Datenschutzkonzepte für digitale Bewerbermanagementsysteme

Inhaltsverzeichnis

1 Einleitung

2 Datenschutz
2.1 Was versteht man unter Datenschutz?
2.2 Datenschutz im Bewerbungsprozess

3 Bewerbermanagementsysteme
3.1 Was ist ein Bewerbermanagementsystem?
3.2 Arten von Bewerbermanagementsystemen

4 Datenschutz und Bewerbermanagementsysteme

5 Zusammenfassung

6 Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Reaktionszeit auf Bewerbung

Abbildung 2: Anforderungen an ein Bewerbermanagementsystem

Im Folgenden Text wird aus Gründen der besseren Lesbarkeit und besseren Übersichtlichkeit nur die männliche Sprachform verwendet. Sämtliche Personenbezeichnungen gelten jedoch für beide Geschlechter.

1 Einleitung

Herr Werner Niefer, ehemaliger Vorstandsvorsitzender der Mercedes-Benz AG, sagte bereits vor gut 20 Jahren, dass seine wichtigste Erfahrung als Manager die Erkenntnis darüber sei, dass die Mitarbeiter eines Unternehmens dessen wichtigstes Erfolgskapital und dessen wertvollstes Gut sind. Es sind nach Niefer nicht die Roboter, Computer oder technische Anlage welche zum Ziel führen, sondern die Menschen, die die Konzepte entwickeln (vgl. Breetzke, Christian; 2016).

Den Unternehmen ist viel daran gelegen gutes Personal zu beschaffen. Um dies zu erreichen müssen die Wünsche der Bewerber ernst genommen und möglichst erfüllt werden. Neben Faktoren wie Arbeitsinhalt, Arbeitsumfeld, Arbeitszeit und vielen anderen, spielt auch immer mehr der Bewerbungsprozess selbst eine wichtige Rolle und kann als Entscheidungskriterium für potentielle neue Mitarbeiter von Bedeutung sein.

Ein wichtiges Kriterium ist beispielweise die Reaktionszeit der Unternehmen. 57% der Bewerber wünscht innerhalb von 14 Tagen eine Antwort auf die eingesandten Unterlagen zu erhalten (vgl. Verhoeven, Tim, 2016, S.20). Die Studie „Erwartungen von Bewerbern“ des Marktforschungsinstitutes YouGov, welche im Jahr 2014 im Auftrag von der Job matching Plattform talentsconnect.com durchgeführt wurde, ergab, dass lediglich ein knappes Drittel der Unternehmen diese Zeit einhalten konnte (vgl. Brandt, Christian, 2014). Nachstehende Grafik zeigt die Ergebnisse betreffend der Reaktionszeit der Unternehmen:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Reaktionszeit auf Bewerbung

Ein nicht IT unterstütztes Recruiting ist heute kaum noch vorstellbar. Die Themen reichen von Social Media, über online Stellenbörsen bis hin zu kompletten Bewerbermanagementsystemen (vgl. Hartmann, Michaela, 2015, S.225).

Gerade um beispielsweise das Merkmal der oben genannten Reaktionszeit zu verbessern, kann sich der Einsatz eines Bewerbermanagementsystems als hilfreich erweisen. Durch das Erstellen eines elektronischen Workflows, lassen sich automatische Antwortschreiben generieren, Fristen besser überwachen und sämtliche relevanten Informationen werden schnell zugänglich (vgl. optimal systems, 2017). Wenn personenbezogene Informationen gespeichert werden, stellt sich jedoch immer auch automatisch die Frage nach dem Datenschutz.

2 Datenschutz

2.1 Was versteht man unter Datenschutz?

Das Grundrecht auf informationelle Selbstbestimmung wurde erstmals im Volkszählungsurteil aus dem Jahre 1983 vom Bundesverfassungsgereicht formuliert. Das heutige Bundesdatenschutzgesetz basiert auf der europäischen Datenschutzrichtlinie 95/46/EG (vgl. Loomans, Dirk, et al.; 2014, S.9ff).

Datenschutz ist ein Sammelbegriff, welcher die Bestimmungen diverser Gesetztestexte über den Schutz der Privatsphäre eines jeden Einzelnen umfasst. Durch diese gesetzlichen Bestimmungen soll gewährleistet werden, dass in der zunehmend digitalisierten Welt ein Schutz vor unberechtigten Zugriffen auf private Informationen besteht (vgl. http://wirtschaftslexikon.gabler.de/Archiv/1663/datenschutz-v15.html, 01.05.2017). Gemäß §1(1) BDSG (Bundesdatenschutzgesetz i. d. F. v. 14.01.2003) hat der Datenschutz zum Ziel „[…] den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Das Datenschutzgesetz gilt sowohl für nicht öffentliche als auch für öffentliche Stellen (vgl. §1(2) BDSG i. d. F. v. 14.01.2003). §2(4) BDSG definiert nicht öffentliche Stellen als natürliche sowie juristische Personen sowie Personengesellschaften des privaten Rechts. §3 BDSG klärt grundlegende Begriffsbestimmungen. So versteht man unter „personenbezogenen Daten“ gemäß §3(1) BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener)“. Von automatisierter Verarbeitung spricht man bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten unter Verwendung einer Datenverarbeitungsanlage (vgl. §3(2) BDSG i. d. F. v. 14.01.2003). Unter „Erheben“ wird das Beschaffen von Daten und unter „Verarbeiten“ das Speichern, Übermitteln, Verändern Löschen oder auch Sperren personenbezogener Daten verstanden (vgl. §3 (3)+(4) BDSG i. d. F. v. 14.01.2003). Das Bundesdatenschutzgesetz ruft weiterhin zur sparsamen Erhebung von Daten auf. In §3a BDSG heißt es: „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.“ Gemäß §4 BDSG ist die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten nur dann erlaubt, wenn es das Gesetz erlaubt oder die betroffene Person zustimmt. Die Daten sind grundsätzlich beim Betroffenen selbst zu erheben (vgl. §4(1)+(2) BDSG i. d. F. v. 14.01.2003).

Die Tatsache, dass es in fast jedem Unternehmen die Position des Datenschutzbeauftragten gibt, geht auf §4f des Bundesdatenschutzgesetztes zurück. Dort ist die Bestellung eines Datenschutzbeauftragten geregelt. Seine Aufgaben sind in §4g BDSG abgedruckt. Seine Tätigkeit wird vorrangig durch das Hinwirken auf die Einhaltung des Bundesdatenschutzgesetzes bestimmt, zudem hat er für die Überwachung der ordnungsgemäßen Verwendung von Datenverarbeitungsprogrammen zu sorgen und die im Bereich des Datenschutz tätigen Personen hinreichend zu schulen. Der Datenschutzbeauftrage sowie seine Mitarbeiter unterliegen dem Datengeheimnis nach §5 BDSG. Hier heisst es: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort“ (BDSG i. d. F. v. 14.01.2003).

Wird gegen das Datenschutzgesetz verstoßen, steht dem Betroffenen Schadensersatz zu (vgl. §7 BDSG i. d. F. v. 14.01.2003). Weiterhin können Geldstrafen in einer Höhe von bis zu 300.000 Euro erhoben werden. Besteht Vorsatz, kann sogar eine Gefängnisstrafe möglich sein (vgl. § 43 (3) + §44 BDSG i. d. F. v. 14.01.2003).

2.2 Datenschutz im Bewerbungsprozess

Will man sich bei einem Unternehmen bewerben kommt man nicht umhin personenbezogene Daten, wie beispielsweise den Namen, die Adresse oder das Geburtsdatum sowie den eigenen Lebenslauf preiszugeben. Diese individuellen Informationen unterliegen einem besonderen Schutz und müssen daher vor missbräuchlicher Nutzung durch Dritte bewahrt werden (vgl. Schneider, Thomas; 2015, S. 530-531).

Wenn persönliche Daten mitunter als Rohstoff des 21. Jahrhundert angesehen werden, muss geklärt sein, wer und unter welchen Bedingungen auf diese Informationen zugreifen kann (vgl. Schulz, Martin, 2015).

Aus §28 BDSG (i. d. F. v. 14.01.2003) ergibt sich, dass Daten lediglich zweckgebunden verwendet werden dürfen. Informationen, welche für den Zweck einer Bewerbung erhalten wurden, dürfen demnach auch nur im Bewerbungsprozess verwendet oder aufbewahrt werden und nicht darüber hinaus. Solange die ausgeschriebene Stelle noch nicht besetzt ist und der Bewerber sich noch in der Auswahl befindet, besteht auch eine Rechtsgrundlage zur Speicherung der aus der Bewerbung zugänglichen Daten. Ist der Bewerbungsprozess jedoch abgeschlossen, müssen auch die Daten gelöscht oder die Unterlagen zurückgegeben werden (vgl. Schneider, Thomas; 2015, S. 530-531).

Zu beachten ist hierbei, dass die Unterlagen nicht unmittelbar nach der Absage vernichtet, gelöscht oder zurückgegeben werden müssen, sondern erst, wenn davon ausgegangen werden kann, dass der Bewerber gegen seine Ablehnung keine Klage erhebt. Im Falle eines Rechtsstreites, werden die Bewerbungsunterlagen für Rechtfertigungszwecke weiterhin benötigt. Ein möglicher Rechtsstreit stellt einen Grund für die Aufbewahrung der Daten da. Der Arbeitgeber hat auch hier ein berechtigtes Interesse im Sinne des §28 BDSG an den Informationen aus der Bewerbung (vgl. Ege, Andreas, 2008).

Die Initiativbewerbung ist ein Sonderfall der klassischen Bewerbung. Sie bezieht sich nicht auf eine akute Stellenvakanz sondern kann in allen Bereiche des gesamten Unternehmens weitergereicht werden, solange der Bewerber dies nicht ausdrücklich einschränkt. Auch bei dieser Form der Bewerbung muss die Dauer der Speicherung der Daten geklärt werden. Einen zeitlich definierbaren Bewerbungsprozess ist hier nicht bestimmbar. Kommt der Bewerber definitiv nicht für das Unternehmen in Frage, besteht auch keine Rechtsgrundlage zur Aufbewahrung der Daten mehr. Ist sich das Unternehmen unsicher, muss es gegebenenfalls beim Bewerber nachfragen ob die Bewerbung noch aktuell ist und die Daten für diesen Zweck noch gespeichert bleiben dürfen (vgl. Schneider, Thomas; 2015, S. 530-531).

Eine für Arbeitgeber interessante Frage ist auch, inwieweit er über einen Bewerber im Internet Recherche betreiben darf. Aus datenschutzrechtlicher Sicht ist dies noch nicht abschließend geklärt. Es wird diesbezüglich oft nach einem Schlupfloch im Datenschutzgesetz gesucht. Wie bereits erwähnt ist die Datenerhebung immer dann unproblematisch, wenn eine Einwilligung des Betroffenen vorliegt. Bei einer Recherche im Internet über die Person, ist dies eher selten der Fall. Auch die Regelung des §32 BDSG, wonach die Datenverarbeitung gestattet ist, soweit sie für die Entscheidung über das Beschäftigungsverhältnis erforderlich und verhältnismäßig ist, greift hier nicht, da diese Regelung sehr streng auszulegen ist und eine Personenrecherche im Internet selten zwingend für die Personalauswahl erforderlich ist. Eine weitere denkbare Möglichkeit der Rechtfertigung bietet der §28 BDSG, welcher dazu berechtigt allgemein zugängliche Daten zu erheben, solange kein überwiegendes Interesse des Betroffenen dagegen spricht. Eine Facebook Recherche oder Suche auf anderen Social Media Plattformen ist aber auch nicht legitimiert, da diese Plattformen nicht frei zugänglich sind, sondern einer Anmeldung bedürfen. Demnach fällt diese Art der Informationssammlung auch nicht unter §28 BDSG und ist nicht mit dem Datenschutzgesetz vereinbar (vgl. Dannhäuser, Ralph, 2015, S.308).

3 Bewerbermanagementsysteme

3.1 Was ist ein Bewerbermanagementsystem?

Die immer wieder neu aufkommenden Änderungen und Verschärfungen im Datenschutzrecht macht es für Unternehmen immer schwieriger sich an alle Rechtsvorschriften zu halten. Eine entsprechende Softwarelösung kann die Firmen dabei unterstützen die gesetzlichen Vorgaben leichter im Auge zu behalten und einzuhalten. Erforderliche Zustimmungen, Fristen oder auch automatische Löschungen können eingepflegt werden um Rechtssicherheit zu erhalten und personellen Arbeitsaufwand einzusparen (vgl. Schneider, Thomas; 2015, S. 530-531). Hier helfen Bewerbermanagementsysteme. Gängige Funktionen eines solchen Systems können beispielsweise wie folgt aussehen (nach: Dachrodt, Heinz-G., et al.; 2014, S.57f):

- Erstellen und Hinterlegen von Anforderungsprofilen
- Veröffentlichen von Stellenanzeigen
- Einbinden von externen Dienstleistern, wie beispielsweise Personalvermittler
- Dokumentation sowie Abwicklung des Bewerbungsprozess
- Verwalten von Bewerberdaten
- Erstellen eines Talentpools
- Archivieren der Korrespondenz mit Bewerbern

Eine weitere mögliche Funktion wäre die Eingliederung des Mitbestimmungsrechtes des Betriebsrates in das System. Es ist möglich dass die Zustimmung nach §99 Betriebsverfassungsgesetz elektronisch eingeholt wird (vgl. Ege, Andreas, 2008).

Ziel eines Bewerbermanagementsystems ist zum einen die Einhaltung der rechtlichen Grundsätze zu gewährleisten aber auch die Durchlaufzeiten einer Bewerbung zu verringern und die Transparenz im Auswahlverfahren zu erhöhen (vgl. ebenda).

Eine Bewerbermanagementsoftware soll den kompletten Workflow interner und externer Bewerbungsprozesse unterstützen. Arbeitsintensive Vorgänge wie beispielsweise die Stellenausschreibungen oder die Bearbeitung der Bewerbungseingänge sollen durch verschiedene Maßnahmen beschleunigt werden. Die Anforderungen, welche an die Softwarelösung gestellt werden, hängen von der Größe des Unternehmens ab (vgl. sysemhaus.com).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Anforderungen an ein Bewerbermanagementsystem

3.2 Arten von Bewerbermanagementsystemen

Bei Bewerbermanagementsystemen werden vorwiegend zwei Arten von Systemen genutzt. Die sogenannten ASP-Lösungen sowie SaaS-Lösungen. ASP steht für „Application Service Providing“, hier wird die Software nicht vom Unternehmen gekauft, sondern von einem externen Dienstleister gemietet. Die Daten befinden sich auf den Servern des Anwendungsdienstleisters und das Kundenunternehmen greift über das Internet darauf zu. Vorteile bei diesem System sind die geringeren Kosten, geringerer Aufwand sowie räumliche Flexibilität. Das Unternehmen erspart sich die Kosten der Anschaffung der Software mit gegebenenfalls weiterer benötigter Hardware, Installation, Wartung und Pflege des Systems übernimmt der Anwendungsdienstleister und der Zugriff auf die vorhandenen Daten ist von vielerorts möglich (vgl. Dachrodt, Heinz-G., et al.; 2014, S.58).

Die Abkürzung SaaS bedeutet „Software as a Service“. Auch hier wird die Softwarelösung nicht eingekauft sondern von einem externen Anbieter angemietet. Wie auch bei ASP übernimmt auch bei SaaS der Anbieter die Wartung und Pflege des Systems. Das Unterscheidungsmerkmal zwischen den beiden Modellen liegt im Customizing. SaaS Produkte lassen sich sehr individuell an den jeweiligen Kunden anpassen. Bei ASP Lösungen handelt es sich hauptsächlich um recht standardisierte Anwendungen mit nur geringem Anpassungsspielraum. SaaS ist anpassungsfähiger, hier können verschiedene Zusatzleistungen, wie beispielsweise ein Dokumentenmanagement, flexibel hinzugebucht werden. Vor diesem Hintergrund ergibt sich die Verwendung der beiden Modellarten. ASP wird für überschaubarere, einfachere Prozesse mit vereinheitlichten, standardisierten Prozessen gewählt und findet sich häufig in kleineren, beziehungsweisen mittelständischen Unternehmen wieder. SaaS wird hauptsächlich von größeren Kunden genutzt, welche höhere Anforderungen für komplexe Aufgabengebiete erfüllen müssen und eine flexible Anpassung an das Unternehmen von Bedeutung ist.

Beide Modelle bringen den großen Vorteil der Kostenersparnis für Lizenzen und auch weiteren Anschaffungsinvestitionen und den Vorteil der Entlastung durch die externe Systempflege (vgl. Dachrodt, Heinz-G., et al.; 2014, S.58f).

3.3 Bewerbermanagementsysteme aus Sicht des Bewerbers

Auch Bewerber können direkten Kontakt mit Bewerbermanagementsystemen haben. Dies geschieht beispielsweise in Form von Online-Portalen. Nach dem Hochladen der Unterlagen werden diese von CV-Parsing Softwares die Unterlagen analysiert und direkt mit hinterlegten Stellenprofilen abgleichen. Durch diese Technik können Bewerbungen im Vorfeld gefiltert werden und ein direktes Feedback kann angestoßen werden. CV-Parser arbeiten auch im Hintergrund von sogenannten „Apply with Widgets“. Diese Widgets werden in die Karriereseite von Unternehmen integriert und ermöglichen eine Bewerbung mittels Mausklick. Die Bewerber bewerben sich durch diese Widgets mit ihren, bei beispielsweise Xing oder LinkedIn, hinterlegten Profilen (vgl. Verhoeven, Tim, 2016, S.98 ff).

Die Kernkomponente im Hintergrund der Apply with Widgets ist wie bereits erwähnt die CV Parsing Software beziehungsweise Syntaxanalyse. Die Software dient dazu den Text aus dem Lebenslauf in eine andere Struktur zu übersetzen. Der Text wird zunächst in einzelne Wörter zerlegt und im Anschluss in eine Hierarchie gebracht, beispielsweise mittels Strukturbaum. Die Basis von CV-Parsing bildet die Informationsextraktion, die Fähigkeit, unterschiedlichen Formaten von unstrukturierten Dokumenten einen Sinn zu verleihen. Um dem Computer zu erlauben Muster zu erkennen und Beziehungen dazustellen müssen verschiedene statistische und regelbasierte Sprachverarbeitungstechniken kombiniert werden. Dieses maschinelle Lernen funktioniert auf Grundlage einer großen Datenbasis, die zum Vergleich herangezogen werden kann um wiederholt auftretende Muster erkennen zu können. Unabhängig von diversen in Dokumenten verwendeten Schreibweisen oder Layouts, haben Muster eine Tendenz sich zu ähneln. Somit gelingt es der Software Begriffe zu generalisieren. Verdeutlicht werden kann dies am Beispiel der Adressen. Die Software lernt unterschiedliche Adresse aus Deutschland kennen und merkt sich, dass diese eine bestimmte, gemeinsame Struktur aufweisen. Wird nun ein neues Dokument mit neuer, anderer Adresse analysiert wird, erkennt die Software anhand der Struktur, dass es sich um eine Adresse handelt und kann diese zuordnen. Gleiches gilt für Informationen wie beispielsweise Ausbildung oder Berufserfahrung. CV-Parsing kann also dafür sorgen, dass bestimmte administrative Schritte übernommen werden und Formulare korrekt hinterlegt werden (vgl. ebenda).

[...]