Digitale Recruiting-Tools: Helfer mit datenschutzrechtlichen Risiken

Effizienter Rekrutierungsprozess dank digitaler Helfer

Digitale Recruiting-Tools sind Software oder Online-Programme, die HR-Teams während des Einstellungsprozesses in unterschiedlichen Formen unterstützen. Durch die digitalen Recruiting-Tools kann der gesamte Rekrutierungsprozess technologiebasiert verbessert und gestrafft werden. Je nachdem, welche Tools eingesetzt werden, helfen diese bei der Ausschreibung einer offenen Stelle, bei der Auswertung der eingegangenen Bewerbungen, bei der Verwaltung der Bewerbungen oder beim Reporting. Der Einsatz digitaler Recruiting-Tools ermöglicht es den HR-Teams, die Erfahrungen der Bewerber zu optimieren, das HR-Team leichter zu koordinieren und den Verwaltungsaufwand zu reduzieren.

Digitale Recruiting-Tools verfolgen somit alle das gleiche Ziel: Sie helfen dem HR-Team schnell, effektiv und mit wenig(er) Aufwand, geeignete Mitarbeitende zu rekrutieren.

Beispiele digitaler Recruiting-Tools:
- Chatbots
- Application-Tracking-Systeme
- Lebenslauf-Screener
- Terminvereinbarungstools
- Preboarding-Software

Obwohl es eine Vielzahl verschiedener digitaler Recruiting-Tools gibt, haben die meisten einige, aus datenschutzrechtlicher Sicht relevante, Gemeinsamkeiten. In der Regel werden digitale Recruiting-Tools von einem Dritten als Dienstleistung angeboten (oft als Software-as-a-Service-Lösung). Zudem werden durch das Tool praktisch immer Personendaten, d. h. Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, im Sinne des Schweizer Datenschutzgesetzes (DSG) bearbeitet. Dazu gehören beispielsweise der Name eines Bewerbers, dessen Angaben aus dem Lebenslauf oder personenbezogene Angaben der betreuenden HRMitarbeitenden; dies bedingt die Einhaltung der Vorgaben der Schweizer Datenschutzgesetzgebung.

Die wichtigsten Anforderungen des DSG können unterteilt werden in solche, welche gegenüber den Bewerbern sichtbar sind, und solche, welche gegenüber dem Tool-Anbieter umgesetzt werden müssen.

Informationspflicht gegenüber Bewerbenden

Gegenüber den Bewerbenden besteht für die Datenbearbeitung im Rahmen des Bewerbungsprozesses eine Informationspflicht. Diese ergibt sich aus dem DSG, welches Mindestinformationen, die den Bewerbenden als betroffene Personen transparent offengelegt werden müssen, vorschreibt. So sind die Bewerbenden mindestens darüber zu informieren, wer für die Datenbearbeitung verantwortlich ist (d. h. die Kontaktangaben des rekrutierenden Unternehmens), zu welchen Zwecken die Daten bearbeitet werden (d. h. zur Durchführung der Auswahl von geeigneten Mitarbeitenden im Rahmen des Bewerbungsprozesses) und an welche Empfänger bzw. Empfängerkategorien Personendaten bekannt gegeben werden (z. B. an den Anbieter des digitalen Recruiting-Tools). Sofern Empfänger der Personendaten ihren Sitz im Ausland haben, sind weitere Informationen zu erteilen (insbesondere Informationen zum Sitzstaat, inkl. der datenschutzrechtlichen Garantie, auf welche sich der Datentransfer ins Ausland stützt).

Die Informationspflicht im Zusammenhang mit der Nutzung von digitalen Recruiting-Tools wird in der Praxis über die Datenschutzerklärung auf der Webseite oder für das spezifische Rekrutierungstool erfüllt. Folglich ist es empfehlenswert, die bestehende Datenschutzerklärung zu prüfen bzw. bei Einsatz eines neuen Tools zu ergänzen.

Abschluss eines Auftragsbearbeitungsvertrags

Handelt es sich beim Toolanbieter um einen sog. Auftragsbearbeiter, d. h. ein Unternehmen, welches im Auftrag der Arbeitgeberin (Bewerber-)Personendaten bearbeitet, müssen gegenüber Ersterem zusätzliche Massnahmen umgesetzt werden. Dies ist beispielsweise dann der Fall, wenn es sich um eine Software-as-a-Service-Lösung handelt, die Daten beim Toolanbieter gehostet wird oder wenn dieser Supportleistungen erbringt.

Das DSG erlaubt die Übertragung der Bearbeitung von Personendaten an einen Auftragsbearbeiter mittels eines Vertrags oder gestützt auf eine gesetzliche Grundlage. Für die Nutzung von digitalen Recruiting-Tools besteht keine gesetzliche Grundlage. Somit ist ein Vertragsabschluss notwendig, der in der Praxis ausserhalb der kommerziellen Bedingungen in einem gesonderten Auftragsbearbeitungsvertrag erfolgt. Darin regeln die Parteien, welche Personendaten vom Auftrag erfasst sind und wie der Auftragnehmer mit diesen umzugehen hat. Wichtig beim Abschluss des Auftragsbearbeitungsvertrags ist, dass das Unternehmen die vom Anbieter umgesetzten technischen und organisatorischen Datensicherheitsmassnahmen prüft und bei einem Beizug von Unterauftragnehmern diesen zustimmen bzw. sie ablehnen kann. Der Auftragsbearbeitungsvertrag sollte vor der Nutzung des digitalen Recruiting-Tools abgeschlossen werden. Einige Anbieter stellen bereits standardmässig einen solchen Vertrag zur Verfügung.

Sicherstellen eines angemessenen Datenschutzniveaus

Hat der Toolanbieter seinen Sitz im Ausland, muss die Arbeitgeberin sicherstellen, dass in dem Land, in welches die Daten übermittelt werden, ein aus Schweizer Sicht angemessenes Datenschutzniveau besteht. Ob ein solches im konkreten Fall gewährleistet ist, bestimmt der Bundesrat. Hat der Bundesrat für ein bestimmtes Land ein angemessenes Datenschutzniveau anerkannt, wird dies im Anhang der Verordnung zum DSG transparent ausgewiesen. Im Sinne einer Faustregel gelten zurzeit Länder der EU und des EWR als Staaten mit angemessenem Datenschutzniveau. Für diese sind keine zusätzlichen Garantien notwendig.

Befindet sich der Toolanbieter aber ausserhalb der EU oder des EWR, muss geprüft werden, ob und welche zusätzlichen Garantien umgesetzt werden müssen. In der Praxis ist der Einsatz der EU-Standardvertragsklauseln weit verbreitet. Durch diese unterwerfen sich die Vertragsparteien bestimmten datenschutzrechtlichen Pflichten, wodurch ein angemessenes Datenschutzniveau sichergestellt werden kann. Schliesslich müsste vor dem Einsatz eines digitalen Recruiting-Tools eines Anbieters mit Sitz in einem Land mit fehlendem, angemessenem Datenschutzniveau ein sog. Transfer Impact Assessment (d. h. eine Risikoanalyse nach den Vorgaben des EDÖB) durchgeführt werden.

Datenschutzrechtliche Risiken beim Einsatz digitaler Recruiting-Tools

Das Schweizer Datenschutzgesetz sieht für bestimmte Verletzungen Bussen in der Höhe von bis zu CHF 250 000.– vor. Dazu zählen u. a. das Zurverfügungstellen von falschen oder unvollständigen Informationen, die Verletzung der Vorgaben an den Beizug von Auftragsbearbeitern oder der Verstoss gegen die Vorgaben für Datentransfers ins Ausland. Wird der Einsatz digitaler Recruiting-Tools nicht sorgfältig umgesetzt, besteht folglich ein Bussenrisiko. Die gewissenhafte (datenschutzrechtliche) Compliance-Prüfung vor dem Einsatz eines digitalen Recruiting-Tools ist daher zentral.

Das Wichtigste in Kürze

• Digitale Recruiting-Tools sind hilfreich, um Rekrutierungsprozesse sowohl für die Personalabteilung als auch für Bewerber effizienter zu machen.
• Oft werden digitale Recruiting-Tools als Software-as-a-Service- Lösungen angeboten.
• Mit den digitalen Recruiting-Tools werden Personendaten bearbeitet. 
• Die Bewerbenden müssen in einer Datenschutzerklärung über die Datenbearbeitung im Bewerbungsprozess sowie den Einsatz von digitalen Recruiting-Tools informiert werden. 
• Die Anbieter der Tools sind regelmässig Auftragsbearbeiter, mit welchen vor der Datenbearbeitung ein Auftragsbearbeitungsvertrag abgeschlossen werden muss. 
• Hat der Anbieter des Tools seinen Sitz im Ausland, muss geprüft werden, ob ein angemessenes Datenschutzniveau besteht und ob zusätzliche Garantien implementiert werden müssen.