Die GDPR/DSGVO und ihr Einfluss auf die Rekrutierung

In den vergangenen Monaten sind Sie sicherlich auf die neue Datenschutz-Grundverordnung (DSGVO) aufmerksam geworden. In diesem Beitrag geben wir einen kurzen Überblick, was die DSGVO bezweckt und welche Auswirkungen sie für die Rekrutierung hat. Am 25. Mai 2018 kommt die neue Verordnung zur Anwendung – diese ist im Übrigen bereits seit 2016 bekannt, aber so richtig Fahrt aufgenommen hat die Vorbereitung in den meisten Unternehmen erst wesentlich später. Eines vorab: Die Rekrutierungbranche wird neben dem Gesundheitswesen ausdrücklich in der Verordnung erwähnt, was den schützenswerten Charakter der personenbezogenen Daten und die Wichtigkeit des Datenschutzes in der Rekrutierungsbranche allgemein unterstreicht.

Worum geht es genau?

Bei der DSGVO (Datenschutz-Grundverordnung) handelt es sich um eine Verordnung der EU, die den Schutz von Daten natürlicher Personen bezweckt. Die DSGVO führt dazu, dass die datenschutzrechtlichen Regelungen in den Mitgliedstaaten der Europäischen Union weitgehend angeglichen werden und es insgesamt zu einer Stärkung des Datenschutzes in der Europäischen Union kommt.
Um Ihnen den Einstieg zu erleichern, geben wir einen Überblick der aus unserer Sicht wichtigsten Inhalte. Die Verordnung gilt nicht nur für Unternehmen, die in der EU ansässig sind, sondern auch für Schweizer Unternehmen, wenn diese Waren oder Dienstleistungen natürlichen Personen in der EU anbieten (hierzu gehört auch die Vermittlung von Stellenangeboten) oder das Verhalten von natürlichen Personen in der EU zu beobachten (beispielsweise über Web-Tracking). In der Schweiz wird aktuell ebenfalls eine Revision des Schweizer Datenschutzgesetzes diskutiert. Man kann davon ausgehen, dass viele der stengeren Vorschriften der DSGVO ins Schweizer Recht übernommen werden. Allerdings ist mit Inkrafttreten des revidierten Schweizer Datenschutzgesetzes nicht vor 2019 zu rechnen. Ab 25. Mai 2018 sind daher vorerst nur jene Schweizer Unternehmen von den verschärften datenschutzrechtlichen Regelungen betroffen, die in den Anwendungsbereich der DSGVO fallen.
Es scheint angebracht, den Begriff «personenbezogene Daten» vorab genau zu definieren, steht er doch in direktem Verhältnis dazu, wie umfassend Unternehmen von der Verordnung betroffen sind. Daten gelten als «personenbezogen», wenn sie es erlauben, Einzelpersonen direkt oder indirekt zu identifizieren. Allgemein gelten als personenbezogene Daten zum Beispiel:

  • Name
  • Telefonnummern
  • Adresse
  • verschiedene personenbezogene Nummern (Versicherungsnummer, Autokennzeichen usw.)
  • E-Mail-Adresse

Hier besteht bereits die erste Schwierigkeit: Nicht für alle Unternehmen ist die Definition personenbezogener Daten gleich, da auf Basis technischer Gegebenheiten Informationen wie Web-Identifier (zB IP Adressen) für einige Unternehmen bereits genügen, um Personen eindeutig zu identifizieren. Wichtig ist, dies immer aus der Sicht des Unternehmens zu beurteilen. Als Faustregel gilt, personenbezogen ist alles, was es dem datensammelnden Unternehmen erlaubt, eine natürliche Person zu identifizieren.

Die DSGVO – das bedeutet vor allem das Ende von „Wer schweigt, stimmt zu“

Das Prinzip der DSGVO ist einfach – es geht vor allem um Transparenz und Zweckbindung bei der Datensammlung: „Personenbezogene Daten müssen auf rechtmässige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz)“.
Demnach haben Nutzer das Recht, zu erfahren, zu welchem Zweck ihre Daten verwendet werden. Sie sollen beurteilen und entscheiden können, ob sie mit diesen Gründen einverstanden sind oder der Verwendung widersprechen möchten. Aus Sicht des Unternehmens stellt sich die Frage: Dürfen wir überhaupt weiterhin Daten sammeln ohne dafür explizit die Einwilligung der betroffenen Personen einzuholen?
In dieser Verordnung sind unter anderem 7 elementare Punkte zu finden, auf die wir Sie ganz besonders aufmerksam machen möchten.
1. Vertrag, berechtigtes Interesse und Einwilligung
Die gute Nachricht vorweg: Dort, wo in der Vergangenheit Unternehmen verantwortungsvoll personenbezogene Daten sammelten, ist nicht mit wesentlichen Änderungen zu rechnen. Denn der Gesetzgeber sieht vor, dass überall dort, wo ein Vertrag besteht, zu dessen Umsetzung die Erhebung personenbezogener Daten notwendig ist oder ein berechtigtes Interesse des Unternehmens zur Erhebung dieser Daten vorliegt, dies weiterhin möglich bleibt.

Als wir bei JobCloud mit der Umsetzung der Verordnung begannen, waren wir erleichtert festzustellen, dass wir personenbezogene Daten nur sammeln, wo dies in direktem Bezug zur Job- bzw. Kandidatensuche steht. Dadurch können wir uns meist auf einen Vertrag mit Kandidaten oder Arbeitgebern/Vermittlern berufen. Es hat sicherlich geholfen, dass Jobcloud auf keinem seiner Portale Drittwerbung schaltet und personenbezogene Daten nicht an Dritte weiterleitet, wenn dies nicht ausdrücklich der Job- bzw. Kandidatensuche dient.

Ulric Rudmalm, Datenschutz-Beauftragter bei JobCloud

Darüber hinaus besteht die Möglichkeit, sich als Unternehmen auf das «berechtigte Interesse» zu berufen. Auch hier dürfte meist eine massgebliche oder angemessene Beziehung zwischen betroffener Person deren Daten erhoben werden und Unternehmen vorliegen. Wenn die Datenerhebung aber über einen eventuell bestehenden Vertrag hinausgeht, also zB der Verhinderung von Betrug dient oder der Direktwerbung des Unternehmens, dürfen personenbezogene Daten auch hier erhoben werden.
Sofern sich Unternehmen nicht auf einen Vertrag oder berechtigtes Interesse stützen können, ist die Einwilligung der betroffenen Personen zur Sammlung ihrer Daten einzuholen: «Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.»
Unternehmen sollten also nochmals beurteilen, ob ihre personenbezogene Daten, die im Rahmen der Rekrutierung erhoben wurden und sich meist in Bewerbermanagement-Systemen (BMS) befinden, durch einen der oben dargelegten Rechtfertigungsgründe abgedeckt sind. Sollte dies nicht der Fall sein, ist nicht zwingend sofort eine Löschung dieser Daten einzuleiten. Vielmehr kann es bereits für interne Statistiken, Machine Learning etc. ausreichen, die Daten zu anonymisieren, dh die Identifizierbarkeit natürlicher Personen unwiderruflich aufzuheben.
Schliesslich macht die Verordnung nicht bei der Rekrutierung neuer Mitarbeite Halt, sondern geht über den gesamten Lebenszyklus der Mitarbeitenden im Betrieb. Unternehmen sollten daher personenbezogenen Daten, über Mitarbeitende sowie deren Verarbeitung und Weitergabe inventarisieren und die Mitarbeiter über diesbezügliche Praktiken informieren.
2. Das Recht auf Berichtigung, Einschränkung & Löschung
Die Verordnung gibt betroffenen Personen eine Vielzahl an Rechten. So kann erwirkt werden, dass personenbezogene Daten berichtigt oder gelöscht werden („Recht auf Vergessenwerden“). Darüber hinaus kann der Verarbeitung widersprochen werden bzw. diese eingeschränkt werden, sofern der Nachweis der Rechtmässigkeit nicht erbracht werden kann.
3. Recht auf Datenübertragbarkeit
Die betroffene Person hat das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Momentan präzisiert das Gesetz diesbezüglich nichts Genaues – es ist davon auszugehen, dass sich hier ein Marktstandard etablieren wird. Bis dahin erscheint es als richtig, bei Anfragen durch betroffene Personen den aktiven Austausch zu suchen und eine beidseitig zufriedenstellende Lösung anzustreben.
4. Profiling
Ein weiterer wichtiger Aspekt in der Rekrutierung ist das Matching von Kandidaten und Stellenprofilen. Dabei handelt es sich um automatische Auswahlverfahren, bei denen algorithmusgesteuert qualifizierte Kandidaten für Stellen (vor)-selektiert werden. Im Datenschutz wird dies als «Profiling» bezeichnet und den betroffenen Personen werden besondere Rechte zugesprochen. Konkret sollte dieses Verfahren den betroffenen Personen in der Datenschutzerklärung erläutert werden und ihnen das Recht auf Widerspruch zugestanden werden.
5. Datenschutzfreundliche Voreinstellungen
Neben der Gewährleistung angemessener Sicherheitsvorkehrungen zu einem sicheren Informationssystem müssen Unternehmen und Organisationen die Anforderungen bezüglich Datenschutz bereits im Zeitpunkt der Konzeption von Produkten, Dienstleistungen oder Systemen berücksichtigen.
6. 72 Stunden für die Meldung von Datenschutz-Verletzungen
Ab dem 25. Mai 2018 muss jegliche Verletzung des Schutzes personenbezogener Daten spätestens innert 72 Stunden den betroffenen Personen sowie der zuständigen Behörde kommuniziert werden. Die Herausforderung besteht darin, die notwendigen technischen Mittel (Intrusion Detection Software) sowie Eskalationsprozesse im Voraus zu definieren und zu testen. Neben dem finanziellen Schaden eines «Data Breaches» der über entsprechende Cyber Security Versicherungen abgesichert werden kann, gilt es insbesondere, einen grösseren Reputationsschaden als vertrauensvoller Arbeitgeber/Vermittler zu verhindern.
7. Sanktionen bei Verstössen
Bei einem Verstoss gegen die DSGVO können empfindliche Sanktionen drohen. Bei schwerwiegenden Verstössen kann eine Busse in Höhe von 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

So können Sie vorgehen

In Anbetracht der Fülle an Rechten, die es zu wahren gilt, ist ein struktiertes Vorgehen im Sinne von «First things first» angebracht:

  1. Für angemessene Management Attention sorgen («Datenschutz als Chefsache»)
  2. Eine Bestandsaufnahme machen
  3. Den Austausch unternehmensintern und mit betroffenen datenverarbeitenden Dienstleistern & Kunden suchen
  4. Benennung eines/r Datenschutzbeauftragten (falls erforderlich)
  5. Aktualisierung der Allgemeinen Geschäftsbedingungen und Datenschutzerklärung
  6. Roadmap mit klaren Prioritäten & Zuständigkeiten

Und was macht JobCloud angesichts dieser neuen Verordnung?

Um für die neuen Herausforderung gut gerüstet zu sein, haben wir bei JobCloud einen Projekt Manager eingestellt, der sich ausschliesslich um die Umsetzung der DSGVO bei JobCloud kümmert. Ulric Rudmalm hat ein Projektteam aufgestellt, darunter das Steering Committee (bestehend aus Geschäftsleitung), eine externe Rechtsberatung und Ansprechpartner («Ambassadors») innerhalb jeder Abteilung, die für den Informationstransfer an die Kolleginnen und -Kollegen verantwortlich sind. Auf Basis einer Roadmap wurden die Top-Prioritäten zuerst adressiert und die Zusammenarbeit innerhalb der Projektorganisation forciert. Denn: Der Schutz personenbezogener Daten versteht sich nicht als temporäres Projekt, sondern als kontinuierlicher Prozess.
Und Sie? Sind Sie bereit? Wenn Sie noch mehr zu diesem Thema erfahren möchten, hier einige lesenswerte Artikel:
https://www.kmu.admin.ch/kmu/de/home/praktisches-wissen/kmu-betreiben/e-commerce/eu-regelung-zum-datenschutz.html
https://www.nzz.ch/wirtschaft/folgen-der-neuen-datenschutz-grundverordnung-eu-datenschutzverordnung-tangiert-auch-die-schweiz-ld.1306009
http://www.rp-online.de/digitales/internet/dsgvo-zusammenfassung-der-eu-datenschutz-grundverordnung-aid-1.7493599
https://www.bee-inbound.ch/digitale-strategie/datenschutz-eu-dsgvo/

Ratgeber & Checklisten
Wertvolle Informationen und Tipps, wie Sie potenzielle Kandidaten erreichen, Bewerbungen selektieren sowie Whitepaper und Studien.

Erhalten Sie aktuelle HR-News, Infos über Talent Management und Arbeitsrecht, Tipps & Checklisten sowie Details über interessante HR-Events.

Abonnieren
xNewsletter abonnieren

Werden Sie Teil unserer Community! Mehr als 20'000 Unternehmen profitieren von unseren regelmässigen HR-Beiträgen und Tipps.​

Jetzt Newsletter abonnieren​