Die digitalen Bewerbermanagement-Plattformen
In der digitalisierten Welt von heutzutage Bewerbungsunterlagen per Post zu schicken fühlt sich schon altmodisch an. Auf dem Markt gibt es genug Bewerber-Tools, die sowohl die Beseitigung der Papierdokumentation und des begleitenden Chaos abschaffen, als auch Geschwindigkeit und Effektivität anbieten und zudem preiswerter sind.
Was ist vor der Umsetzung einer Bewerberplattform zu berücksichtigen?
Das hört sich schon wunderschön an, birgt aber Gefahren die aus datenschutzrechtlicher Sicht besondere Risiken für beide Seiten (Verantwortlicher und Betroffene) darstellen. Vom Prinzip der Datenminimierung (Art. 5, Abs. 1, Buchstabe c DSGVO) und der sog. Rechenschaftspflicht (Art.5, Abs.2 DSGVO) bis zur Auswahl eines konformen Bewerbertools gibt es vieles zu berücksichtigen. Der Rechenschaftspflicht ist erst dann nachgekommen, wenn die Prozesse, in denen personenbezogene Daten verarbeitet werden transparent und übersichtlich angelegt sind (dokumentiert sind). Das natürlich liegt in engerem Zusammenhang mit der Art des Bewerbertools (z.B. Cloud-basiert). Aufgrund der Anzahl der personenbezogenen Daten, die im Bewerbungsprozess bearbeitet werden müssen (von Kontaktdaten bis zu sensiblen Daten) fällt es den Unternehmen schwer den Überblick zu behalten. Deswegen sind vor der Umsetzung des Bewerber-Tools u.a. folgende Fragen zu beantworten: Handelt es sich um eine Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder unabhängig von einem anderen Verantwortlichen? Wer ist berechtigt Zugriff auf die Daten zu haben? Welche Fristen müssen bei der Speicherung von Daten berücksichtigt werden? Darf ich Social-Media Accounts von Bewerbern verknüpfen? und viele andere.
Die Einfachheit birgt Gefahren.
Definitiv als positiv zu sehen ist, das Einsetzen eines Löschkonzepts, da viele Bewerberplattformen automatische Erinnerungs- oder Löschoptionen enthalten. Ein weiterer Grund warum solche Tools immer mehr an Aufmerksamkeit gewinnen ist, die Möglichkeit Bewerber in sog. Bewerberpools aufzunehmen, wo deren Daten länger als die normale 6‑monatige Frist gespeichert werden. Eine solche Einwilligung des Bewerbers kann ohne Wartezeit schnell im System eingepflegt werden (im Vergleich zum Postweg). Mit dem passenden Tool ist auch die Ausübung der Betroffenenrechte einfacher, da der Bewerber selbst entscheiden kann welche Daten selbst aus dem Profil zu löschen oder zu exportieren sind. Obwohl alles sehr verlockend klingt, muss man die Prinzipien und Anforderungen der Datenverarbeitung nach der DSGVO nicht vergessen. Ein angemessenes Datenschutzniveau muss gewährleistet werden. Da es sich hier um einen externen Dienstanbieter handelt (nicht viele Unternehmen können sich ein eigenes Bewerbertool zu entwickeln leisten) kommt eine Auftragsverarbeitung in Betracht. Ein Dienstleister, der hinreichend Garantien anbieten kann, dass die Datenverarbeitung im Einklang mit der DSGVO ist und der den Schutz der Betroffenenrechte gewährleisten kann, ist nicht einfach zu finden. Hier ist besonders zu berücksichtigen, ob der Dienstanbieter seinen Sitz in einem Drittland hat (außerhalb EU und EWR). In einem solchen Fall ist zu beachten, ob ein Angemessenheitsbeschluss der Kommission vorliegt, ob geeignete Garantien vorhanden sind oder ob es Ausnahmen für bestimmte Fällen gibt.
Die eigenen Mitarbeiter schulen und klare Vorgehensweise haben.
Genauso wichtig ist es auch die eigenen Mitarbeiter zu schulen, weil sich sehr oft daraus Gefahren ergeben. Ein Berechtigungskonzept im Unternehmen zu haben ist dann ein “muss“ – zu regeln ist wer die Berechtigungen vergibt, welche Mitarbeiter Zugriff auf das System haben dürfen. Das “Need to know“ Prinzip kann hier hilfreich sein – nur solche Mitarbeiter, deren Beteiligung in der Durchführung des Bewerberverfahrens geboten ist, dürfen auf die personenbezogenen Daten des Bewerbers zugreifen. Viele Bewerber-Tools bietet die Option an, dass sich Bewerber per Social Media anmelden (z.B. Facebook oder LinkedIn). Hier ist besonders zu berücksichtigen, dass der Bewerber nicht damit rechnet, dass Daten von seinem Facebook-Account in dem Bewerbungsverfahren inkludiert werden. Obwohl die Daten in einem Bewerbertool bearbeitet werden (das in den meisten Fällen selbst eine Datenschutzerklärung hat oder Informationspflichten durch die Plattform zur Verfügung stellt) besteht weiter die Informationspflicht des Verantwortlichen. Die optimalste Variante wäre entsprechende Unterlagen im Tool integrieren zu können.
Wenn Sie fragen haben, stehen wir Ihnen selbstverständlich zur Verfügung.
Sie können uns unter folgender E‑Mail Adresse kontaktieren:
datenschutz@blusystems.de