Montag, 18. Februar 2019

Datenschutzkonformes digitalisiertes Bewerbermanagement gemäß EU-DSGVO in 6 Schritten

Seit Inkrafttreten  der EU-Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 wirkt sich diese umfangreich auf beinahe alle Geschäftsprozesse aus. Dabei ist in den meisten Unternehmen die Personalabteilung besonders betroffen. In kaum einer anderen Abteilung werden so viele besondere personenbezogene Daten erfasst, gespeichert, bearbeitet und weitergegeben.


Wir zeigen Ihnen hier, wie Sie in Ihrem Unternehmen in nur 6 Schritten ein Bewerbermanagement aufbauen, das den Ansprüchen des Datenschutzes genügt und sich damit einen Vorsprung im Kampf um Fachkräfte verschaffen.

Vorteile eines datenschutzkonformen digitalisierten Bewerbermanagement gemäß EU-DSGVO

Schritt 1: Eingang von Bewerbungen


Bereits beim Empfang der Bewerbungsunterlagen sind Unternehmen verpflichtet, dem Bewerber möglichst sichere Übertragungswege bereitzustellen. Solange beispielsweise keine verschlüsselte E-Mail-Kommunikation und kein sicheres Online-Tool bereitgestellt werden, tut das Unternehmen gut daran, auch Bewerbungen per Post zu akzeptieren...




Beim Einsatz von Online-Tools oder sonstiger Software von Drittanbietern im Bewerberprozess ist darauf zu achten, mit diesen eine Vereinbarung zur Auftragsverarbeitung gemäß Artikel 28 EU-DSGVO abzuschließen. Ihr Datenschutzbeauftragter freut sich, wenn Sie ihn bereits im Auswahlprozess miteinbeziehen.

Schritt 2: Automatische Empfangsbestätigung


Bereits in der Vergangenheit gehörte es zum guten Ton, dem Bewerber den Eingang seiner Bewerbungsunterlagen zu bestätigen und ihn über die weitere Vorgehensweise im Bewerberprozess zu informieren. Dies geschah häufig mittels eines Antwortschreibens per (unverschlüsselter) E-Mail - manchmal bereits automatisiert.

Eine Empfangsbestätigung ist nach neuem Datenschutzrecht praktisch unumgänglich, denn der Bewerber muss als betroffene Person gemäß Artikel 13 EU-DSGVO bei der Erhebung über die weitere Verarbeitung seiner Daten und Unterlagen in Kenntnis gesetzt werden. Im genannten Artikel 13 findet sich eine Auflistung der aus Datenschutz-Sicht erforderlichen Inhalte der Empfangsbestätigung. Darunter fallen beispielsweise

  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.

Darüber hinaus müssen Angaben gemacht werden, wie lange die Daten gespeichert werden bzw. zu welchem Zeitpunkt oder unter welchen Kriterien diese wieder gelöscht werden. Auch über das Bestehen eines Beschwerderechts bei der zuständigen Aufsichtsbehörde sollte der Bewerber informiert werden.

Schritt 3: Weitergabe an die beteiligten Mitarbeiter in den Fachabteilungen


Bei der internen und externen Weitergabe der Bewerberdaten ist besonders darauf zu achten, dass ausschließlich die Personen Zugriff erhalten, die in den weiteren Bewerberprozess involviert sind.

Wie oft schon haben unsere Datenschutz-Berater in der Vergangenheit bei Audits herrenlose Papier-Bewerbungsmappen auf verlassenen Schreibtischen in unverschlossenen Räumen zu Gesicht bekommen. Zugriffsschutz? Fehlanzeige!

Die Nutzung von Outlook / Exchange für die Weitergabe von eingescannten oder gleich per E-Mail eingegangenen Bewerbungsmappen macht die Sache nicht einfacher. Welches Unternehmen kann schon sicherstellen, dass per E-Mail weitergeleitete Bewerbungsmappen nicht doch unabsichtlich oder absichtlich an Unbefugte weitergegeben werden? Und wie wollen Sie hierbei die Löschung aller Kopien nach Abschluss des Bewerberprozesses sicherstellen? Lesen Sie hierzu gerne unsere Blogbeiträge zum Thema Zero Mail Policy.

Wer sich bereits mit dem Thema Dokumentenmanagement beschäftigt hat erkennt hier unschwer: Die zugriffssgeschützte Weitergabe von Bewerbungsunterlagen an die Prozessbeteiligten ist ein klassisches DMS-Thema. Ein ordentliches DMS erlaubt es Unternehmen, einzelnen Benutzern oder Benutzergruppen ein (u.U. zeitlich begrenztes) Leserecht für vertrauliche Daten und Dokumente einzuräumen. Mit dieser Art Software kann Ihr Unternehmen sicherstellen, dass vertrauliche Informationen wie z.B. Bewerbungsunterlagen nicht unautorisiert vervielfältigt oder weitergeleitet werden.

Schritt 4: Erlaubnis zur längerfristigen Speicherung von Bewerbungsunterlagen


Sehen Sie es uns bitte nach: Schwaben wie uns tut es weh, wenn Chancen verschenkt und Geld unnötig zum Fenster hinausgeworfen wird.

Stellen Sie sich bitte folgende Situation vor: Ihr Unternehmen schreibt eine neu zu besetzende Stelle auf einem einschlägigen Stellenportal zum Schnäppchenpreis von 600 EUR aus. Diesmal bewerben sich gleich 3 potentielle neue Mitarbeiter auf diese Stelle. In den Bewerbungsgesprächen stellt sich schnell heraus, dass einer der Bewerber zwar super wäre, aber leider auf die aktuelle Stelle überhaupt nicht passt. Er erhält eine Absage. Seine Daten werden datenschutzkonform gelöscht. Die beiden anderen Bewerber liefern sich ein Kopf-an-Kopf-Rennen. Am Ende entscheiden sich die Verantwortlichen für einen der beiden Bewerber. Dieser wird eingestellt - mit einer Probezeit von 6 Monaten. Der andere Bewerber erhält eine Absage. 6 Monate später werden seine Bewerbungsdaten pflichtbewusst und datenschutzkonform gelöscht. Wenn nun der eingestellte Bewerber die Probezeit aus irgendwelchen Gründen nicht übersteht, steht Ihr Unternehmen am Ende ohne Mitarbeiter und ohne verwertbare Bewerberdaten da. In der Folge müsste eine neue Stelle ausgeschrieben werden, etc.

Unsere Datenschutz-Praxis zeigt: Tatsächlich sind viele Unternehmen seit dem 25.05.2018 dazu übergegangen, Bewerbungsunterlagen von im aktuellen Bewerberprozess unterlegenen Bewerbern, denen sie derzeit keine passende Stelle anbieten können, frühzeitig zu löschen - angeblich um eventuelle Datenschutzpannen und daraus resultierende hohe Bußgelder zu vermeiden.

Aber ist das wirklich notwendig? Welche Möglichkeiten bietet uns die EU-DSGVO?

Kann ein Unternehmen einem Bewerber aktuell keine Stelle anbieten und sagt es diesem in der Folge ab, sind die Datenschutz-Grundsätze der Datenminimierung bzw. Speicherbegrenzung (bisher: Datensparsamkeit) zu beachten. In der Folge wären die Bewerbungsdaten zu löschen, wenn kein Rechtsgrund mehr angeführt werden kann, der eine weitere Speicherung erlauben würde.

Möchte das Unternehmen nun die Bewerbungsunterlagen von interessanten unterlegenen Bewerbern aufbewahren, um den Bewerbungsprozess ggf. zu einem späteren Zeitpunkt wiederaufnehmen zu können, benötigt es dafür einen passenden Rechtsgrund. Diesen liefert uns Artikel 6 Absatz 1 lit. a) der EU-DSGVO mit der Einwilligung. Das Unternehmen muss sich also künftig lediglich eine Einwilligung der unterlegenen Bewerber in die längerfristige Speicherung der Bewerbungsdaten zum Zweck der späteren Wiederaufnahme des Bewerbungsprozesses oder der Kontaktaufnahme bei neuen passenden Stellen einholen. Dabei ist zu beachten, dass die Daten und Unterlagen fortlaufend aktuell gehalten werden müssen.

Bitte vergessen Sie nicht, die Einwilligungen der Bewerber rechtssicher zu archivieren. Im Falle einer Anfrage des Betroffenen und bei Überprüfungen z.B. durch die zuständige Aufsichtsbehörde müssen diese jederzeit auffindbar sein. Bei diesen Anforderungen hilft ein DMS mit Workflow- und Archiv-Funktionalität.

Schritt 5: Auskunftsrecht und weitere Rechte des Bewerbers


Jeder Bewerber hat als betroffene Person gemäß Artikel 15 EU-DSGVO das Recht auf eine Auskunft über seine personenbezogenen Daten und die Umstände, weshalb diese im Unternehmen gespeichert werden. Zudem kann er jederzeit verlangen, dass seine Daten

  • berichtigt (Artikel 16 EU-DSGVO) oder
  • gelöscht (Artikel 17 EU-DSGVO - "Recht auf Vergessenwerden"

werden. Außerdem hat der Bewerber unter bestimmten Umständen das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen (vgl. Artikel 18 EU-DSGVO).

Anfragen von Bewerbern und anderen Betroffenen hat das Unternehmen unverzüglich, spätestens aber innerhalb eines Monats, zu beantworten (vgl. Artikel 12 Abs. 3). Dabei ist eine vorherige ordentliche Identifikation der betroffenen Person ratsam.

Auch hier zahlt sich der Einsatz eines guten Dokumentenmanagementsystems (DMS) und der Aufbau entsprechender Prozesse schnell aus. Denn

Schritt 6: Endgültige Löschung


Wie unter Schritt 4 bereits ausgeführt: Wenn kein Rechtsgrund mehr vorliegt für eine Aufbewahrung, sind die entsprechenden Daten und Dokumente zu löschen. Hier hilft uns nur die rechtzeitige Einholung einer Einwilligungserklärung zur weiteren Speicherung vom Betroffenen.

Bitte achten Sie darauf, dass in Ihrem Unternehmen die Bewerberdaten der unterliegenden Bewerber nicht sofort nach der Neubesetzung der Stelle gelöscht werden. Ein weit verbreiteter Fehler! Das Allgemeinen Gleichstellungsgesetzes (AGG) könnte Unternehmen in Schwierigkeiten bringen und stellt daher ebenfalls einen Rechtsgrund dar. Um einen AGG-konformen Bewerber-Auswahlprozess bei Bedarf nachweisen zu können, sollten Bewerbungsunterlagen in der Regel also 2-6 Monaten aufbewahrt werden.

Wenn der letzte Rechtsgrund ausgelaufen ist und wir auch keine Einwilligung des Bewerbers mehr vorliegen haben, müssen wir uns also ans Löschen machen. Dabei muss das Unternehmen die ordnungsgemäße Löschung im Zweifelsfall nachweisen können. Für diesen Zweck empfiehlt es sich, passende Löschprotokolle auszuarbeiten. Mit diesen Protokollen sollte das Unternehmen nachweisen können, wann, an welchen Stellen und in welcher Form Daten und Unterlagen gelöscht wurden.

Die Beweislast in Punkto Datenschutz liegt gemäß EU-DSGVO immer beim Verantwortlichen bzw. beim Unternehmen. Die Rechenschaftspflicht gemäß Artikel 5 Abs. 2 EU-DSGVO verlangt vom Unternehmen eine detaillierte Dokumentation aller Prozesse im Zusammenhang mit der Verarbeitung und Löschung personenbezogener Daten - hier: Bewerberdaten.


yourIT empfiehlt: Setzen Sie jetzt auf professionelle DMS-Software



Damit Ihr Unternehmen allen oben genannten Punkten gewissenhaft nachkommen kann, empfehlen wir den Einsatz eines professionellen Dokumentenmanagementsystems (DMS). Ohne den Einsatz einer übergreifenden Software-Lösung, die eine durchgängige Bearbeitung aller Daten und Dokumente ermöglicht sowie die Einrichtung der erforderlichen Bewerber-Prozesse wird die Einhaltung der umfassenden Vorschriften der EU-DSGVO unnötig erschwert bzw. unmöglich.

Dabei sollten Sie neben der Optimierung des Bewerbermanagements auch die weiteren Vorteile von Dokumentenmanagementsystemen im Blick haben.

Jetzt Bewerber-Prozess professionell beraten lassen - und Fördermittel nutzen


Halt! Bei allen Vorteilen für Ihr Unternehmen - Bitte entscheiden Sie sich nicht für das nächstbeste Berwerber-Management oder DokumentenManagementSystem (DMS). Seit einigen Jahren bieten wir von yourIT unser Beratungspaket "Kern-Prozessanalyse" an. Ziel ist es, mit Ihnen bereits vor der Auswahl eines Systems zu erarbeiten, die Optimierung welcher Prozesse in Ihrem Unternehmen am meisten Sinn macht. Dazu durchlaufen wir mit Ihnen die Phasen A (Prozessanalyse) und B (Konzeptentwicklung). Erst danach macht eine Entscheidung für eine passende DMS-Software Sinn - meinen Sie nicht auch?

yourIT - Beratungspaket Kern-Prozessanalyse - sponsored by ESF


Geringe Kosten durch staatliche Förderung


Wir bieten Ihnen die Durchführung einer Kern-Prozessanalyse mit den Phasen A+B derzeit zum Festpreis von 3.900 EUR netto zzgl. Nebenkosten an. Für kleine und mittelständische Unternehmen (sogenannte KMU) ist diese Beratung in der Regel förderfähig. Abzüglich der Ihnen zustehenden 1.500 EUR Fördermittel bleibt ein Eigenanteil von gerade mal 2.400 EUR.

Weitere Infos zu unseren ESF-geförderten Beratungspaketen haben wir Ihnen hier zusammengestellt: http://www.mitgroup.eu.

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Keine Kommentare:

Kommentar veröffentlichen