Die Allgemeine Datenschutzgrundverordnung, kurz DSGVO, wurde 2016 von der Europäischen Union verabschiedet, um die EU-Datenschutzrichtlinie von 1995 zu aktualisieren und zu ersetzen. Sie regelt den Umgang, die Speicherung und / oder die Verarbeitung personenbezogener Daten durch Unternehmen und harmonisiert die Datenschutzbestimmungen in den EU-Mitgliedstaaten.

Die Wirksamkeit der DSGVO ist nicht auf die geografische Lage Ihres Unternehmens oder Ihrer betroffenen Personen beschränkt. Sie gilt auch für jede Person mit EU-Staatsbürgerschaft und betrifft daher alle Recruiting Prozesse, an denen personenbezogene Daten von EU-Bürgern ins Spiel kommen. Die DSGVO gilt für alle Unternehmen, die die Daten von EU-Bürgern erheben, speichern und verarbeiten, auch wenn das Unternehmen selbst keinen Geschäftssitz innerhalb der EU hat. Darüber hinaus führt die DSGVO-Regelung seit 25. Mai 2018 erstmals zu erheblichen Sanktionen bei Nichteinhaltung.

Personalbeschaffungs- und Marketingmaßnahmen sind auf die Erhebung und Nutzung personenbezogener Daten angewiesen und stehen heute vor großen Herausforderungen. Die neuen DSGVO-Anforderungen führen in den meisten Fällen auch zu neuen Anforderungen an die eingesetzte Technologie, auf die Ihr Unternehmen angewiesen ist. Die Verwendung einer reinen Excel-Tabelle, z.B. zur Verwaltung personenbezogener Daten Ihrer Kandidaten oder Talente, wird höchstwahrscheinlich nicht mehr ausreichen, um die erweiterten Anforderungen der DSGVO zu erfüllen.

Unternehmen sollten heute nicht mehr automatisch davon ausgehen, dass beispielsweise ein Kandidat in der Vergangenheit der Verarbeitung seiner Daten zugestimmt hat, nur weil es für ihn einen Eintrag in der Datenbank gibt. So müssen laut Grundsatz der Transparent, die betroffenen Personen die Möglichkeit haben, die Art der Datenverarbeitung, der sie zugestimmt haben, einzusehen und ihre Zustimmung jederzeit zu ändern oder zu widerrufen.

Wie IntraWorlds Sie dabei unterstützen kann, mit Ihren Talenten in Kontakt zu bleiben und dabei DSGVO-konform zu arbeiten*

Datensicherheit and DSGVO-Konformität: Die Verwaltung der Daten und Einhaltung der Rechte von Kandidaten im Rahmen der DSGVO kann zu einer großen administrativen Aufgabe werden. Daher ist es wichtig zu wissen, wie IntraWorlds Sie dabei unterstützen kann, eine DSGVO-konforme Arbeitsweise durch verschiedene technische Funktionen und Automationen innerhalb der Plattform zu erreichen.

Flexibles und umfangreiches Rechte- und Rollenkonzept: Es gibt mehrere Möglichkeiten, die einzelnen Rechte eines Nutzers innerhalb der Plattform zu bestimmen und zu kontrollieren. Darunter fallen: Rechte und Privilegien zum Anzeigen und Bearbeiten von Profilen, zum Anzeigen und Bearbeiten von Inhalten und zur Nutzung der Funktionen des Portals, welche einzeln gesteuert und in beliebiger Kombination vergeben und auch widerrufen werden können. Das ermöglicht eine maximale Kontrolle über die verschiedenen Rechtevergaben.

 

Aufwendige Datenschutzkontrolle: Die Benutzer haben die volle Kontrolle darüber, welche Daten sie mit wem teilen möchten. Die Datenschutzeinstellungen können sowohl auf Ebene der Profilfeldabschnitte als auch auf der Ebene der einzelnen Felder greifen. Es können Ausnahmen für definierte Gruppen und andere Personen definiert werden. Administratoren stehen zusätzliche Möglichkeiten der Datenschutzkontrolle zur Verfügung.

 

Business-Automationen nutzen sogenannte Trigger (eine Aktivität oder ein Ereignis, welches einen definierbaren Workflow auslöst), Filter (um bestimmte Kandidaten zu identifizieren) und Aktionen (also die Definition dessen, was tatsächlich passiert, wenn die obigen Kriterien erfüllt sind) um den Einwilligungsprozess zu automatisieren (siehe oben).  

 

Erweiterer Benachrichtigungs-Möglichkeiten damit Kandidaten Ihre Email- und Newsletter Präferenzen verwalten können, oder sich auch komplett davon abmelden können. 

Zustimmungs-Management Modul: Diese Funktion steht im Mittelpunkt der Möglichkeiten unserer Plattformen, um die Grundsätze der Rechenschaftspflicht und  Transparenz der DSGVO zu erfüllen. Die Zustimmung jedes einzelnen Nutzers kann automatisiert eingeholt und für jeden einzelnen Plattformnutzer zu jeder Zeit und in allen Details (also Zeitstempel, Zustimmungsoption, Version etc.) ausgewertet und nachgewiesen werden. Zusätzlich können regelmäßige Überprüfungen der CRM-Datenbank stattfinden, um Profile von Personen, die nicht zugestimmt oder sich abgemeldet haben, automatisch zu löschen oder zu anonymisieren. Oder auch um Email-Kampagnen zur Erinnerung und  Aufforderung zur erneuten Zustimmung für bestimmte Profile durchzuführen.

Darüber hinaus können Benutzer je nach ihrer Zustimmung oder Nichtzustimmung zur Überprüfung und weiteren Vorgehensweise vorgemerkt werden, was Ihnen hilft, sicherzustellen, dass Ihr active sourcing Prozess nur Personen umfasst, die zugestimmt haben. Im Rahmen der Automatisierung (siehe links) stehen verschiedene Trigger, Benutzerprofil-Filter und automatisierte Aktionen zur Verfügung, um auf die Zustimmung oder Nichtzustimmung der Kandidaten zu reagieren und so den Zustimmungsprozess zu automatisieren.

Dadurch erfüllt das IntraWorlds Zustimmungs-Management Modul folgende konkrete DSGVO-Anforderungen:

  • Der Verantwortliche (data controller) muss nachweisen können, dass die betroffene Person (data subject), ihre Zustimmung gegeben hat 
  • Betroffene Personen (data subjects) also beispielsweise Kandidaten und Talente, müssen Ihre gegebene Zustimmung widerrufen können 
  • und schließlich, ganz im Gegensatz zu der weit verbreiteten langjährigen Marketingpraxis, darf die Zustimmung nicht an Bedingungen geknüpft sein, sondern muss frei erteilt werden, d.h. Sie dürfen keine Zustimmung zu einer Art der Datenverarbeitung im Austausch für einen Dienst verlangen, der in keinem Zusammenhang mit den von Ihnen gesammelten Daten steht. In der Praxis bedeutet dies, dass Sie getrennte Einwilligungsmöglichkeiten vorsehen müssen, wenn Sie Daten für unterschiedliche Zwecke verarbeiten wollen (z.B. verschiedene Arten von Marketing-E-Mails).

Read more

 

Vollständige Datenexport- und Berichtsfunktion so dass Administratoren die volle Kontrolle und Einsicht darüber haben, welche Informationen von welchem Kandidaten gespeichert sind. Nach DSGVO müssen Einzelpersonen die von Ihnen gespeicherten Daten einsehen können. Unsere Berichts- und Exportfunktionen ermöglichen es, diesen Anforderungen auf jeder Detailstufe gerecht zu werden.

 

Zu guter Letzt gibt es ein engagiertes Support-Team, das Ihnen bei der Einrichtung der technischen Erfordernisse und der Implementierung Ihrer Prozesse hilft, um mit der Plattform DSGVO-konform und nach den internen Richtlinien Ihrer Rechtsabteilung arbeiten zu können.

Die DSGVO fordert ausdrücklich nicht nur die Einhaltung der in Artikel 5 genannten Datenschutzgrundsätze, sondern auch die Einhaltung strenger IT-Sicherheitsstandards durch Unternehmen. Unternehmen müssen sicherstellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten jederzeit gewährleistet ist. Daher stellt IntraWorlds als Datenprozessor sicher, dass unbefugter physischer und virtueller Zugriff auf Unternehmenswerte wie Computer, Netzwerke und sensible Daten verhindert wird.

Die Sicherheitskontrollen von Intraworlds und das dafür verantwortliche Managementsystem entsprechen höchsten Standards und sind seit 2013 nach ISO 27001 zertifiziert. Dieser hochmoderne Sicherheitsstandard gilt auch für unseren deutschen Hosting-Partner PlusServer, der seit 2016 nach ISO 27001 zertifiziert ist. Das Zertifikat und das dadurch zertifizierte Informationssicherheits Management-System haben es zahlreichen Unternehmen mit sehr hohen Sicherheitsstandards wie SAP, Deutsche Bahn, PwC und vielen mehr ermöglicht, auf IntraWorlds zu vertrauen und mit uns zusammenzuarbeiten.

Hinter der Benutzeroberfläche implementieren wir technische und organisatorische Sicherheitsmaßnahmen wie:

100% DSGVO konformes and sicheres Rechenzentren, Amazon Web Services in den USA und Plus Server GmbH in Deutschland, welche firewalls, Verschlüsselungen und andere Technologien auf neustem Stand der Technik nutzen, um die Daten zu schützen 

  • Separater backup Speicherort
  • Jährliche Überprüfung und Auditierung des IT-Sicherheitsmanagement-Systems durch Dritte (externe Prüfung und Zertifizierung)
  • Jährliche Penetrationstests mit breit angelegten Analysen zur Identifizierung und Behebung potenzieller technischer Schwachstellen
  • Strenge Rollentrennung, so dass nur jene IntraWorlds-Mitarbeiter, die auf Ihre Daten zugreifen müssen, diese einsehen können.

Für weitere Informationen über das IntraWorlds Information Security Management System (ISMS) können Sie auf Anfrage ein IT Security Dokumente-Paket erhalten.

IntraWorlds hilft Ihnen also, Kontakt zu Ihren wichtigsten Kandidaten zu halten und eine höhere Konversionsrate durch personalisierte Inhalte mit einem Maximum an Business-Automatisierung zu erreichen.

Leitsätze

Um auf die DSGVO-Anforderungen vorbereitet zu sein, muss Ihr Unternehmen die folgenden Grundsätze einhalten:

  • Rechtmäßigkeit, Fairness und Transparenz: Diese Grundsätze gab es auch schon vorher. Sie wurden nun jedoch erweitert und durch folgendes konkretisiert:
  • Legitimierter Zweck: Ihr Unternehmen oder Programm muss berechtigte Gründe (oder „berechtigtes Interesse“) für die Erhebung der Daten einer Person haben, und Sie müssen vollständige Transparenz darüber schaffen, wie Sie die Daten Ihrer Kandidaten verwenden werden.
  • Eindeutig und transparent: Sie dürfen die personenbezogenen Daten Ihrer Kandidaten nur für den Zweck verwenden, den Sie ursprünglich angegeben und dem Kandidaten mitgeteilt haben. Dies bedeutet unter anderem, dass in den meisten Fällen die Datenschutzhinweise klarer sein müssen als bisher.
  • Reduzierung: Die Daten, die Sie über Ihre Kandidaten erheben, müssen sich auf den definierten Zweck beschränken und für diesen Zweck angemessen und erforderlich sein.
  • Genauigkeit: Sie müssen für die Richtigkeit der Daten sorgen, die Sie von Ihren Kandidaten speichern. In der Praxis bedeutet dies beispielsweise, dass die betroffenen Personen (data subjects) wissen müssen, wo und wie sie ihre Daten auf dem neuesten Stand halten können.
  • Begrenzte Aufbewahrung und Speicherung: Wenn die Zwecke, für die Sie die Daten erhoben haben, wegfallen, verfällt auch Ihr Recht, diese Daten in einer Form zu speichern, die eine Identifizierung einer Person ermöglicht. In der Praxis bedeutet dies, dass Sie die Daten eines Kandidaten dann nur noch in anonymisierter Form aufbewahren dürfen, wenn der ursprüngliche Zweck nicht mehr besteht.
  • Integrität und Vertraulichkeit: Die Verarbeitung personenbezogener Daten muss in einer Weise erfolgen, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung durch geeignete technische oder organisatorische Maßnahmen.

Bußgelder

Nach DSGVO haben Einzelpersonen ein erweitertes Recht auf Zugang zu den Informationen, die Unternehmen über sie halten wodurch Unternehmen bei der Datenverwaltung neuen Verpflichtungen nachzugehen haben. Nicht konform agierende Unternehmen können mit Strafen von bis zu 4 % des weltweiten Umsatzes oder 20 Millionen Euro belegt werden, je nachdem, welcher Betrag höher ist.

* IntraWorlds bietet zwar Funktionalitäten zur Unterstützung DSGVO-konformer Prozesse an, ist jedoch keine Anwaltskanzlei und bieten deshalb auch keine Rechtsberatung an. Der für die Datenverarbeitung Verantwortliche (data controller) ist innerhalb seiner Plattform voll verantwortlich für den Schutz der Daten und ist allein verantwortlich für die Verarbeitung und Handhabung der Daten auf der Plattform gemäß DSGVO. Die Berater von Intraworlds haben die Implementierung vieler Talent-Beziehungsmanagementprogramme für Kunden aus der EU und aus Drittländern unterstützt, die ihren Anforderungen in Übereinstimmung mit den EU-Datenschutzgesetzen entsprechen. Wir empfehlen Ihnen dringend, sich mit Ihrem Rechtsberater in Verbindung zu setzen, um über Compliance-Prozesse zu entscheiden.