DSGVO – Was Recruiter wissen sollten (Teil 4)

DSGVO – Was Recruiter wissen sollten (Teil 4)

Im letzten Teil unserer kleinen Datenschutzserie beantwortet der Datenschutzbeauftragte Stephan Frank noch mal vier Fragen aus dem Recruiting-Alltag zur Umsetzung der DSGVO. Diesmal geht es um den Server-Standort, den Umgang mit alten Bewerberdaten, inwiefern Bewerberdaten zwischen Fachabteilungen ausgetauscht werden dürfen und ob sich etwas im Umgang mit Outlook ändert.

Paragraph

1. Müssen die Server, auf denen man personenbezogene Daten speichert in Deutschland stehen?

Damit man nicht in die Situation einer Datenübermittlung in ein Drittland – vielleicht sogar ein unsicheres Drittland wie die USA – riskiert, sollte darauf geachtet werden, dass der Serverstandort in der EU ist. Innerhalb dieser gilt die DSGVO und für alle Beteiligten gilt das Gleiche beim Datenschutz. Ansonsten müssen recht hohe Aufwände (EU-Standardvertragsklauseln oder sog. Binding Corporate Rules) betrieben werden, damit dieser „Datenexport“ datenschutzkonform erfolgen kann. Hier bietet uns die DSGVO nun erfreulicherweise neue Möglichkeiten sicher und gut in die Cloud zu gehen. Wichtig ist, dass der Serverstandort (d. h. Rechenzentrum) entscheidend ist, nicht aus welchem Land das Unternehmen kommt.

Paragraph

2. Was macht man mit all den alten Bewerberdaten, die man noch in seinem System hat?

Die Situation, dass die Gesetze zum Datenschutz durch die DSGVO und das neue Bundesdatenschutzgesetz verschärft werden, ist mehr als ein guter Anlass um mal bei sich „aufzuräumen“. Da durch die Beweislastumkehr und die Rechenschaftspflicht Firmen datenschutzkonform arbeiten und dies zu jedem Zeitpunkt auch nachweisen können müssen, braucht es ohnehin entsprechende Anweisungen für die Recruiter und Mitarbeiter. Die Handhabung von „Bestandsdaten“ sollte überdacht und unbedingt die Einwilligungen zur Speicherung dieser Daten eingeholt werden.

Paragraph

3. Im Recruiting-Alltag ist es notwendig, dass Bewerberdaten zwischen verschiedenen Fachabteilungen hin- und hergereicht werden. Ist das künftig noch zulässig?

Bewerberdaten dürfen zwischen Abteilungen innerhalb derselben Firma ausgetauscht werden, wenn die Weitergabe zum Zweck passt für den die Daten erhoben wurden (z.B. Weitergabe der Bewerberdaten, um den Arbeitsvertrag zu schließen). Im Idealfall informiert man darüber auch die Bewerber. Wichtig ist jedoch zu wissen, dass die „Weitergabe“ von Daten an eine Schwester-, Tochter- oder Mutterfirma eine Übermittlung darstellt, die eine ordentliche Rechtsgrundlage braucht.

Im Datenschutz gibt es kein Konzernprivileg, so dass es nötig ist auch zwischen Firmen ordentliche Vereinbarungen und Maßnahmen zum Datenschutz zu vereinbaren bzw. zu treffen. Wenn der Bewerber in den Datenschutzbestimmungen zustimmt, dass diese auch bei Schwester- und Tochter- oder Mutterunternehmen gelten (siehe z. B. Musterdatenschutzbedingung in PERSY), dann ist das Weitergeben von Bewerberdaten erlaubt.

Paragraph

4. Gibt es Änderungen, die Outlook betreffen? Dürfen Bewerbungen/Bewerberkommunikation im Posteingang bleiben oder in einem Unterordner oder muss ich diese löschen und wann?

Für Bewerbungen oder Nachrichten im E-Mail-Programm gilt ebenfalls die Bindung an einen Zweck – sobald der Zweck wegfällt, fehlt es an einer geeigneten Rechtsgrundlage für die Speicherung. Zur weiteren anschließenden Nutzung braucht es dann eine neue Rechtsgrundlage, bestenfalls eine Einwilligung der Person.

Weitere Informationen zur DSGVO finden Sie in dem Blog-Artikel DSGVO (Teil 1), DSGVO (Teil 2), DSGVO (Teil 3) oder Sie wenden sich direkt an  Stephan Frank.

GermanPersonnel ist Experte für E-Recruiting. Wir bieten intelligente, datenbasierte Recruiting-Lösungen. Wenn Ihre Stellenanzeigen nicht den gewünschten Bewerberrücklauf haben, nehmen Sie mit uns Kontakt auf. Wir beraten Sie gerne, auch zum Thema Social Recruiting und wenn Sie sich für unsere E-Recruiting-Software PERSY oder die Dienstleistungen unserer Recruiting-Agentur PERGENTA interessieren!

Abonnieren Sie Ihren RSS-Feed:

2 Kommentare

  1. Tobias

    Vielen Dank für diesen schönen Blog, er hilft mir auf der Arbeit sehr weiter.

    Für eine Frage finde ich allerdings keine Antwort und vielleicht passt diese hier am besten rein.

    Ist es erlaubt fremde Stellenanzeigen von Unternehmen XY, ohne Nachfrage oder deren aktive Einwilligung, auf dem eigenen Blog zu stellen, damit also zu teilen und öffentlich zu machen?

    Dank im Voraus

    Antworten
    1. Hallo Tobias, danke für das positive Feedback. Am Teilen oder Verlinken von bereits veröffentlichtem Content hat sich mit der DSGVO nichts zur vorherigen Rechtslage geändert. Bei Fragen darüber hinaus, bitte ich einen Datenschutzexperten zu kontaktieren. Viele Grüße, Friederike vom GP-Team

      Antworten

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .