Qualität
Martin Koch
Personalberater arbeiten mit hochsensiblen persönlichen Informationen. Diesem Vertrauen werden wir jeden Tag auf´s Neue gerecht. Der Schutz Ihrer Daten ist für uns nicht erst seit der Datenschutz-Grundverordnung Chefsache!

mehr

Bestimmte Erscheinungen kehren wieder! Der in den letzten Monaten deutlich merkliche Hype um die neue europäische Datenschutzrichtlinie (DSVGO), die nach zwei Jahren Übergangszeit ihre Wirkung am 25.05.2018 voll entfaltete, erinnerte mit ihren Ängsten, Kurzschlussreaktionen und an vielen Orten zu spürender Panik ein wenig an die Milleniums-Untergangs-Szenarien zur Jahrtausendwende. Sicherlich, Datenschutz war schon immer ein wichtiges Thema und wurde es noch mehr mit Facebook, Xing & Co. Aber wer sich in der Vergangenheit schon sorgfältig um die Einhaltung des nationalen Datenschutzgesetzes bemüht hat, hat eigentlich nichts zu befürchten. Und das haben wir doch alle, oder?

Dennoch hat uns der allgemeine Hype um das Thema dazu genötigt, einmal alles zu prüfen, unser Vorgehen zu überdenken, Datenschutzprozesse zu aktualisieren und einige Aspekte auch neu zu definieren. Schließlich winken in Zukunft deutlich höhere Strafen, die jedoch nicht der alleinige Grund dafür sein sollten, in Zukunft gesetzeskonform zu agieren. Schließlich gehen wir vor allem deshalb nicht bei ROT über die Straße, weil es gefährlich ist und wir Kindern damit ein schlechtes Vorbild sind – und nicht, weil es hohe Strafen gibt.

Die Personalberaterbranche, die einerseits mit sehr vielen und sehr sensiblen personenbezogenen Daten umgeht und andererseits ohne diese Daten einen wesentlichen Produktionsfaktor verlieren würde, hat dagegen eher gelassen oder auch gar nicht reagiert. So habe ich weder von den Beratungen, bei denen ich aus alter Vergangenheit sicherlich noch irgendwo gelistet bin, neue Datenschutzerklärungen erhalten, noch war vom Fachverband des BDU viel zu diesem Thema zu hören. Auf einschlägigen Konferenzen stand im Gegensatz dazu das Thema „Digitalisierung“, „Digital Recruiting“ und „Digital Mind Change“ deutlich im Vordergrund. Man tat dabei jedoch so, als habe „digital“ überhaupt nichts mit Daten und deren Verarbeitung zu tun. Einige Anwälte und Berater nahmen sich den Themen an, nicht ohne gleichzeitig auf die vehementen Strafen und ihre wohldefinierten Lösungen hinzuweisen.

Wir haben das einfach mal anders gemacht! Ausgehend vom tatsächlichen Gesetzestext der DSGVO, der sich überraschend verständlich liest, und auf der Basis einiger Interpretationen und Erläuterungen, haben wir zunächst den Aufwand, die erforderlichen Prozesse und Systeme und die damit verbundenen Risiken identifiziert. Auf der anderen Seite sind wir völlig unabhängig von der neuen DSGVO tief in unsere Prozesse eingestiegen und haben für uns definiert, welche personenbezogenen Daten wir überhaupt für unsere Leistungserbringung benötigen.

Dabei wurde schnell klar, dass weniger der Umfang der Daten, sondern vielmehr die Dauer der Verarbeitung relevant ist. Natürlich erwarten unsere Kunden zu Recht den gläsernen Kandidaten – mit CV, Zeugnissen, Testergebnissen und unserer Einschätzung. Dieser Verarbeitungsumfang ist jedoch lediglich während der Dauer des Suchauftrags notwendig. Den mal ehrlich, wie oft holt man sich nach ein bis zwei Jahren den alten CV aus der Datenbank, wenn der Kandidat sicherlich in wenigen Sekunden einen aktuellen CV per Mail zusenden kann. Für uns daher die klare Entscheidung, sämtliche Bewerberdaten nach Abschluss des Suchauftrags und nach Einhaltung möglicher Widerspruchsfristen, z.B. des AGG, zu löschen und zu vernichten. Damit sind wir im Übrigen zweifach auf der sicheren Seite. Einmal haben wir diese Daten von unseren Kandidaten freiwillig bekommen, womit eine Einwilligung deutlich erfolgt ist. Auf der anderen Seite haben wir diese Daten jedoch nur für eine konkrete Direktsuche erhalten, weshalb nach Projektabschluss sowohl der Verarbeitungsgrund, wie auch die Einwilligung des Betroffenen entfallen sind.

Sämtliche Daten löschen wir natürlich nicht. Kontaktdaten, Daten der aktuellen Beschäftigung und zumindest das Geburtsdatum behalten wir. Hierbei gehen wir davon aus, dass uns diese Daten von unseren Kandidaten mit dem Ziel und dem Wunsch übergeben wurden, langfristig in Kontakt zu bleiben. Dabei achten wir darauf, dass der Umfang dieser Daten über das, was in einem normalen Adressverzeichnis gespeichert werden kann, nicht hinausgeht. Auch schaffen wir erst gar nicht die Möglichkeit, strukturierte Auswertungen innerhalb dieser Datenbasis vornehmen zu können. Diese „Kerndaten“ dienen lediglich dem Netzwerken und der zukünftigen Kontaktaufnahme. Natürlich erhält jeder Betroffene schnell und unbürokratisch Auskunft über die Daten, die wir von ihm verarbeiten. Auch eine Löschung auf Antrag des Betroffenen ist sicher zu bewerkstelligen, da die Daten in geringem Umfang an einem Ort gespeichert sind.

Ein weiteres, sicherlich nicht triviales Thema ist die Übertragung der Daten an den Auftraggeber der Personalberatungsleistung. Hier haben wir uns eine einfache Lösung einfallen lassen. Da von uns nur solche Kandidaten an unsere Kunden geschickt werden, die wir vorab persönlich interviewt haben, lassen wir uns von jedem Kandidaten im Rahmen des Interviews eine schriftliche Einwilligung zur Verarbeitung und Übermittlung unterschreiben. Dabei weisen wir zusätzlich auf die Übermittlung mittels offener E-Mail-Kommunikation via Internet und die damit verbundenen Risiken hin. Dies tut der Kandidat völlig freiwillig, möchte er nicht unterschreiben, wird er im Rahmen des Projektes nicht weiter berücksichtigt. Unseren Kunden, also den Empfängern der Daten, sichern wir die Einwilligung des Kandidaten zu, andererseits verpflichten wir sie in unseren AGB zu einer datenschutzkonformen Verarbeitung, was auch die Verpflichtung zur Löschung der nicht eingestellten Kandidaten nach Projektabschluss beinhaltet.

Bleibt letztlich ein Aspekt, der nicht ganz so einfach zu lösen ist. Wie weise ich nach, dass ich etwas entweder noch nie gespeichert hatte oder es nach Verarbeitung restlos gelöscht habe. Das im Streitfall nicht uns die Verarbeitung von Daten nachgewiesen werden muss, sondern wir den Beweis dafür zu erbringen haben, dass diese Daten nicht mehr oder noch nie verarbeitet wurden, stellt ein Dilemma dar. Sicherlich wird insbesondere dieser Aspekt in Zukunft umfangreich die europäischen Gerichte beschäftigen. Wir warten gerne auf eine Konkretisierung dieser Vorschrift durch die Rechtsprechung und helfen uns zunächst mit einer trivalen Erfindung, dem gemeinsamen „Delete-Day“. Dabei werden wir in regelmäßigen Abständen, vermutlich einmal pro Monat, mit allen Partnern, Beratern und Mitarbeitern auf allen Endgeräten, Servern und Clouds jeweils die Daten sämtlich löschen, die aufgrund Projektabschluss und nach Ablauf möglicher Aufbewahrungsfristen gelöscht werden können. Hilfsweise führen wir dazu zusätzlich den Screenshot mit „Vorher-Nachher-Einstellung“ als Beweisfoto ein. Vielleicht zum „Totlachen“, wahrscheinlich unnütz aber dennoch effizient.

Die von uns gewählten Prozesse folgen einerseits der von uns schon immer an den Tag gelegten Sorgfalt mit den sensiblen persönlichen Daten unserer Kandidaten. Für uns sind nicht die Daten der wesentliche Produktions- und Erfolgsfaktor unserer Arbeit, sondern die Diskretion und Seriosität mit der wir damit umgehen. Andererseits folgen wir damit einer wesentlichen Forderung des neuen europäischen Datenschutzrechtes, der Datensparsamkeit. Schließlich minimieren wir damit auch unser Risiko, dies dann vielleicht doch durch die nicht unerheblich angehobenen Strafen motiviert.