Am 25. Mai 2018 tritt ein neues, weitreichendes Datenschutzgesetz namens Datenschutz-Grundverordnung (DSGVO) in Kraft. Dieses Gesetz regelt die Erfassung und Verarbeitung von personenbezogenen Daten und hat erhebliche Auswirkungen auf Unternehmen mit Niederlassungen oder Operationen in der EU. Deshalb teilen wir unseren DSGVO-Bereitschaftsplan mit Ihnen, damit Sie sicher sein können, dass Ihre Greenhouse-Daten auf die neuen Vorschriften vorbereitet sind.

Wir bei Greenhouse wissen, wie wichtig Datenschutz in der Welt der Talentakquise und des Arbeitsrechts sowie für uns alle als Einzelpersonen ist. Jeder Aspekt unserer Greenhouse-Talentakquise-Technologie-Suite wurde evaluiert, um sicherzustellen, dass wir Ihnen dabei helfen, Risiken bei jedem Schritt zu minimieren. Während wir die notwendigen Änderungen vornehmen, um die DSGVO-Konformität vor dem 25. Mai zu erzielen, werden diese Funktionen für alle Greenhouse-Kunden automatisch aktiviert.

Deshalb teilen wir unseren DSGVO-Bereitschaftsplan mit Ihnen, damit Sie sicher sein können, dass Ihre Greenhouse-Daten auf die neuen Vorschriften vorbereitet sind. Jeder Aspekt unserer Greenhouse-Talentakquise-Technologie-Suite wurde evaluiert, um sicherzustellen, dass wir Ihnen dabei helfen, Risiken bei jedem Schritt zu minimieren. Während wir die notwendigen Änderungen vornehmen, um die DSGVO-Konformität vor dem 25. Mai zu erzielen, werden diese Funktionen für alle Greenhouse-Kunden automatisch aktiviert.

Was ist die DSGVO?

Die im April 2016 vom Europäischen Parlament ratifizierte Datenschutz-Grundverordnung verlangt von Unternehmen, die personenbezogenen Daten und die Privatsphäre von europäischen Bürgerinnen und Bürgern für Transaktionen zu schützen, die in europäischen Staaten stattfinden. Personenbezogene Daten sind z. B. Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge auf Social Networking-Websites, medizinische Informationen oder sogar Computer-IP-Adressen.

Darüber hinaus regelt die DSGVO den Export von personenbezogenen Daten in Ländern außerhalb der Europäischen Union. Egal, ob Sie sich geografisch in der Europäischen Union befinden oder nicht: Die DSGVO wirkt sich auf Ihr Unternehmen aus, solange Sie personenbezogene Daten von dort lebenden Personen verarbeiten und speichern.

ERE bietet einen nützlichen DSGVO-Ressourcenartikel, in dem Sie mehr über die Verordnung erfahren können, einschließlich der potenziellen Auswirkungen einer Nichteinhaltung bis Mai 2018.

Plan von Greenhouse zur Unterstützung der Compliance

Wir arbeiten mit Rechtsexperten zusammen, um sicherzustellen, dass Greenhouse bei unserem Umgang mit Kundendaten völlig konform ist und die nötigen Tools hat, um unseren Kunden dabei zu helfen, ihre Bewerber*innen-Daten zu verwalten.

Hier finden Sie einige nützliche Assets für Personalbeschaffungsteams und andere Nichtjurist*innen, um sich mit den Funktionen vertraut zu machen, die wir in den kommenden Monaten implementieren werden, um diese Compliance-Bemühungen zu unterstützen. Falls Sie detaillierte Informationen über unsere DSGVO-Pläne benötigen, um sie mit Ihrem Rechtsteam zu teilen, finden Sie unsere juristische Mitteilung hier.

Einwilligung der betroffenen Person

DSGVO

Viele unserer Kunden mit Sitz in der EU haben uns gefragt: „Wie plant Greenhouse, uns zu helfen, die Einwilligung einzelner Stellenbewerber*innen zu erhalten, ihre personenbezogenen Daten in die USA zu übertragen?“

Nachdem wir mit einer Reihe von Fachleuten gesprochen haben und uns die Rechtssprache genau angesehen haben, stellten wir fest, dass ein häufiges Missverständnis ist, dass Unternehmen die Einwilligung von jedem*r Stellenbewerber*in oder potenziellem*r Kandidat*in einholen müssen. Tatsächlich sind mit dem Bitten um Einwilligung von Bewerber*innen zur Verarbeitung ihrer Daten sogar Risiken verbunden! Werden Bewerber*innen um ihre Einwilligung gebeten, könnten sie sich beispielsweise dafür entscheiden, diese jederzeit zu widerrufen, wodurch Ihr Team zusätzlichem Druck ausgesetzt werden kann. Eine detailliertere Erklärung finden Sie in unserer juristischen Mitteilung.

Das Erfassen von Lebensläufen und anderen relevanten personenbezogenen Informationen ist im berechtigten Interesse eines Unternehmens, das versucht, Bewerber*innen zu bewerten und einzustellen. Aus diesem Grund müssen Unternehmen keine Einwilligung von Stellenbewerber*innen einholen. Ebenso sind Greenhouse-Kunden nicht verpflichtet, die Einwilligung von potenziellen Kandidat*innen zu erhalten, um deren personenbezogene Daten aus der EU in die USA zu übertragen, weil sich Greenhouse zu einem Grad an Datenschutz verpflichten kann, der unter EU-Recht akzeptabel ist.

Unser Ansatz

Weil die Einwilligung der Bewerber*innen im Rahmen der DSGVO nicht erforderlich ist und Unternehmen stärker belastet, erwartet Greenhouse, dass unsere EU-Kunden dies vermeiden wollen. Wir haben derzeit keine Pläne zur Erstellung einer Funktion zur Einholung und Speicherung der Einwilligung von Bewerber*innen. Wir werden aber unseren Job-Börsen um entsprechenden Text ergänzen, um die Anforderungen zu erfüllen, dass Unternehmen den Bewerber*innen mitteilen, dass sie personenbezogene Daten in ein anderes Land übermitteln werden.

Recht auf Vergessenwerden

DSGVO

Personen haben das „Recht auf Vergessenwerden“ und Greenhouse-Kunden werden verpflichtet sein, die personenbezogenen Daten von Bewerber*innen auf deren Anfrage zu löschen. Unternehmen müssen auch personenbezogene Daten löschen, wenn es nicht mehr als erforderlich angesehen wird, dass das Unternehmen diese weiterhin speichert.

Unser Ansatz

Greenhouse plant, Tools zu entwickeln, mit denen Sie Folgendes tun können:

• Festlegen eines Zeitraums auf der Grundlage der spezifischen Richtlinien Ihres Unternehmens oder wenn Ihr Rechtsgrund für die Speicherung der Bewerber*innen-Daten abgelaufen ist (z. B. einen Monat nach Ablehnung einer Bewerbung), um Bewerber*innen-Daten automatisch gesammelt zu löschen;

• Generieren von Bewerber*innen-E-Mails, um nach der Erlaubnis zu fragen, ihre Daten länger als Ihren Standardzeitraum aufzubewahren, wenn Bewerber*innen sich damit einverstanden erklären;

• Konfigurieren, welche Daten gelöscht werden, wenn Bewerber*innen bitten, vergessen zu werden (z. B. könnten Sie sich entscheiden, alle personenbezogenen Informationen zu löschen, aber Informationen beizubehalten, mit deren Hilfe Sie Berichte zu Pipeline Conversions erstellen können);

• Löschen der Daten von Bewerber*innen durch Klick auf eine Schaltfläche in ihrem Profil

Erweiterte Rechte auf Mitteilung und Auskunft

DSGVO

1. Unternehmen sind verpflichtet, verschiedene Details zum Zeitpunkt der Anfrage von Daten bereitzustellen (z. B. wenn ein*e Bewerber*in sich für eine Stelle bewirbt), einschließlich der Gründe, warum sie bestimmte Informationen anfordern, wie lange diese gespeichert werden und wohin sie gesendet werden.

2. Die DSGVO erweitert das Auskunftsrecht der Menschen und das Recht auf Zugang zu ihren eigenen personenbezogenen Daten erheblich, und Unternehmen müssen Bewerber*innen diese Daten in einem effizienten und einfachen Format zur Verfügung stellen.

Unser Ansatz

1. Greenhouse wird entsprechenden Text in Job-Börsen hinzufügen, der besagt, dass allen Bewerber*innen den Vorgaben entsprechend alle notwendigen Mitteilungen und Offenlegungen zugestellt werden.

2. Greenhouse wird Unternehmen ermöglichen, auf Datenanfragen von Bewerber*innen zu reagieren und diesen nachzukommen. Sie werden in der Lage sein, zu konfigurieren, welche Daten zugänglich sein sollten, und sie in einer CSV-Datei an Bewerber*innen zu senden, indem sie auf eine Schaltfläche in ihrem Profil klicken.

Widerspruchsrecht

DSGVO

Personen haben das Recht, zu verhindern, dass ihre personenbezogenen Daten für Direktwerbungszwecke verwendet werden.

Unser Ansatz

Beschließt ein*e Bewerber*in, diese per Opt-out abzustellen, weist Greenhouse eine „Keine E-Mail“-Funktion auf, die verhindert, dass dieser*m Bewerber*in E-Mails gesendet werden.

Datensicherheit

DSGVO

Artikel 32 der DSGVO gibt vor, dass Datenverantwortliche und Auftragsverarbeiter ein angemessenes Schutzniveau für die erfassten Daten gewährleisten, um sie vor Verlust, unautorisierten Änderungen oder Sicherheitsverletzungen zu schützen.

Unser Ansatz

Greenhouse unterhält ein umfassendes Informationssicherheitsprogramm, um sicherzustellen, dass alle Daten und die gesamte Infrastruktur sicher und immer verfügbar sind. Im Rahmen unseres Programms finden regelmäßig Audits unserer Anwendungen, Infrastruktur, Sicherheitskontrollen und Prozesse durch Dritte statt.

Wir freuen uns, bekanntgeben zu können, dass wir die ISO 27001-Zertifizierung erhalten haben, die auch sicherstellt, dass unser Sicherheitsprogramm strengen internationalen Standards in Breite und Qualität entspricht. Unsere ISO 27001-Zertifizierung sowie unsere SOC 2 Type 2-Bescheinigung bestätigen, dass Greenhouse Ihre Daten schützt.

DSGV- und Datenschutzkonformität haben für unsere Kunden und uns alle hier bei Greenhouse höchste Priorität. Wir werden weiterhin in diesem Bereich Bemühungen anstrengen und Sie und Ihre Teams über die neuesten Funktionen und Aktualisierungen informieren, die wir in den kommenden Monaten einführen werden. In unserem regelmäßig aktualisierten Blog finden Sie weitere Informationen.

Sie suchen nach weiteren Informationen? Hier finden Sie weitere Ressourcen:

Für Nichtjuristen: Greenhouse, EU-Compliance und die Datenschutz-Grundverordnung (DSGVO) Weitere Informationen

Juristische Mitteilung: Greenhouse und die Datenschutz-Grundverordnung (DSGVO) Weitere Informationen