Rekrutierungsprozesse im Ausland: Was heisst das für den Datenschutz?

Datenschutz_bei_Bewerbungsprozessen
Datenschutz bei ausgelagerten Bewerbungsprozessen (Foto: John Schnobrich, https://unsplash.com/photos/FlPc9_VocJ4)

Neue Technologien unterstützen die Rekrutierung. Dabei müssen aber datenschutzrechtliche Grundsätze und die Problematik von internationaler Datenbearbeitung beachtet werden.

Um heute die Talente von morgen zu finden, sind die Bewerbungsprozesse bei der Rekrutierung stetig zu verbessern. Bei der Bearbeitung der Dossiers sind selbstverständlich die datenschutzrechtlichen Grundsätze (Rechtsmässigkeit, Verhältnismässigkeit, Treu und Glauben, Zweckbindung, Erkennbarkeit des Zwecks) zu berücksichtigen.

So darf ein Personalverantwortlicher Daten beim ehemaligen oder aktuellen Arbeitgeber nicht ohne Einwilligung des Bewerbers auskundschaften. Ferner dürfen Daten nur soweit ermittelt werden, als dies für die Abklärung der Eignung eines Bewerbers für die Stelle erforderlich ist. Auch wenn die Möglichkeit bestehen würde, verschiedenste soziale Plattformen zu prüfen, sollte darauf in der Vorselektion verzichtet werden.

Damit Personalverantwortliche in einem Betrieb genügend sensibilisiert sind, sollten die Unternehmensverantwortlichen einen Datenschutzbeauftragten bestimmen und darüber hinaus ein Datenschutzreglement erstellen.

Dabei können Unternehmen verschiedene Rekrutierungsprozesse auslagern. Es besteht die Möglichkeit, durch einen Bewerbungsroboter eine möglichst vorurteilsfreie Vorselektion vorzunehmen. So können zwischenzeitlich Roboter auch Vorstellungsgespräche führen und dabei faktenbasiert Mimik und Gesichtsausdrücke erkennen. Nicht selten werden Dienstleistungen im Zusammenhang mit der Optimierung der Bewerbungsprozesse von Anbietern aus dem Ausland offeriert. Damit einher geht auch eine Bearbeitung von Personendaten, was datenschutzrechtlich nicht unbedenklich ist. Dabei muss geprüft werden, ob das entsprechende Land ein für die Schweiz angemessenes Datenschutzniveau hat. Ob dies der Fall ist, kann einer vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) herausgegebenen Länderliste entnommen werden. Ein angemessener Schutz ist beispielsweise bei Staaten der europäischen Union, welche der DSGVO unterstellt sind, als erfüllt zu betrachten.

In vielen Ländern ist diese Angemessenheit des Datenschutzniveaus nicht erfüllt. Bei einer Datenverarbeitung in den Vereinigten Staaten sind die die Daten nur unter bestimmten Voraussetzungen genügend geschützt. Es bedarf also weiterer Massnahmen. Dabei sollten die Personalverantwortlichen vorher prüfen, ob der betreffende amerikanische Datenverarbeiter mindestens die Anforderungen des Swiss-US Privacy Shield erfüllt. Ob ein US-Unternehmen darauf figuriert, kann mit einer Liste des U.S. Department of Commerce geprüft werden. An ein entsprechendes Zertifikat dürfen keine besonders hohen Erwartungen geknüpft werden, handelt es sich dabei doch lediglich um eine Selbstzertifizierung des betreffenden Unternehmens. Aufgrund des Fehlens einer entsprechenden staatlichen Regulierung besteht unter anderem die Möglichkeit, durch vertraglich vereinbarte Garantien trotzdem einen angemessenen Schutz der Daten im Ausland sicherzustellen. Der EDÖB müsste in einem solchen Fall über die Garantien informiert werden.

Die Personalverantwortlichen sollten ihre Pflichten um den Datenschutz ernst nehmen. Sie könnten bei Verletzung der Vorschriften mit Busse bestraft werden.

Last but not least: Diese Informationen betreffen das Vorgehen bei einem Schweizer Bewerber. Bei einem Bewerber aus der europäischen Union sollte man auch die Vorschriften der DSGVO berücksichtigen.

Weiterführende Links

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2017/04/staatenliste.pdf.download.pdf/staatenliste.pdf
https://www.nzz.ch/wirtschaft/tengai-der-roboter-der-vorurteilsfreie-vorstellungsgespraeche-fuehrt-ld.1521953
https://www.privacyshield.gov/list

Beitrag teilen

Marcel Vogel

Marcel Vogel ist Fachspezialist Regulatory Affairs bei Swico und bloggt aus dem Unterricht des CAS DPO

Alle Beiträge ansehen von Marcel Vogel →

Schreibe einen Kommentar