Welche Gesetze gilt es einzuhalten?
Um den Datenschutz in der Rekrutierung einzuhalten, sind nationale und internationale Gesetze zu beachten. Dementsprechend gilt in der Schweiz das Schweizer Bundesgesetz über den Datenschutz (DSG) für die Bearbeitung von Personendaten natürlicher Personen.
In der EU ist die Datenschutz-Grundverordnung (DSGVO) seit 25. Mai 2018 in Kraft. Das Gesetz regelt die Verarbeitung von personenbezogenen Daten, aber auch den Datenverkehr innerhalb der Europäischen Union. Da die meisten Unternehmen in der Schweiz über Schnittstellen zur EU verfügen, können auch diese Unternehmen betroffen sein.
Datenschutz in der Rekrutierung - aber wie?
Im Folgenden erhalten Sie einen Überblick über den Einfluss des Schweizerischen DSG anhand des Rekrutierungsprozesses.
1. Planung
Bereits bei der Planung des Rekrutierungsprozesses beginnen die datenschutzrelevanten Verpflichtungen.
Stand der Technik
Die Verantwortlichen sind z.B. dazu angehalten, die Datenbearbeitung technisch und organisatorisch so zu gestalten, dass die Datenschutzvorschriften eingehalten werden. Diese Massnahmen sollen dem Stand der Technik entsprechen.
Datenschutz-Folgenabschätzung
Im Voraus sollte ebenfalls die Datenschutz-Folgenabschätzung gemacht werden. Diese kommt zum Zug, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Dies beispielsweise, wenn Kandidaten eine Persönlichkeitsanalyse ausfüllen oder einen Strafregisterauszug einreichen müssen.
2. Bewerbung
Bitte berücksichtigen Sie bei der Bewerbung bzw. dem Bewerbungseingang folgende Punkte:
Informationspflicht
Bei der Bewerbung sollte die Informationspflicht beachtet werden. Dies bedeutet, dass die Bewerbenden informiert werden müssen, dass ihre Daten bearbeitet werden. Dazu gehören z.B. die Identität und die Kontaktangaben des Verantwortlichen oder der Bearbeitungsweck. Dieser Pflicht kann am einfachsten via eine Datenschutzerklärung nachgekommen werden. Die Informationspflicht besteht unabhängig davon, ob die Bewerbung per Post, E-Mail, über ein öffentliches Jobportal, die eigene Website oder eine Bewerbermanagement-Software erfolgt.
Datenminimierung oder -sparsamkeit
Darüber hinaus ist darauf zu achten, dass nur die Daten erhoben werden, die für die zu besetzende Stelle notwendig sind. Hier spricht man von Datenminimierung oder – sparsamkeit. Dieser Grundsatz wirkt sich v.a. auf das Bewerbungsformular aus, welches nur die wirklich benötigten Daten vom Bewerbenden abfragen sollte.
3. Bearbeitung
Um den Datenschutz in der Rekrutierung einzuhalten, spielen während der Bearbeitung von Dossiers folgende Grundsätze eine wichtige Rolle:
Datensicherheit
Die Datensicherheit muss gewährleistet sein. Die Daten von Personen müssen durch angemessene organisatorische sowie technische Massnahmen vor dem unbefugten Bearbeiten und Zugreifen geschützt werden. Hier sind Zugriffs- und Berechtigungskonzepte wichtig. Der Zugriff sollte auch innerhalb des Unternehmens auf die Personen beschränkt sein, welche für den Rekrutierungsprozess verantwortlich sind bzw. an den Entscheidungen beteiligt sind.
Verzeichnispflicht
Verantwortliche müssen ein Verzeichnis über sämtliche Datenbearbeitungen führen. Der Bundesrat hat jedoch in der Verordnung zum DSG eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden erlassen, wenn weder besonders schützenswerte Daten im grossen Umfang bearbeitet werden, noch Profiling mit erhöhtem Risiko durchgeführt wird. Klassische Bewerberdaten fallen noch nicht in diese Kategorie. Wenn jedoch medizinische Informationen eingeholt werden, wie z.B. bei Lokomotivführer oder Piloten, dann schon.
Auskunftsrecht
Betroffene Personen haben das Recht, Auskunft über die bearbeiteten Daten zu verlangen. Das revDSG enthält eine erweiterte Liste mit Mindestinformationen, die herausgegeben werden müssen. Dazu gehört beispielsweise auch die Aufbewahrungsdauer der Daten. Das Auskunftsrecht ist grundsätzlich kostenlos und hat in der Regel innerhalb von 30 Tagen zu erfolgen.
Profiling
Neu im Gesetz verankert wurde das Profiling. Es hat einen grossen Einfluss auf die Rekrutierung. Darunter fallen automatisierte Bearbeitungen von Personendaten, um bestimmte persönliche Aspekte zu bewerten, dies insbesondere in Bezug auf Arbeitsleistung, Interessen oder Verhalten. Also der klassische Fall einer Persönlichkeitsanalyse. Hier wird dann die Datenschutz-Folgenabschätzung Pflicht.
4. Datenaufbewahrung
Beim Datenschutz in der Rekrutierung kommt bei der Aufbewahrung der Daten DSG Art. 6 Abs. 4 zum Zug, welcher besagt: „Sie [Pesonendaten] werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.“
Anonymisierung oder Löschung: Wenn der Bearbeitungszweck nicht mehr gegeben ist, dürfen die Daten nicht länger bearbeitet und somit auch nicht mehr gespeichert werden. Das Gesetz erwähnt explizit, dass solche Daten anonymisiert oder gelöscht werden müssen. Spezifische Aufbewahrungsfristen hinsichtlich der Daten gibt das revDSG jedoch nicht vor.
Wollen Sie datenschutzkonform rekrutieren? Dualoo unterstützt Sie dabei.
Fazit
Ein datenschutzkonformes E-Recruiting ist unerlässlich, um die gesetzlichen Anforderungen der DSGVO und des DSG zu erfüllen. Unternehmen müssen Transparenz, Datensicherheit und die Rechte der Bewerbenden sicherstellen. Durch die Berücksichtigung von Datenschutz in der Rekrutierung können Sie das Vertrauen der Bewerbenden stärken und rechtliche Risiken minimieren.
All diese Informationen und noch einige mehr finden Sie auch in der Aufnahme des Webinars «Datenschutz im Recruiting».
Fragen & Antworten: Datenschutz in der Rekrutierung
Warum ist Datenschutz in der Rekrutierung wichtig?
Datenschutz schützt Bewerberdaten, stärkt das Vertrauen und stellt die Einhaltung gesetzlicher Vorgaben wie DSG oder DSGVO sicher. So werden rechtliche Risiken minimiert und ein professioneller Eindruck vermittelt.
Wer darf Bewerberdaten einsehen?
Nur autorisierte Personen wie HR-Verantwortliche und zuständige Führungskräfte dürfen Bewerberdaten einsehen. Die Einsicht muss auf den Bewerbungsprozess beschränkt und datenschutzkonform geregelt sein.
Welche Bewerber*innen-Daten dürfen gespeichert werden?
Es dürfen nur Daten verarbeitet werden, die für den Bewerbungsprozess erforderlich sind, wie Kontaktdaten, Lebenslauf und Qualifikationen.
Wie lange dürfen Bewerber*innen-Daten aufbewahrt werden?
Die Daten sind nach Abschluss des Bewerbungsverfahrens zu löschen. Es sei denn, es wurde eine Einwilligung für eine längere Speicherung eingeholt.
