Es ist eine wirkliche trockene Materie: Datenschutz. Jeder Personaler sollte sich spätestens jetzt mit ein paar Grundsätzen zu diesem Thema beschäftigen. Im Mai 2018 wird das Datenschutzrecht in der EU mit Blick auf Datensicherheit und -speicherung vereinheitlicht: die Datenschutzgrundverordnung (DSGVO) tritt in Kraft.
Alles nur Panikmache, um Beratungsaufträge zu generieren? Bestimmt spielt das auch eine Rolle. Aber Bange machen gilt nicht, und mögliche Bußgelder in Millionenhöhe sind nunmal auch kein Klacks.
Wer soll eigentlich wovor beschützt werden?
Datenschutz wird schon fast 50 Jahre alt. Das älteste formelle Datenschutzgesetz der Welt wurde 1970 in Hessen verabschiedet. Ziel war der Schutz von Einzelpersonen gegenüber Organisationen. Außerdem sollte das Recht jedes Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen, gesichert sein.
Mit der Entwicklung von automatisierter Datenverarbeitung und der enorm wachsenden Datenmenge („Big Data“) durch neue Informationstechnologien ist der Schutzgedanke weiter gewachsen. Viele Menschen geben an verschiedensten Orten (on- und offline) ihre Daten preis, in der Regel zweckgebunden. Ein (nicht erlaubtes) Zusammenführen der Daten führt dann zum gläsernen Menschen: Wo kauft er ein? Wo tankt er? Welche Playlists hört er? Wann ist er auf Jobportalen aktiv? Ein Recruiter-Traum könnte wahr werden: Alexa oder Siri informieren, sobald der richtige Zeitpunkt gekommen ist, um einen potenziellen Mitarbeiter anzusprechen.
Genau DAS soll eben nicht passieren: Das Erheben von persönlichen Daten ist zweckgebunden erlaubt und unter Auflagen wie Anonymisierungen und Pseudonymisierungen gestattet.
Was bedeutet das nun für Bewerberdaten?
Bislang wurde zwischen Datenerhebung, -verarbeitung und -löschung unterschieden. Das wird in der neuen DSGVO zusammengefasst und gilt als „Verarbeitung“, egal um welchen Schritt es sich handelt. Das Erheben von Bewerberdaten ist somit auch bereits eine Verarbeitung und bedarf der Einwilligung der betroffenen Person. Das gilt auch für per Post zugesandte Bewerbungen, die offline im Unternehmen bearbeitet werden. Wobei das Zusenden der Unterlagen als Einwilligung verstanden werden kann.
Das Unternehmen muss definieren, welche Art von Bewerberdaten erfasst werden, wer mit diesen Daten arbeitet, zu welchem Zweck die Daten verwendet werden, wie lange sie aufbewahrt werden und wie die Datensicherheit gewährleistet wird.
Vor allem die Aufbewahrung der Bewerberdaten muss eindeutig nachvollziehbar sein, denn jeder Mensch hat das Recht, „vergessen zu werden.“ Sofern kein Grund mehr für das Speichern der Daten besteht und eine Person dazu auffordert, ihre Daten zu löschen, muss das Unternehmen dieser Aufforderung nachkommen.
Abschied vom Bewerberpool?
Viele Unternehmen haben den Bewerbungseingang auch zum Aufbau eines Talentpools genutzt, zum Beispiel bei interessanten Kandidaten, für die es gerade keine geeignete Stelle gab. Wahrscheinlich gibt es in zahlreichen Unternehmen solche „Geheimarchive.“ Ohne ausdrückliche Einwilligung der Bewerber ist ein solches Vorgehen allerdings nicht erlaubt.
Das Speichern von Daten ist zweckgebunden und somit müssen Bewerberdaten nach abgeschlossenen Recruiting-Prozessen in einem angemessen Zeitraum auch gelöscht werden. Diese „Aufbewahrungsfrist“ gilt es zu definieren – vor allem mit dem AGG (Allgemeines Gleichbehandlungsgesetz) im Hinterkopf, falls es zu einer Klage käme. Für eine Klageerhebung wegen Diskriminierungsvorwürfen besteht eine Frist von 2 Monaten. Eine achtwöchige Aufbewahrungsfrist ist demnach sinnvoll. Die bayrische Datenschutzaufsicht hält auch durchaus eine Aufbewahrungsfrist von sechs Monaten vertretbar.
Das Löschen der Daten gilt übrigens auch für die Papierversionen: die ausgedruckten Unterlagen müssen vernichtet werden.
Was kann HR jetzt zum Datenschutz beitragen?
- Datenschutzrechtliche Strukturen mit dem verantwortlichen Datenschutzbeauftragten auf den Prüfstand stellen
- Betriebsvereinbarungen und Datenschutzinformationen prüfen und auf die neuen Begrifflichkeiten der DSGVO anpassen
- Festlegen, welche Daten wirklich relevant sind und vom Bewerber erhoben werden sollen
- Prozesse und Abläufe klar definieren, so dass es einen Überblick gibt, wer wann die Bewerberdaten nutzt
- Bei einem vorhandenen Bewerberpool: ausdrückliche Zustimmung zur Datenspeicherung einholen, zum Beispiel in Form eines Mailings (eh eine gute Gelegenheit, die vorhandenen Kontakte zu aktivieren)
- Klare Regelung zum Löschen der Daten entwickeln
Weiterführende Artikel und Links zum Thema DSGVO und Recruiting
Gerne empfehle ich Dir noch ein paar Artikel, die alle relevanten Informationen gut zusammenfassen. Schau Dir doch einfach mal die folgenden Artikel an:
Datenschutz im Bewerbungsprozess aus rechtlicher Sicht
Datenschutz und Onlinemarketing
Und noch eine letzte Anmerkung: Dieser Artikel dient der Sensibilisierung. Er liefert eine kleine Übersicht und ist KEINE Rechtsberatung. Für rechtsverbindliche Aussagen solltest Du auf jeden Fall einen spezialisierten Juristen kontaktieren.