Code-Zeilen auf Monitor

Ausruhen ist nicht!

Fehler beim Datenschutz im Recruiting vermeiden

Datenschutz im Recruiting ist ein laufender Prozess, dem man sich mindestens einmal jährlich widmen sollte, da es sonst schnell zu Verstößen kommt.

Datenschutz und Daten löschen gehören zusammen. Durch die im Mai 2018 in Kraft getretene EU-weite Datenschutzgrundverordnung (DSGVO) haben Sie vielleicht bereits gehandelt und Recruiting-Prozesse und Systeme angepasst. Ein Grund, sich entspannt zurückzulehnen, ist dies aber nicht. Es ist wichtig, aktuell zu bleiben und regelmäßig den Status quo im Recruiting-System zu überprüfen. Denn die Sicherheit kann trügerisch sein, wie wir an typischen Fehlern zeigen werden.

Alles da für sicheren Datenschutz im Recruiting

In der HR-Software SAP SuccessFactors Recruiting waren Löschfristen zur Einhaltung legaler Aufbewahrungsfristen schon vor der DSGVO ein wichtiges Thema. Mit sogenannten „Purge“-Regeln werden Kandidatinnen- und Kandidatenprofile und Bewerbungen nach Ablauf einer länderspezifischen Aufbewahrungsfrist anonymisiert. Dies erzeugt allerdings ein Spannungsfeld, in dem sich unterschiedliche Anforderungen gegenüberstehen:

  • Datenschutzregeln
  • Dokumentationspflichten (z. B. zur Einhaltung von Antidiskriminierungsgesetzen)
  • Reporting von Recruiting-Kennzahlen über längere Zeiträume

Eine einheitliche Regelung zu finden ist daher nicht leicht. Umso wichtiger ist es, dem Thema Datenschutz bereits bei der Ersteinrichtung des Systems einen hohen Stellenwert einzuräumen. Aber was folgt darauf? „Wir sind absolut DSGVO-konform im System“, sind viele Kundinnen und Kunden überzeugt.

Datenschutz im Recruiting: Ausruhen ist nicht!

Aber rechtliche Anforderungen ändern sich oder werden präzisiert. Datenschutzerklärungen werden erneuert, zuständige Mitarbeitende wechseln den Job oder das Unternehmen. Deshalb ist es absolut notwendig, die Datenschutzeinhaltung im Recruiting regelmäßig zu überprüfen. Die nachfolgenden Punkte sollten Sie dabei im Auge behalten:

1) Aktualität Ihrer Datenschutzerklärung: Entsprechen Ihre Systemeinstellungen den Zusagen Ihrer Datenschutzerklärung?

Externe Kandidatinnen und Kandidaten (und in einigen Fällen auch Mitarbeitende) müssen in der Regel einer Datenschutzerklärung zustimmen, bevor sie sich bewerben. Der Inhalt dieser Erklärung wird während der Implementierung von Ihrem Datenschutzbeauftragten definiert und besteht nicht selten aus langen, verschachtelten Texten.

Auch wenn viele von uns im Privaten das „Kleingedruckte“ selten so genau lesen wie sie sollten, ist eine regelmäßige Überprüfung der Datenschutzerklärung für Unternehmen sehr wichtig. Zwei Punkte sollten Sie betrachten:

  • Ist die im System hinterlegte Datenschutzerklärung noch aktuell?
  • Erfüllen die Systemeinstellungen die inhaltlichen Zusagen der Datenschutzerklärung?

Am besten planen Sie einen jährlichen Termin zur Überprüfung ein.

2) Richtige und wichtige Inhalte: Was muss anonymisiert werden?

Im Kandidatenprofil, in der Bewerbung und dem Vertrag/Angebot sind personenbezogene Daten zu finden. Viele dieser Daten, so verlangt es der Datenschutz, müssen anonymisiert werden. Erliegen Sie jedoch nicht der Versuchung, vorsichtshalber alles zu anonymisieren. Bedenken Sie stets, dass Sie nur die Daten auswerten können, die Sie auch im System verfügbar halten. Würden Sie alles anonymisieren, könnten Sie beispielsweise Schwierigkeiten bekommen, die Einhaltung von Anti-Diskriminierungsregeln zu belegen.

Wenn Sie neue Felder erstellen oder Ihre Prozesse weiterentwickeln, beachten Sie, ob eine Anonymisierung notwendig ist und Systemeinstellungen daran angepasst werden müssen.

Bei Kommentar- und Freitextfeldern gilt: Diskriminierende Kommentare wie „Ossi“ etc. auf Bewerbungen haben medienwirksam für Aufruhr gesorgt. Es ist schwer, vollumfänglich zu kontrollieren, was in Kommentar- und Freitextfeldern hinterlassen wird. Stellen Sie daher sicher, dass Sie diese Felder auf jeden Fall anonymisieren.

Eine Sonnenbrille liegt auf dem Hinterkopf einer Frau

3) Der richtige Zeitpunkt: Ab wann muss anonymisiert werden?

Ein zentraler Teil der Datenschutzvorgaben ist die Aufbewahrungsfrist. Bei Kandidatenprofilen wird diese anhand des letzten Log-ins errechnet. Bei Bewerbungen gibt es in SAP SuccessFactors drei Arten der Fristberechnung:

  • ab dem Zeitpunkt, an dem die Stelle geschlossen wurde
  • ab dem Absagedatum oder
  • ab dem Datum der letzten Änderung der Bewerbung durch Kandidatinnen und Kandidaten oder Personalverantwortliche

Welche davon für Sie am besten geeignet ist, sollten Sie mit Ihrem Datenschutzbeauftragten klären. In den meisten Fällen fällt die Entscheidung auf das Absagedatum.

Sollten Sie jedoch den Betriebsrat bei Stellenbesetzungen miteinbeziehen und häufig länger für eine erfolgreiche Einstellung benötigen, kann es sinnvoll sein, sich für den Zeitpunkt der Stellenschließung zu entscheiden. So können Sie sicherstellen, dass alle Daten bis zum Abschluss des Prozesses verfügbar sind. In der Praxis hat sich gezeigt, dass dies tatsächlich häufiger notwendig ist und die Arbeit des Betriebsrats unterstützen kann. Aber nicht vergessen: Holen Sie sich das Okay Ihres Datenschutzbeauftragten!

4) Löschprozesse definieren und einhalten: Wer gibt Löschaufträge frei?

Damit die Daten nach Ablauf der Aufbewahrungsfrist auch entsprechend Ihrer Vorgaben gelöscht werden, müssen im Hintergrund technische Prozesse laufen. Diese sogenannten „Jobs“ müssen eingeplant, vor allem aber nochmal explizit freigegeben werden. Es findet keine automatische Löschung statt! Häufig treten daher Probleme auf, wenn

  • zur Freigabe Berechtigte wechseln oder ausfallen,
  • generische User inaktiv werden,
  • die Freigaben im Alltagsgeschäft niedriger priorisiert oder gar vergessen werden.

Prüfen Sie diese Jobs und die dazugehörigen Freigabeprozesse. Ernennen Sie Verantwortliche. Sollten Sie Lücken erkennen, sprechen Sie die Personen direkt an. Versuchen Sie eine möglichst automatisierte Lösung zu finden und mehrere Personen für den Genehmigungsprozess zu legitimieren, um Ausfälle besser abfedern zu können.

5) Datenschutzkonformer Prozess: Alles o.k. bei Bewerbungsstatus und Reporting?

Auch wenn all Ihre Einstellungen richtig und aktuell sind, kann eine falsche Prozessausführung zu Datenschutzverstößen führen.

Tipp 1:

Den größten Fallstrick stellt dabei das Bewerbermanagement und die Handhabung der „Talent-Pipeline“ dar: Nur Bewerbungen in einem disqualifizierten Prozess-Status werden auch wirklich anonymisiert. Hierfür ist die Kategorie, die diesem Bewerbungsschritt zugeordnet ist, entscheidend. Lassen Sie sich nicht von der Bezeichnung des Bewerbungs-Status in die Irre führen. Es enthält vielleicht ein „Abgesagt“ im Namen, könnte jedoch aus technischer Sicht kein disqualifizierender Status sein!

Prüfen Sie, ob alle von Ihnen verwendeten Absage-Status auch wirklich technisch einer Disqualifizierung und somit Ihren Datenschutzvorgaben entsprechen. Wenn Sie hier Unterstützung benötigen, helfen wir Ihnen gerne.

Tipp 2:

Bewerbungen im Standard-Status „Stelle geschlossen“ werden nicht anonymisiert. In der Praxis ist dies häufig nicht bekannt und wird daher nicht berücksichtigt. Werden verbleibende Bewerbungen bei der Schließung der Stelle automatisch in diesen Status verschoben, bleiben sie dort häufig auch. Da dieser Status jedoch kein disqualifizierender Status ist (siehe Tipp 1), werden die Daten nicht anonymisiert und Sie verstoßen gegen den Datenschutz.

Stellen Sie sicher, dass nach Schließen der Stelle alle Bewerbungen in den disqualifizierenden Status eingeordnet sind (außer der Bewerbung des eingestellten Bewerbers natürlich).

Tipp 3:

Reporting ist für die meisten Kunden im Recruiting sehr wichtig, um sich einen Überblick über den Ist-Zustand zu verschaffen. Manchmal fällt erst dabei auf, dass viele Bewerbungen nicht korrekt anonymisiert wurden, obwohl die Systemeinstellungen richtig sind.

Sensibilisieren Sie Ihre Personalverantwortliche gezielt für diese Themen und bieten Sie regelmäßig Trainings oder Informationen zur Auffrischung dazu an.

Fazit

Datenschutz ist ein wichtiges, aber auch komplexes Thema. SAP SuccessFactors Recruiting bietet Ihnen technisch alle Möglichkeiten, um Daten Ihrer Bewerbenden den Vorgaben entsprechend zu löschen. Voraussetzung dafür ist, dass Sie Ihr System und Ihre Prozesse in regelmäßigen Abständen prüfen (lassen). Gerne helfen wir Ihnen dabei!