Wie du sicher erfahren hast, hat die EU neue Datenschutzrichtlinien (EU-DSGVO = EU-Datenschutz-Grundverordnung) per 25.05.2018 in Kraft gesetzt. Dies hat nicht nur bei unseren ausländischen, sondern auch bei unseren Schweizer Kunden zu verschiedenen Fragen geführt.
Diese haben wir gesammelt und möchten sie dir mit diesem Beitrag beantworten. Beachte, dass dieser Beitrag nicht alle Fragen abschliessend beantworten kann, da sich das Thema sehr dynamisch weiterentwickelt. Zudem können wir dir mit diesem Beitrag bloss Empfehlungen bereitstellen, die aber keinen juristisch verbindlichen Charakter haben.
Die juristischen Gegebenheiten können von Unternehmen zu Unternehmen variieren. Kläre im Zweifelsfall deine juristischen Fragen unbedingt mit einer entsprechenden Fachperson ab.
Bist du von der EU-DSGVO betroffen?
Davon betroffen sind grundsätzlich sämtliche Unternehmen der EU-Mitgliedsstaaten, aber auch Unternehmen ausserhalb der EU (wie die Schweiz), die personenbezogene Daten von EU-Bürger:innen speichern und verarbeiten. Erhältst du also Bewerbungen von EU-Bürger:innen, so ist dein Unternehmen von den neuen Regelungen betroffen.
Sind die Unterschiede zwischen dem CH-DSG (Schweizer Datenschutzgesetz) und der EU-DSGVO gross?
Die zwei Gesetze sind sich im Grundsatz sehr ähnlich, unterscheiden sich im Detail jedoch zum Teil sehr stark. Beiden ist gleich, dass personenbezogene Daten im digitalen Zeitalter geschützt werden sollen. Die Schweiz wird die EU-DSGVO zu einem grossen Teil mittelfristig übernehmen. Entsprechende Gesetzesänderungen sind schon in Planung. Das ist ein weiterer Grund, weshalb du dich mit der neuen Gesetzeslage schon heute beschäftigen solltest.
Musst du Datenschutzrichtlinien auf deiner Website publizieren?
Das ist dringend zu empfehlen, da die EU-DSGVO schon beim Besuch deiner Website davon ausgeht, dass unter Umständen personenbezogene Daten gespeichert werden könnten. Das ist zum Beispiel schon dann der Fall, wenn deine Unternehmenswebsite sogenannte Cookies verwendet, um gewisse Informationen über den Besucher der Website zu speichern. Zudem wird es auch vom Schweizer Datenschutzgesetz verlangt werden, dass du proaktiv über den Datenschutz informierst und dies auf eine möglichst einfache Art, wie zum Beispiel ein öffentliches Dokument auf deiner Website, bereitstellst.
Was ändert sich in Bezug auf den Rekrutierungsprozess durch die neue Gesetzeslage?
Erhältst du Bewerberdaten (insbesondere von Personen aus der EU), musst du die Bewerber:innen vor der Speicherung darüber informieren, dass du beabsichtigst, die übermittelten Daten zu speichern. Erhältst du die Bewerbungsunterlagen per E-Mail, ist dies gar nicht möglich, da die Daten schon auf deinen IT-Systemen (oder denen deines E-Mail-Providers) gespeichert sind.
Neben dieser paradoxen Situation kommt hinzu, dass die Bewerber:innen das explizite Einverständnis zur Speicherung der Daten geben müssen.
Unsere Empfehlung für diese Situation:
Verarbeite Bewerbungen, die du per E-Mail erhältst, weiterhin wie gewohnt. Die Bewerber:innen haben dir die Unterlagen ja aktiv zukommen lassen, was darauf schliessen lässt, dass sie ein Interesse daran haben, dass du die Daten in ihrem Sinne (Daten werden nur zum Bewerbungszweck verwendet) verarbeitest.
Bestätige den Bewerbenden am besten die Verarbeitung der Daten mit dem jeweils versendeten Geduldschreiben, indem du folgenden Beispiel-Text als Disclaimer an die E-Mail anhängst:
Text-Beispiel:
Gerne machen wir dich gemäss geltendem Datenschutzgesetz darauf aufmerksam, dass deine Bewerbungsunterlagen durch uns gespeichert und verarbeitet werden. Die Daten werden nur zum von dir bestimmten Zweck der Bewerbung verarbeitet. Die ausführlichen Datenschutzrichtlinien unseres Unternehmens findest du hier (Link zu den Datenschutzrichtlinien deines Unternehmens).
Den Text kannst du natürlich ganz einfach in deine Antwortvorlagen, die du in deinem Ostendis-Konto hinterlegt hast, einmalig integrieren.
Gibt es weitere Möglichkeiten, die den Bewerbenden für eine DSGVO-konforme Übermittlung der Daten zur Verfügung gestellt werden können?
Ostendis stellt dir den Ostendis CVdropper™ zur Verfügung, um Bewerbungen von Bewerber:innen entgegenzunehmen. Beim Ostendis CVdropper™ handelt es sich um ein neuartiges Bewerbungsformular, das du ganz einfach, ohne Integration auf deiner Website, den Bewerbenden zur Verfügung stellen kannst. Es ist dabei nicht wie ein klassisches und immer mehr verpöntes Bewerbungsformular aufgebaut, da lediglich die E-Mail-Adresse angegeben werden muss und sämtliche Dokumente per Drag&Drop in eine Box gezogen werden können. Der Ostendis Import-Service verarbeitet diese Daten anschliessend, wie bei der bisherigen E-Mail-Weiterleitung durch dich an [email protected].
Aus praktischer Sicht ergibt sich dadurch für Bewerber:innen eine sehr einfache und einladende Möglichkeit, sich bei dir zu bewerben. Für dich entfällt der Schritt der E-Mail-Weiterleitung, was noch mehr Zeit spart.
Aus juristischer Sicht ergibt sich mit dem Ostendis CVdropper™ ein sehr grosser Vorteil: Du kannst, wie es die EU-DSGVO verlangt, dem Bewerber vor dem Übermitteln der Bewerbungsunterlagen deine Datenschutzrichtlinien zur Verfügung stellen und er muss diese explizit vor dem Versand mit einem Mausklick bestätigen.
Für weitere Informationen über den Einsatz des Ostendis CVdropper™ in deinem Unternehmen kannst du uns gerne kontaktieren.
Musst du deine Datenschutzrichtlinien anpassen, wenn du die Bewerber-Daten mit Ostendis verarbeitest?
Aufgrund der von den Gesetzen geforderten Transparenz ist es sinnvoll, in deinen Datenschutzrichtlinien darauf hinzuweisen, dass du die Bewerbungsunterlagen bei Ostendis speicherst und über die von uns gebotenen Möglichkeiten verarbeitest. Dabei handelt es sich um eine sogenannte Auftragsdatenverarbeitung (Art. 28 EU-DSGVO). Du kannst die Bewerber:innen wie folgt in deinen Datenschutzrichtlinien darauf hinweisen:
Text-Beispiel:
Unser Unternehmen arbeitet mit der E-Recruiting-Lösung der Ostendis AG, CH-5706 Boniswil (UID: CHE-102.097.261), welche die Datenspeicherung in Bezug auf Bewerbungsunterlagen übernimmt und Prozesse zur Verarbeitung dieser Daten im Sinne einer Auftragsdatenverarbeitung anbietet. Dabei werden personenbezogene Daten weder im Detail maschinell analysiert (Profiling) noch kommen automatisierte Datenverarbeitungsverfahren zur Entscheidungsfindung (Matching) zum Einsatz. Weitere Informationen und die Datenschutzrichtlinien der Ostendis AG findest du auf www.ostendis.com.
Ist es erlaubt, Daten von Bewerbenden aufzubewahren, damit du sie bei weiterem Bedarf kontaktieren kannst?
Grundsätzlich bist du verpflichtet, Bewerbungsunterlagen nach Abschluss des Rekrutierungsprozesses zu löschen. Der Prozess kann jedoch ein paar Tage oder ein paar Monate dauern. Daher ist kein absoluter Zeitraum vom Gesetz vorgegeben.
Was sicher nicht erlaubt ist: Bewerberdaten auf Vorrat zu sammeln. Also einfach alle Dossiers, die du erhältst, zu speichern und ohne Grund unendlich lange aufzubewahren.
Hast du jedoch ein interessantes Bewerber-Dossier erhalten und kannst davon ausgehen, dass du diese Person bei einer nächsten Stellenbesetzung in Betracht ziehen könntest, so bietet es sich natürlich an, das Dossier aufzubewahren. Zu diesem Zweck steht dir in Ostendis der Kandidaten-Pool zur Verfügung.
Da bei der EU-DSGVO die Informationspflicht sehr grossgeschrieben wird, empfehlen wir dir, folgenden Text in deine Datenschutzrichtlinien und eventuell in deine Absageschreiben zu integrieren:
Text-Beispiel:
Wir behalten uns vor, deine Bewerbungsunterlagen auch nach Abschluss des Bewerbungsprozesses bei uns für maximal 2 Jahre gespeichert zu lassen, damit wir dich für die Besetzung weiterer interessanter Stellen kontaktieren können. Solltest du mit dieser Praxis nicht einverstanden sein, teile uns dies bitte kurz mit.
Der Wert von 2 Jahren kann natürlich durch dein Unternehmen bestimmt werden. Maximal zulässige Referenzwerte, die durch Gerichtsurteile zustande gekommen sind, gibt es aktuell noch keine. Keinen Aufbewahrungszeitraum zu definieren, wäre juristisch nicht korrekt, da damit eine unzulässige, unendlich lange Speicherung möglich wäre.
Ostendis wird aktuell diesbezüglich erweitert, sodass du mit einem einfachen Mechanismus im Kandidaten-Pool Dossiers eines gewissen Alters (zum Beispiel alle Dossiers älter als 365 Tage) suchen und löschen kannst, damit du deiner Datenschutzpflicht mit Ostendis jederzeit und auf einfache Art und Weise nachkommen kannst.
Zudem wirst du neu die Aufbewahrungsdauer für Bewerbungen definieren können, die du durch Löschen in den Papierkorb verschoben hast. Nach Ablauf der Aufbewahrungsdauer werden die Daten automatisch vollständig und unwiderruflich aus den Systemen von Ostendis entfernt.
Schlussbemerkungen & Datenschutzverantwortliche der Ostendis AG
Bitte beachte, wie anfangs erwähnt, dass wir dir mit diesem Beitrag keine juristischen Garantien, sondern lediglich durch unsere juristischen Ansprechpartner recherchierte Empfehlungen geben können.
Für weitere Fragen rund um das Thema Datenschutz mit Ostendis stehen wir dir natürlich gerne zur Verfügung.
Herr Philippe Moser
CEO & verantwortlicher Datenschutzbeauftragter
Frau Livia Berger
Marketing Manager, Geschäftsleitungsmitglied & stellvertretende Datenschutzbeauftragte
