Bewerbertools – Das digitale Bewerbermanagement

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Bewerbertools – Das digitale Bewerbermanagement

Bewerbertools – Das digitale Bewerbermanagement

Der Bewerbungsprozess stellt Arbeitgeber oftmals vor Herausforderungen. Insbesondere bei größeren (Konzern-) Unternehmen kann hier schnell Chaos entstehen, wo keines sein soll. Abhilfe schaffen immer öfter digitale Bewerbertools. Schnell, effektiv, modern und kostensparend – die positiven Aspekte sind verlockend, doch gibt es auch hier einige Feinheiten zu beachten. Wo wir in der Vergangenheit vertieft auf die Grundlagen des E-Recruitment und spezielle Techniken wie das Videointerview eingingen, möchten wir uns anlässlich des europäischen Datenschutztages mit diesem Beitrag vertieft dem Bereich der Bewerbermanagement-Plattformen widmen.

Bewerbermanagement wird hip

Die Digitalisierung hat unsere Welt fest im Griff. Wo Behörden noch allzu häufig dem technischen Fortschritt hinterherhinken, schreitet die Privatwirtschaft mit Riesenschritten voran. In Zeiten, in welchen Kunden per Chatbot sekundenschnelle Rückmeldung erhalten und selbst Steuererklärungen mit wenigen Klicks online eingereicht werden können, drängt sich der Wunsch nach einfachen, klar strukturierten und übersichtlichen Prozessen auf.

Solche Prozesse kommen zudem auch dem datenschutzrechtlich Verantwortlichen zugute: Ein wesentlicher Teil der Pflichten eines Verantwortlichen betrifft die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht. Die Einhaltung der datenschutzrechtlichen Grundsätze muss danach von jedem Verantwortlichen nachgewiesen werden können. Es leuchtet ein, dass dieser Pflicht nur dann effektiv nachgekommen werden kann, wenn Prozesse ausreichend transparent und übersichtlich gestaltet sind. Dies fällt insbesondere in komplexen Unternehmensstrukturen recht schwer, da Daten oft über verschiedene Abteilungen verteilt sind und der nötige Überblick fehlt.

Abhilfe versprechen verschiedene Anbieter sogenannter Bewerbertools bzw. Bewerbermanagement-Plattformen. Hierbei wird dem Verantwortlichen meist durch eine Cloud-basierte Plattform eine Infrastruktur an die Hand gegeben, die es ermöglicht, den gesamten Bewerbungsprozess – vom ersten Kontakt über Bewerbungsgespräche bis hin zum Vertragsschluss – umfassend abzubilden. Eingekleidet wird das Ganze bestenfalls noch in ein hippes, pastellfarbenes Gewand voller sympathischer Profilbildchen.

Der Arbeitgeber kann hier flexibel entscheiden, welche Mitarbeiter aus welchen Fachabteilungen oder gar Konzernunternehmen in den Bewerbungsprozess eingebunden werden sollen, über integrierte Chatprogramme besteht ein direkter Kontakt zum Bewerber und auch die Terminfindung für Vorstellungsgespräche wird zum Kinderspiel.

Der Bewerber selbst hat die Möglichkeit, eigene Profile anzulegen, Lebensläufe online zu stellen oder gar private Social-Media-Accounts zu verknüpfen. Dies schafft unmittelbar eine spürbare Nähe zwischen den Akteuren und vermittelt beiden Seiten ein Gefühl gesteigerter Kontrolle. Vorbei scheinen die Zeiten, in denen ein Bewerber monatelang auf die Beantwortung eines Bewerbungsschreibens wartet, dass er nie erhalten wird.

Bewerbertools: Chancen für das Datenschutzmanagement

Die Zentralisierung eines oft sehr sensiblen Feldes wie dem des Bewerbermanagements bringt in datenschutzrechtlicher Hinsicht zunächst einige Vorteile.

  • Durch die Abbildung aller Daten innerhalb eines Tools fällt das Management von Löschverpflichtungen deutlich leichter. Löschroutinen oder bestenfalls sogar ein ganzes Löschkonzept können so deutlich leichter eingeführt werden. Viele Tools bieten automatische Erinnerungs- oder gar Löschfunktionen an.
  • Es besteht die einfache Möglichkeit, Einwilligungen von Bewerbern nachhaltig zu dokumentieren. Dies wird insbesondere dann relevant, wenn Bewerber in sog. Bewerberpools aufgenommen werden, die Daten also länger als für den konkreten Bewerbungsprozess gespeichert werden sollen.
  • Dem Bewerber werden Kontrollmöglichkeiten eingeräumt, die er im klassischen Bewerbungsverfahren nicht hat. Oftmals besteht für den Bewerber die Möglichkeit, Daten selbst aus dem Profil zu löschen, diese exportieren zu lassen oder sie zu korrigieren. Die Ausübung von Betroffenenrechten nach den Art. 15 ff. DSGVO kann somit deutlich leichter gehandhabt werden. Auch können Betroffenenrechte meist direkt innerhalb des Tools geltend gemacht werden. Der Weg einer – irgendwo im Unternehmen eingegangenen – Betroffenenanfrage über mehrere E-Mail-Konten, der hoffentlich letztendlich beim zuständigen Mitarbeiter mündet, wird so weitestgehend vermieden.

Altbekannte Risiken in neuem Gewand

Allerdings ist auch hier nicht alles Gold, was glänzt. Nicht jeder Dienstleister bietet ein adäquates Schutzniveau. Es sollte besonders darauf geachtet werden, in welchen Ländern die zugehörigen Clouds betrieben und mit welcher Bereitschaft Auskunft über technische und organisatorische Maßnahmen beim Dienstleister gegeben werden. Hier gilt es, besser zweimal hinzuschauen, denn die Auswahl geeigneter Dienstleister gehört schon nach Art. 28 Abs. 1 DSGVO zu grundlegenden Pflichten des Verantwortlichen.

Das größte Gefahrenpotenzial birgt jedoch – wie so oft  – die konkrete Anwendung durch das Unternehmen und seine Mitarbeiter selbst:

Berechtigungskonzepte

Bewerbertools verfügen meistens über Rollenkonzepte, welche die Zugriffsbefugnisse einzelner Mitarbeiter auf Bewerberdaten regeln. Um dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO gerecht zu werden, muss auch hier das sog. „Need to know“-Prinzip beachtet werden. Zugriff auf die Daten eines Bewerbers dürfen somit nur solche Mitarbeiter haben, deren Einbindung für die Durchführung des Bewerbungsverfahrens auch erforderlich ist. Personen, die lediglich ein Interesse an der Bewerbung haben könnten oder nur möglicherweise etwas Konstruktives beizutragen haben, sollten nicht per se, sondern nur nach sorgfältiger Prüfung einbezogen werden. Dies gilt umso mehr, als in Bewerbungsunterlagen in der Regel sehr sensible Daten enthalten sind.

Löschpflichten

Der Verpflichtung, nicht mehr benötigte Daten nach Beendigung des Bewerbungsverfahrens zu löschen, muss aktiv nachgekommen werden. Hierbei können automatische Wiedervorlagefristen sicherlich unterstützen. Auch wenn automatische Löschroutinen implementiert werden können, müssen diese dennoch regelmäßig überprüft werden.

Social Media

Viele Tools bieten Bewerbern die Möglichkeit, sich per Social Login anzumelden oder zumindest den eigenen Facebook- oder LinkedIn-Account zu verknüpfen. Verzichtet werden sollte jedoch auf ein aktives „Anreichern“ der Bewerberdaten mit Daten aus dem Social-Media-Profil. Dies gilt insbesondere für privat genutzte Facebook-Accounts, da der Bewerber zwar wohl grundsätzlich damit einverstanden ist, dass der Arbeitgeber durch die Verknüpfung Name, Profilbild und E-Mail-Adresse erhält. Er jedoch nicht damit rechnen muss, dass sämtliche privaten Informationen Teil des Bewerbungsprozesses werden.

Analyse und Tracking

Auch der Einsatz von Analysetools wie Google Analytics sollte überdacht werden. So wird man – folgt man der Ansicht der Aufsichtsbehörden sowie der DSK – einen Einsatz von Drittanbieter-Analysetools nur mit Einwilligung des Betroffenen rechtssicher gestalten können. Zumindest sollte dem Verantwortlichen das bestehende Risiko bewusst sein und hinreichend abgewogen werden.

Einbeziehung Dritter

Es sollte auf sog. „Tell a Friend“- oder Drittempfehlungs-Funktionen verzichtet werden. Zwar erscheint die Idee, von eigenen Mitarbeitern auf geeignete potenzielle Bewerber aufmerksam gemacht werden zu können, zunächst sehr attraktiv. Jedoch stellen sich bei der erstmaligen Ansprache eines unbeteiligten Dritten oftmals wettbewerbsrechtliche Probleme, da auch eine Ansprache mit dem Ziel, einen potenziellen Arbeitnehmer anzuwerben, als werbliche Ansprache im Sinne des Gesetzes gegen den unlauteren Wettbewerb (UWG) gewertet werden kann (vgl. BGH Urteil vom 12.09.2013, Az.: I ZR 208/12).

Informationspflichten

Zwar bieten die Tools stets eine eigene Datenschutzerklärung an, jedoch ist diese in einer Vielzahl von Fällen entweder lückenhaft oder zumindest anpassungsbedürftig. Es sollte hier bestenfalls eine eigene Datenschutzerklärung vorgehalten und im Tool integriert werden.

Zudem können alle bisher genannten Grundregeln meistens nicht alleine softwareseitig umgesetzt werden, sondern müssen in der täglichen Praxis von den beteiligten Mitarbeitern gelebt werden. Hierfür sollten bei Einführung eines solchen Tools eindeutige interne Richtlinien vorgehalten werden. Auch die regelmäßige Durchführung von Schulungen bietet sich an, um eine Sensibilisierung für die riskanten Bereiche des Verfahrens zu erreichen.

Vertragliche Aspekte auch im Konzern nicht vernachlässigen

Regelmäßig wird der Anbieter eines solchen Tools als Auftragsverarbeiter i.S.d. Art. 28 DSGVO auftreten. Dass hier ein entsprechender Vertrag zu schließen ist, wurde von uns bereits thematisiert.

Vor eine weitere organisatorische Herausforderung wird ein Verantwortlicher jedoch dann gestellt, wenn das Tool nicht nur ein Unternehmen abbilden soll, sondern in einer komplexen Konzernstruktur mit mehreren beteiligten Unternehmen eingesetzt wird. Dann stellt sich zum einen die Frage, welche Parteien nun die oben erwähnten Auftragsverarbeitungsverträge schließen sollen.

Zum anderen ist denkbar, dass Verantwortliche aus Fachbereichen mehrerer Konzernunternehmen bei bestimmten Bewerbungsverfahren gemeinsam tätig werden, beispielsweise, weil der Muttergesellschaft eigene Mitbestimmungsbefugnisse im Bewerbungsprozess der Tochterunternehmen zustehen. In diesen Fällen muss geprüft werden, ob ein Fall der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO vorliegt.

Eine Möglichkeit, besonders bei vielen Beteiligten das Vertragsmanagement übersichtlich zu halten, könnte hier in Rahmenvereinbarungen liegen, die die Rechtsverhältnisse innerhalb des Konzerns regeln und auch ein Management von möglicherweise erforderlichen Auftragsverarbeitungsverträgen mit Dienstleistern erleichtern können.

Es sollte deshalb im Einzelfall genau geprüft werden, welche Unternehmen in welcher Funktion am Bewerbungsprozess teilnehmen. Erst mit ausreichend transparenten Datenflüssen innerhalb des Konzerns kann die Einschätzung hinsichtlich der zu ergreifenden datenschutzrechtlichen Schritte sinnvoll gestaltet werden.

Bei richtigem Einsatz sind Bewerbertools eine gute Alternative

Bei ausreichender Sensibilisierung der HR-Abteilung, bedachter Auswahl von Dienstleistern und einem maßvollen Einsatz von möglichen Zusatzfunktionen wie Tracking oder Social-Media-Verknüpfung kann der Einsatz von digitalen Bewerbungsmanagement-Tools viele Prozesse im Bewerbungsverfahren schneller, moderner und übersichtlicher Gestalten. Die Chancen mit Blick auf strukturierte Datenschutzmanagement-Prozesse sind durchaus vorhanden, gleichwohl bergen gesteigerte Möglichkeiten auch neue Risiken.

In jedem Fall ist zu empfehlen, den Datenschutzbeauftragten frühzeitig bei der Implementierung neuer Tools – besonders im HR-Bereich – einzubinden.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Bewerbertools – Das digitale Bewerbermanagement.

Sexy Spam – “Wie sehen unsere Kommunikation?” (Ist das schon eine Datenschutz-Verletzung?)

Vermehrt Spam-E-Mails mit Foto-Anhang von durchaus attraktiven Menschen – vorrangig natürlich Frauen

“Ich möchte wirklich einen Mann finden, der mich mit dem Thema BDSM-Sex bekannt macht, da ich es noch nicht ausprobiert habe, aber ich möchte es wirklich. Mit dem vorherigen Kerl haben wir mit Ohrfeigen angefangen, dann gab es Kostüme, Demütigungen, wir haben es mit Wimpern versucht, aber dann hat er es nicht gemocht, er mochte gewöhnlichen Sex.” … und so weiter…

Aktuell sind offenbar wieder vermehrt solche Nachrichten im Umlauf, da einige Kunden in dem Zusammenhang die Frage stellen, ob dies auch ein Thema für den Datenschutz sein kann.

Wie immer: “Das kommt drauf an.”

Der Erhalt einer solchen E-Mail ist erstmal nur lästig, weil vermutlich unerwünscht. Hier der Verweis an die Berater und Anwälte rund um das Wettbewerbs- bzw. Persönlichkeitsrecht (EU-Grundrecht auf Privatheit und nationale Gesetzt).

Aus Datenschutzsicht wäre zu klären, ob es vielleicht irgendwo eine “Lücke” gibt, die die eigenen Adresse kompromittiert haben könnte – hier dürften aber auch nicht viele mehr möglich sein. E-Mailadressen sind praktisch öffentlich und können auch bei anderen ausgepäht worden sein.

Die typischen Hinweise zur Informationssicherheit

  • Betriebssystem und Programme aktuell halten (Updates durchführen)
  • Der aktive Benutzer muss keine Administratoren-Berechtigung haben
  • Programme nur für administrative Zwecke auch mit Administratoren-Rechten ausführen
  • Virenschutz einsetzen
  • Internetsicherheitsprogramm einsetzen
  • KEINE ANHÄNGE VON KOMISCHEN E-MAILS ÖFFNEN
  • KEINE KOMISCHEN ANHÄNGE IN E-MAILS ÖFFNEN
  • Keine Antwort zurücksenden (Falsch-Positiv-Liste)

Besonders der oft laxe Umgang mit E-Mails ist heute die absolute Quelle Nr. 1 für das Auftreten von Malware. Daher Anhänge in E-Mails öffnen und mitdenken – eine Excel-Liste hat eine entsprechende Dateiendung XLS oder XLSX und nicht EXE (für eine ausführbare Datei, sprich ein Programm). Mit etwas IT-Achtsamkeit ist schon viel gewonnen. 😉

… und bevor Fragen aufkommen: Bild: Shutterstock (lizenziert)

“Muss ich E-Mails wirklich verschlüsseln?”

Eigentlich schon – Technologie wird sich nur durchsetzen, verbessern und leichter zu bedienen werden, wenn sie auch von Vielen / flächendeckend genutzt wird.

In den relevanten Gesetzen findet sich natürlich kein Satz, der eine bestimmte Technologie, Software oder Verfahren vorschreibt. Der “Stand der Technik” ist allerdings schon der Maßstab um den es geht – und bei genauer Sicht, eigentlich ist Verschlüsselung einfach umsetzbar.

Open-Souce Tools gibt es zu Hauf, um die verschiedenen Arten von möglichen Verschlüsselungen umzusetzen:

  • mit Programmen zur Komprimierung (Winzip, 7-Zip, WinRAR usw. usw.) lassen sich bspw. “ZIP-Dateien” erzeugen, die mit “aktuellen” Verfahren und einem ordentlichen Passwort durchaus angemessenen Schutz der Daten bieten
  • für die Verschlüsselung des Computers ist heutzutage onboard enthalten und muss nur “eingeschaltet” werden. Bei Windows ist Bitlocker bereits seit Version 7 enthalten, ebenso wie bei Apple in iOS auch systemseitig verschlüsslet werden kann. Es entstehen keine weiteren Kosten – nur der Aufwand für die Einrichtung kommt auf Sie zu, daher gerne “zumutbar”. Immer dokumentieren welches Gerät (Modell, Seriennummer), von wem (Abteilung, Techniker, Mitarbeiter), wann (Zeitpunkt der Einrichtung) verschlüsselt wurde. Und dann regelmäßig prüfen, ob die Verschlüsselung nicht entfernt wurde – und dies auch wieder in Dokumentation festhalten.
  • Dateiverschlüsselung bei Einsatz von Cloud-Diensten lässt sich ebenfalls einfach und sogar günstig umsetzen: Boxcryptor und Cryptomator schalten sich zwischen Dateisystem und Synchronisation, so verlässt keine Klartext-Datei Ihren Computer und liegt in der Cloud auch nur als verschlüsselte Version.
  • E-Mailverschlüsselung per OpenPGP mit einem Schlüsselpaar aus dem privaten und dem öffentlichen Schlüssel sind für die wirklich sichere Übertragung von Daten per E-Mail ebenfalls vorhanden.
    Kurz gesagt, mit dem öffentlichen Schlüssel (den der Absender braucht – deshalb öffentlich) kann eine Nachricht an den/die Empfänger gesendet werden. Der Empfänger kann die Nachricht dann nur mit dem richtigen, dem eigenen privaten, Schlüssel öffnen.

Alle genannten Tools und Proramme habe ich probiert oder selbst eingesetzt und finde sie grundsätzlich gut – Unterschiede, Vor- und Nachteile haben sie natürlich auch. Testen Sie am Besten selbst.

“Wie ist Ihr DSB in die Organisation eingebunden? Welche Fachkundenachweise hat er?”

Die Landesbeauftragte für den Datenschutz in Niedersachsen hat im November 2019 die Ergebnisse der Querschnittsprüfung zur Umsetzung der DSGVO bei 50 Unternehmen veröffentlicht.

Die Ergebnisse sind “durchwachsen” heißt es – bei 18 Prozent der Firmen steht die Ampel selbst nach dem zweiten Prüfungsschritt noch immer auf rot, bei 30 Prozent gibt es teils “erheblichen Handlungsbedarf”.

Quelle: LfD Niedersachsen, Querschnittsprüfung – Abschlussbericht November 2019, Seite 9

An die Unternehmen wurden insgesamt zu 10 verschiedenen Bereichen Fragen gestellt, u.a.

  • Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen bzw. die Ihrer Dienstleister ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten?
  • Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden?

In 2018 und 2019 ging es den meisten Unternehmen darum die eigene Dienstleistung, das eigene Produkt und die Wertschöpfung – sprich das eigene Business – an die DSGVO anzupassen und jetzt wird es darum gehen, die Forderungen nach Einhaltung und Nachweise der Einhaltung der DSGVO insgesamt zu erfüllen.

Link zum offiziellen Abschlußbericht: https://lfd.niedersachsen.de/download/149301

Nachweispflichten der DSGVO – Fachkundenachweise des internen DSB (Zertifikate als Nachweise)

Als Verantwortlicher müssen Unternehmen die Einhaltung der DSGVO nachweisen können. Das führt neben der Pflicht zur DSGVO-konformen Organisation von Abläufen und Prozessen auch zur Pflicht der Kontrolle und Überwachung der eigenen Dienstleister sowie – und das lässt man bei internen Datenschutzbeauftragten allzuleicht außer Acht – die Sicherstellung der Fachkunde des benannten betrieblichen DSB. Dieser muss von seinem Arbeitgeber genügend Ressourcen (Zeit, Ausstattung, Geld und Budget) erhalten haben, um die wirksame Kontrolle des Arbeitgebers / des Veranwortlichen auch erledigen zu können.

Bei externen DSB ist das in der Regel Etwas einfacher, da er seine Kompetenzen und Fachkunde selbstständig aufgrund des gemeinsamen Vertrages aufrechtzuerhalten hat – zumindest sollte das so geregelt sein. 😉

Wie immer gilt: “Wer schreibt, der bleibt!”

Ich persönliche habe für das Jahr 2019 meinen Kunden für die eigene Dokumentation eine “schnelle” Liste zusammengestellt, die alle Aktivitäten und Nachweise zunächst nur auflistet und auf Nachfrage der fragliche Nachweis erbracht wird. Etwa so:

Fortbildungsnachweise 2019
(Originale auf Anfrage)

  • Fachvortrag Bussgeldrisiken (erteilende Stelle)
  • Praktische DSGVO Umsezung 2019 (erteilende Stelle)
  • Privacy Information Management Systeme nach ISO 27701 (erteilende Stelle)
  • Update Datenschutz I, II, III und IV (erteilende Stelle)
  • Umgang mit Datenpannen (erteilende Stelle)
  • E-Mail-Marketing (Typische Fehler und ihre Vermeidung, erteilende Stelle)
  • Praktische Durchführung einer Datenschutz-Folgenabschätzung (erteilende Stelle)
  • Informationssicherheitsauditor (erteilende Stelle)
  • Informationssicherheitsbeauftragter (erteilende Stelle)
  • Durchführung von Kontrollen von Datenschutzbeauftragten (aktiv und passiv – DSGVO-konform kontrollieren und kontrolliert werden, erteilende Stelle)
  • Fachtagung “Datenschutz-Managementsystem” (Aktualisierung 2019, erteilende Stelle)
  • Fachtagung “Datenschutzfolgen-Abschätzung und Prüfthemen der Aufsichtsbehörde” (erteilende Stelle)

DSGVO & Datenschutz Freiberufler: Worauf achten (Webinar vom 06.12.2019)

Liebe Freiberufler!

Ich freue mich sehr darüber, dass jetzt die Aufzeichnung des Webinars “DSGVO & Datenschutz Freiberufler: Worauf achten” im Freiberuflerprojektmarkt (Xing-Gruppe) vom 06.12.2019 und das Begleitmaterial zur Verfügung stehen.

Bitte senden Sie mir eine E-Mail an info@stephan-frank.com für die Zusendung der Zugangsdaten und Unterlagen.

Schöne Grüße! Ihr Stephan Frank