Was ist die DSGVO und was müssen Sie darüber wissen? Kurz gesagt: Diese Verordnung legt fest, wie Unternehmen personenbezogene Daten von Einwohnern der Europäischen Union „verarbeiten“ (also sammeln und speichern) dürfen. Egal, ob Sie auf Standorte in der EU expandieren, Stellen für Mitarbeiter an verteilten Standorten öffnen, die von überall aus arbeiten können, oder ob Sie einfach besonders verantwortungsvoll mit Bewerberdaten umgehen wollen – es ist wichtig, die Grundlagen der DSGVO und was sie für Ihre Arbeit als Talentakquisiteur bedeutet, zu verstehen.

In diesem Beitrag geben wir Ihnen einen kurzen Überblick über die Verordnung, skizzieren ein paar Szenarien, die Sie berücksichtigen sollten, und geben einige Empfehlungen, die Ihnen bei der Planung helfen, wie Sie Ihren Einstellungsprozess DSGVO-konform gestalten können. Bitte beachten Sie, dass die Ratschläge, die wir hier geben, allgemein gehalten sind und Sie auf jeden Fall mit Ihrer Rechtsabteilung zusammenarbeiten müssen, um die Besonderheiten Ihres Unternehmens zu besprechen.

Was ist die DSGVO?

Die im April 2016 vom Europäischen Parlament verabschiedete Allgemeine Datenschutz-Grundverordnung verpflichtet Unternehmen, die personenbezogenen Daten und die Privatsphäre europäischer Bürger zu schützen. Personenbezogene Daten sind alle Daten, die zur Identifizierung einer Person verwendet werden können, einschließlich Namen, E-Mail-Adressen, Online-Kennungen oder sogar IP-Adressen von Computern.

Die DSGVO regelt alle personenbezogenen Daten von EU-Bürgern. Unabhängig davon, ob Sie sich geografisch in der Europäischen Union befinden oder nicht, hat die DSGVO Auswirkungen auf Ihr Unternehmen, solange Sie personenbezogene Daten von Personen, die dort leben, verarbeiten und speichern.

Um es in einfachen Worten auszudrücken: Wenn Sie personenbezogene Daten von EU-Bürgern sammeln, müssen Sie einen von der DSGVO genehmigten Grund haben, diese zu speichern, und Sie müssen sie löschen, wenn dieser Grund nicht mehr besteht.

Was bedeutet die DSGVO für die Talentakquise-Teams?

Gemäß Artikel 6 der GDPR gibt es mehrere Rechtsgrundlagen, die Sie verwenden können, um die Notwendigkeit der Verarbeitung personenbezogener Daten zu rechtfertigen. Hier der Wortlaut des Gesetzes:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

• Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
• die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung von Maßnahmen auf Antrag der betroffenen Person vor Abschluss eines Vertrags erforderlich;
• die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
• die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
• die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
• die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Jede Rechtsgrundlage ist für sich genommen eine gültige Grundlage, auf der ein Unternehmen personenbezogene Daten nach der DSGVO verarbeiten kann. Da die DSGVO alle Arten der Datenerhebung abdecken sollte (nicht nur innerhalb der Personalabteilung), sind die aufgezählten Rechtsgrundlagen auf eine breite Palette von Szenarien anwendbar. Im Bereich der Talentakquise, wo Unternehmen personenbezogene Daten von Bewerbern sammeln, mit denen keine vertragliche Beziehung besteht, sind die beiden relevanten Rechtsgrundlagen das berechtigte Interesse und die Einwilligung. Betrachten wir sie im Zusammenhang mit der Personalbeschaffung genauer.

Berechtigtes Interesse

Die meisten Greenhouse-Kunden haben die Position eingenommen, dass Unternehmen, die Personal einstellen, ein berechtigtes Interesse daran haben, personenbezogene Daten (Lebensläufe und andere Bewerbungsunterlagen) von Bewerbern zu sammeln. Dies gilt auch für Bewerber, für die noch keine konkrete Stelle vorgesehen ist, und ist DSGVO-konform, solange die Daten gelöscht werden, wenn kein berechtigtes Interesse an der Aufbewahrung mehr besteht.

Einwilligung

Wenn Sie sich dafür entscheiden, sich auf die Einwilligung als Rechtsgrundlage unter der DSGVO zu stützen, sollten Sie sich bewusst sein, dass Sie Ihrem Team viele Verpflichtungen auferlegen, jedes Mal die ausdrückliche Einwilligung der Bewerber einzuholen, wenn Sie ihre Daten verwenden möchten – zum Beispiel, um sie für eine andere Stelle als die, für die sie sich beworben haben, in Betracht zu ziehen oder sie zu Ihrem Talentnetzwerk hinzuzufügen.

Was sind einige Situationen bei der Personalbeschaffung, die Anlass zu Bedenken hinsichtlich der DSGVO geben können?

Hier sind einige häufige Szenarien im Zusammenhang mit der Verarbeitung personenbezogener Daten von Interessenten und Bewerbern mit Fragen, die Sie mit Ihrer Rechtsabteilung besprechen sollten, während Sie überlegen, wie Sie die DSGVO am besten einhalten.

Szenario: Sie haben Bewerber, die sich bereits in Ihrem System befinden, wie aktuelle Interessenten, Bewerber und Mitglieder Ihrer Talent-Community.

Fragen, die Sie sich stellen müssen: Was ist Ihr Zeitplan für die weitere Verarbeitung ihrer Daten, wenn Sie sich auf ein berechtigtes Interesse als Rechtsgrundlage berufen? Welche Schritte werden Sie unternehmen, wenn diese Zeitspanne endet? Wenn Sie die Einwilligung als Rechtsgrundlage verwenden, haben Sie dann ihre Einwilligung, sie für andere Stellen in Betracht zu ziehen oder sie zu Ihrer Talent-Community hinzuzufügen? Welche Schritte werden Sie unternehmen, um ihre Einwilligung zu erhalten? Welche Maßnahmen werden Sie auf der Grundlage ihrer Antwort ergreifen?

Szenario: Sie erhalten eine eingehende Bewerbung von einem Bewerber.

Fragen, die Sie sich stellen müssen: Wenn Sie ein berechtigtes Interesse als Rechtsgrundlage verwenden: Wie lange werden Sie seine Daten weiterverarbeiten, wenn er nicht angestellt wird? Welche Schritte werden Sie unternehmen, wenn diese Zeitspanne endet? Wenn Sie die Einwilligung als Rechtsgrundlage verwenden, haben Sie dann ihre Einwilligung, sie für andere Stellen in Betracht zu ziehen oder sie zu Ihrer Talent-Community hinzuzufügen? Welche Schritte werden Sie unternehmen, um ihre Einwilligung zu erhalten? Welche Maßnahmen werden Sie auf der Grundlage ihrer Antwort ergreifen?

Szenario: Sie erhalten eine Empfehlung von einem Ihrer Mitarbeiter.

Fragen, die Sie sich stellen müssen: Wenn Sie ein berechtigtes Interesse als Rechtsgrundlage verwenden: Haben Sie festgelegt, wie lange Sie diese Daten weiterverarbeiten werden? Welche Schritte werden Sie unternehmen, wenn diese Zeitspanne endet? Wenn Sie die Einwilligung als Rechtsgrundlage verwenden, wie werden Sie sie um die Einwilligung nachsuchen und welche Schritte werden Sie basierend auf ihrer Antwort unternehmen?

Szenario: Sie beschaffen sich passive Bewerber über eine externe Quelle wie LinkedIn.

Fragen, die Sie sich stellen müssen: Wie werden Sie dies den Interessenten mitteilen, wenn Sie ein berechtigtes Interesse als Rechtsgrundlage verwenden? Wie lange werden Sie deren Daten weiter verarbeiten? Wenn Sie die Einwilligung als Rechtsgrundlage verwenden, wie werden Sie sie um die Einwilligung nachsuchen und welche Schritte werden Sie basierend auf ihrer Antwort unternehmen?

Ihre unverzichtbare Checkliste zur Einhaltung der DSGVO

Nachdem wir nun die Grundlagen der Datenschutz-Grundverordnung (DSGVO) und ihre Anwendung auf die Talentakquise behandelt haben, lassen Sie uns die Schritte erkunden, die Ihnen helfen können, konform zu bleiben. Denken Sie daran, dass dies kein Projekt ist, das Sie alleine durchführen können – Sie sollten bei diesen Aktivitäten eng mit Ihrer Rechtsabteilung zusammenarbeiten.

Beginnen Sie mit den Grundlagen

Hier sind einige hilfreiche Schritte zur Überprüfung.

Erfassen Sie alle Situationen, in denen Sie Daten von Bewerbern und Interessenten sammeln – eingehende Bewerbungen, Quellen auf LinkedIn, Mitarbeiterempfehlungen, Jobmessen usw. Skizzieren Sie, wie lange diese Daten derzeit gespeichert werden und welche Prozesse Sie für die Aktualisierung oder Löschung der Daten haben.

Arbeiten Sie mit Ihrer Rechtsabteilung zusammen, um zu definieren, auf welche Rechtsgrundlage Sie sich stützen werden (dies wird höchstwahrscheinlich das berechtigte Interesse oder die Einwilligung sein).

• Wenn Sie sich für ein berechtigtes Interesse entscheiden, legen Sie fest, wie lange Sie Interessenten- und Bewerberdaten speichern dürfen. Werden Sie unterschiedliche Zeitpläne für verschiedene Stellen oder den gleichen Zeitplan für alle Bewerber verwenden? Werden Sie für besonders vielversprechende „Silbermedaillengewinner“ oder andere Interessenten einen anderen Zeitplan verwenden?
• Wenn Sie sich für eine Einwilligung entscheiden, legen Sie alle Szenarien fest, in denen Sie diese einholen müssen, und welche Schritte Sie basierend auf den erhaltenen Antworten unternehmen werden. Wir haben im vorigen Abschnitt kurz einige gängige Szenarien behandelt, aber seien Sie hier bitte gründlich. Sammeln Sie auch Lebensläufe außerhalb Ihres BMS? Was passiert, wenn Sie jemanden auf einer Jobmesse oder einer anderen persönlichen Veranstaltung treffen?

Definieren Sie Ihre Prozesse

Verbringen Sie Zeit damit, die Position Ihres Unternehmens in Bezug auf die Datenerfassung sowie die Tools und internen Richtlinien zu formulieren, die Ihnen dabei helfen, diese Position zu wahren. Fragen, die hierbei zu berücksichtigen sind:

• Welche Tools werden Sie verwenden, um den Überblick über die Bewerberdaten zu behalten, und wie werden Sie diese so einrichten, dass sie mit Ihren Richtlinien übereinstimmen? Ihr BMS kann Ihnen zum Beispiel erlauben, ein Ablaufdatum festzulegen, wenn Sie zum ersten Mal die Informationen eines Interessenten oder Bewerbers erfassen. Wer ist für die Einstellung des Zeitraums verantwortlich und stellt sicher, dass das BMS dafür richtig konfiguriert ist?

• Wie benachrichtigt Sie jemand, wenn er seine Daten aus Ihrem System entfernen lassen möchte?

• Wer wird für die Durchführung dieser Anfragen verantwortlich sein?

• Wie lange haben Sie Zeit, dies zu erfüllen?

• Erstellen Sie den DSGVO-Hinweis Ihres Unternehmens für die Personalbeschaffung, den Sie allen Interessenten und Bewerbern aus der EU zum Zeitpunkt der Erfassung ihrer personenbezogenen Daten zur Verfügung stellen müssen. Die spezifischen Informationen, die in der Benachrichtigung enthalten sein müssen, sind in Artikel 13 und 14 der DSGVO festgelegt und umfassen:

• Name und Kontaktdaten Ihres Unternehmens
• Der Grund, aus dem Sie die personenbezogenen Daten erheben, und die Rechtsgrundlage, auf die Sie sich bei der Verarbeitung stützen
• Eine Beschreibung der Arten von Informationen, die Sie über Bewerber sammeln werden, an wen Sie die Informationen weitergeben werden, ob die personenbezogenen Daten außerhalb der EU übertragen werden, wie lange Sie die Daten speichern werden, was Sie zum Schutz der Daten tun und wie Bewerber gegen die Verarbeitung ihrer personenbezogenen Daten vorgehen können

• Entscheiden Sie, wann und wo Sie den DSGVO-Hinweis mit Interessenten und Bewerbern teilen werden. Skizzieren Sie, wie dies in verschiedenen Szenarien variieren kann (z. B. für eingehende Bewerber im Vergleich zu Empfehlungen oder gesuchten Interessenten).

• Nutzen Sie Drittanbieter zur Verarbeitung von Bewerberdaten? Listen Sie jedes dieser Unternehmen auf und nehmen Sie Kontakt mit jedem auf, um zu erfahren, was sie tun, um DSGVO-konform zu bleiben.

Vielen Dank an Kate Hooker, Leiterin der Rechtsabteilung bei Greenhouse, für die Bereitstellung ihrer Erkenntnisse für diesen Beitrag. Als unsere Leiterin der Rechtsabteilung möchte Kate Sie auch daran erinnern, dass dieser Blogbeitrag zu Informationszwecken geschrieben wurde und nicht als Rechtsberatung gedacht ist. Um sicherzustellen, dass Ihr Unternehmen und Ihre Praktiken zur Talentakquise vollständig DSGVO-konform sind, sollten Sie sich unbedingt mit Ihrem Anwalt oder Ihrer Rechtsabteilung beraten.

Erfahren Sie mehr über die Haltung von Greenhouse zur DSGVO und wie unsere Funktionen Ihnen helfen können, konform zu bleiben.