DSGVO: 3 Wege, wie Sie sicherstellen DSGVO-konform zu arbeiten

Im Recruiting brennt es derzeit an allen Ecken und Enden. Fachkräfte sind Mangelware und die Personaldecken löchrig. Und als hätten Recruiter deshalb nicht ohnehin schon alle Hände voll zu tun, schoss der Gesetzgeber auch noch mit einem Update der geltenden Datenschutzgesetzgebung um die Ecke.

Seit Mai 2018 muss die europäische Datenschutzgrundverordnung nach einer Übergangsfrist verbindlich angewendet werden. Das Paragraphenkonstrukt regelt unter anderem Löschfristen und Auskunftsansprüche. Es macht außerdem Vorgaben zur sicheren Aufbewahrung personenbezogener Daten und noch vieles mehr.

In vielen Unternehmen sorgt die DSGVO allerdings für Missstimmung, weil sie ein wahres Bürokratieungetüm ist. Das bestätigt eine Umfrage des Deutschen Industrie- und Handelskammertags (DIHK) unter 4.500 Unternehmen. Besonders im Bewerbermanagement sind die bürokratischen Hürden groß, weil Recruiter einen großen Teil ihres Tages nichts anderes tun als mit personenbezogenen Daten zu arbeiten. Hier muss jeder Arbeitsschritt im Einklang mit dem Gesetz stehen.

Naturgemäß wollen Personalabteilungen daher vor allem eines: Mit möglichst wenig Aufwand für die größtmögliche DSGVO-Konformität im Recruiting sorgen. Denn die Angst vor einer Abmahnung ist groß. Unternehmen können in extremen Fällen beispielsweise mit bis zu vier Prozent ihres weltweiten Umsatzes oder mit bis zu 20 Millionen Euro bestraft werden. Doch es gibt Wege, um die DSGVO-Konformität im Recruiting sicherzustellen. Drei davon möchten wir Ihnen vorstellen.

Es mag im Digitalzeitalter verwundern, aber tatsächlich laufen in kleinen und mittelständischen Unternehmen mehr als die Hälfte aller Verwaltungs-Prozesse noch papierbasiert ab. Zu diesem Ergebnis kommt eine aktuelle Bitkom-Studie. Bei fast 20 Prozent der Betriebe ist das der Fall. Das Bewerbermanagement bildet hier keine Ausnahme.

In Zeiten der DSGVO ist das allerdings mit Aufwand verbunden. Zunächst gilt es, alle Papiere zu einem Bewerber einheitlich in einem Ordner abzulegen, der laut DSGVO auf keinen Fall in die Hände unbefugter Dritter gelangen darf. Achtung: Unbefugt ist bereits der Kollege am Nachbartisch, der nicht in den Bewerbungsprozess eingebunden ist.

Entsprechend darf eine Bewerberakte nie unbeaufsichtigt auf dem Schreibtisch liegen. Nicht einmal für fünf Minuten. Stattdessen muss sie sofort weggeschlossen werden, wenn sie nicht aktiv in Gebrauch ist. Selbst, wenn der bearbeitende Recruiter nur kurz den Raum verlässt – sei es für das Mittagessen oder einem Gang zur Teeküche.

Außerdem regelt die DSGVO das „Recht auf Vergessenwerden“. Entsprechend müssen alle Daten aus der Akte nach Abschluss des Recruiting-Prozesses vollständig vernichtet werden. Hier lauern wiederum Fallstricke, wenn Bewerberakten auf Papier gemanagt werden: Was ist zum Beispiel, wenn Mitglieder des Recruiting-Teams während des Recruiting-Prozesses Kopien von der Akte angelegt haben? Diese ruhen im Zweifel noch jahrelang auf Ablagestapeln. Das ist ein klarer Verstoß gegen die DSGVO und kann abgemahnt werden, wenn er ans Licht kommt.

Ein Rechtsbruch droht auch, wenn eine Bewerber-Akte nach Abschluss des Bewerbungsverfahrens einfach in den Papierkorb geworfen wird. Denn: Die Daten können leicht herausgefischt und für illegale Zwecke missbraucht werden. Entsprechend müssen alle Dokumente Bekanntschaft mit dem Reißwolf machen. Papier für Papier. Ganz schön aufwändig! Sollten sich Recruiter in dieser Zeit nicht besser um das Onboarding ihrer soeben neu eingestellten Talente kümmern, statt Papier zu schreddern? Aber das nur nebenbei!

Die Beispiele zeigen: Bewerbermanagement auf Papier ist riskant und kostet viel Zeit. Also greifen viele Unternehmen auf digitale Hilfsmittel zurück, in der Hoffnung, auf diese Weise eine zuverlässigere DSGVO-Konformität zu gewährleisten und schneller arbeiten zu können. Fast 80 Prozent der Firmen arbeiten in ihrem Bewerbermanagement laut einer Studie von indeed dazu mit Excel-Listen und Word-Dokumenten. Auch das E-Mail-Programm Outlook wird gerne herangezogen.

Damit haben Recruiter allerdings ein Problem: Denn Excel und Co. stoßen spätestens beim Recht auf vollständige Löschung aller Bewerberdaten genauso an ihre Grenzen wie die Akte aus Papier. Zum Beispiel, weil HR-Verantwortliche zum Austausch mit der Fachabteilung Bewerbungsunterlagen gerne mal per E-Mail verschicken. Im Endeffekt weiß keiner mehr, auf wie vielen Endgeräten nach Abschluss des Prozesses digitale Kopien schlummern. Doch für die DSGVO macht es keinen Unterschied, ob eine Kopie auf Papier angefertigt wurde oder in digitaler Form: Kopie ist Kopie und diese muss nach Ablauf des Recruitingprozesses eliminiert werden.

HR scheint also vor einem Dilemma zu stehen, wenn es um die DSGVO-Konformität im Recruiting geht. Egal, welchen Weg der Personaler wählt – jeder scheint in die Irre zu führen. Diese Annahme ist aber nur bedingt richtig. Es gibt nämlich noch eine dritte Möglichkeit: Den Einsatz eines Bewerbermanagementsystems.

Mit einer solchen Software-Lösung können die Bestimmungen der DSGVO bereits größtenteils durch die Anwendung des Tools erfüllt werden. Hierfür tragen Softwarevoreinstellungen Sorge, die kritische Daten etwa automatisch nach Ablauf festgelegter Frist löschen oder Bewerber automatisch nach Erhalt ihrer Bewerbungsunterlagen über Datenvorhaltung, -ablage und Aufbewahrungsdauer informieren. Auch das sieht die DSGVO vor.

Ein weiterer Vorteil: Der Austausch über einen Bewerber findet ausschließlich innerhalb des Systems statt. Kein Hin- und Herreichen von Bewerberinformationen auf Papier oder per E-Mail mehr. So liegen nach Ablauf der Löschfrist keine Schattenakten mehr auf den Schreibtischen der Kollegen. Und es dümpeln auch keine unerlaubten digitale Anhänge in E-Mail-Postfächern mehr vor sich hin.

Überdies können alle Daten auf Knopfdruck zusammengestellt und mit dem Bewerber auf Wunsch geteilt werden. Damit wäre auch der Auskunftsanspruch erfüllt, den die Datenschutzgrundverordnung Unternehmen vorschreibt. Diesem zufolge müssen Betriebe zu jederzeit die gesammelten Datensätze eines Bewerbers offenlegen können, wenn dieser das wünscht. Und zwar sofort. Was das für Recruiter bedeutet, die mit Papierakten arbeiten, die durchs Unternehmen geistern oder mit Excel-Sheets, die auf verschiedensten Stellen des Servers abgelegt sind? Reden wir lieber erst gar nicht davon!

Fazit: Weg Nummer eins, die physische Akte, ist zeitaufwändig und unsicher. Weg Nummer zwei, die Office-Lösung, ist weniger zeitaufwändig, aber genauso unsicher. Unser Tipp: Wenn Sie die Wahl haben, schlagen Sie Weg Nummer drei ein und führen ein digitales Bewerbermanagementsystem ein. Dann legt ihnen die DSGVO keine Steine in den Weg. Im Gegenteil: Sie machen aus der anfänglichen Not eine Tugend und gewinnen sogar noch Zeit und Geschwindigkeit.