1. Erfüllt skillconomy alle Anforderungen der DSGVO?
Ja. Wir stützen unsere Verarbeitung auf klare Rechtsgrundlagen (Art. 6 Abs. 1 lit. a/b/f DSGVO), informieren Betroffene fristgerecht (Art. 13/14 DSGVO), gewährleisten technisch‑organisatorische Maßnahmen (Art. 32 DSGVO) und halten ein dokumentiertes Lösch‑ und Rechtemanagement vor.2. Handelt es sich um eine Auftragsverarbeitung gemäß Art. 28 DSGVO?
Nein. Wir verarbeiten personenbezogene Daten als eigenständig verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO und entscheiden dabei selbstständig über wesentliche Zwecke und Mittel der Verarbeitung. Insbesondere unterhalten wir einen eigenen, kundenunabhängigen Datenbestand. Die gesamte Auswahl erfolgt durch uns als Dienstleister und ausschließlich in unseren Systemen, dabei bestimmen wir selbst über die genutzten Quellen und Netzwerke. Full-Service: Auch die Ansprache bis zur Übermittlung der Bewerbungen erfolgt durch uns als Dienstleister und ausschließlich in unseren Systemen. Auch diese inhaltliche Freiheit in der Erstansprache ist ein klassisches Merkmal eines eigenständig Verantwortlichen (analog zum Headhunting). Fazit: Eine Auftragsverarbeitung gemäß Art. 28 DSGVO liegt nicht vor. Die Vielzahl an datenschutzrechtlichen Prüfungen - gerade durch unsere Kunden in regulierten Branchen - die zur gleichem Ergebnis geführt haben, bestätigen diese Einordnung.3. Besteht eine “gemeinsame Verantwortlichkeit”?
Nein. Unsere Kunden und wir agieren jeweils als eigenständige Verantwortliche im Rahmen einer Verarbeitungskette (“Controller-to-Controller”), nicht jedoch als gemeinsam Verantwortliche i. S. v. Art. 26 DSGVO. Die EDSA-Leitlinien 07/2020 (Seite 3) konkretisieren die Beurteilungskriterien zur gemeinsamen Verantwortlichkeit wie folgt: „Ein wichtiges Kriterium ist, dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre, und zwar in dem Sinne, dass die Verarbeitungen jeder der Parteien untrennbar, d. h. unauflösbar miteinander verbunden sind.“ Neben dem Umstand, dass es keine gemeinsame Entscheidung über die wesentlichen Zwecke und Mittel der Datenverarbeitung gibt, liegt insbesondere kein abgestimmter oder arbeitsteilig gemeinsam gelenkter Verarbeitungsprozess vor. skillconomy agiert in der Phase der Kandidatensuche und -ansprache als eigenständig Verantwortlicher mit eigener Zweckbestimmung (Matching und Vermittlung). Sollte eine explizite Dokumentation der Haftungssphären gewünscht sein, kann dies im Zuge eines Controller-to-Controller-Vertrags umgesetzt werden. Entsprechende Vorlagen stellen wir gerne zur Verfügung.4. Auf welchen Rechtsgrundlagen stützen wir die Datenverarbeitung?
Wir stützen unsere Prozesse auf folgende Rechtsgrundlagen: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für die Identifikationsphase und Erstansprache nutzen wir das berechtigte Interesse an der Besetzung von Vakanzen sowie das Karriereinteresse der Talente. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Sobald ein konkreter Bewerbungsprozess startet oder Daten in dein ATS übertragen werden, erfolgt dies auf Basis einer expliziten, informierten Einwilligung der betroffenen Person. Erfüllung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Soweit die Verarbeitung zur Anbahnung eines Beschäftigungsverhältnisses erforderlich ist.5. Wie werden die Informationspflichten nach Art. 14 DSGVO erfüllt?
Die Kandidat:innen werden zum frühestmöglichen Zeitpunkt, direkt bei der ersten Kontaktaufnahme informiert. Im Full-Service erfolgt die Ansprache und die Information nach Art. 14 DSGVO über uns, bei IdentPro erfolgt die Ansprache und Information durch den Kunden.6. Findet eine “ausschließlich automatisierte Verarbeitung” im Sinne Art. 22 DSGVO statt?
Nein. Die finale Auswahl, welche Personen ausgewählt werden, erfolgt stets unter menschlicher Aufsicht („Human-in-the-Loop“). Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt.7. Full-Service: Wie kann mit den Bewerberdaten im ATS gearbeitet werden?
Eine Bewerbung, die über skillconomy direkt in dein ATS überführt wird, kann von dir datenschutzrechtlich behandelt werden wie jede andere Bewerbung auch. Hintergrund ist, dass wir deine unternehmensspezifischen Datenschutzbestimmungen im Chatbot-Dialog einbinden und die Bewerber:innen ihre ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a erteilen, bevor die Daten in deinem ATS sichtbar sind.Hast du weiterführende Fragen? Dann nimm jederzeit gerne Kontakt mit uns auf. Wir verfügen über zehn Jahre Erfahrung in der effizienten und zielführenden Klärung aller relevanten Compliance-Fragestellungen.