DSGVO in der Personalberatung
DSGVO – Ein Jahr nach Ende der Übergangsfrist
Die DSGVO feiert am 25. Mai 2019 ihren dritten Geburtstag, zumindest wenn man es genau nimmt, weil sie bereits am 25. Mai 2016 in Kraft getreten ist. Allerdings wurde Unternehmen, Vereinen und allen anderen Betroffenen von diesem Tag an eine zweijährige Übergangsfrist zur Umsetzung der in der DSGVO enthaltenen Pflichten gewährt. Dies hatte zur Folge, dass sich viele Unternehmen und ebenso Vereine erst gegen Ende der Übergangsfrist mit der DSGVO auseinandergesetzt haben. Während die DSGVO und ihre Anforderungen manche Unternehmen regelrecht in Panik versetzten, blieben andere Unternehmen vollkommen gelassen und zeigten sich unbeeindruckt und desinteressiert.
Wie wir mit der DSGVO umgegangen sind, haben wir im vergangenen Jahr in verschiedenen Blogbeiträgen beschrieben. Wir waren sehr interessiert, informierten und frühzeitig und leiteten erforderliche Maßnahmen in die Wege.
Nun ist ein Jahr vergangen und es stellt sich die Frage, was sich seither getan hat?! Hat die DSGVO merkliche Veränderungen im Arbeitsalltag mit sich gebracht?
DSGVO im Recruiting
Zu Beginn der Auseinandersetzung mit der DSGVO sahen wir insbesondere in unserem Geschäftsbereich Recruiting sprichwörtlich den Wald vor lauter Bäumen nicht. In einem Webinar hieß es damals, man brauche zur Verarbeitung und Speicherung von Bewerbungsunterlagen eine ausdrückliche Einwilligung seitens der Bewerber, weil das Einreichen der Bewerbung nicht automatisch als Einwilligung zu werten sei – selbst dann nicht, wenn sie über ein Bewerbungsformular mit einer Opt-in Checkox eingereicht werden würde. Doch sollte man sich ab dem Stichtag, 25. Mai 2018, tatsächlich von jedem Kandidaten eine explizite Einwilligung einholen müssen, um dessen Bewerbung überhaupt sichten und ihn z.B. für ein Interview telefonisch kontaktieren zu dürfen? Das kam uns wahrlich sehr abwegig und praxisfern vor.
Also stellte sich die Frage, auf welcher Rechtsgrundlage bzw. durch welchen Legitimationsgrund die Verarbeitung von Bewerbungsunterlagen als rechtmäßig gilt? Die Rechtsgrundlage der Verarbeitung von Bewerbungsunterlagen ist zunächst § 26 Abs. 1 BDSG-neu, welcher die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses umfasst. Ohne eine Verarbeitung der personenbezogenen Daten ist eine Entscheidung über die Begründung eines Beschäftigungsverhältnisses nämlich nicht möglich.
Bei Erhalt einer Bewerbung ist folglich keine Einwilligung des Betroffenen zur Verarbeitung einzuholen. Was jedoch getan werden muss, ist die Erfüllung der Informationspflicht gemäß Artikel 13 DSGVO. In dem Artikel ist genau festgelegt, welche Informationen dem Betroffenen bei der Erhebung seiner Daten mitgeteilt werden müssen. Um der Informationspflicht nachzukommen, haben wir unsere Datenschutzbestimmungen für den Bewerberprozess so formuliert, dass diese alle erforderlichen Angaben nach Artikel 13 Absatz 1 sowie Absatz 2 erhalten. Wir versenden diese in Verbindung mit einer Empfangsbestätigung nach dem Bewerbungseingang. Zusätzlich sind die Datenschutzbestimmungen jederzeit auf unserer Homepage frei einsehbar.
Einwilligungen sind teilweise unverzichtbar
Doch trotz der rechtmäßigen Verarbeitung gemäß § 26 Abs. 1 BDSG-neu sind Einwilligungen im Recruiting zum Teil unverzichtbar. Warum? Weil der Verwendungszweck mit Beendigung des für den Kandidaten relevanten Bewerbungsprozesses entfällt und somit keine Berechtigung zur weiteren Verarbeitung oder erneuten Kontaktaufnahme mehr besteht. In diesem Fall sollten die Unterlagen spätestens nach einer Aufbewahrungsdauer von sechs Monaten gelöscht werden.
Soll ein Bewerber nach dem eigentlichen Bewerbungsprozess in einen Talentpool aufgenommen werden, so ist eine ausdrückliche Einwilligung zur weiteren Speicherung und Verarbeitung der personenbezogenen Daten sowie zur Kontaktaufnahme bei passenden Vakanzen zwingend erforderlich. Grundsätzlich gilt es dabei, dem Bewerber Auswahlmöglichkeiten hinsichtlich des zeitlichen Verbleibs im Talentpool zu gewähren. Wir bieten Bewerbern beispielsweise an, sie für die Dauer eines von ihnen gewählten Zeitraums von 3, 6, 9 oder 12 Monaten in unseren Talentpool aufzunehmen. Dazu lassen wir uns die notwendigen Einwilligungen über ein spezielles, datenschutzkonformes Freigabe-Tool erteilen. Über das Tool können die Kandidaten ihre Einwilligung auch jederzeit widerrufen. Sollte dies geschehen, würden wir darüber umgehend informiert werden.
Weiterhin sind Einwilligungen für uns im Recruiting elementar, wenn es um die Weitergabe von Bewerberprofilen an unsere Auftraggeber geht. Eine Weiterleitung von Bewerberprofilen erfolgt immer erst dann, wenn dem entsprechenden Bewerber das Unternehmen unseres Kunden bekannt ist und er einer Weiterleitung zustimmt. Sollte das Unternehmen nicht seinen Vorstellungen entsprechen, besteht jederzeit die Möglichkeit einer Weiterleitung zu widersprechen.
Erfahrungen im Recruiting angesichts der DSGVO
Seit dem 25. Mai 2019 erleben wir es insbesondere bei Initiativbewerbungen häufig, dass die Bewerber bereits in ihrem Anschreiben erwähnen, dass sie der Speicherung und Verarbeitung ihrer Unterlagen ausdrücklich zustimmen. Dies bedeutet für uns jedoch nicht, dass wir auf den Versand unserer Empfangsbestätigung mitsamt den Informationen über unseren Umgang mit den Bewerbungsunterlagen verzichten können. Es zeigt aber, dass die DSGVO auch Einzug in das Bewusstsein der Bewerber gehalten hat, was durchaus positiv zu werten ist.
Außerdem wurden wir im vergangen Jahr nach dem Versand von Absagen mehrfach gebeten, die personenbezogenen Daten sowie die zugehörigen Unterlagen aus unserem Bewerbermanagementsystem zu löschen.
Diesem Wunsch kommen wir grundsätzlich gerne nach, jedoch erst nach einer Aufbewahrungsfrist von mindestens drei Monaten ab dem Beendigungszeitpunkt des entsprechenden Auswahlprozesses. Dies hat mehrerlei Gründe. Zum einen sind potenzielle AGG Klagen erst nach drei Monaten ab dem Zugang der Absage auszuschließen, zum anderen erbringen wir gegenüber unseren Auftraggebern eine Dienstleistung. Folglich müssen wir bis zum Projektende auskunftsfähig bleiben, wenn es um die Anzahl eingegangener Bewerbungen, Absagegründe und ähnliches geht – natürlich in anonymisierter Form.
Darüber hinaus erfolgt im Rahmen einer internen Projektauswertung eine Datenverarbeitung zu statistischen Zwecken, um relevante KPIs im Recruiting auswerten zu können. Dazu gehören zum Beispiel die Messung der durchschnittlichen Dauer des Bewerbungsprozesses oder die Auswertung von Stellenbörsen nach Bewerberanzahl. Die Erstellung der Statistiken erfolgt ausschließlich zu unternehmenseigenen Zwecken und anonymisiert auf der Grundlage von Artikel 6 Abs. 1, Buchstabe f DSGVO.
Insgesamt haben wir im Recruiting bisher keine negativen Veränderungen feststellen können, im Gegenteil. Unser sensibilisierter Umgang mit der Thematik wird von den Bewerbern positiv empfunden und beurteilt. Dadurch, dass wir standardisierte Prozesse etabliert haben, fällt es uns inzwischen leicht, die DSGVO im Tagesgeschäft umzusetzen.
DSGVO bei proJob insgesamt
Bei einer Gesamtbetrachtung unseres Unternehmens haben sich durch die DSGVO verschiedene Veränderungen ergeben. Dies ist sicherlich einer guten Sensibilisierung für die Thematik zu verdanken, aufgrund derer wir unsere technischen und organisatorischen Maßnahmen fortlaufend kontrollieren und bei Bedarf weiter optimieren.
Da sich proJob als agiles und dynamisches Unternehmen kontinuierlich weiterentwickelt und neue Prozesse und Systeme einführt, ist es unabdingbar, diese immer auf ihre DSGVO-Konformität hin zu prüfen, das Verzeichnis der Verarbeitungstätigkeiten zu erweitern und möglicherweise mit Dienstleistern Auftragsverarbeitungsverträge abzuschließen.
Welche Erfahrungen haben Sie bisher mit der DSGVO gemacht?