Nur ein paar Klicks und schon ist die Sache erledigt: Die deutsche Telekom bietet Kandidaten auf Jobsuche eine App an, mit der sie ihr Profil aus einem Karrierenetzwerk wie Xing oder Linked-in in den Bewerberpool des Unternehmens übertragen können. Auch die Bayer AG will Ende des Jahres eine Anwendung herausbringen, mit der Bewerber entweder direkt in ihr soziales Netzwerk verlinken oder der Firma einmalig Unterlagen aus der Cloud zur Verfügung stellen.
Bewerben im digitalen Zeitalter ist einfach geworden. Ohne Kosten für Porto, Foto oder Mappe können Jobsuchende ihr Profil beliebig weit streuen. Doch was passiert eigentlich mit all den persönlichen Angaben, die so auf den Servern unzähliger Unternehmen landen?
Da personenbezogene Daten unter das Bundesdatenschutzgesetz fallen, sind Firmen verpflichtet, verantwortungsvoll mit ihnen umzugehen. Das gilt schon lange, nicht erst in Zeiten der Internetbewerbung. Großunternehmen, die über die entsprechenden Ressourcen verfügen, gehen hier mit gutem Vorbild voraus. Bei der Hamburger Otto Group zum Beispiel werden alle Papierbewerbungen eingescannt, ins Bewerbermanagement-System eingepflegt und dann in ihrer Papierform vernichtet oder zurückgeschickt.
Für E-Mail-Bewerbungen gibt es ein Postfach, das verschlüsselte Mails in Empfang nimmt und auf das nur eine Person Zugriff hat - ebenfalls mit dem Zweck, die Mails in den Bewerberpool zu überführen. Sind sie dort erst einmal angekommen, greift die "Standardisierung der Wäschekörbe". So nennt Bernd Schmitz, Leiter des Personalmarketings der Bayer AG, ein kompliziertes System aus Zugangsrechten, welches in seinem Unternehmen ganz ähnlich abläuft. Es regelt detailliert, welche Mitarbeiter welche Daten aus dem Pool abfragen dürfen.
Um solche Prozesse korrekt zu gestalten, haben manche Arbeitgeber wie zum Beispiel die Allianz sogar einen eigenen Datenschutzbeauftragten für Human Ressources. Es gibt aber viele andere, für die der Bewerberdatenschutz keine große Rolle spielt, meint Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht. Da werden Bewerbungsmails von Abteilung zu Abteilung geschickt, mit sensiblen Daten und Dokumenten wie Zeugnissen im Anhang. Recruiter führen Bewerber-Interviews über unsichere Skype-Verbindungen und elektronisch verschlüsselte Bewerber-Mails werden zurückgewiesen, weil sie keiner lesen kann. Nicht erlaubt, aber in der Praxis üblich. "Die Gesetzgebung wird hier oft nicht ernst genommen", sagt Kranig.
"Die Drohkulisse ist da"
Teilweise ist sie aber auch dehnbar. Zum Beispiel in der Frage der Speicherung. Jeder Bewerber hat ein Recht auf die Löschung seiner Daten, sobald die ausgeschriebene Stelle besetzt ist, und kann dafür auch einen Nachweis verlangen. Fraglich ist jedoch der angemessene Zeitraum. Die Firma Midas Pharma in Ingelheim zum Beispiel behält ihre Bewerberdatensätze für einen Zeitraum von fünf Monaten nach Mitteilung der Ablehnung. Korrekt, sagt Thomas Kranig. Denn die Firmen hätten "ein berechtigtes Interesse", die Daten länger zu speichern, um sich gegen Klagen nach dem Antidiskriminierungsgesetz abzusichern. Maximal sechs Monate hält Kranig für angemessen. Danach dürften nur noch Kandidaten im Bewerberpool gespeichert werden, die dem ausdrücklich zugestimmt haben.
Die Spitzfindigkeiten im Verfahren sind kein Grund, die elektronische Bewerbung zu verteufeln. Denn Datenschutzprobleme gab es auch schon in Zeiten der Wäschekörbe voller Post: "Früher wusste man nicht, wer das eigene Anschreiben in die Hand bekommt oder vielleicht über das Foto schmunzelt", sagt Angelina Peipers, Referentin für Personalmarketing bei Otto. Das sei in Zeiten standardisierter, elektronischer Prozesse nun besser geregelt.
Und der Trend geht eindeutig in Richtung Standardisierung. In einer Befragung von 300 großen Unternehmen durch das Staufenbiel-Institut geben nur 1,9 Prozent der befragten Personaler an, dass sie am liebsten eine papierbasierte Bewerbung auf ihrem Tisch sehen. 30,5 Prozent präferieren den Kontakt per E-Mail oder andere Kanäle. Und mit 67,6 Prozent ist die Formularbewerbung das Lieblingskind der Recruiter. Oder wie im Fall der Bayer AG der einzige Weg. "Es gibt zwar immer noch Menschen, die eine Hochglanzbewerbungsmappe vorbeibringen oder E-Mails schreiben", sagt Bernd Schmitz. "Aber wir kommunizieren schon seit zehn Jahren, dass wir nur Bewerbungen über unser System annehmen."
Das hat nicht nur damit zu tun, dass die Formularbewerbung für die Personalabteilungen die wenigste Arbeit bedeutet. Hier geht es auch um den Datenschutz. Der Informationsdienstleister Wolters Kluwer in Neuwied zum Beispiel weist darauf hin, dass der Datentransfer zwischen seinem Bewerbermanagement-System und dem Browser des Bewerbers über eine verschlüsselte Internetverbindung erfolgt. Ähnlich argumentiert Angelina Peipers von Otto: "Wir können die technische Sicherheit garantieren für alle Daten, die in unserem System ankommen." Das gilt natürlich nicht für die vom Bewerber frei gewählte E-Mail-Verbindung.
Unternehmen, die den Bewerberdatenschutz vernachlässigen, haben zur Zeit wenig zu befürchten. Denn Verstöße werden nur selten gemeldet. Ab Mai 2018 weht aber ein schärferer Wind. Denn dann tritt die Datenschutzgrundverordnung der Europäischen Union in Deutschland in Kraft. Sie führt für die Arbeitgeber eine Nachweispflicht ein: Sie müssen dokumentieren, mit welche Prozessen sie den Datenschutz gewährleisten.
Rein rechtlich betrachtet gilt Beweislastumkehr, das heißt: Im Fall einer Beschwerde, muss nicht der Beschwerdeführer nachweisen, dass es zu einem Verstoß gekommen ist. Sondern der Beschuldigte muss beweisen, dass es nichts zu bemängeln gibt. Das erleichtert Kontrollinstanzen wie den Landesdatenschutzbeauftragten oder dem Bayerischen Landesamt für Datenschutzaufsicht ihre Arbeit. Und Geldbußen bis zu 20 Millionen Euro stehen im Raum. "Im Einzelnen wird es nicht zu diesen Summen kommen, aber die Drohkulisse ist da", sagt Thomas Kranig. Und sie führt dazu, dass auch die Nachzügler in Sachen Datenschutz jetzt nachbessern müssen.
