Ist Ihr Recruiting datenschutzkonform?
Die wichtigsten Regeln auf einen Blick

Als die Datenschutzgrundverordnung (DSGVO) in Kraft trat, ging in HR-Abteilungen ein Raunen durch die Reihen. Denn der Gesetzgeber nimmt in dem Paragraphenkonstrukt alle Unternehmensbereiche in die Pflicht, die mit vertraulichen personenbezogenen Daten arbeiten.  Aufpassen müssen vor allem Recruiter – sie arbeiten mit Daten, deren Halbwertszeit kurz ist. In diesem Artikel erfahren Sie, was Sie für ein datenschutzkonformes Recruiting tun müssen.

Datenschutz im Bewerbermanagement

Die Datenschutzgrundverordnung (DSGVO) bezieht sich grundsätzlich auf alle Prozesse, in denen Unternehmen Daten einer Person verarbeiten. Wer innerhalb der HR-Abteilung Bewerberinformationen verwaltet, muss besonders aufpassen. Denn Bewerberdaten sind nur für die Dauer des Recruiting-Prozesses relevant. Danach erlischt per Gesetz das „berechtigte Interesse“ an ihrer Verarbeitung und Aufbewahrung. Die Konsequenz: Sie müssen nach der Entscheidung für oder gegen einen Bewerber gelöscht werden. Und zwar unverzüglich.

Die Datenschutzgrundverordnung beinhaltet noch zahlreiche weitere Vorgaben, die im Bewerbermanagement Anwendung finden müssen. Doch bereits das unverzügliche Löschen von Bewerberdaten dürfte für viele Unternehmen eine Herausforderung darstellen. Zum Beispiel, weil HR-Verantwortliche zum Austausch mit der Fachabteilung Bewerbungsunterlagen gerne mal per E-Mail verschicken.

Die Dokumente befinden sich nach Abschluss des Verfahrens oft noch über Jahre hinweg in den E-Mail-Postfächern der Kollegen. Das ist ein klarer Verstoß gegen die DSGVO, der empfindliche Konsequenzen nach sich ziehen kann: Umsatzstarke Unternehmen können in extremen Fällen beispielsweise mit bis zu vier Prozent ihres weltweiten Umsatzes oder mit bis zu 20 Millionen Euro bestraft werden.

Die Datenschutzgrundverordnung im Überblick

Im Bewerbermanagement müssen außerdem diese Aspekte der DSGVO beachtet werden:

  • Elektronisch übermittelte personenbezogene Daten müssen verschlüsselt von A nach B übertragen werden, um nicht von unbefugten Dritten ausgespäht werden zu können.
  • Laut Artikel 13 der DSGVO müssen Unternehmen den Dateneigentümer, in dem Fall den Bewerber, umgehend nach Erhalt seiner Daten darüber informieren, wie, wo und wie lange sie diese speichern.
  • Es gilt außerdem ein strenges Auskunftsrecht: Dateneigentümer dürfen jederzeit bei einem Unternehmen eine Auskunft über die Informationen einholen, die zu der eigenen Person hinterlegt sind. Die Auskunft muss sofort und vollständig erfolgen.
  • Die Sicherheit der eigenen IT-Infrastruktur muss regelmäßig überprüft werden.

Datenschutzkonformes Recruiting: Arbeitgeber ist in der Beweispflicht

Firmen sollten genau überprüfen, ob ihre Recruiting-Prozesse datenschutzkonform sind. Ist dies nicht der Fall, hilft die Implementierung einer passgenau ausgewählten Recruiting-Software, um das eigene Bewerbermanagement DSGVO-konform auszugestalten. Dazu äußert sich Jurist Nils Lippert, Berater für Datenschutz und Informationssicherheit bei procado Consulting, IT- & Medienservice GmbH in Berlin, in einem Interview mit softgarden wie folgt: „Wenn die Software nach den Bestimmungen der DSGVO konzipiert und regelkonform ist, können die Bestimmungen der DSGVO im Rahmen des Recruitings größtenteils schon allein durch die Anwendung dieser Software erfüllt werden. Kunden können das prüfen, indem sie den Anbietern Fragen dazu stellen.“

Erste Anhaltspunkte, wie es ein Lösungsanbieter mit dem Datenschutz hält, sollte aber auch der Webauftritt liefern. Seriöse Anbieter klären bereits auf ihrer Homepage über die DSGVO-Konformität ihrer Lösung auf. Worauf kommt es dabei an? Ein Überblick:

  • Datenschutzkonforme Funktionen
    Eine Bewerbermanagementsoftware sollte Anwendern die Möglichkeit garantieren, DSGVO-konform zu arbeiten. Hierfür tragen Softwarevoreinstellungen Sorge, die zum Beispiel kritische Daten automatisch nach Ablauf einer festgelegten Frist löschen oder Bewerber automatisch nach Erhalt ihrer Bewerbungsunterlagen über Datenvorhaltung, -ablage und Aufbewahrungsdauer informieren. Diese und alle weiteren Funktionen sollten durch eine externe Datenschutzbegutachtung von einem unabhängigen Dienstleister bestätigt worden sein.
  • Hosting made in Germany
    Das gesamte Hosting des Lösungsanbieters sollte „Made in Germany“ sein. Befinden sich die Rechenzentren in Deutschland oder mindestens innerhalb der EU, unterliegen sie automatisch den Anforderungen des hierzulande geltenden Datenschutzes. Werden Daten auf Servern außerhalb der EU abgelegt, ist bereits das ein Verstoß gegen den Datenschutz, weil Informationen aufgrund der anderen Gesetzeslage am Server-Standort leichter legal ausgelesen und weitergegeben werden können.
  • Datenschutzerklärung
    Gerade für Cloudanbieter eines Bewerbermanagementsystems muss der Schutz und die Vertraulichkeit der Daten von besonderer Bedeutung sein. Immerhin werden sie innerhalb seines Rechenzentrums gespeichert und von dort über eine gesicherte Verbindung von dem Anwenderunternehmen abgerufen. In einer Datenschutzerklärung sollten Anwender nachlesen können, inwiefern die Sicherheit ihrer Daten gewährleistet wird.
  • Sichere, zertifizierte Prozesse
    Die Software sollte ISO 27001-zertifiziert sein und somit die Forderungen des Bundesamts für Sicherheit in der Informationstechnik und der TÜV Süd Management Service GmbH in punkto IT-Security erfüllen. Die ISO-Norm 27001 ist die Bescheinigung für den verantwortungsvollen und sicheren Umgang mit sensiblen Informationen bei einem HR Software Anbieter. „Bei der ISO 27001 handelt es sich um die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Sie bietet Organisationen aller Art und Größe klare Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung ihrer Informationssicherheit. Die Anforderungen sind generell anwendbar, z. B. gelten diese für private oder öffentliche Unternehmen und gemeinnützige Institutionen.“ (Quelle: https://www.tuev-sued.de/management-systeme/it-dienstleistungen/iso-27001)
  • Sicherheitstests
    Außerdem sollten regelmäßige Sicherheitstests in Form von Penetrationstests durchgeführt werden. Bei einem Penetrationstest werden IT-Systeme oder Netzwerke einer umfassenden Prüfung unterzogen, die die Empfindlichkeit gegenüber Angriffen feststellen soll. Bei einem Pentest kommen Methoden und Techniken zum Einsatz, die von echten Angreifern oder Hackern verwendet werden. Den Nachweis darüber erbringen Anbieter mit einem aktuellen Penetrationstest-Zertifikat.

Sind diese Bedingungen erfüllt, stehen potenzielle Anwender auf der sicheren Seite. Jetzt spricht nichts mehr dagegen, zum Hörer zu greifen und sich mit dem HR Software Hersteller direkt über seine Lösung auszutauschen…

Möchten Sie herausfinden, ob ihr Recruiting datenschutzkonform aufgesetzt ist? Dann laden Sie sich jetzt unsere Checkliste herunter und haken Sie sie Punkt für Punkt ab.

Weitere Artikel, die Sie interessieren könnten

Antworten