Das Thema Datenschutz ist für viele Personalverantwortliche immer noch rotes Tuch. Während manche Unternehmen der Compliance-Abteilung die Verantwortung für dieses Thema zuschreiben, sehen andere den Datenschutz als Teil des Bewerbermanagements und daher als Aufgabe der Personalabteilung. Unterm Strich lässt sich sagen, dass Datenschutz, dessen Richtlinien und Konsequenzen bei vielen Unternehmen jeder Größe Unsicherheit hervorrufen. Diese Unsicherheit äußert sich in unbeantworteten Fragen zum Datenschutz, mangelnder Transparenz und häufig kostspieligen Konsequenzen. Datenschutzverstöße können Unternehmen je nach Schweregrad bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes kosten. Also gilt es hier auch aus ökonomischer Sicht ein solches Szenario unbedingt zu vermeiden. Die gute Nachricht ist: so schwer ist das Ganze nicht!
Datenschutz ist heutzutage ein allgegenwärtiger Begriff, der sich im Personalwesen auf die informationelle Selbstbestimmung bezieht. Danach soll jedem Menschen überlassen sein, welche Informationen über die eigene Person erfahren, gesammelt und verarbeitet werden dürfen. Grundlegend hierfür ist das Persönlichkeitsrecht, was wir Dir im ersten Teil vorgestellt haben. Die Regeln für den Datenschutz setzt die Datenschutzverordnung (DSGVO), die am 25. Mai 2018 in Geltung trat sowie das Bundesdatenschutzgesetz (BDSG) vom 1. Januar 1978 (!).
Welche Informationen sind datengeschützt?
Neben den allgemeinen personenbezogenen Daten sind auch bestimmte Informationskategorien geschützt und müssen gemäß der DSGVO gehandhabt werden. Laut Art. 9 DSGVO ist die Verbreitung folgender Daten untersagt:
- Personenbezogene Daten (z.B. Name, Alter, Geschlecht, Herkunft)
- Sexuelle Orientierung oder Daten zum Sexualleben
- Genetische und biometrische Gesundheitsdaten
- Politische, religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
Die Weitergabe dieser Informationen gilt als Ordnungswidrigkeit (§ 43 BDSG) und kann bei Gewinnerzielungsabsichten sogar als Straftat verfolgt werden (§ 44 BDSG).
Um die große Besorgnis vor den Datenschutzbestimmungen zu reduzieren, erklären wir Dir hier, wie Du gemäß DSGVO und BDSG Deine Verfahren zur Personalauswahl auswählst und durchführst.
Nur die Daten, die “für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung eines Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich” sind, dürfen erhoben werden. Laut der DIN (2016) müssen die Daten einen klaren Anforderungsbezug zur Tätigkeit aufweisen. Wie genau diese Verfahren aussehen, die die zulässigen Daten erheben, wissen viele nicht. Dadurch setzen Unternehmen häufig Verfahren und Methoden ein, die Kandidat*innen falsch einstufen und somit entweder ungeeignete Mitarbeiter*innen rekrutieren oder das Potenzial von geeigneten Kandidat*innen nicht erkennen.
Die Erforderlichkeit von Methoden zur Datenerhebung
Ein umstrittenes Thema stellt die “Erforderlichkeit” mancher Methoden dar. Wie bereits erwähnt, darfst Du nur Daten erheben, die für die Begründung des Beschäftigungsverhältnisses erforderlich sind (Grundsatz der Datensparsamkeit). So sind nur Verfahren zu wählen, die einen legitimen Zweck verfolgen, der nicht mit einem milderen Mittel zu erreichen ist. Beispielsweise sind Intelligenztests, die einen Rückschluss auf den allgemeinen Intelligenzquotienten (IQ) erlauben, für die Personalauswahl unzulässig, da der Zusammenhang von IQ und der Ausübung von Arbeitstätigkeiten fehlt. Dafür sind Intelligenztests, die bestimmte Facetten der Intelligenz (z.B. rechnerische oder sprachliche Fähigkeiten) ermitteln, wiederum zulässig. Um herauszufinden, welche Daten Du für Deine Personalauswahl erheben solltest und welche Methoden dafür geeignet sind, solltest Du daher vorher den Arbeitsmarkt analysieren.
Ohne hinreichende Kenntnis über die vorhandenen Methoden zur Datenerhebung können ganz einfach Fehler geschehen, für die Du am Ende einen hohen Preis bezahlst. Setzt Du demnach weiterhin auf Grafologie, Typentests oder Sprachanalysen von Video-Interviews, wirst Du nicht nur eine unzuverlässige Personalauswahl führen, sondern auch datenschutztechnisch viele Probleme haben. Denn Methoden, die aus eignungsdiagnostischer Sicht unbrauchbar sind, können keinesfalls “erforderlich” sein.
Ebenso unzulässig ist die Nutzung und Auswertung von Daten aus privat zugänglichen, freizeitorientierten Internetquellen, wie beispielsweise Facebook oder Instagram. Verweisen Kandidat*innen jedoch gezielt und bewusst auf Websiteinhalte, so dürfen diese Informationen ausgewertet werden. Auf gleiche Weise kannst Du Profile im Internet, wie LinkedIn oder XING für Deine Personalauswahl hinzuziehen, da dies öffentlich zugängliche Profile sind.
Aufbewahrungsfristen von Bewerbungsunterlagen
Bewerbungsunterlagen dürfen grundsätzlich erstmal nur solange aufbewahrt werden wie die Stelle noch nicht besetzt ist. Dabei ist die Dauer nicht genau geregelt. Jedoch gilt: Bewerbungsunterlagen dürfen nach der Auswahl der Kandidat*innen bis zum Ablauf der Frist für die Geltendmachung von Ansprüchen auf Diskriminierungen aufbewahrt werden. Nach § 15 Abs. 4 Allgemeines Gleichbehandlungsgesetz sind das zwei Monate nach der Bekanntgabe der Personalauswahlentscheidung.
Die Speicherung von Daten der Kandidat*innen erfordert deren explizite Einwilligung. Ein solches Einverständnis sieht musterhaft so aus: “Ich bin mir der Aufbewahrung meiner Daten über das aktuelle Bewerbungsverfahren hinaus im Bewerber/-innenpool der *Dein Unternehmen*GmbH einverstanden. Die *Dein Unternehmen*GmbH sichert zu, die Daten nur für die Zwecke von Stellenbesetzungen zu verwenden und nicht weiterzugeben.” In der Praxis reicht es meist, wenn man das Ganze vorformuliert und die Kandidat*innen den Vorgang einmal bestätigen, z.B. per Mail. |
Kandidat*innen haben darüber hinaus immer ein Recht auf Auskunft über die gespeicherten Daten nach §§ 19 und 34 BDSG. Mitarbeiter*innen haben ein Recht auf Einsicht in ihre analoge oder elektronische Personalakte nach § 83 BetrVG.
Die wichtigsten Datenschutzfragen
Zusammengefasst lassen sich die wichtigsten Datenschutzfragen auf folgende runterbrechen:
- Die Qualität der Daten: Beachte bei Deiner Personalauswahl nicht mehr Daten zu erheben als nötig. Die Qualität geht – wie so häufig – vor Quantität. Setze daher Verfahren und Methoden ein, die Dir Antworten auf wirklich relevante Fragen liefern: Hat der/die Kandidat*in die nötigen Kenntnisse und Qualifikationen? Ist der/die Kandidat*in motiviert mein Unternehmen voranzubringen? Welche Potenziale verbergen sich hinter dem/der Kandidat*in?
- Informationen bereitstellen: Kandidat*innen haben jederzeit ein Recht auf Auskunft. Das bedeutet, dass Du sowohl vor der Einstellung (z.B. vor und während der Bewerbung sowie im Auswahlverfahren) alle Kandidat*innen über die Erhebung, Nutzung und Aufbewahrung ihrer Daten informieren musst. Eine Ausnahme besteht beispielsweise in Bezug auf Vergleichsdaten. Kandidat*innen haben keinen Anspruch darauf zu erfahren wie sie im Vergleich zu anderen Kandidat*innen abgeschnitten haben, da diese Informationen Daten über andere Bewerber*innen beinhalten. Gleichermaßen sind Berichte, die Meinungen der Entscheidungsträger*innen beinhalten nicht Bestandteil des Rechts auf Auskunft und dürfen Kandidat*innen vorenthalten werden.
- Aufbewahrungsfrist: Dein Unternehmen muss personenbezogene Daten, die während der Personalauswahl erhoben wurden, aufbewahren. Die Daten von ausgeschlossenen Kandidat*innen werden dabei früher gelöscht als diejenigen von eingestellten Kandidat*innen. Zwei Monate haben Kandidat*innen Zeit wegen Diskriminierungen zu klagen. Und so lange solltest Du die Akten über Kandidat*innen aufbewahren.
Datenschutz mit digitaler Personalauswahl
Neue digitale Lösungen für die Personalauswahl wecken hohe Erwartungen. Sowohl Kosten- als auch Zeiteffizienz sind häufig genannte Argumente, die für eine digitale Personalauswahl sprechen. Datenschutz ist dabei oft ein kritisches Thema, welches vielen Personalverantwortlichen schwer im Magen liegt.
Aus juristischer Sicht ist festzuhalten, dass die wahllose Erhebung von Daten der Kandidat*innen nicht mit der Datenschutzverordnung zu vereinbaren ist. Applysias digitale Assessment-Software bietet Dir eine einfache Lösung für das Datenschutz-Chaos. Kund*innen erhalten einen eigenen Datenbankbereich, in dem sich die Daten von Kandidat*innen automatisch DSGVO-konform anonym speichern und löschen. Dabei hält sich die Software stets an die allgemeingültigen Qualitätsstandards gemäß DIN 33430 (2016) für die Anforderungen an berufliche Eignungsdiagnostik. Einen hohen Stellenwert hat die datenschutzkonforme Verarbeitung personenbezogener Daten. Gleichermaßen folgt Applysia bei der Entwicklung der Software dem Prinzip der Datenminimierung. Mehr über die digitale Softwarelösung zur Personalauswahl findest du hier.