Bewerberdaten gehören zu den sensibelsten Datenkategorien in Unternehmen. Namen, Lebensläufe, Gehaltsvorstellungen, Fotos und manchmal sogar Gesundheitsinformationen werden verarbeitet. Wenn diese Daten in einer Cloud-basierten Recruiting-Software liegen, gelten strenge DSGVO-Anforderungen, die viele KMU unterschätzen.
DSGVO-Anforderungen bei der Bewerberverarbeitung
Die Verarbeitung von Bewerberdaten basiert auf § 26 BDSG (Beschäftigtendatenschutzgesetz) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO. Daraus ergeben sich konkrete Pflichten:
- Zweckbindung: Bewerberdaten dürfen nur für das konkrete Bewerbungsverfahren verwendet werden
- Löschfristen: Nach Abschluss des Verfahrens müssen Daten abgelehnter Bewerber innerhalb von 6 Monaten gelöscht werden – es sei denn, es liegt eine Einwilligung zur Aufnahme in einen Talentpool vor
- Transparenz: Bewerber müssen vor der Datenerhebung über die Verarbeitung informiert werden (Datenschutzerklärung im Bewerbungsprozess)
- Einwilligung für Talentpool: Die Aufnahme in einen Talentpool erfordert eine separate, freiwillige Einwilligung
- Recht auf Auskunft und Löschung: Bewerber können jederzeit Auskunft über ihre Daten verlangen und deren Löschung einfordern
Was Cloud-Recruiting-Software bieten muss
| Anforderung | Warum wichtig |
|---|---|
| Automatische Löschfristen | Bewerberdaten werden nach definiertem Zeitraum automatisch gelöscht |
| Einwilligungsmanagement | Dokumentation und Verwaltung von Talentpool-Einwilligungen |
| Datenschutzerklärung im Bewerbungsformular | DSGVO-konforme Information vor der Datenerhebung |
| Zugriffsrechte und Audit-Trail | Nur berechtigte Personen dürfen Bewerberdaten sehen |
| EU-Hosting | Bewerberdaten müssen in der EU gespeichert werden |
| Exportfunktion | Für Auskunftsersuchen müssen Daten exportierbar sein |
Risiken bei US-amerikanischen Recruiting-Tools
Viele populäre Recruiting-Tools wie Greenhouse, Lever oder Workday sind US-amerikanische Anbieter. Die Nutzung ist nicht per se verboten, erfordert aber besondere Sorgfalt: Standardvertragsklauseln (SCC) müssen vereinbart sein, ein Transfer Impact Assessment sollte durchgeführt werden und zusätzliche technische Schutzmaßnahmen wie Verschlüsselung mit eigenen Schlüsseln sind empfehlenswert.
Wenn Sie spezifische Anforderungen an Ihre Recruiting-Software haben, die kein Standardtool abdeckt, kann eine individuelle Lösung die DSGVO-konforme Alternative sein. Kontaktieren Sie uns für eine Beratung.
Fazit
Cloud-basierte Recruiting-Software verarbeitet hochsensible Daten. KMU müssen bei der Auswahl besonders auf DSGVO-Konformität achten: automatische Löschfristen, Einwilligungsmanagement, EU-Hosting und granulare Zugriffsrechte sind Pflichtfunktionen.