E-Recruiting datenschutzkonform

Von der Informationspflicht bei der Bewerbung, über die sichere Datenbearbeitung bis hin zur Anonymisierung der abgesagten Dossiers gibt es während des Rekrutierungsprozesses datenschutzrechtliche Pflichten.

30 Tage kostenlos und unverbindlich testen:

Welche Gesetze gilt es einzuhalten?

Das Schweizer Bundesgesetz über den Datenschutz (DSG) wurde per 1. September 2023 revidiert und gilt für die Bearbeitung von Personendaten natürlicher Personen.

In der EU ist die Datenschutz-Grundverordnung (DSGVO) seit 25. Mai 2018 in Kraft. Das Gesetz regelt die Verarbeitung von personenbezogenen Daten, aber auch den Datenverkehr innerhalb der Europäischen Union. Da die meisten Unternehmen in der Schweiz über Schnittstellen zur EU verfügen, können auch diese Unternehmen betroffen sein.

DSGVO im E-Recruiting

Einflüsse auf die Rekrutierung

Im Folgenden erhalten Sie einen Überblick über den Einfluss des Schweizerischen DSG anhand des Rekrutierungsprozesses.

Planung

Bereits bei der Planung des Rekrutierungsprozesses beginnen die datenschutzrelevanten Verpflichtungen.

Die Verantwortlichen sind z.B. dazu angehalten, die Datenbearbeitung technisch und organisatorisch so zu gestalten, dass die Datenschutzvorschriften eingehalten werden. Diese Massnahmen sollen dem Stand der Technik entsprechen.

Im Voraus sollte ebenfalls die Datenschutz-Folgenabschätzung gemacht werden. Diese kommt zum Zug, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Dies beispielsweise, wenn Kandidaten eine Persönlichkeitsanalyse ausfüllen oder einen Strafregisterauszug einreichen müssen.

Bewerbung

Bei der Bewerbung bzw. dem Bewerbungseingang sollten folgende Punkte berücksichtigt werden:

Bei der Bewerbung sollte die Informationspflicht beachtet werden. Dies bedeutet, dass die Bewerbenden informiert werden müssen, dass ihre Daten bearbeitet werden. Dazu gehören z.B. die Identität und die Kontaktangaben des Verantwortlichen oder der Bearbeitungsweck. Dieser Pflicht kann am einfachsten via eine Datenschutzerklärung nachgekommen werden. Die Informationspflicht besteht unabhängig davon, ob die Bewerbung per Post, E-Mail, über ein öffentliches Jobportal, die eigene Website oder eine Bewerbermanagement-Software erfolgt. 

Darüber hinaus ist darauf zu achten, dass nur die Daten erhoben werden, die für die zu besetzende Stelle notwendig sind. Hier spricht man von Datenminimierung oder – sparsamkeit. Dieser Grundsatz wirkt sich v.a. auf das Bewerbungsformular aus, welches nur die wirklich benötigten Daten vom Bewerbenden abfragen sollte.

Bearbeitung

Während der Bearbeitung von Dossiers spielen folgende Grundsätze eine wichtige Rolle:

Die Datensicherheit muss gewährleistet sein. Die Daten von Personen müssen durch  angemessene organisatorische sowie technische Massnahmen vor dem unbefugten Bearbeiten und Zugreifen geschützt werden. Hier sind Zugriffs- und Berechtigungskonzepte wichtig. Der Zugriff sollte auch innerhalb des Unternehmens auf die Personen beschränkt sein, welche für den Rekrutierungsprozess verantwortlich sind bzw. an den Entscheidungen beteiligt sind. 

Verantwortliche müssen ein Verzeichnis über sämtliche Datenbearbeitungen führen. Der Bundesrat hat jedoch in der Verordnung zum DSG eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden erlassen, wenn weder besonders schützenswerte Daten im grossen Umfang bearbeitet werden, noch Profiling mit erhöhtem Risiko durchgeführt wird. Klassische Bewerberdaten fallen noch nicht in diese Kategorie. Wenn jedoch medizinische Informationen eingeholt werden, wie z.B. bei Lokomotivführer oder Piloten, dann schon.

Betroffene Personen haben das Recht, Auskunft über die bearbeiteten Daten zu verlangen. Das revDSG enthält eine erweiterte Liste mit Mindestinformationen, die herausgegeben werden müssen. Dazu gehört beispielsweise auch die Aufbewahrungsdauer der Daten. Das Auskunftsrecht ist grundsätzlich kostenlos und hat in der Regel innerhalb von 30 Tagen zu erfolgen.

Neu im Gesetz verankert wurde das Profiling. Es hat einen grossen Einfluss auf die Rekrutierung. Darunter fallen automatisierte Bearbeitungen von Personendaten, um bestimmte persönliche Aspekte zu bewerten, dies insbesondere in Bezug auf Arbeitsleistung, Interessen oder Verhalten. Also der klassische Fall einer Persönlichkeitsanalyse. Hier wird dann die Datenschutz-Folgenabschätzung Pflicht.

Datenaufbewahrung

Bei der Aufbewahrung der Daten kommt DSG Art. 6 Abs. 4 zum Zug, welcher besagt: „Sie [Pesonendaten] werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.“

Wenn der Bearbeitungszweck nicht mehr gegeben ist, dürfen die Daten nicht länger bearbeitet und somit auch nicht mehr gespeichert werden. Das Gesetz erwähnt explizit, dass solche Daten anonymisiert oder gelöscht werden müssen. Spezifische Aufbewahrungsfristen hinsichtlich der Daten gibt das revDSG jedoch nicht vor. 

All diese Informationen und noch einige mehr haben wir in einem Video zusammengefasst.

Datenschutzkonform rekrutieren mit Dualoo

Ob Informationspflicht, automatische Anonymisierung, Rollenvergabe oder technische und organisatorische Massnahmen – mit Dualoo erleichtern Sie sich die datenschutzkonforme Rekrutierung.

Wenn Sie eine E-Recruiting Software oder ein Bewerbermanagement System evaluieren, dann prüfen Sie neben den funktionalen Anforderungen auch die rechtlichen sowie firmenspezifischen Anforderungen.

Dualoo erfüllt zudem folgende weitere wichtige und datenschutzrelevante Punkte:

  • Datenspeicherung in der Schweiz (Schweizer Hosting) mit ISO 27001 Zertifizierung

  • Vertrag als Auftragsdatenverarbeiter

  • DSG & DSGVO konforme Datenschutz und Nutzungsbedingungen

  • Technische und Organisatorische Massnahmen (TOM)

  • Zugriffskontrolle (Berechtigungen in der Software)

  • End zu End Verschlüsselung

  • Sicherheits-Backups

Dualoo E-Recruiting wird eingesetzt bei:

E-Recruiting datenschutzkonform? Testen Sie Dualoo 30 Tage kostenlos und unverbindlich