Worum geht's?
Im Zuge des Fachkräftemangels ist die Unterstützung durch Recruiting-Agenturen für viele Unternehmen unverzichtbar, um geeignete Bewerber zu finden und offene Stellen zu besetzen. Da Recruiting-Agenturen, Personalvermittler und Headhunter tagtäglich mit den Daten unterschiedlichster Bewerber arbeiten, spielt das Thema Datenschutz bei Bewerbungen eine große Rolle. Wie Sie als Recruiting-Agentur eine rechtssichere Personalvermittlung gestalten, wie das Bewerbermanagement laut DSGVO aussehen muss und was Sie beim Datenschutz von Bewerberdaten beachten müssen, erfahren Sie in diesem Artikel.
1. Datenschutz & Bewerbungen: Welche Pflichten haben Recruiting-Agenturen?
Bei den datenschutzrechtlichen Pflichten von Recruiting-Agenturen, Headhuntern und Personalvermittlern spielt die Datenschutzgrundverordnung (DSGVO) eine entscheidende Rolle. Diese regelt EU-weit, wie Unternehmen, Arbeitgeber und Behörden mit der Verarbeitung von Bewerberdaten sowie Daten von Kunden und Mitarbeitern umgehen müssen. Dabei gilt sie für alle Unternehmen, die personenbezogene Daten erheben, verarbeiten und an Dritte übermitteln.
Die DSGVO gilt somit auch für Recruiting-Agenturen – denn diese haben vermehrt mit Unternehmen, Arbeitsuchenden und Bewerbern zu tun und arbeiten mit sensiblen Daten wie Namen, Privatanschriften, E-Mail-Adressen, Lebensläufen, Anschreiben, Zeugnissen und Bewerberfotos.
Da viele Bewerbungsprozesse heute rein digital ablaufen, steigt das Risiko, dass sensible Daten abgefangen und von unbefugten Dritten eingesehen werden könnten. Um das zu verhindern, ist ein angemessener Datenschutz im E-Recruiting unerlässlich. So dürfen bei webbasierten Online-Bewerbungsverfahren beispielsweise nur Daten erfasst werden, die in der Bewerbung notwendig sind, um die Eignung des Bewerbers für die offene Stelle zu beurteilen.
Wie steht es um den Datenschutz in Ihrem Unternehmen? Mit unserem Datenschutzmanagementsystem können Sie eine Risikoabschätzung durchführen. Probieren Sie es aus!
Recruiting-Agenturen und Unternehmen, die Bewerber einstellen, müssen beim Bewerbermanagement gemäß Datenschutzgrundverordnung folgende Pflichten erfüllen:
Informationspflichten
Als Recruiting-Agentur sind Sie verpflichtet, personenbezogene Daten vor dem Zugriff unbeteiligter Dritter zu schützen. Außerdem trifft Sie gemäß DSGVO eine Informationspflicht: Sie müssen die Bewerber informieren, was mit ihren erhobenen Daten im Rahmen des Recruiting-Prozesses passiert.
Informieren Sie Interessenten und Bewerber insbesondere über:
- Kontaktdaten der verantwortlichen Stelle
- Zweck der Datenverarbeitung
- Datenempfänger
- Dauer der Datenspeicherung
- Betroffenenrechte
Bewerber gelten gemäß § 26 Abs. 8 BDSG (Bundesdatenschutzgesetz) als Beschäftigte im Sinne des Datenschutzes. Das heißt, dass „personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses […] erforderlich ist.“
Sie brauchen somit kein gesondertes Einverständnis des Bewerbers zur Datenweiterverarbeitung. Es ist aber erforderlich, den Bewerber über die Datenverarbeitung aufzuklären.
Eine ausdrückliche Einwilligung ist im Rahmen der Online-Bewerbung nur dann erforderlich, wenn der Bewerber in einen Bewerberpool aufgenommen werden soll.
Löschpflichten und Aufbewahrungsfrist für Bewerbungsunterlagen
Bewerbende haben ein Recht auf Löschung ihrer Bewerberdaten. Als Unternehmen trifft Sie im Umgang mit Bewerberdaten eine Löschpflicht: Sie dürfen die Unterlagen der Bewerbung hinsichtlich des Datenschutzes nur solange speichern, wie es für den Verarbeitungszweck erforderlich ist. Wird die offene Stelle nicht durch den Bewerber besetzt, entfällt der legitime Zweck der Datenspeicherung.
Eine unbegrenzte Aufbewahrung der Bewerbungsunterlagen ist gemäß Datenschutzgrundverordnung ohne ausdrückliche Einwilligung nicht möglich. Gibt es keine entsprechende Einwilligung des Bewerbers oder eine gesetzliche Vorschrift, die die weitere Speicherung erforderlich macht, sind Sie verpflichtet, die Daten und Bewerbungsunterlagen nach der Entscheidung für oder gegen den Bewerber unverzüglich zu löschen – und zwar aus allen Postfächern.
Dokumentationspflichten
Wenn Sie als Unternehmen einstellen, trifft Sie eine Dokumentationspflicht: Als Auftragsverarbeiter sind Sie verpflichtet, ein Verarbeitungsverzeichnis zu führen, um den Datenschutz bei Bewerbungen sicherzustellen. In diesem Verarbeitungsverzeichnis müssen Sie sämtliche Verarbeitungsvorgänge personenbezogener Daten dokumentieren.
Dazu gehören laut Art. 30 Abs. 2 DSGVO folgende Inhalte:
- Name und Kontaktdaten des Verantwortlichen (ggf. Angaben zum Vertreter, Datenschutzbeauftragten)
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen sowie personenbezogener Daten
- Vorgesehene Löschfristen der jeweiligen Datenkategorien
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Bewerberdaten
Recruiting-Datenschutz durch IT-Sicherheit
Für ein rechtssicheres E-Recruiting müssen Bewerber immer die Möglichkeit haben, ihre Bewerbungsunterlagen verschlüsselt per Mail oder über E-Recruiting-Plattformen hochzuladen. Sobald Sie die eingereichten Bewerbungsunterlagen an das personalsuchende Unternehmen weiterleiten, müssen Sie auch hier eine verschlüsselte Datenübertragung nach angemessenen IT-Sicherheitsstandards sicherstellen.
WICHTIG!
Um die Datensicherheit im Bewerbungsverfahren jederzeit zu gewährleisten, sollte die eigene IT-Infrastruktur regelmäßig geprüft werden.
2. Ist die Weitergabe von Bewerberdaten erlaubt?
Wichtig für Unternehmen, die rekrutieren, ist, dass sie die Bewerbung eines potentiellen Mitarbeiters nur an die nötigen firmeninternen Stellen weiterleiten. Die Bewerbung sollte nur von Personal eingesehen werden, welches direkt mit dem Recruiting-Prozess verknüpft ist, wie beispielsweise die HR-Abteilung, der Geschäftsführer sowie die potentiell Vorgesetzten.
Eignet sich der Bewerber für eine andere Stelle im Unternehmen, müssen Sie den Bewerber erst um Erlaubnis bitten, seine Bewerbung an die zuständige Stelle weiterleiten zu dürfen. Gleiches gilt nicht nur für die Bewerbung an sich, sondern selbstverständlich auch für seine Kontaktdaten.
3. Wie lässt sich der Datenschutz im Recruiting korrekt umsetzen?
Welche Anforderungen an den Datenschutz im Recruiting gelten, hängt nicht nur von den gesetzlichen Vorschriften der Datenschutz-Grundverordnung ab, sondern auch vom konkreten Geschäftsmodell, das die Recruiting-Agentur verfolgt.
Hier lassen sich grob drei verschiedene Arten unterscheiden:
- Recruiting über kundeneigene Social-Media-Kanäle und Landing-Pages
- Personalvermittlung
- Social Recruiting
Abhängig von der Bewerbergewinnung und der Art des Recruitings sollten Agenturen und Personalvermittlungen folgende Punkte beim Datenschutz beachten:
Datenschutz bei Bewerbungen über kundeneigene Social Media Seiten und Landing-Pages
Eine erste Möglichkeit, wie Agenturen die Personalsuche für ein Unternehmen betreiben können, ist das Recruiting über die Social-Media-Kanäle und die Website des personalsuchenden Unternehmens. Die Recruiting-Agentur erstellt dazu z. B. eine Unterseite auf der Website des Unternehmens, auf der sich Kandidaten auf die offene Stelle bewerben und Unterlagen wie Lebenslauf und Anschreiben hochladen können.
Da die Bewerbungsdaten über kundeneigene Kanäle (Website oder Social Media) erhoben werden, ist das suchende Unternehmen für den Umgang mit und den Datenschutz der Bewerbungsunterlagen verantwortlich.
Für Sie als Agentur gilt bezüglich des Datenschutzes im Recruiting:
- Sie benötigen AGB, in denen u. a. ein Haftungsausschluss Ihrer Agentur geregelt ist.
- Da Sie personenbezogene Daten verarbeiten, liegt eine Auftragsverarbeitung vor. Als Auftragsverarbeiter müssen Sie daher mit dem personalsuchenden Unternehmen einen AV-Vertrag abschließen.
- Sie können im Rahmen Ihrer Dienstleistung dem Unternehmen eine Datenschutzerklärung zur Verfügung stellen, die die Bewerber darüber aufgeklärt, was mit ihren Daten passiert.
Datenschutz bei der Personalvermittlung (PV)
Eine andere Möglichkeit, geeignetes Personal für ein Unternehmen zu rekrutieren, ist die “klassische” Personalvermittlung: Bewerber können auf der Website der Agentur ihre Daten eingeben und Unterlagen hochladen. Die Recruiting-Agentur sucht dann nach geeigneten Unternehmen. Passen Bewerberprofil und ausgeschriebene Stelle zueinander, sendet die Agentur die Informationen des Bewerbers an das Unternehmen, das dann selbst Kontakt zum Bewerber aufnehmen kann.
INTERESSANT
Für die Suche und Übermittlung der Bewerberdaten erhält die Agentur eine Provision. Anschließend überwacht sie die Abläufe und unterstützt sowohl Bewerber als auch Unternehmen im laufenden Recruiting-Prozess.
Hier gilt hinsichtlich des Datenschutzes bei Bewerbungen Folgendes:
- Ihre Agentur ist zunächst selbst für den Datenschutz der Bewerberdaten verantwortlich.
- Mit der Datenübermittlung an das personalsuchende Unternehmen sind Sie als Recruiting-Agentur nicht mehr dafür haftbar, was dieses mit den Daten macht.
- Sie benötigen als Agentur sowohl AGB und eine Datenschutzerklärung gegenüber den Bewerbern als auch AGB gegenüber dem suchenden Unternehmen.
- Neben dem Haftungsausschluss sollten die AGB unter anderem festhalten, dass mit der Übermittlung der Bewerberdaten eine Provisionspflicht ausgelöst wird.
Datenschutz beim Social Recruiting
Eine dritte Möglichkeit des E-Recruitings ist das Social Recruiting. Personalvermittler oder Headhunter begeben sich selbst aktiv auf die Suche nach passenden Personen – meist in Jobnetzwerken wie LinkedIn und Xing.
Wann und wie eine Ansprache in Jobnetzwerken wie Xing und LinkedIn zulässig ist, ist datenschutzrechtlich nicht geklärt. Hier sollten Sie daher vorsichtig sein. Das Datenschutzrecht lässt eine Kontaktaufnahme u. a. bei berechtigtem Interesse zu.
Ob ein berechtigtes Interesse gegeben ist, hängt vom Einzelfall ab. Es kann z. B. vorliegen, wenn eine Person in ihrem Status ausdrücklich schreibt, dass sie auf Jobsuche ist. Um auf Nummer sicherzugehen, sollten Sie sich als Headhunter bei den potenziellen Kandidaten eine Einwilligung einholen, ob Sie die Daten an das personalsuchende Unternehmen weiterleiten dürfen.
LESEEMPFEHLUNG
Ausführliche Informationen zum Thema Datenschutz in sozialen Netzwerken haben wir Ihnen in unserem Beitrag „So nutzen Sie Social Media Netzwerke rechtssicher“ zusammengestellt.
4. Datenschutz beim Bewerbungsgespräch: Das ist zu beachten
Im Rahmen von Bewerbungsgesprächen machen sich Unternehmen und Recruiting-Agenturen oftmals Notizen. Besonders bei einer hohen Anzahl an Bewerbungen ist dies nicht zu vermeiden. Allerdings gilt auch hier Obacht, denn auch hier findet eine Verarbeitung von personenbezogenen Daten statt.
Wichtig beim Bewerbungsgespräch: Stellen Sie nur Fragen, die für die Einstellung des Bewerbers notwendig sind. Vermeiden Sie sehr persönliche Fragen zur Gesundheit oder Lebenssituation, sowie Fragen zur politischen oder religiösen Einstellung. Dokumentieren Sie den Datenschutz für Bewerberdaten in unserer Datenschutz-Management-Lösung und erstellen Sie ein Verarbeitungsverzeichnis.
5. Was droht bei Verstößen gegen die DSGVO?
Gemäß DSGVO ist die Speicherung, Verarbeitung und Übermittlung von personenbezogenen Daten ohne Kenntnis und – sofern erforderlich – ohne Zustimmung der betroffenen Personen nicht zulässig.
Halten sich Recruiting-Agenturen, Personalvermittler und Headhunter nicht an die Vorschriften, müssen sie mit Konsequenzen rechnen: Bei einem Datenschutzverstoß drohen DSGVO-Bußgelder in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes bzw. bis zu 20 Millionen Euro.
Außerdem kann ein Rechtsstreit aufgrund eines Datenschutzverstoßes zu einem Reputationsverlust führen – und das wiederum erschwert erfolgreiches Recruiting.
6. Datenschutz bei Bewerbungen: So führen Sie eine rechtssichere Personalvermittlung
Datenschutz im Recruiting ist ein komplexes Thema, das nicht immer leicht zu durchdringen ist. Zugleich ist es für den Geschäftserfolg von immenser Bedeutung, die Anforderungen der DSGVO korrekt umzusetzen und die Anforderungen an den Datenschutz bei Bewerbungen zu erfüllen. Wer gegen die Datenschutzbestimmungen verstößt, muss mit hohen Bußgeldern rechnen.
Als Recruiting-Agentur arbeiten Sie mit sensiblen Daten von Kunden und Bewerbern. Diese gilt es durch geeignete technische und organisatorische Maßnahmen (TOMs) zu schützen. Diese sollten im Sinne der Auskunftspflicht und Betroffenenrechte stets sorgfältig in einem Verarbeitungsverzeichnis dokumentiert werden.
WUSSTEN SIE’S SCHON?
Um Ihre Recruiting-Agentur DSGVO-konform zu führen, steht das Informieren der Kandidaten an erster Stelle. Zwar müssen diese nicht gesondert in die Verarbeitung ihrer Daten einwilligen – dennoch ist es wichtig, dass sie zumindest auf der Website Ihres Unternehmens nachlesen können, was mit den Daten passiert, wie lange die Aufbewahrung der Bewerbungsunterlagen erfolgt und wann diese wieder gelöscht werden.
Um eine Haftung auszuschließen und die Risiken eines DSGVO-Verstoßes zu minimieren, sollten Sie sowohl mit den personalsuchenden Unternehmen als auch mit Kandidaten und Bewerbern einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen. Statt den AV-Vertrag als separates Dokument auszugestalten, können Sie in alternativ in Ihre AGB einbinden. Der AV-Vertrag wird mit dem Akzeptieren der AGB automatisch Teil des Vertrages zwischen Ihnen und Ihrem Vertragspartner. Eine gesonderte Zustellung ist nicht notwendig.
Daneben benötigen Sie eine DSGVO-konforme Datenschutzerklärung, in der Sie den Bewerbern genau erklären, was mit ihren Daten passiert, wie lange sie diese speichern und in welchem Verhältnis Ihre Recruiting-Agentur zu dem potenziellen Arbeitgeber steht. Standarddatenschutzerklärungen reichen nicht aus.
7. FAQ: Häufig gestellte Fragen
- Zurück zur Übersicht: "Datenschutz"
- Welche Unternehmen brauchen einen Datenschutzbeauftragten?
- Wann macht ein externer Datenschutzbeauftragter Sinn?
- Datenschutz im Homeoffice
- Standardvertragsklauseln
- Datenschutzerklärung einbinden
- Datenschutz-Audit für Unternehmen
- Datenschutz bei Software as a Service (SaaS)
- Haftung bei Verstößen gegen das Datenschutzrecht
- Datenschutz für ausgeschiedene Mitarbeiter
- Datenschutz bei Kundendaten
- Weitergabe von Kundendaten an Dritte
- Datenschutz beim Gewinnspiel
- Ist ein CDN DSGVO-konform?