Datenschutz und DSGVO-Konformität von PitchYou
Bewerbungen müssen datenschutzrechtlich gut durchdacht sein. Gerade wenn externe Messenger-Tools benutzt werden sollen. Die personenbezogenen Daten des Bewerbers genießen hohen Schutz. Ihr Unternehmen kann sich dabei auf uns als Dienstleister 100 % verlassen. Hier haben wir alle unsere Maßnahmen zusammengefasst, die wir ergreifen, um verantwortungsvoll mit personenbezogenen Daten umzugehen.
Bei Rückfragen steht Ihnen unsere externe Datenschutzbeauftragte Frau Joelle Hirsch von LGD Datenschutz GmbH, Rogätzer Straße 8, D-39106 Magdeburg, Tel.: +49 (0) 391 55686325, E-Mail: j.hirsch@lgd-data.de zur Verfügung.
Laden Sie die offizielle Stellungnahme zur DSGVO Konformität herunter.
1. Bewerbungsprozess
Mit PitchYou bieten Sie Ihren Bewerbern die einfache Möglichkeit, per WhatsApp-Messenger Interviews durchzuführen und sich zu bewerben.
Der Einstieg für den Bewerber ist immer gleich über eine Stellenanzeige. Ein Interessent sieht Ihre Job-Anzeige und klickt auf den Bewerben-Button oder scannt mit seinem Handy den Job-QR-Code, um die Bewerbung zu starten.
Bewerbung per WhatsApp
Volle Kontrolle für den Bewerber
Der Bewerber behält immer die Kontrolle über den Dialog mit dem PitchYou-Bot. Nach dem Aufruf des Bewerbungsinterviews auf einem Handy startet automatisch die WhatsApp-Anwendung. Kandidaten beginnen den WhatsApp-Dialog durch das Absenden einer Start Nachricht, die bequem nach Öffnen von WhatsApp bereits vorausgefüllt bereitsteht.
Die Eröffnung des Dialogs durch Absenden der Nachricht muss zwingend vom Bewerber ausgeführt werden.
Während des Interviews hat der Bewerber jederzeit die Möglichkeit, den Dialog abzubrechen. Ein einfaches /stop Kommando genügt. Alle bisher gesammelten Daten werden gelöscht.
Sollte der Bewerber sein Interview nicht weiterführen, gehen wir 24 Stunden nach der letzten Nachricht davon aus, dass das Interview gestoppt wurde. Auch dann werden die Daten automatisch gelöscht.
Wie werden Bewerber über den Datenschutz informiert?
Zu Beginn des Interviews erhält der Bewerber eine Nachricht:
"Wir verarbeiten Ihre persönlichen Daten elektronisch zur Bearbeitung der Bewerbung. Für die Nutzung unseres Dienstes gelten unsere Nutzungsbedingungen und unsere Datenschutzerklärung. Die Anbieterkennzeichnung finden Sie in unserem Impressum."
Als Datenschutzerklärung und Impressum verlinken wir Ihre bestehenden Seiten bzw. Dokumente, die Sie auch sonst für Bewerbungen (z. B. auf Ihrer Karriereseite) nutzen. So muss nicht das Rad neu erfunden werden und die durch die Rechtsabteilung oder einen Datenschutzanwalt genehmigten Texte werden verwendet.
Wenn gewünscht kann noch zusätzlich eine explizite Einwilligung des Bewerbers eingeholt werden:
"Bitte willigen Sie in die Datenschutzerklärung und die Nutzung von WhatsApp für die Durchführung des Bewerbungsverfahren (Mehr Informationen) ein.
Ich willige ein (ja/nein)"
Wenn diese Frage nicht mit "ja" bestätigt wird, wird das Interview abgebrochen.
Wie wird verhindert, dass sich Personen jünger als 16 Jahre per WhatsApp bewerben?
Nach Eingabe des Geburtsdatums des Bewerbers wird sein Alter errechnet und geprüft. Bei unter 16-Jährigen wird das Interview abgebrochen und gelöscht.
2. Recruitingprozess
Nach Abschluss einer Bewerbung landet diese in der PitchYou Recruiting-Anwendung Ihres Unternehmens. Die Anwendung läuft komplett im Web-Browser ab. Es muss keine Software installiert werden. Der Zugriff auf die Anwendung erfolgt verschlüsselt über https-Protokoll und ist per Login (Benutzername und Passwort) geschützt. Die Bewerber und ihre Interviews können nur durch berechtigte Benutzer eingesehen werden.
Kein Profiling – volle Kontrolle für den Recruiter
PitchYou qualifiziert jeden Bewerber anhand der vorher von Ihnen eingestellten Kriterien und trifft eine Matching-Einschätzung (0 % – 100 %). Wichtig: Es wird kein Profiling durchgeführt. D. h. der Matching-Prozentsatz ist ein Hinweis für den Recruiter. Es erfolgen keine automatisierten Entscheidungen (Ab- oder Zusagen) auf Grundlage des Matchings. Die Entscheidung, ob ein Bewerber interessant ist oder nicht, bleibt beim Recruiter.
Interne Weitergabe von Daten
Natürlich können Sie Bewerberdaten innerhalb Ihres Unternehmens weitergeben. Sie können die Daten Ihrer Bewerber per PDF exportieren oder direkt im System teilen.
Wir empfehlen Ihnen die Teilen-Funktionalität. Dadurch ist gewährleistet, dass die Daten innerhalb des PitchYou-System verbleiben. Der Empfänger erhält eine E-Mail mit einem Link auf die Bewerbung in PitchYou. Zusätzlich erhält er eine PIN. Nur mit dieser PIN kann er die Bewerbung (und auch nur diese) einsehen.
Somit sparen Sie sich die E-Mail-Verteilung von Bewerbung in Ihrem Unternehmen, die unter DSGVO-Gesichtspunkten oft nicht in den Griff zu bekommen ist.
Löschen von Daten
Das Löschen von Bewerbungen geschieht in PitchYou mehrstufig.
1. Stufe: Absagen-Bereich
Es steht Ihnen ein Bereich für Absagen zur Verfügung. Über die Auswahl von "Absagen" im Bewerberprofil können Sie Bewerbungen für Ihren eigenen Überblick in diesen Bereich verschieben. So werden alle Bewerbungen gesammelt angezeigt, die für Sie nicht infrage kommen, es wird allerdings keine Absage-Nachricht ausgelöst.
2. Stufe: Bewerbungen löschen
Aus dem Absagen-Bereich können Sie Bewerbungen endgültig löschen.
Was passiert nach dem endgültigen Löschen?
Die Bewerbung ist für Recruiter nicht mehr sichtbar. Wir löschen Sie aber noch nicht aus der Datenbank. D. h. technisch kann PitchYou nach wie vor auf die Daten zugreifen. Es wird empfohlen, Bewerberdaten mindestens für 6 Monate ab dem Zeitpunkt der Absage aufzuheben, um bei Beschwerden und Klagen nach dem Allgemeinen Gleichbehandlungsgesetz noch eine Möglichkeit zu haben, Daten wiederherzustellen.
3. Stufe: Datenbank löschen
6 Monate nach dem endgültigen Löschen in der Anwendung löscht PitchYou unwiederbringlich die Bewerberdaten aus der Datenbank. Dazu werden alle personenbezogenen Daten irreversibel und nicht auflösbar maskiert: Name, Anschrift, Kontaktdaten, Geburtsdatum, beruflicher
Werdegang, berufliche Qualifikation, zeitliche und örtliche Verfügbarkeit, persönlicher Werdegang, Profilbild, Profilvideo, Dokumente.
3. Auftragsverarbeitung und externe Dienstleister
Kein Mitarbeiter Ihres Unternehmens muss WhatsApp benutzen
Wir handeln die komplette Kommunikation über WhatsApp als Dienstleistung für Sie ab. Für das Speichern und die Weitergabe der damit erhobenen personenbezogenen Daten schließen Sie mit uns eine DSGVO-konforme Vereinbarung zur Auftragsverarbeitung ab.
Dadurch haben Sie auch nur einen Vertragspartner, nämlich PitchYou.
WhatsApp Business API
Die Kommunikation zwischen dem PitchYou Bot und dem Bewerber geschieht über die WhatsApp Business API, die genau für die Kommunikation zwischen Unternehmen und Verbrauchern (in unserem Fall Bewerbern) vorgesehen ist.
Wir halten uns an alle von WhatsApp vorgegebenen Regularien
- Start der Kommunikation ausschließlich durch den Nutzer
Für die Nutzung des WhatsApp Business API haben wir Verträge mit einem in Deutschland ansässigen von WhatsApp zertifizierten Anbieter der Business API (360dialog GmbH, Berlin und MessengerPeople GmbH, München) abgeschlossen.
Im Sinne der Datensparsamkeit werden alle Nachrichten und Mediendateien bei diesen Anbietern sofort gelöscht, nachdem sie in PitchYou verarbeitet und gespeichert wurden.
Der Einsatz eines Handys in Ihrem Unternehmen zur Kommunikation über WhatsApp wäre wegen der pauschalen Übertragung aller Telefonbucheinträge nicht DSGVO-konform. Die WhatsApp Business API hingegen läuft nicht auf einem Endgerät und hat somit auch kein Telefon- oder Kontaktbuch. Eine Übertragung ist somit technisch ausgeschlossen.
Datenhaltung und Entwicklung in Deutschland
Wir nutzen ausschließlich Server, die in Deutschland betrieben werden. Unser Hosting-Partner ist die Firma Hetzner AG.
Die Software wurde komplett in Deutschland entwickelt. Alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben könnten (z. B. durch Support-Aufgaben) sind schriftlich zur Geheimhaltung verpflichtet.
WhatsApp nutzt Server außerhalb der EU. Die Kommunikation über WhatsApp ist Ende-zu-Ende verschlüsselt. Die Inhalte der Kommunikation sind somit geschützt. Lediglich die Information, dass eine Kommunikation zwischen der Nummer des Bewerbers und der Nummer des PitchYou Bots stattgefunden hat wird an WhatsApp übertragen. Der Bewerber hat durch das Akzeptieren der WhatsApp-Bedingungen bei Installation von WhatsApp dem bereits zugestimmt.
Die Speicherung der Metadaten der Kommunikation in den USA war bisher durch die Privacy Shield Vereinbarung zwischen den USA und der EU geregelt. Durch ein neues EUGH Urteil wurde diese Vereinbarung für nicht ausreichend erklärt. Um auch in der Zeit bis zu einer neuen politischen Vereinbarung datenschutzrechtlich auf der sicheren Seite zu sein können Sie eine explizite Einwilligung zur Datenspeicherung in den USA und Drittländern durch WhatsApp einholen (Einwilligung)
Welche externen Services nutzen wir noch?
Zur Entfernungsbestimmung zwischen Bewerber und möglichem Einsatzort rufen wir das Google Maps API auf. Es wird dabei die Postleitzahl des Bewerbers übergeben, ohne jeden Bezug zu persönlichen Daten.
Für die automatische Übersetzung von Nachrichten aus anderen Sprachen ins Deutsche und umgekehrt nutzen wir das Google Translate API. Dabei werden nur Texte übergeben ohne Bezug zu einer Person oder einem Gesprächsstrang.
Haben Sie Fragen zu PitchYou und Datenschutz?
Kontaktieren Sie unsere Experten und klären Sie alle offenen Fragen!