padlock-597495_1920 padlock-597495_1920

SUCCESSFACTORS & CO.

4 MIN LESEZEIT

Deshalb sollten Sie diesen Artikel lesen:

Durch rechtliche Änderungen oder interne Anpassungen macht es Sinn, sich jährlich dem Thema Datenschutz anzunehmen und das eigene Vorgehen sowie IT-System zu prüfen. Wir zeigen, welche Fehler Sie hierbei im SAP SuccessFactors Recruiting vermeiden können und geben wertvolle Tipps zur praktischen Umsetzung.

Ronja Schmidtpott

Ronja Schmidtpott

Ausruhen ist nicht!

5 typische Fehler beim Datenschutz nach DSGVO in SAP SuccessFactors Recruiting - und wie Sie diese vermeiden

Datenschutz und Löschen gehören zusammen. Durch die im Mai 2018 in Kraft getretene EU-weite Datenschutzgrundverordnung (DSGVO) haben Sie vielleicht bereits gehandelt und Recruiting-Prozesse und Systeme angepasst. Ein Grund, sich entspannt zurückzulehnen, ist dies aber nicht. Es ist wichtig, aktuell zu bleiben und regelmäßig den Status Quo im Recruiting System zu überprüfen. Denn die Sicherheit kann trügerisch sein, wie wir an typischen Fehlern zeigen werden.

Alles da für sicheren Datenschutz im Recruiting

In der HR-Software SAP SuccessFactors Recruiting waren Löschfristen zur Einhaltung legaler Aufbewahrungsfristen schon vor der DSGVO ein wichtiges Thema. Mit sogenannten „Purge“-Regeln werden Kandidatenprofile und Bewerbungen nach Ablauf einer länderspezifischen Aufbewahrungsfrist anonymisiert. Dies erzeugt allerdings ein Spannungsfeld, in dem sich unterschiedliche Anforderungen gegenüberstehen:

  • Datenschutzregeln
  • Dokumentationspflichten (z. B. zur Einhaltung von Anti-Diskriminierungs-Gesetzen)
  • Reporting von Recruiting-Kennzahlen über längere Zeiträume

Eine einheitliche Regelung zu finden ist daher nicht leicht. Umso wichtiger ist es, dem Thema Datenschutz bereits bei der Ersteinrichtung des Systems einen hohen Stellenwert einzuräumen. Aber was folgt darauf? „Wir sind absolut DSGVO-konform im System“, sind viele Kunden überzeugt.

Datenschutz im Recruiting: Ausruhen ist nicht!

Aber rechtliche Anforderungen ändern sich oder werden präzisiert. Datenschutzerklärungen werden erneuert, zuständige Mitarbeiter wechseln den Job oder das Unternehmen. Deshalb ist es absolut notwendig, die Datenschutzeinhaltung im Recruiting regelmäßig zu überprüfen. Die nachfolgenden Punkte sollten Sie dabei im Auge behalten:

1) Aktualität Ihrer Datenschutzerklärung: Entsprechen Ihre Systemeinstellungen den Versprechen Ihrer Datenschutzerklärung?

Externe Kandidaten (und in einigen Fällen auch Mitarbeiter) müssen in der Regel einer Datenschutzerklärung zustimmen, bevor sie sich bewerben. Der Inhalt dieser Erklärung wird während der Implementierung von Ihrem Datenschutzbeauftragten definiert und endet nicht selten in langen, verschachtelten Texten.

Auch wenn viele von uns im Privaten das „Kleingedruckte“ selten so genau lesen wie sie sollten, ist eine regelmäßige Überprüfung der Datenschutzerklärung als Unternehmen sehr wichtig. 2 Punkte sollten Sie betrachten:

  • Ist die im System hinterlegte Datenschutzerklärung noch aktuell?
  • Erfüllen die Systemeinstellungen die Versprechungen der Datenschutzerklärung?

Am besten planen Sie einen jährlichen Termin zur Überprüfung ein.

2) Richtige und wichtige Inhalte: Was muss anonymisiert werden?

Im Kandidatenprofil, der Bewerbung und dem Vertrag/Angebot sind personenbezogene Daten zu finden. Viele dieser Daten, so bestimmt es der Datenschutz, müssen anonymisiert werden. Erliegen Sie jedoch nicht der Versuchung, vorsichtshalber alles zu anonymisieren. Bedenken Sie stets, dass Sie nur die Daten auswerten können, die Sie auch im System verfügbar halten. Würden Sie alles anonymisieren, könnten Sie beispielsweise Schwierigkeiten bekommen, die Einhaltung von Anti-Diskriminierungsregeln zu belegen.

Wenn Sie neue Felder erstellen oder Ihre Prozesse weiterentwickeln, beachten Sie, ob eine Anonymisierung notwendig ist und Systemeinstellungen daher angepasst werden müssen.

Bei Kommentar- und Freitextfeldern gilt: Diskriminierende Kommentare wie „Ossi“ etc. auf Bewerbungen haben medienwirksam für Aufruhr gesorgt. Es ist schwer, vollumfänglich zu kontrollieren, was in Kommentar- und Freitextfeldern hinterlassen wird. Stellen Sie daher sicher, dass Sie diese Felder auf jeden Fall anonymisieren.

 

Datenschutz Recruiting

3) Der richtige Zeitpunkt: Ab wann muss anonymisiert werden?

Ein zentraler Teil der Datenschutzvorgaben ist die Aufbewahrungsfrist. Bei Kandidatenprofilen wird diese anhand des letzten Logins errechnet. Bei Bewerbungen gibt es in SAP SuccessFactors drei „Zählarten“:

  • ab dem Zeitpunkt, an dem die Stelle geschlossen wurde
  • ab dem Absagedatum oder
  • ab dem Datum der letzten Änderung der Bewerbung durch Kandidaten oder Recruiter

Welche davon für Sie am besten geeignet ist, sollten Sie mit Ihrem Datenschutzbeauftragten klären. In den meisten Fällen fällt die Entscheidung auf das Absagedatum.

Sollten Sie jedoch den Betriebsrat bei Stellenbesetzungen miteinbeziehen und häufig länger für eine erfolgreiche Einstellung benötigen, kann es sinnvoll sein sich für den Zeitpunkt der Stellenschließung zu entscheiden. So können Sie sicherstellen, dass alle Daten bis zum Abschluss des Prozesses verfügbar sind. In der Praxis hat sich gezeigt, dass dies tatsächlich häufiger notwendig ist und die Arbeit des Betriebsrats unterstützen kann. Aber nicht vergessen: Holen Sie sich das OK Ihres Datenschutzbeauftragten!

4) Löschprozesse definieren und einhalten: Wer gibt Löschaufträge frei?

Damit die Daten nach Ablauf der Aufbewahrungsfrist auch entsprechend Ihrer Vorgaben gelöscht werden, müssen im Hintergrund technische Prozesse laufen. Diese sogenannten „Jobs“ müssen eingeplant, vor allem aber nochmal explizit freigegeben werden. Es findet keine automatische Löschung statt! Häufig treten daher Probleme auf, wenn

  • Genehmiger wechseln oder ausfallen,
  • generische User inaktiv werden,
  • die Freigaben im Alltagsgeschäft niedriger priorisiert oder gar vergessen werden.

Prüfen Sie diese Jobs und die dazugehörigen Freigabeprozesse. Ernennen Sie Verantwortliche. Sollten Sie Lücken erkennen, sprechen Sie die Personen direkt an. Versuchen Sie eine möglichst automatisierte Lösung zu finden und mehreren Personen Zugang zu dem Genehmigungsprozess zu geben, um Ausfälle besser abfedern zu können.

5) Datenschutzonformer Prozess: Alles OK beim Bewerbungsstatus und Reporting?

Auch wenn all Ihre Einstellungen richtig und aktuell sind, kann eine falsche Prozessausführung zu Datenschutzverstößen führen.

Tipp 1:

Den größten Fallstrick stellt dabei das Bewerbermanagement und die Handhabung der „Talent-Pipeline“ dar: Nur Bewerbungen in einem disqualifizierten Prozessstatus werden auch wirklich anonymisiert. Hierfür ist die Kategorie, die diesem Bewerbungsschritt zugeordnet ist, entscheidend. Lassen Sie sich nicht von der Bezeichnung des Bewerbungsstatus in die Irre führen. Es enthält vielleicht ein „Abgesagt“ im Namen, könnte jedoch aus technischer Sicht kein disqualifizierender Status sein!

Prüfen Sie, ob alle von Ihnen verwendeten Absage-Status auch wirklich technisch einer Disqualifizierung und somit Ihren Datenschutzvorgaben entsprechen. Wenn Sie hier Unterstützung benötigen, helfen wir Ihnen gerne.

Tipp 2:

Bewerbungen im Standard-Status „Stelle geschlossen“ werden nicht anonymisiert. In der Praxis ist dies häufig nicht bekannt und wird daher nicht berücksichtigt. Werden verbleibende Bewerbungen bei der Schließung der Stelle automatisch in diesen Status verschoben, bleiben sie dort häufig auch. Da dieser Status jedoch kein disqualifizierender Status ist (siehe Tipp 1), werden die Daten nicht anonymisiert und Sie verstoßen gegen den Datenschutz.

Stellen Sie sicher, dass nach Schließen der Stelle alle Bewerbungen in disqualifizierenden Status eingeordnet sind (außer die Bewerbung des eingestellten Bewerbers natürlich).

Tipp 3:

Reporting ist für die meisten Kunden im Recruiting sehr wichtig, um sich einen Überblick über den Ist-Zustand zu verschaffen. Manchmal fällt erst dabei auf, dass viele Bewerbungen nicht korrekt anonymisiert wurden, obwohl die Systemeinstellungen richtig sind.

Sensibilisieren Sie Ihre Recruiter gezielt für diese Themen und bieten Sie regelmäßig Trainings oder Informationen zur Auffrischung dazu an.

Fazit

Datenschutz ist ein wichtiges, aber auch komplexes Thema. SAP SuccessFactors Recruiting bietet Ihnen technisch alle Möglichkeiten, um Daten Ihrer Bewerber den Vorgaben entsprechend zu löschen. Voraussetzung dafür ist, dass Sie Ihr System und Ihre Prozesse in regelmäßigen Abständen prüfen (lassen). Gerne helfen wir Ihnen dabei!