Jeder kennt diesen Prozess: Der Personalberater erhält Bewerbungsunterlagen, führt ein Interview und leitet anschließend den Lebenslauf – voll mit personenbezogenen Daten –, ergänzt um Notizen und Eindrücke aus dem Gespräch, an seinen Kunden weiter. Fast immer per E-Mail. Meistens an jemanden aus den Human Resources, der diese Unterlagen wiederum an den Hiring Manager weiterleitet – wahrscheinlich wieder per E-Mail. So oder sehr ähnlich läuft das heute im Recruiting.

Sofern der Berater professionell und seriös arbeitet, hat er dazu das Einverständnis und eine ordentliche Vertragsgrundlage – sowohl mit dem betroffenen Kandidaten als auch mit dem Kunden. So weit, so gut also. Heute. Aber ab Mai, also mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO), wird diese Vorgehensweise potenziell illegal. Mit möglicherweise existenzgefährdenden Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens.

Wieso strafbar?

Spinnen wir den Fall weiter: Die Bewerbungsunterlagen sind nun in mehreren E-Mail-Postfächern abgelegt. Nicht nur bei obengenannten Personen, sondern wahrscheinlich auch auf einem E-Mail-Server und darüber hinaus im täglichen Backup. Der Kandidat hat mittlerweile einen neuen Job gefunden. Als "Betroffener" im Sinne der neuen DSGVO hat er ein "Recht auf Vergessenwerden" (= Löschung seiner Daten).

Sobald der Zweck der ursprünglichen Datenverarbeitung – also die Bewerbung – nicht mehr gegeben ist, dürfen die Daten auch nicht gespeichert bleiben. Er braucht dazu lediglich den Personalberater informieren, zum Beispiel telefonisch oder per E-Mail, dass er seine Einwilligung zur Datenverarbeitung widerrufen möchte bzw. dass er wünscht, dass dieser seine Daten löscht – sofern die Speicherung nach Zweckerfüllung extra per Opt-In vom Bewerber zugesagt wurde. Hat er das nicht, so braucht er nicht einmal widerrufen, und die Daten dürfen überhaupt nicht aufgehoben werden.

Wer hat die Daten noch?

Auf den ersten Blick ist die Lösung einfach: Der Berater löscht den entsprechenden Eintrag samt Lebenslauf in seiner Datenbank. Auf den zweiten Blick fällt jedoch auf, dass sich dieser Lebenslauf mittlerweile auch in seiner Mailbox, den Back-ups seiner Mailbox, der Mailbox seiner Kunden und deren Back-ups befindet. Mit heutigen Mitteln scheint es schwierig bis unmöglich, der vollständigen Löschung aller personenbezogenen Daten des Betroffenen an all diesen Stellen zeitgerecht und mit vertretbarem Aufwand nachzukommen.

Abgesehen davon, dass die Speicherungen seines Kunden außerhalb seines Einflussbereiches liegen – der Kunde hängt nun auch mit drin. Es kann also zukünftig sehr teuer werden, sich auf einen wenig sorgfältigen und mangelhaft organisierten Personalberater zu verlassen – und umgekehrt seinen Kunden auf Vertrauensbasis personenbezogene Daten uneingeschränkt zur Verfügung zu stellen.

Dabei behandelt dieser beschriebene Fall lediglich die Zusammenarbeit eines an sich seriös und verbindlich arbeitenden Personalberaters mit seinem Kunden. Vor der gleichen Problematik steht natürlich ebenso das Inhouse-Recruiting größerer Unternehmen. Von moralisch fragwürdigen "CV-Selling"-Agenturen, die oft ohne Auftrag des Kunden oder sogar ohne Wissen des Kandidaten auf gut Glück Lebensläufe aktiv verschicken, spreche ich dabei noch gar nicht.

Mehr Vertraulichkeit für Bewerber

Zusammengefasst bedeutet das, dass der Versand personenbezogener Unterlagen – eben zum Beispiel eines CVs – per E-Mail in der heutigen Praxis nicht mehr gesetzeskonform sein wird. Weder vom Personal berater zum Kunden noch von der Personalabteilung zur Fachabteilung. Damit steigt der Druck, auf E-Recruiting-Systeme umzusteigen, die ohne lokale Datenspeicherung beim Benutzer auskommen.

Als Unternehmer in einer Branche, die von personenbezogenen Daten und in vielen Fällen auch der längeren Speicherung damit verbundener Informationen lebt(e), stellt uns diese Regelung kurzfristig vor große Herausforderungen. Seit mehr als sechs Monaten arbeitet bei uns ein zehnköpfiges Team aus allen Unternehmensbereichen unter Mithilfe externer Datenschutzexperten daran, all unsere internen und externen Prozesse und Datenspeicherungen compliant im Sinne der DSGVO zu machen. Eine wahre Herkulesaufgabe.

Langfristig betrachtet sehe ich das jedoch als große Chance: In einem wirtschaftlichen Umfeld, in dem der Begriff "Fachkräftemangel" in aller Munde ist und Recruiting von einer Auswahl- zu einer Verkaufsdisziplin wird, ist Vertrauen die wichtigste Währung im Kampf um die besten Kandidaten. Ein proaktiver Zugang zu Vertraulichkeit und ein sorgsamer und verantwortungsbewusster Umgang mit den Daten der Betroffenen ist dabei ein wichtiger und selbstverständlich notwendiger Beitrag.

Achtung, aufwachen!

Leider sieht das nicht jeder so: Seit Monaten spreche ich mit Branchenkollegen und Personalverantwortlichen in Unternehmen über ihre Priorisierung dieses Themas. Manche beschäftigen sich mit der neuen DSGVO (noch) gar nicht oder beschränken sich auf eine Änderung ihrer AGBs und Verträge. Meiner Ansicht nach ist das zu wenig: Man kann derartige Rechte nicht vertraglich ausschließen.

DSGVO-Konformität kann jedenfalls nicht von heute auf morgen erreicht werden, und so ist nicht auszuschließen, dass dies letztlich auch zu einer deutlichen Marktanteilsverschiebung in der Personalberatung führen wird. Seit Jahren spricht die Branche von einem freiwilligen Ethikkodex, konnte sich aber nie dazu durchringen, einen solchen auch auszuarbeiten und umzusetzen. Es sieht so aus, als ob die EU-Datenschützer das nun für uns erledigt hätten. (Daniel Marwan, 15.1.2018)