Bei der letzten großen Datenschutzdebatte in der EU konnten Handys nur SMS und arbeitete man mit Windows 95. Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) mit strengen Regeln und drakonischen Strafen. Markus Presle, Mitbegründer von Prescreen und Head of New Business, erklärte in einem Vortrag auf der Zukunft Personal Süd, welche Auswirkungen sie auf das Recruiting hat.
Obwohl die Einführung der DSGVO direkt vor der Tür steht und viele Personaler das Thema schon nicht mehr hören können, gibt es immer noch viele Unternehmen, die ihren Datenschutz noch nicht im Griff haben, war auf der Messe zu vernehmen. Bei personenbezogenen Daten ist vor allem die Personalabteilung in der Pflicht. Bei Verstößen drohen Strafen bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Fehler von HR-Mitarbeitern können also schwerwiegende Folgen haben. Umso wichtiger sind Schulungen und Vorbereitung.
Redner Markus Presle beschreibt ein Grundproblem: Wenn Unternehmen Stellen ausschreiben, bekommen sie Bewerberdaten. Das leuchtet ein und ist auch nicht anders machbar. Doch wenn sie die Stelle anderweitig besetzen und die Daten dennoch behalten wollen, brauchen sie die Einwilligung der Kandidaten. „Am besten holt man die Zustimmung schon bei der Bewerbung ein“, empfiehlt Presle in seinem Vortrag. Denn ohne Einwilligung haben Bewerber ein Recht auf Vergessen. Und nicht nur das: Sie haben ein Recht auf Datenherausgabe. Und zwar auf alles. Das heißt: „Unternehmen müssen ihnen mitteilen, welche Daten gespeichert wurden. Das schließt interne Anmerkungen über die Kandidaten mit ein.“
Grundsätzlich gelte beim Abfragen der Bewerberdaten das Prinzip der Datenminimierung: „Man darf nur Details abfragen, die für die Stelle relevant sind“, so Presle. Doch welche das sind, ist ein großer Graubereich. Zudem müssen die Recruiter auf Richtigkeit achten, dürfen also nur aktuelle Daten speichern. „Das Live-Profil ist eines der größten Probleme, denn bei hoher Fluktuation kann ein CV nach ein paar Monaten schon wieder anders aussehen.“ Natürlich hat auch der Bewerber die Pflicht und ein eigenes Interesse daran, dass seine Daten korrekt und aktuell sind. Die Haftung liegt jedoch beim Unternehmen – speziell in der Personalabteilung, mahnte er.
Keine Datenerhebung ohne Zweckbindung
Last not least gibt es eine Zweckbindung – also die Datenerhebung ausschließlich im Rahmen des Auswahlverfahrens und nicht etwa für Mail-Kampagnen. „Das schließt die Weitergabe der Daten per Mail aus“, betont Presle. Will ein HR-Mitarbeiter mit einem Linienvorgesetzten die Eignung eines Kandidaten abklären, geht das also nicht mehr über den kleinen Dienstweg. Denn dann ließe sich weder die Aktualität der Daten prüfen noch deren Verwendung kontrollieren.
Gibt es keine Einwilligung der Bewerber zu Active Sourcing oder einen Talent Pool, werden die Daten nach sechs Monaten gelöscht. „Eine genaue Frist gibt es nicht“, so Presle, „aber in Gerichtsurteilen werden in der Regel sechs Monate festgelegt.“ Eine andere Möglichkeit sei eine Löscherinnerung nach fünf Monaten. „Dann kann der Bewerber auf einen Link klicken, wenn er im Pool bleiben möchte.“
Unternehmen, die sich die Umsetzung der neuen DSGVO nicht zutrauen oder schon sehr spät dran sind, können sich an einen Auftragsverarbeiter wenden. „Wir haben beobachtet, dass Recruiter sehr verunsichert sind“, so Presle. Ein Dienstleister wie etwa Prescreen implementiert Datensicherheitsmaßnahmen, führt Risikoanalysen durch und bestellt einen Datenschutzbeauftragten. „Da die DSGVO sehr umfangreich und voller Graubereiche ist, sollte man automatisierte Maßnahmen implementieren.“ Und wenn es dann doch mal zu einem Datenmissbrauch kommt: „Die betroffene Person ist sofort zu informieren, die Behörden nach spätestens 72 Stunden.“ Na, dann kann für die Zuhörer zumindest die DSGVO kommen.