Kundenlogin
Demo anfragen
Lösungen nach Unternehmensgröße
Start-Up
KMU
Enterprise
Anwendungsfälle Recruiting-Lebenszyklus optimieren Top-Talente finden Candidate Experience verbessern Echtzeit-Reporting
Bullhorn für Ihr Recruiting Recruiting
Bullhorn für Ihr Operations-Team Operations
Bullhorn für Ihr Finance-Team Finance
Bullhorn für Ihren Vertrieb Vertrieb
Bullhorn für Personalvermittler Personalvermittlung
Bullhorn für Personaldienstleister Personaldienstleistung
Bullhorn für Executive Search/ Personalberater Personalberatung
Bullhorn für Nichtregierungsorganisationen NGOs
Bullhorn für Healthcare Healthcare
Preise
Featured Products
Bewerbermanagement & CRM Steigern Sie Ihren Umsatz und Wettbewerbsvorteil
Bullhorn for Salesforce Bewerbermanagement auf Basis von Salesforce
Automatisierung Reduzieren Sie Zeit und Aufwand durch Automatisierung
Vertrieb & Recruiting Applicant Tracking + CRM Onboarding Invenias Executive Search Recruitment CRM Automation + KI Copilot Recruiting-Automatisierung Chatbot VMS-Automatisierung Candidate Experience Messaging Reporting Reporting in Echtzeit Daten kopieren Bullhorn Analytics
Über Bullhorn
Customer Stories
Technischer Support
News & Presse
Blog
Externe Ressourcen Ressourcen für Entwickler
Featured Resources
GRID 2024 Recruiting-Trends-Report Mehr lesen
Über 800 Kund:innen und eine Milliarde Automatisierungen Mehr lesen
CFOs aus der Personaldienstleistung zu ihren 5 Prioritäten für 2021 Mehr lesen
Recruiting-Automatisierung: Ein Leitfaden für die automatisierte Personalbeschaffung Mehr lesen
Intro Bullhorn Marktplatz Bauen Sie sich Ihren individuellen Tech-Stack mit den neuesten und besten Recruiting-Lösungen. Mehr erfahren
Alle ansehen
Neueste Partnerangebote und Events
Bullhorn Partner werden
Featured Partners
Automated multi-board posting Broadbean Post
North America Asia Pacific Europe United Kingdom Germany Netherlands France

Was die Datenschutzerklärung laut DSGVO/GDPR enthalten sollte

Blog General Data Protection Regulation
Category: Datenschutz

Ist Ihre Datenschutzpolitik schon in Ordnung? Mit dem Inkrafttreten der GDPR (General Data Protection Regulation) oder deutsch auch DSGVO (Datenschutz-Grundverordnung) sind die Regeln maßgeblich strenger und es drohen Bußgelder in Millionenhöhe. Es ist für Organisationen wichtig zu kommunizieren, warum und auf welche Weise personenbezogene Daten verarbeitet werden. Die DSGVO stellt einige Anforderungen an die Transparenz über die Verarbeitung und Kommunikation mit der betroffenen Person (in unserem Fall der Kandidat). Dies kann man mit Hilfe einer Datenschutzerklärung tun. Was ist eine Datenschutzerklärung und wie gestaltet man diese?

Welche Anforderungen muss eine Datenschutzerklärung erfüllen?

Eine Datenschutzerklärung sollte die folgenden Merkmale aufweisen:

  • prägnant
  • transparent
  • einfach verständlich
  • einfach zugänglich

Diese Anforderungen sollen dazu führen, dass ein Kandidat weiß, woran er im Bereich des Datenschutzes ist. Abhängig von der Art und Weise, wie die Daten gesammelt wurden, können noch einige spezifische Anforderungen an die Datenschutzerklärung gestellt werden. Daten können auf direkte oder indirekte Weise gesammelt werden. Bei direkter Datensammlung gibt der Kandidat selbst seine Daten ab, beispielsweise über ein Bewerbungsformular. Werden die Daten über eine externe Quelle gesammelt, dann handelt es sich um indirekte Datensammlung. Dies passiert beispielsweise, wenn ein Recruiter Daten aus dem LinkedIn- oder Xing-Profil des Kandidaten übernimmt.

Direkte Verarbeitung von personenbezogenen Daten

Wenn die Daten direkt vom Kandidaten stammen, dann muss die Datenschutzerklärung in dem Moment, in dem die Daten übermittelt werden, zur Verfügung gestellt werden. Dies erreicht man beispielsweise, indem ein Link zu der Datenschutzerklärung in das Bewerbungsformular aufgenommen wird. Die Datenschutzerklärung sollte mindestens die folgenden Informationen enthalten:

  • Identität und Kontaktinformation des Datenverarbeiters;
  • Ziel und rechtliche Grundlage für die Verarbeitung;
  • Das legitime Interesse des Datenverarbeiters (wenn dies zutreffend ist);
  • Eventuelle Empfänger (oder Kategorien von Empfängern) der personengebundenen Daten (beispielsweise Datenverarbeiter);
  • Informationen zur Weiterleitung der personenbezogene Daten an ein drittes Land (außerhalb der EU), wenn dies zutreffend ist;
  • Den Speicherzeitraum oder die Kriterien, anhand deren der Speicherzeitraum bestimmt wird;
  • Die betroffene Person muss auf ihre Rechte aufmerksam gemacht werden;
  • Die betroffene Person muss darauf aufmerksam gemacht werden, dass er/sie das Recht hat, die Zustimmung zur Verarbeitung seiner/ihrer Daten wieder einzuziehen;
  • Die betroffene Person muss darauf aufmerksam gemacht werden, dass er das Recht hat, eine Beschwerde bei der Aufsichtsbehörde einzureichen;
  • Wenn automatische Entscheidungen getroffen werden, muss dies bekannt gemacht werden;

Indirekte Verarbeitung von personenbezogenen Daten

Wenn Daten auf indirekte Weise gesammelt werden, beispielsweise über LinkedIn, dann gelten dieselben Anforderungen wie oben beschrieben. Zudem muss deutlich angedeutet werden, welche Art von Daten (Kategorie) verarbeitet wurden und welche Quelle hierfür verwendet wurde.

Die betroffene Person muss innerhalb eines angemessenen Zeitraums (auf jeden Fall innerhalb eines Monats nach Verarbeitung) über die obenstehenden Punkte informiert werden. Wenn die personenbezogenen Daten mit dem Ziel verarbeitet werden, mit der betroffenen Person zu kommunizieren, dann muss diese Information spätestens beim ersten Kontakt bereitgestellt werden.

Auch wenn die personenbezogenen Daten an Dritte weitergeleitet werden, dann muss die betroffene Person hierüber informiert werden und zwar spätestens zu dem Moment, in dem Daten mit diesem Dritten geteilt werden.

Identität und Kontaktinformationen

in der Datenschutzerklärung müssen die Identität und die Kontaktinformationen des für die Datenverarbeitung Verantwortlichen genannt werden. Wenn bei der verantwortlichen Organisation ein Datenschutzbeauftragter (Data Protection Officer) tätig ist, dann müssen auch dessen Kontaktinformationen in die Datenschutzerklärung aufgenommen werden.

Rechtliche Basis für die Verarbeitung

Um personenbezogene Daten verarbeiten zu können, muss eine rechtliche Basis für die Verarbeitung vorliegen. Die folgenden Punkte sollten auf jeden Fall erfüllt sein:

  • Die betroffene Person hat seine/ihr Zustimmung zur Datenverarbeitung abgegeben;
  • Die Verarbeitung ist notwendig für die Ausführung eines Vertrags oder geschieht auf ausdrückliche Anfrage der betroffenen Person zum Abschluss eines Vertrags;
  • Die Verarbeitung ist zur Einhaltung von rechtlichen Pflichten des Datenverarbeiters notwendig;
  • Die Verarbeitung ist für den Schutz der vitalen Interessen der betroffenen Personen notwendig;
  • Die Verarbeitung ist für die Ausführung einer Aufgabe von allgemeinem Nutzen notwendig;
  • Die Verarbeitung ist für die Beherzigung der legitimen Interessen des Verarbeitungsverantwortlichen notwendig.

Speicherzeitraum

Personenbezogene Daten dürfen nicht länger als strikt notwendig, also für das Ziel wofür sie ursprünglich erhoben wurden, gespeichert werden. Wenn kein ‘harter’ Speicherzeitraum zu bestimmen ist, dann müssen in der Datenschutzerklärung Kriterien bestimmt werden, auf Basis derer der Speicherzeitraum bestimmt wird. So könnte zum Beispiel die Abweisung eines Kandidaten ein Kriterium für die Löschung von dessen Daten darstellen. Mit einem Anonymisierungsskript können automatische Prozesse eingerichtet werden, die die Speicherung und rechtzeitige Lösung von Daten konform Ihrer eigenen internen Richtlinien regelt.

Bemerkung:

In den kürzlich publizierten Richtlinien von der Artikel-29-Datenschutzgruppe (einem Beratungsorgan der Europäischen Kommission, in dem die nationalen Aufsichtsbehörden repräsentiert sind) ist unter anderem die Rede vom Speicherzeitraum von Daten, die im Recruitingprozess erhoben wurden. Diese müssen im Allgemeinen gelöscht werden, sobald deutlich wird, dass der Kandidat nicht eingestellt wird. (Siehe: http://ec.europa.eu/newsroom/document.cfm?doc_id=45631, Paragraf 5.1)

Wenn Sie die Daten der Kandidaten für zukünftige Angebote erhalten möchten, müssen Sie den Kandidaten hierüber informieren. Dem Kandidaten muss hierbei die Möglichkeit geboten werden, die Zustimmung zu widerrufen, wonach die Daten dennoch gelöscht werden müssen.

Layered Privacy Statement

Wenn Sie besonders viele Informationen in Ihre Datenschutzerklärung aufnehmen möchten, können Sie ein sogenanntes ‘layered Privacy Statement’ nutzen, um es übersichtlich zu halten. Auf der ersten Ebene platzieren Sie die Hauptpunkte und fügen Links auf der zweiten Ebene hinzu. Auf diese Weise können Sie eine kurze und bündige Datenschutzerklärung erstellen und dennoch alle Informationen für den Besucher zur Verfügung stellen.

Beispiele von Datenschutzerklärungen

Wenn Sie sich ein Beispiel eines ‘layered Privacy Statement’ ansehen möchten, dann können Sie sich die Datenschutzerklärungen von IBM oder Microsoft ansehen.

Bleiben Sie auf dem Laufenden

Bleiben Sie als Organisation immer auf dem neuesten Stand aller relevanten Entwicklungen. In unserem Blog werden wir Sie so gut wie möglich informieren.

by Peter de Waal Jul. 20th, 2017
Category

Erhalten Sie die neuesten Updates direkt in Ihr Postfach.

Füllen Sie dieses Formular aus, um unsere Bloginhalte, Recruiting-Tipps und Best-Practices zu abonnieren.

Zum Blog anmelden

Ähnliche Blogartikel

Alle Blogartikel
Datenschutz
Aktion erforderlich: Änderungen an den E-Mail-Richtlinien von Google und Yahoo
Datenschutz
Besondere Herausforderungen beim Datenschutz für Personaldienstleister durch Covid-19
Datenschutz
5 Tipps, um Ihre Recruiter auf die Wichtigkeit von Datenschutz aufmerksam machen
Datenschutz
DSGVO: Zeit für einen Frühjahrsputz in Ihren Talent Pools
Datenschutz
Was ist die DSGVO/GDPR und was ist der Einfluss auf Personalvermittlungsagenturen?
Datenschutz
Aktion erforderlich: Änderungen an den E-Mail-Richtlinien von Google und Yahoo
Datenschutz
Besondere Herausforderungen beim Datenschutz für Personaldienstleister durch Covid-19
Datenschutz
5 Tipps, um Ihre Recruiter auf die Wichtigkeit von Datenschutz aufmerksam machen
Datenschutz
DSGVO: Zeit für einen Frühjahrsputz in Ihren Talent Pools
Datenschutz
Was ist die DSGVO/GDPR und was ist der Einfluss auf Personalvermittlungsagenturen?
Alle Blogartikel