Welche Auswirkungen hat die DSGVO auf das Recruiting?

Recruiting datenschutzkonform gestalten: ein Überblick für Personaler*innen

Das Recruiting DSGVO-konform zu gestalten ist enorm wichtig, denn der Erfolg eines Unternehmens baut auf seinen Mitarbeitenden auf. Qualifiziertes und geeignetes Personal zu finden, stellt jedoch eine der größten Herausforderungen für Arbeitgeber*innen dar. Insbesondere in Zeiten des Fachkräftemangels, in denen einige Branchen in einem War For Talents um Kandidat*innen wetteifern, müssen Verantwortliche in der Personalakquise neue Wege einschlagen. 

2021 sind gut durchdachte Recruiting-Strategien, Employer Branding und Incentives längt ein Muss geworden, um sich als Unternehmen aus der Masse hervorzuheben. Und dann wäre da noch etwas: Die DSGVO. Seit Gültigkeit der Datenschutzgrundverordnung müssen auch Prozesse und Datenschutz im Recruiting entsprechend angepasst werden. 

Dieser Blogartikel gibt Ihnen einen Überblick darüber, was Sie für Ihren DSGVO-konformen Recruiting-Prozess unbedingt berücksichtigen müssen:

Erfahren Sie, wie Sie einen datenschutzrechtlich einwandfreien Talentpool aufbauen, welche Fallstricke Active Sourcing in sozialen Netzwerken bereithält und unter welchen Bedingungen die DSGVO Recruiting auf Job- und Karrieremessen erlaubt. Worauf Sie bei der Beauftragung eines Recruiting-Dienstleisters achten sollten und wie die Nutzung eines Bewerbermanagementsystems Ihnen dabei behilflich sein kann, die Anforderungen der DSGVO einfach umzusetzen, lesen Sie außerdem in diesem Beitrag. 

Datenverarbeitung nach DSGVO im Recruiting

In Recruiting-Prozessen geht es darum, einander kennenzulernen: Visionen, Talente, Erfahrungen und Wünsche auszutauschen. Bei der Fülle an personenbezogenen Informationen, die dabei offengelegt werden, ist es besonders wichtig, dass die datenschutzrechtlichen Anforderungen der DSGVO im Recruiting geachtet werden.  Generell gilt, dass Daten potenzieller Kandidat*innen nur unter den folgenden Bedingungen verarbeitet werden dürfen:
Infografik Datenverarbeitung im Recruiting

Datenschutz und Talentpool

Es kommt immer mal wieder vor, dass sich auf eine vakante Stelle mehrere aussichtsreiche Kandidat*innen bewerben, zum aktuellen Zeitpunkt aber nur eine Person übernommen werden kann. Oder Bewerber*innen schicken eine Initiativbewerbung, die aussichtsreich aussieht. In diesem Fall ist es für Arbeitgeber*innen interessant, die Profile geeigneter Bewerber*innen in einem so genannten Talentpool zu speichern. Wird in Zukunft eine ähnliche Stelle neu geschaffen oder vakant, besteht für Unternehmen die Möglichkeit, diese Personen erneut zu kontaktieren. 

Die Verarbeitung von personenbezogenen Daten in einem Talentpool überschreitet die von der DSGVO festgelegten allgemeinen Fristen zur Speicherung von Bewerberdaten. Und sie verändert ihre ursprüngliche Zweckgebundenheit, indem die Daten über die Besetzung der Stelle hinaus verarbeitet werden.

Ohne eine entsprechende Einwilligung ist die Nutzung eines Bewerberprofils im Talentpool nach DSGVO damit strikt untersagt.

Dabei müssen alle Anforderungen an eine rechtsgültige Einwilligung gegeben sein: Das Kopplungsverbot sieht vor, dass eine Einwilligung nur dann gültig ist, wenn ihre Verweigerung keine Nachteile im Bewerbungsverfahren zur Folge hat. Gewährleistet werden kann dies nicht, wenn die Erlaubnis zur Datenspeicherung gleich bei Einreichung der Bewerbungsunterlagen eingeholt wird. Die Einwilligung zur Teilnahme am Talentpool sollten Sie daher unabhängig abfragen – im besten Fall im Anschluss an die Stellenbesetzung.  Empfehlenswert ist es, die Einwilligung jährlich erneut abzufragen und bei entsprechendem Widerruf eine vollständige Löschung der jeweiligen Bewerberdaten in Ihrer Datenbank vorzunehmen.
E-Learning-Kurs Datenschutz Personalwesen
Recruiting und Personalentwicklung DSGVO-konform gestalten?
Bewerbungsunterlagen, Active Sourcing, Zeiterfassung und Co. – lernen Sie Grundlagen und Praxisbeispiele mit VINYAs E-Learning-Kurs zum Datenschutz für die Personalabteilung kennen.

Active Sourcing nach DSGVO

Was ist Active Sourcing?

Active Sourcing steht im Personalwesen für die aktive Direktansprache von Talenten durch die Mitarbeitenden eines Unternehmens. Die Kontaktaufnahme hat zum Ziel, potenziell geeignete Kandidat*innen auf eine vakante Stelle aufmerksam zu machen und ihr Interesse für diese zu gewinnen. Im weiteren Verlauf des Active Sourcing-Prozesses wird über den persönlichen Kontakt und ggf. ein anschließendes Bewerbungsgespräch geprüft, ob der oder die Kandidat*in zur besetzenden Stelle passt.  Aufmerksamkeit und Interesse von Talenten zu gewinnen ist eine Herausforderung für sich – die DSGVO sorgt hier zudem für einige zusätzliche Fallstricke. Die Schwierigkeit beim DSGVO-konformen Active Sourcing liegt darin, dass es von Unternehmensseite keine Möglichkeit gibt, eine Einwilligung zur Datenverarbeitung vor der ersten Kontaktaufnahme einzuholen. Demgegenüber stehen die bereits zu Beginn dieses Artikels beschriebenen Voraussetzungen, nach denen eine rechtmäßige Datenverarbeitung möglich ist.  Eine Verarbeitung personenbezogener Daten ist also auch dann gerechtfertigt, wenn
„[…] sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“ (Art. 6 DSGVO)
Mit dem Ziel der Rekrutierung bestmöglicher Talente für Ihr Unternehmen ist ein berechtigtes Interesse gegeben. Schwieriger zu beantworten ist allerdings die Frage, ob die Kontaktaufnahme auch im Interesse des/der Kandidat*in liegt. In der Regel erfolgt die Direktansprache jedoch über soziale Netzwerke, Lebenslauf-Datenbanken oder Bewerberportale, die speziell auf Recruiting-Prozesse wie Active Sourcing ausgerichtet sind. 

Active Sourcing trotz DSGVO über soziale Netzwerke

Bei einer Direktansprache von Kandidat*innen in sozialen Netzwerken muss unterschieden werden, ob es sich um ein Netzwerk handelt, das überwiegend privat oder für die berufliche Karriere genutzt wird:  Überwiegend privat genutzte soziale Netzwerke sind z. B.:
Vorwiegend beruflich genutzte soziale Netzwerke sind: 

In Netzwerken wie Facebook und Co. können Sie als Recruiter*in nicht davon ausgehen, dass private Nutzer*innen mit Ihrer direkten Ansprache einverstanden sind. Die direkte Kontaktaufnahme ist in diesem Fall also nicht mit den Grundsätzen der DSGVO vereinbar. Sollte Facebook dennoch als Recruiting-Kanal genutzt werden, drohen nicht unerhebliche Strafen. 

Anders sieht es bei Netzwerken wie LinkedIn oder Xing aus, die als Business-Netzwerke bekannt sind. Mit ihrem klaren Fokus auf Karriereentwicklung und Jobsuche, können Nutzer*innen der Dienste davon ausgehen, dass ihnen über die Plattformen bisweilen Jobs angeboten werden. Daher ist Active Sourcing auf diesen Kanälen mit den Vorgaben der DSGVO vereinbar und bietet eine gute Möglichkeit, Personal datenschutzkonform anzuwerben.

Active Sourcing über E-Recruiting-Portale

Beim Reverse-Recruiting wird der klassische Bewerbungsprozess umgedreht: Arbeitgeber*innen gehen auf Kandidat*innen zu, um diese für Ihr Unternehmen zu gewinnen. Plattformen für Reverse-Recruiting sind beispielsweise:
Da bei dieser Art von Bewerberportalen Active Sourcing im Fokus steht und Kandidat*innen bei der Registrierung einer Kontaktaufnahme durch Recruiter*innen einwilligen, bestehen keinerlei Bedenken hinsichtlich der direkten Ansprache. Kommt es zu einer weiterführenden Datenverarbeitung im Laufe des Auswahlprozesses, gilt es selbstverständlich Bewerber*innen im Rahmen der Informationspflichten zu informieren.

Datenschutz-konformes Recruiting auf Job- und Karrieremessen

Eine weitere und viel genutzte Option für das Recruiting von Talenten sind Job- und Karrieremessen. Sowohl für Arbeitgeber*innen als auch Jobsuchende bieten Messen einen niedrigschwelligen Einstieg miteinander ins Gespräch zu kommen. Von klassischen Einzelgesprächen mit zuvor vereinbartem Termin, über Gruppenmeetings bis zum spontanen Kontakt am Messestand, gibt es viele Möglichkeiten für einen Austausch. Besteht von beiden Seiten Interesse und es soll zur Übergabe von Bewerberunterlagen kommen, gilt es die Anforderungen der DSGVO einzuhalten. Das dies für Verwirrung sorgen kann, zeigen die Antworten auf folgende Frage, die auf der Website der Karrieremesse Connecticum diskutiert wird:
In den Reaktionen verweist eine relevante Anzahl von Unternehmen darauf, dass sie aus datenschutzrechtlichen Gründen keine ausgedruckten Bewerbungen auf der Messe annehmen. Woran liegt das?

Entgegennahme von Bewerbungsunterlagen nach DSGVO: Wie sieht der rechtliche Hintergrund aus?

Nehmen Unternehmen Bewerbungsunterlagen entgegen und speisen diese in eine Software ein oder reichen sie an Kolleg*innen weiter, werden Daten verarbeitet. Die Voraussetzung für eine Datenverarbeitung ist jedoch immer eine freiwillige und dokumentierte Einwilligung des/der Bewerber*in. Diese hat aufgrund der Nachweispflicht zwingend schriftlich zu erfolgen.   Um die umständliche schriftliche Einholung der Einwilligung nicht vor Ort auf der Messe durchführen zu müssen, setzen viele Unternehmen ausschließlich auf digitale Bewerbungen im Nachgang zum Messebesuch.  Um vielversprechende Kandidat*innen nach der Messe proaktiv und datenschutzrechtlich unbedenklich kontaktieren zu können, empfiehlt sich u. a. ein digitaler Austausch von Kontaktinformationen. Dabei können Sie die Kontaktdaten Interessierter beispielsweise über ein Tablet aufnehmen – mit dem Zusatz, dass Betroffene einer Datenverarbeitung und Kontaktaufnahme zustimmen. Dies bietet Ihnen auch die Option, Kandidat*innen bei Bedarf weitere Informationen zum Bewerbungsverfahren zukommen zu lassen. 
DSGVO verständlich und praxisbezogen für alle Mitarbeitenden erklärt
Sorgen Sie mit VINYAs E-Learning-Kursen für transparente Richtlinien zum Datenschutz.

Recruiting-Personaldienstleister/ Personalvermittler

Wenn Unternehmen den Recruiting-Prozess an einen Dienstleister auslagern, bleibt das auftraggebende Unternehmen weiterhin verantwortlich für die Datenverarbeitung. Das bedeutet, dass das auftraggebende Unternehmen sicherstellen muss, dass die Datenverarbeitung beim Recruiting-Dienstleister ordnungsgemäß nach DSGVO erfolgt. Zusätzlich bedeutet das auch, dass die Kandidat*innen unbedingt über diese Form der Verarbeitung informiert werden müssen. 

Für die DSGVO-konforme Zusammenarbeit mit einem Dienstleister ist es verpflichtend, einen Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) zwischen beiden Parteien zu schließen. In diesem Vertrag werden die Rahmenbedingungen der Datenverarbeitung festgehalten und geklärt, wie der Datenschutz gewährleistet wird. 

Darüber hinaus gelten im Umgang mit Bewerbungen die gleichen Anforderungen, die auch ohne den Einsatz von Dienstleistern nach DSGVO vorgegeben sind. Alles Wissenswerte zum Datenschutz bei Bewerbungen lesen Sie in unserem Blogartikel 7 Schritte zum DSGVO-konformen Bewerbungsverfahren.

Recruiting nach DSGVO mit einem Bewerbermanagementsystem

Sie möchten Teile Ihres Recruiting-Prozesses automatisieren? Dabei kann Ihnen ein Bewerbermanagementsystem helfen. Das Praktische: Eine Bewerbermanagement-Software unterstützt Sie nicht nur in der Organisation Ihrer unternehmensinternen Prozesse, sondern auch in der Einhaltung der DSGVO. Vorteile eines DSGVO-konformen Bewerbermanagementsystems sind unter anderem:

Eine gute Software sorgt dafür, dass Sie bestmöglich in der Einhaltung der datenschutzrechtlichen Vorgaben unterstützt werden. Wie genau das funktioniert, haben wir in einer Tabelle für Sie zusammengefasst:
DSGVO-Anforderung Maßnahme

Einwilligung

Die Erlaubnis zur Datenverarbeitung wird direkt bei Einreichung der Bewerbung durch Opt-in abgefragt.

Widerruf der Einwilligung

Kandidat*innen können ihre Einwilligung einfach über einen Link aus der Bestätigungsmail widerrufen. Das System steuert daraufhin alle weiteren Prozesse und Löschvorgänge gemäß der Aufbewahrungsfristen von Bewerbungsunterlagen.

Datenlöschung

Festgelegte Aufbewahrungs- und Löschfristen werden automatisiert umgesetzt. Zusätzlich kann über ein Berechtigungssystem geregelt werden, wer die Dokumente einsehen und herunterladen darf.

Informationspflichten

Bewerbermanagementsysteme bieten in der Regel auch die Nutzung eines Karriere-Portals an. Hier wird automatisch die Datenschutzerklärung verlinkt, in der Umfang der Datenverarbeitung sowie ihr Zweck beschrieben sind.

Cookies

Über die Systemeinstellungen kann im Bewerbungsportal ein Cookie-Hinweis eingefügt werden, der Webseitenbesucher*innen über die Datenverarbeitung aufklärt und ihre Zustimmung einholt.

Sicherheitsmaßnahmen

Ein Berechtigungskonzept kann den Zugriff regulieren, welche der am Recruiting-Prozess beteiligten Personen Einsicht auf bestimmte Bewerberdaten haben. In einem Vertrag zur Auftragsverarbeitung, der zwischen Ihnen und dem Anbieter des Bewerbermanagementsystems geschlossen wird, werden außerdem technische und organisatorische Maßnahmen zum Datenschutz festgelegt.

Datenexport

Damit Bewerberunterlagen nicht einfach weitergeleitet werden, gibt es die Möglichkeit, den Export oder Download in der Software zu unterbinden. So können die Unterlagen nur online eingesehen werden und es entstehen keine Probleme bezüglich der Wahrung der Löschfristen von Bewerberdaten.
DSGVO-Anforderung & Maßnahme

Einwilligung
Die Erlaubnis zur Datenverarbeitung wird direkt bei Einreichung der Bewerbung durch Opt-in abgefragt.

Widerruf der Einwilligung
Kandidat*innen können ihre Einwilligung einfach über einen Link aus der Bestätigungsmail widerrufen. Das System steuert daraufhin alle weiteren Prozesse und Löschvorgänge gemäß der Aufbewahrungsfristen von Bewerbungsunterlagen.

Datenlöschung
Festgelegte Aufbewahrungs- und Löschfristen werden automatisiert umgesetzt. Zusätzlich kann über ein Berechtigungssystem geregelt werden, wer die Dokumente einsehen und herunterladen darf.

Informationspflichten
Bewerbermanagementsysteme bieten in der Regel auch die Nutzung eines Karriere-Portals an. Hier wird automatisch die Datenschutzerklärung verlinkt, in der Umfang der Datenverarbeitung sowie ihr Zweck beschrieben sind.

Cookies
Über die Systemeinstellungen kann im Bewerbungsportal ein Cookie-Hinweis eingefügt werden, der Webseitenbesucher*innen über die Datenverarbeitung aufklärt und ihre Zustimmung einholt.

Sicherheitsmaßnahmen
Ein Berechtigungskonzept kann den Zugriff regulieren, welche der am Recruiting-Prozess beteiligten Personen Einsicht auf bestimmte Bewerberdaten haben.
In einem Vertrag zur Auftragsverarbeitung, der zwischen Ihnen und dem Anbieter des Bewerbermanagementsystems geschlossen wird, werden außerdem technische und organisatorische Maßnahmen zum Datenschutz festgelegt.

Datenexport
Damit Bewerberunterlagen nicht einfach weitergeleitet werden,
gibt es die Möglichkeit, den Export oder Download in der Software zu unterbinden. So können die Unterlagen nur online eingesehen werden und es entstehen keine Probleme bezüglich der Wahrung der Löschfristen von Bewerberdaten.

Die in der Tabelle aufgeführten Beispiele erheben keinen Anspruch auf Vollständigkeit. Möchten Sie ein Bewerbermanagementsystem in Ihrem Unternehmen einführen, ist es wichtig zu prüfen, welche konkreten datenschutzrechtlichen Maßnahmen vom Anbieter gewährleistet werden und ob diese mit Ihren Anforderungen übereinstimmen.

Fazit: Datenschutz im Recruiting

Die Vorgaben der DSGVO mögen Recruiting-Prozesse zunächst erschweren, aber: Alles halb so wild! Um Ihr Recruiting an die datenschutzrechtlichen Anforderungen der DSGVO anzupassen, bedarf es keinen fundamentalen Änderungen. Wichtig ist vor allen Dingen, dass Sie die Rahmenbedingungen der Datenverarbeitung transparent kommunizieren, von betroffenen Personen immer eine entsprechende Einwilligung einholen und die Löschfristen der Bewerberdaten beachten. Orientieren Sie sich an den Regelungen zum Datenschutz von Bewerberdaten und Active Sourcing nach DSGVO, die wir für Sie in diesem Artikel zusammengefasst haben – und Ihre idealen Kandidat*innen sind hoffentlich bald gefunden.

Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben. 

Weitere spannende Beiträge
Über den Autor
Manuel Schrenk VINYA
Manuel Schrenk

Manuel ist Gründer und Geschäftsführer von VINYA. Mit mehrjähriger Erfahrung im Management und strategischem Produktmanagement in der Softwareentwicklung beschäftigt Manuel sich mit den Chancen und Herausforderungen digitaler Arbeit. Ganz vorne stehen für ihn dabei die Themen Datenschutz und IT-Sicherheit.

Manuel finden Sie auch hier:

Jetzt zum Newsletter anmelden!
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Vielen Dank! Wir senden Ihnen eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.