund der nicht unerheblichen Auswirkungen des DSGVO auf Recruiting und Active Sourcing habe ich diesen Aspekt auch mit in den Recruiting Trends für 2018 aufgeführt.

Was ist die DSGVO?

Ich will es nicht unnötig kompliziert machen, daher hier eine möglichst simple Darstellung: Die Datenschutz-Grundverordnung (DSGVO) ist der sinnvolle Versuch, den Datenschutz europaweit zu vereinheitlichen. Im Fokus steht dabei der Schutz personenbezogener Daten innerhalb der Europäischen Union (wobei der uns ja eigentlich total egal ist, wie die fleißige Nutzung von Facebook oder WhatsApp uns immer wieder vor Augen führt).

DSGVO in den Unternehmen noch nicht angekommen - Grafik und Quelle bitkom

Was die DSGVO so brisant macht, sind vor allem die abschreckenden Strafen: Je nach Verstoß können Bußgelder von bis zu 10 oder 20 Millionen Euro bzw. 2 oder 4 Prozent des weltweiten Jahresumsatzes erhoben werden. Hier sollte man sich gut überlegen, ob man das Ganze nach Gurken-, Pizza- oder Arbeitstättenverordnung nur als weitere Spinnerei aus Brüssel abtut oder die verbleibende Zeit nutzt und  handelt.

Noch

null Tage

bis die DSGVO in Kraft tritt!

Anwendungsbereich

Gemäß Artikel 2 DSGVO gilt diese Verordnung “für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Aufs Recruiting bezogen heißt das, dass es um die Verarbeitung (sprich Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich, Verknüpfung und die Einschränkung, das Löschen oder das Vernichten) von Bewerberdaten geht.

Weiter findet das Ganze neben den “betroffenen Personen” (also den Bewerbern) Anwendung auf “Verantwortliche” (also Sie, die Recruiter oder Personaler oder Hiring Manager) und “Auftragsverarbeiter” (also die Anbieter von E-Recruiting-Software). Allerdings muss an dieser Stelle erwähnt werden, dass Sie als Verantwortlicher (das impliziert ja schon der Begriff) verantwortlich für die DSGVO-Konformität der von Ihnen verwendeten E-Recruiting-Software sind – und nicht der Anbieter der Software selbst. Sie tun also gut daran, zu überprüfen, inwieweit die Lösung DSGVO-konform (das schließt auch das Hosting auf EU-Servern ein, sind diese Dienstleister aus Drittstaaten, müssen Verantwortliche zudem die Rechtsgrundlagen für eine internationale Datenübermittlung prüfen) ist und ob die Datenschutzhinweise gemäß DSGVO aktualisiert wurden.

Und natürlich geht das Ganze weit über das hinaus, schließlich werden Bewerberdaten ja auch gerne noch in anderen Datenbanken (oder auch Ordnern auf der Festplatte oder in Outlook oder im XING Talentmanager oder wo auch immer) gespeichert und auch gerne mal Dokumente ausgedruckt und dann – ganz im Trend des Digitalisierungswahns – ausgedruckt. Die große Herausforderung ist es also, den gesamten Recruiting-Prozess DSGVO-konform zu gestalten. Das indes birgt wunderbare Chancen, ineffiziente Recruiting-Prozesse mal zu durchleuchten und neu zu gestalten. Sie werden staunen, wie effizient sich auf einmal Bewerbungen handhaben lassen!

Eigentlich können Sie als Recruiter nichts tun, was nicht irgendwie unter die DSGVO fällt. Zumindest nicht als pflichtbewusster ;). Schließlich ist die Verarbeitung der Bewerberdaten vor allem dann rechtmäßig, wenn “die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat“.

Einwilligung in Verarbeitung der Bewerberdaten muss explizit erfolgen

Hat nun ein Bewerber seine Einwilligung gegeben, wenn er sich aus freien Stücken bei Ihnen bewirbt? Nein. Denn hier greift nun zusätzlich das novellierte Bundesdatenschutzgesetz, welches auf den schönen Namen “Bundesdatenschutzgesetz (neu)” hört. Genauer auf den Paragraphen 26, der eigentlich für Beschäftigte gilt. Hier wiederum aber sagt das BDSG, dass “Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis als Beschäftigte gelten“. [Anmerkung: In einer früheren Version dieses Artikels war das falsch dargestellt worden. Das kommt eben dabei heraus, wenn man sich als Nicht-Jurist mit solchen Themen beschäftigt. Aber irgendjemand musste Ihnen das Thema noch mal unter die Nase reiben, wie mir die Reaktionen und Zugriffszahlen auf diesen Artikel zeigen. An dieser Stelle vielen Dank an Rechtsanwältin Nina Diercks für die Richtigstellung und den dezenten Hinweis].

Während also bei einer normalen Bewerbung keine Einwilligung erforderlich ist, reicht es bei einer Bewerbung via Online-Formular oder einer Karriere-Website insbesondere dann, wenn diese Daten bspw. in einen Talentpool fließen, nicht aus, einfach nur einen Text à la “mit Abschicken Ihrer Bewerbung haben Sie automatisch Ihre Einwilligung zur Verarbeitung Ihrer Bewerberdaten gegeben” zu hinterlegen. Vielmehr muss der Bewerber hier explizit und aktiv dem Ganzen zustimmen. Sie müssen den Kandidaten gewissermaßen optisch dazu in die Lage versetzen, aktiv diese Zustimmung zu geben. Möglich ist das bspw. durch eine einfache Checkbox oder einen entsprechenden Button und einem Vermerk wie “Hiermit stimme ich der Verarbeitung meiner Bewerberdaten und der Datenschutzerklärung zu”.

Die DSGVO erfordert die aktive Einwilligung des Bewerbers zur Verarbeitung seiner Bewerberdaten

Dass die Übertragung der Bewerberdaten verschlüsselt erfolgen muss, sollte eigentlich selbstverständlich sein (schon verrückt, bereits in meiner Diplomarbeit von 2004 habe ich den Punkt abgefragt, bei wie vielen Unternehmen eine verschlüsselte Bewerbung erfolgt. Denn Datenschutz ist nicht erst seit heute ein Thema. Allerdings war es auch nie so bedeutsam und hatte solch massive Auswirkungen, wenn man sich nicht an die Bewerbung gehalten hat, wie das nun dank der DSGVO der Fall ist).

Bewerbung per Post

Besonders spannend wäre es ohne den Paragraphen 26 des BDSG neu im Falle einer Bewerbung per Post geworden. Denn die DSGVO bezieht sich ja nicht nur auf das Online-Recruiting, sondern generell auf alle Bereiche, wo Datenaustausch stattfindet. Im Extremfall (angenommen der Bewerber hat keine Mail-Adresse, was in der Tat gar nicht soo abwegig ist, weil tatsächlich im Jahr 2017 laut ARD/ZDF-Onlinestudie nur rund 62,4 Millionen Menschen in Deutschland das Internet nutzten und längst nicht jeder einen Internetzugang hat) hätte das bedeutet, dass Sie per Post eine Eingangsbestätigung versenden müssen, die eine Einwilligung des Bewerbers zur Datenverarbeitung beinhaltet – mit der Bitte, diese bestätigt per Post zurückzusenden natürlich und erst dann hätten Sie mit der Speicherung der Bewerberdaten beginnen dürfen. Wobei das mit dem Datenschutz bei der Post ohnehin so eine Sache ist. Andererseits hatte das ZDF seinerzeit auf der Suche nach dem Social Media Manager explizit den Postweg gewählt, weil eine Online-Bewerbung nicht sicher sei.

Online-Bewerbung aus datenschutzrechtlichen Gründen nicht möglich

DSGVO und Active Sourcing

Nun werden Sie sich vielleicht fragen, ob Active Sourcing denn dann unter den gegebenen Umständen überhaupt noch möglich ist. Schließlich kann ich ja kaum einen Kandidaten aktiv ansprechen, wenn ich nicht zuvor seine explizite Zustimmung abgefragt habe. Hier zeigt sich einmal wieder sehr schön, wie es ist, wenn man sich eine hübsche Verordnung ausdenkt, aber nicht alle Folgen für die Praxis bedenkt. So auch hier. Theoretisch ist Active Sourcing so also nicht mehr möglich, denn bereits das Anschreiben ohne die Einwilligung des Adressaten würde hier einen Verstoß bedeuten. Allerdings gilt auch hier: Keine Regel ohne Ausnahme. Und derer gibt es hier streng genommen sogar zwei. Die eine ergibt sich wiederum aus Artikel 6 (1) f): Demnach ist die Verarbeitung nämlich auch rechtmäßig, wenn “die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist“.

Und natürlich werden hier gleich zwei berechtigte Interessen gewahrt. Nämlich die des Unternehmens, welches selbstverständlich ein berechtigtes Interesse hat, die ausgeschriebene Stelle mit den bestmöglichen Kandidaten zu besetzen. Und natürlich die des Kandidaten, der natürlich das berechtigte Interesse hat, den bestmöglichen Job angeboten zu bekommen. Und dass er solche Jobs angeboten bekommt und seine Daten von Unternehmen zur Kontaktaufnahme genutzt werden, davon muss er einfach ausgehen, wenn er sich auf XING oder LinkedIn oder einer Lebenslauf-Datenbank anmeldet. Plattformen also, auf denen solche Daten mehr oder minder öffentlich einsehbar liegen und die als Business-Netzwerke bekannt sind. Anders sieht es aus auf Facebook & Co. Hier ist eine aktive Ansprache nicht erlaubt (war es bisher auch nicht, was aber niemanden gestört hat, weil: Wo kein Kläger, da kein Richter).

Datenschutzbestimmungen vollständig und leicht zugänglich

Nun ist die Einwilligung des Bewerbers zur Verarbeitung seiner Daten nur ein Teil der DSGVO. Natürlich muss das Unternehmen auch umfassende Datenschutzbestimmungen bereitstellen. Diese wiederum leicht zugänglich, natürlich auch über mobile Endgeräte. PDF und iFrame im iFrame sind also tabu (aber leider in vielen Fällen an der Tagesordnung. Dies ist zwar besser als keinerlei Datenschutzbestimmungen, was wiederum ebenfalls in vielen Fällen an der Tagesordnung ist, dennoch…). In diesen Bestimmungen muss er erfahren (Auskunftsrecht der betroffenen Person), wer eigentlich die Daten bearbeitet und speichert, er muss darüber informiert werden, wie lange die Daten gespeichert werden und natürlich muss er auch die Möglichkeit haben, seine Zustimmung zurückzunehmen, also ein Widerrufsrecht ausüben zu können. Ein Beispiel, wie eine solche Datenschutzerklärung aussehen könnte, zeigt dieser Screenshot.

DSGVO - Beispiel für eine Datenschutzerklärung am Beispiel Softgarden

Hierbei ergeben sich auch gleich wieder neue Herausforderungen: Zum einen hat der Bewerber das Recht, jederzeit seine Daten (und zwar sämtliche über ihn angelegte) einzusehen. Theoretisch könnte es also sein, dass das Telefon bei Ihnen klingelt und ein Bewerber Dateneinsicht verlangt (das ist zwar relativ unwahrscheinlich, aber man hat auch schon Pferde kotzen sehen). Und dann müssen Sie in der Lage sein, sämtliche Interaktionen mit dem Kandidaten offenzulegen – vom Erstkontakt bis hin zur Einstellung oder auch Freisetzung. Und es muss möglich sein, diese Daten zu ändern und zu löschen.  Das wiederum stellt insbesondere die Unternehmen vor eine große Herausforderung, die insbesondere viele Medienbrüche haben: Hier ein Outlook-Eintrag, dort eine Excel-Tabelle, hier ein Recruiting-Tool, da ein Ordner, dort der Ausdruck.

DSGVO als Chance für bessere Recruiting-Prozesse

Was für viele Unternehmen eine echte Herausforderung darstellt, ist für andere wiederum eine Riesen-Chance. Sie können Ihren Recruiting-Prozess komplett neu aufstellen und endlich für die notwendige Transparenz sorgen (die auf der anderen Seite auch viel Effizienz bringen wird), Sie können alte Zöpfe abschneiden und sich von veralteter HR-Software trennen und neue, effiziente Lösungen einführen, die nicht nur effizienter, sondern auch kostengünstiger und zeitgemäßer sind. Letztendlich bietet die DSGVO also auch die Chance, eine neue E-Recruiting-Software einzuführen. Was in Anbetracht dessen, was die DSGVO fordert, ein kaum zu vermeidender Schritt ist (und ganz nebenbei, wie von Zauberhand, zu effizienterem und schnellerem Recruiting führt). Für kleinere Unternehmen gibt’s sogar kostenlose Lösungen wie bspw. Smartrecruiters oder Yawik, aber die wenigen Euro, die eine schlanke, aber leistungsfähige E-Recruiting-Lösung heutzutage kostet, sollte man auf jeden Fall bereit zu investieren.

Kommentare (6)

Datenschutz: Was bedeutet die DSGVO für den Einsatz von (Online-)Auswahltests im Recruiting? - Recrutainment Blog

[…] Auch wenn die Zeit läuft. Wie lange noch bis zur DSGVO? Dafür hat Henner in seinem Blog sogar einen Countdown laufen… […]

personalmarketing2null

Liebe Frau Bayer, was wäre ich nur ohne so aufmerksame Leser! :) Herzlichen Dank, Fehler beseitigt! Beste Grüße zurück Henner Knabenreich

Barbara Bayer

Toller informativer Beitrag. Vielleicht kann noch der Rechtschreibfehler korrigiert werden, der etwas missverständlich ist. Es heißt „das novellierte Bundesdatenschutzgesetz“, nicht wie im Text „das nivellierte Bundesdatenschutzgesetz“. Beste Grüße aus Regensburg Barbara Bayer

Joerg Hoefig

Ich habe eine kurze Rückfrage zum Thema "Grundlage einer gesetzlichen Erlaubnisnorm: Art 6 I b) iVm Art. 88 DSGVO iVm § 26 BDSG-Neu" an Hand eines Praxisbeispiels. Ich spreche telefonisch mit einem potentiellen Bewerber und wir einigen uns darauf mit ihm in einen Bewerbungsprozess zu starten. Als nächsten Schritt erfasse ich ihn im Bewerbungsmanagementsystem. Fällt dieser Bewerber nun unter den Begriff Bewerber wo ich keine Zustimmung benötige oder müsste man in diesem Fall explizit eine Einwilligung einholen. Danke für Klärung. Gruß Joerg

personalmarketing2null

Danke dir, liebe Nina, für die Richtigstellung und Aufklärung! Ich habe deine Anmerkung aus dem Tweet schon in den Text einfließen lassen, deine ausführliche Richtigstellung rückt es aber noch mal abschließend ins rechte Licht. Ja, man sollte juristische Themen eben doch Leuten überlassen, die sich damit auskennen. Nichtsdestotrotz hat der Artikel erreicht, was er sollte, nämlich die Menschen da draußen wachzurütteln. Bis bald in Berlin Henner

Nina Diercks

Guten Morgen Henner, Guten Morgen @all, Du hast Dir sehr viel Mühe mit diesem Artikel gegeben. Und dem Grundtenor ist vollkommen zuzustimmen: HR muss sich eindringlich mit der DSGVO (und der am Horizont dräuenden ePrivacyVO, die insbesondere auf das Sourcing massive Auswirkungen hat) beschäftigen. Aber vorliegend ist Dir leider ein nicht unerheblicher Fehler unterlaufen. Richtig ist, dass Verantwortliche (d.h. die Unternehmen) viel weitergehenden Informations-, Sicherungs- Prüf- und vor allem Rechenschaftspflichten unterliegen als bisher. Richtig ist auch, dass die Bußgelder bis zu 10 Millionen bzw. 20 Millionen oder bis zu 2% bzw. 4% des weltweiten Jahresumsatzes bei Datenschutzverstößen betragen. In Folge dessen ist tatsächlich der gesamte Recruitingprozess dringend auf sämtliche (!) Vorgaben der DSGVO abzuklopfen. Und das ist noch weit mehr als Du hier angerissen hast. Aber eines bedarf es definitiv nicht: Einer Einwilligung der Bewerber zur Verarbeitung von Bewerbungsdaten. Diese Datenverarbeitung erfolgt auf Grundlage einer gesetzlichen Erlaubnisnorm: Art 6 I b) iVm Art. 88 DSGVO iVm § 26 BDSG-Neu. Das heißt nicht, dass nicht daneben umfassenden Informationspflichten nachzukommen wäre (vgl. Art. 12, 13, 14 DSGVO, dass nicht technische und organisatorische Maßnahme iSv Art. 32 DSGVO (auch: IT-Richtlinien, Datenschutz-Richtlinien etc. als organisatorische) ergriffen werden müssten, dass nicht privavcy by default & design iSv. Art. 25 DSGVO eingehalten werden müsste, dass nicht - wie Du schreibst - HR-Datenbanken/-System diesbezüglich geprüft und dass nicht Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit Dienstleistern (auch HR-Systemen die als SaaS genutzt werden!) geschlossen werden müssten, dass nicht Data Breach Meldeprozesse nach Art. 33, 34 DSGVO implementiert werden müssten - um nur mal ein paar Auswirkungen zu nennen. Und ja, wenn die DV über die Bewerbung hinausgehen soll, z.B. weil B-Kandidaten in Kandidatenpools aufgenommen werden sollen oder sonstiges TRM erfolgen soll, dann Bedarf es hierfür Einwilligungen. Nicht aber für den normalen Bewerbungsprozess! Und fatal wäre es, wenn nun Unternehmen anfangen, hierfür - überflüssige - Einwilligungen in die Prozesse einziehen, aber die wirklich zu erledigenden Hausaufgaben darüber nicht erledigten. Cheers & auf bald Nina
Über den Autor
Avatar-Foto
Moin! Ich bin Henner Knabenreich. Seit 2010 schreibe ich hier über Personalmarketing, Recruiting und Employer Branding. Stets mit einem Augenzwinkern oder den Finger in die Wunde legend. Auf die Recruiting- und Bewerberwelt nehme ich auch als Autor, als Personalmarketing-Coach, als Initiator von Events wie der HR-NIGHT oder als Speaker maßgeblich Einfluss auf die HR-Welt. Sie möchten mich für einen erfrischenden Vortrag buchen, haben Interesse an einem Karriere-Website-Coaching, suchen einen Partner oder Berater für die Umsetzung Ihrer Karriere-Website oder wollen mit bewerberzentrierten Stellenanzeigen punkten? Ob per E-Mail, XING oder LinkedIn - sprechen Sie mich an, ich freue mich auf Sie!
Ähnliche Artikel
Passive Kandidaten mit individualisierten Karriereseiten überzeugen - auch im Sourcing!

Passive Kandidaten mit individualisierten Karriereseiten überzeugen - auch im Sourcing!

Die Karriereseite ist ohne Wenn und Aber Dreh- und Angelpunkt Ihrer Recruiting-Aktivitäten. Ganz egal, ob jemand über eine Mitarbeiterempfehlung oder

weiterlesen
Signaltheorie: Die geheimen Signale der Arbeitgeber oder warum ein kandidatenzentrierter Ansatz so wichtig ist

Signaltheorie: Die geheimen Signale der Arbeitgeber oder warum ein kandidatenzentrierter Ansatz so wichtig ist

Glaubt man den blumigen Versprechungen vieler Arbeitgeber, stehen Mitarbeiter dort im Mittelpunkt. Ob das wirklich so ist, lässt sich wohl

weiterlesen