Richtiger Umgang mit Bewerberdaten
Die Datenschutzgrundverordnung betrifft nicht nur Kunden-, sondern auch Bewerberdaten: Im Bewerbungsprozess sind längst nicht mehr alle Fragen erlaubt. Und Bewerbungsmappen einfach weiterzuleiten geht nicht mehr. Was Personaler beachten müssen und Bewerber erwarten dürfen.
Stellenanzeigen sind meist ähnlich aufgebaut. Ein Einleitungstext, die Anforderung, schließlich die „Was wir Ihnen bieten“-Kategorie, mit der sich das Unternehmen schmückt. Die letzten Sätze unterscheiden sich jedoch von Arbeitgeber zu Arbeitgeber stark. Einige fordern Bewerbungsunterlagen per E-Mail, andere fordern ihre Bewerber auf, ein Online-Formular auszufüllen und den Lebenslauf als pdf-Datei hochzuladen. Einige akzeptieren auch eine per Post versandte Bewerbungsmappe.
Die neue Datenschutzgrundverordnung (DSGVO) verlangt nun, dass alle personenbezogenen Daten, die ein Unternehmen erhält – egal ob von Kunden, Mitarbeitern oder Bewerbern – bestmöglich geschützt werden. Es geht schließlich, so das Motiv der neuen Verordnung, niemanden außer dem Personalverantwortlichen etwas an, wo der Bewerber Praktika absolviert hat, welche Hobbies er hat oder in welchem Verein er Mitglied ist.
Durch die DSGVO werden einige bislang übliche Verfahren im Bewerbermanagement rechtswidrig. Auf folgende Dinge sollten Unternehmen achten:
1. Bewerberdaten löschen, wenn sie nicht mehr gebraucht werden
Personaler sollten darauf achten, dass sie die Unterlagen der Bewerber löschen, sobald dieser eine Absage erhalten hat. Papierbewerbungen sollten sie in den Schredder geben. Auch das Weiterleiten von Bewerbungen per E-Mail wird problematisch. Denn sobald die Unterlagen auf fremden Computern liegen, kann der Personalverantwortliche nicht mehr für die Löschung der Daten garantieren. Ein Bewerbermanagementprogramm kann helfen. Einige bieten an, dass Bewerbungsmappen per Link mit zuständigen Führungskräften geteilt werden können. Diese Links können von Unbefugten nicht geöffnet werden und verfallen nach einem festgelegten Zeitraum. Eine langfristige Datenspeicherung ist nur zulässig, wenn der Bewerber diesem Vorgehen explizit zugestimmt hat – beispielsweise um für eine künftige Stellenausschreibung kontaktiert zu werden.
2. So viel wie nötig – so wenig wie möglich
Der Hochschulabschluss, die Abschlussnote, der Name und die E-Mail-Adresse sind Informationen, die ein Personaler benötigt, um den Bewerber einschätzen zu können. Auch Informationen über Praktika oder Auslandsaufenthalte gehören dazu. Fragen Personaler jedoch beispielsweise in einem Online-Fragebogen ab, was der Bewerber in seiner Freizeit macht, wird es kritisch. Die DSGVO verlangt, dass nur so viele Daten erhoben werden, wie für den Prozess – also die Auswahl des passenden Bewerbers – notwendig sind. Hobbies haben mit der Stelle nichts zu tun und sind somit objektiv betrachtet irrelevant. „Viele Unternehmen haben riesige Bewerbungsformulare. Sie sollten prüfen, ob diese Daten wirklich alle notwendig sind“, sagt Arnim Wahls. Er ist Geschäftsführer des Mitarbeiter-Empfehlungsprogrammes firstbird.
3. Aufklärung über die Datenverarbeitung
Was über ein Online-Formular kein Problem ist, gestaltet sich bei Brief-Bewerbungen schon schwieriger. Unternehmen müssen ihre Bewerber darüber informieren, wie ihre Daten verwendet werden. Das ist bei Online-Bewerbungsportalen kein Problem. Die Datenschutzerklärung kann verlinkt und mit einem Häkchen akzeptiert werden. Streng genommen müssen Unternehmen denjenigen, die die Bewerbung per Post geschickt haben, die Datenschutzerklärung zusenden. Erst wenn diese unterschrieben zurückgeschickt wurde, darf der Personaler die Daten aus der schriftlichen Bewerbung speichern oder anderen Mitarbeitern zugänglich machen. Das Problem: Bis das erledigt ist, ist die Stelle vielleicht längst vergeben.
4. Vorsicht vor manuellen Mitarbeiterempfehlungen
Es ist gängige Praxis: ein Mitarbeiter kommt ins Büro des Personalverantwortlichen und gibt den Lebenslauf eines Bekannten ab – begleitet von Lobeshymnen auf den Bewerber. Mit der Datenschutzgrundverordnung fällt dieses Vorgehen unter Datenmissbrauch. „Bewerber müssen ihre Daten selbst abgeben. Tut dies jemand anders, ist nicht mehr nachvollziehbar, ob der Bewerber der Verarbeitung überhaupt zugestimmt hat“, sagt Wahls. Außerdem fehle dann die Einverständniserklärung zur Datenverarbeitung. Aber nur der manuelle Weg ist ein Problem. Sobald es sauber digitalisiert ist, stellen Empfehlungen kein Problem dar.
5. Kontaktdaten weitergeben kann nach hinten losgehen
„Rufen Sie doch mal Herrn Müller an, hier ist seine Telefonnummer“ – Kontakte spielen zu lassen, ist gängige Praxis. Ruft aber der Personalverantwortliche bei dem Mann, dessen Visitenkarte er zugesteckt bekommen hat, an, wird es rechtlich schwierig. Die Datenschutzgrundverordnung verlangt, dass jeder Mensch die Hoheit über seine eigenen Daten hat. „Auch Namen und Mail-Adressen gehören zu diesen schützenswerten Daten“, sagt Wahls. Theoretisch kann der Personaler, der die Mail-Adresse zugespielt bekommen hat, sich also nicht melden. „Das ist eher Grauzone“, sagt Wahls. „Ich darf Sie zum Beispiel per E-Mail oder Telefon kontaktieren, wenn ich eine Geschäftsanbahnung vorschlagen möchte. Ich darf die E-Mail aber nicht nutzen, um sie regelmäßig mit Marketing E-Mails zu bespielen.
6. Facebook-Informationen haben in der Bewerberkartei nichts verloren.
Bewerber auf Herz und Nieren zu prüfen, gehört zum modernen Bewerbermanagement dazu. Viele Personaler werfen auch einen Blick auf Profile in Sozialen Netzwerken. Die Daten von dort in die Kartei des Bewerbers einzutragen, ist aber mit der DSGVO nicht mehr legal. Netzwerke wie Xing und Linkedin sind ausgenommen, weil man hier davon ausgeht, dass der Bewerber die Daten auch für die persönliche Karriereentwicklung zur Verfügung gestellt hat.
7. Personalberater haben sich an Regeln zu halten
Bekommt ein Unternehmer mehrere Bewerbungsmappen per Mail von einem Personalberater zugeschickt, sollte er stutzig werden. Denn jeder Einzelne muss der Weitergabe an diese bestimmte Firma zugestimmt haben. Hat er das nicht, begibt sich das Unternehmen mit der Annahme der Unterlagen auf dünnes Eis, auch wenn die Hauptschuld beim Personalberater liegt.
8. Je digitaler, desto besser
Über sogenannte Bewerbermanagementsysteme können Unternehmen Bewerbungen empfangen, sie bestimmten Personen zugänglich machen und auch wieder automatisch löschen lassen. Ein weiterer Vorteil dieser Programme ist, dass einige von ihnen automatisch aufzeichnen, wofür welche Daten wann verwendet worden sind. Das spart eine Menge Aufwand, falls ein Bewerber diese Informationen einmal einsehen möchte – mit der DSGVO hat er nämlich das Recht darauf, das Protokoll über die Verwendung seiner Daten innerhalb von vier Wochen zu erhalten.