Datenschutz im E-Recruiting

Neue Datenschutzvorschriften

Die Übergangsfrist ist vorbei: Seit dem 25. Mai müssen geschäftsmäßige Verarbeiter personenbezogener Daten die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO) umsetzen können. Zum selben Datum ist auch das neue Bundesdatenschutzgesetz (BDSG (neu)) in Kraft getreten, das an die DSGVO angepasst wurde. Was bedeuten die Neuregelungen für Personaldienstleister und Recruiter, deren täglich Brot der Umgang mit personenbezogenen Daten ist?

Beschäftigtendatenschutz nach dem BDSG

Wer fällt unter den Begriff Beschäftigte?
Beschäftigte sind nach § 26 Abs. 8 BDSG (neu): Arbeitnehmer – auch Leiharbeiter im Verhältnis zum Entleiher, zur Berufsbildung Beschäftigte, Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben, Beschäftigte in Werkstätten für behinderte Menschen, Freiwillige (nach Jugendfreiwilligendienstgesetz oder Bundesfreiwilligendienstgesetz), arbeitnehmerähnliche Personen, Beamte des Bundes, Richter und Soldaten, Zivildienstleistende, Bewerber und Personen, deren Beschäftigungsverhältnis beendet ist.

Wann dürfen personenbezogene Daten verarbeitet werden?
Beschäftigtendaten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden (§ 26 Abs. 1 BDSG (neu)). Speziell, wenn dies erforderlich ist für:
– die Begründung eines Beschäftigungsverhältnisses
– die Durchführung des Beschäftigungsverhältnisses
– die Beendigung eines Beschäftigungsverhältnisses
– zur Ausübung von Rechten aus Gesetzen, Tarifvertrag, Betriebs- oder Dienstvereinbarung zur Interessensvertretung von Beschäftigten
– zur Aufdeckung von Straftaten, wenn u. a. ein begründeter Verdacht besteht, dass die Person eine Straftat begangen hat.

Was ist bei der Einwilligung zur Datenverarbeitung zu beachten?
Die Einwilligung zur Datenverarbeitung muss freiwillig und i. d. R. in Schriftform erfolgen (§ 26 Abs. 2 BDSG (neu)): Zur Beurteilung der Freiwilligkeit sind die Umstände der Einwilligung und die Abhängigkeit im Beschäftigungsverhältnis zu berücksichtigen. Von einer freiwilligen Einwilligung kann insbesondere ausgegangen werden, wenn:
– die einwilligende Person einen rechtlichen oder wirtschaftlichen Vorteil erlangt
– die Interessen der Person und des Arbeitgebers gleichgelagert sind
Der Arbeitgeber muss die Person über den Zweck der Datenverarbeitung und ihr Widerrufsrecht in Textform aufklären. Sie hat das Recht, ihre Einwilligung jederzeit zu widerrufen (Art. 7 DSGVO). Die Prozesse der Einwilligung sollten dokumentiert werden.

Wann dürfen besondere Kategorien personenbezogener Daten verarbeitet werden?
Besondere Kategorien personenbezogener Daten sind nach Art. 9 Abs. 1 DSGVO Daten mit Blick auf:
– die rassische und ethnische Herkunft
– politische Meinungen
– religiöse und weltanschauliche Überzeugungen
– Gewerkschaftszugehörigkeit
– genetische Daten
– biometrische Daten
– Gesundheitsdaten
– Daten zum Sexualleben oder zur sexuellen Orientierung
Die Verarbeitung solcher Daten ist laut § 26 Abs. 3 BDSG (neu) zulässig, wenn sie zur Ausübung von Rechten und Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Eine Einwilligung muss sich in diesem Fall ausdrücklich auf die Daten beziehen.
Nach § 26 Abs. 4 BDSG (neu) dürfen personenbezogene Daten und besondere Kategorien personenbezogener Daten auch auf Grundlage von Kollektivvereinbarungen verarbeitet werden.

Datenverarbeiter müssen sicherstellen, dass sie die Grundsätze aus Artikel 5 der EU-Datenschutz-Grundverordnung einhalten.

Was sollten Nutzer einer E-Recruiting-Software beachten?

Nutzer einer E-Recruiting-Software sollten prüfen, ob ihr Bewerbermanagement-System mit der Umsetzung datenschutzrechtlicher Regelungen vereinbar ist. Können Anwender die Betroffenenrechte der Datenschutz-Grundverordnung erfüllen?
Auskunftsrecht (Art. 15 DSGVO): Betroffene haben ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Datenverarbeiter sollten Betroffene über folgende Aspekte informieren können:
-Verarbeitungszwecke
-Datenkategorien
-Datenempfänger oder Kategorien von Empfängern
-Dauer der Datenspeicherung oder Kriterien der Dauer (z. B. im Falle von Bewerberdaten bis eine Stellenbesetzung erfolgt ist)
-Herkunft der Daten, die nicht bei Betroffenen erhoben wurden
– automatisierte Entscheidungsfindung
-Profiling (Erstellen von Nutzerprofilen, um z. B. die Arbeitsleistung oder persönlichen Vorlieben einer Person zu bewerten)
Recht auf Berichtigung: Betroffene können die Berichtigung inkorrekter oder unvollständiger Daten verlangen. Dies sollte in der Software problemlos möglich sein.
Recht auf Löschung/Vergessenwerden: Die Daten müssen auf Anfrage der Person gelöscht werden können. Die E-Recruiting-Software sollte über eine Löschfunktion verfügen und den Löschvorgang dokumentieren, z. B. über ein Löschprotokoll.
Recht auf Datenübertragbarkeit: Personen haben ein Recht, ihre Daten beim Anbieterwechsel mitzunehmen. Die Software sollte eine Möglichkeit bieten, die Daten in maschinenlesbarem Format zur Verfügung zu stellen.
Die Software sollte es ermöglichen, die Datenschutzgrundsätze nach Artikel 5 DSGVO einzuhalten:
Rechtmäßigkeit der Datenverarbeitung: Die Daten müssen rechtmäßig (unter Einwilligung der Person) und für Betroffene transparent verarbeitet werden. Das Bewerbermanagement-System sollte eine entsprechende Funktion bieten, die anzeigt:
– wann der Kandidat eingewilligt hat und bis wann die Einwilligung gilt (Löschfälligkeit)
– wofür der Kandidat eingewilligt hat
– in welchen Fällen eine Datenübertragung möglich ist
Zweckbindung der Daten: Die verarbeiteten Daten müssen zweckgebunden sein und dürfen nicht zu beliebigen anderen Zwecken verarbeitet werden.
Datenminimierung: Das Maß der Datenverarbeitung ist ebenfalls zweckgebunden: Daten dürfen nicht auf Vorrat oder Verdacht gespeichert werden. Unternehmen sollten sich fragen, ob sie die Daten tatsächlich benötigen (z. B. 3 verschiedene Telefonnummern einer Person). Nicht mehr benötigte Daten sollten gelöscht werden.
Richtigkeit: Die Daten müssen sachlich richtig und aktuell sein. Fehlerhafte Daten müssen korrigiert oder gelöscht werden, d. h. problemlos löschbar sein.
Speicherbegrenzung: Daten müssen so gespeichert werden, dass eine Identifizierung der Person nur so lange möglich ist, wie es für den Verarbeitungszweck erforderlich ist.
Integrität und Vertraulichkeit: Die Datenverarbeitung muss die Sicherheit der personenbezogenen Daten gewährleisten: Die Daten sind vor unbefugten Zugriffen, Verlusten oder Zerstörung zu schützen. Mögliche Schutzmaßnahmen bestehen in der Nutzung verschlüsselter Festplatten und Dateisysteme, Transportverschlüsselungen für den E-Mail-Verkehr (TSL/SSL) und der Pseudonymisierung von Office-Dokumenten.

Mehr Informationen über die EU-Datenschutzverordnung 2018 und ihre Auswirkung für Personaldienstleister bietet unser Seminar „Update EU-Datenschutz-Grundverordnung in der Zeitarbeit“.

Fazit

Seit dem 25. Mai müssen geschäftsmäßige Verarbeiter personenbezogener Daten die neuen Regelungen der Datenschutz-Grundverordnung umsetzen können (EU-DSGVO). Zeitgleich tritt auch das neue Bundesdatenschutzgesetz in Kraft, das an die DSGVO angepasst wurde und den Beschäftigtendatenschutz näher regelt. Nutzer von Bewerbermanagement-Systemen sollten darauf achten, dass ihre Software mit den Datenschutzregeln konform geht.

Quelle Foto: © putilov_denis/ Fotolia


Farid Jammali

Farid Jammali

Farid Jammali ist Marketingleiter und versteht sich in der Vermarktung komplexer Softwarelösungen über alle Marketing-Kanäle hinweg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>