Wie lange sie Unterlagen von potenziellen Mitarbeitern speichern, wo und in welchem Umfang, das gehört in Personalabteilungen und Personalberatungen spätestens jetzt auf den Prüfstand. Denn ab Mai nächsten Jahres drohen empfindliche Strafen bei Verstößen, weiß Kai Haake, Geschäftsführer beim Bundesverband Deutscher Unternehemensberater (BDU).

Herr Haake, auf dem BDU-Personalberatertag haben Sie Ihre Zuhörer sehr eindringlich auf Neuerungen beim Schutz von Bewerberdaten aufmerksam gemacht, die mit der EU-Datenschutzgrundverordnung am 25. Mai 2018 in Kraft treten. Worum genau geht es da?

Mit der Datenschutz-Grundverordnung (DS-GVO) wird es einen weitgehend einheitlichen Datenschutzstandard in allen Mitgliedstaaten der EU geben. Im Gegensatz zu einer "Richtlinie", die erst noch von den Nationalstaaten in eigenes Recht umgesetzt werden muss, gilt eine "Verordnung" unmittelbar von Lappland bis Sizilien im selben Wortlaut. Interessant ist, dass diese Vorgaben ausdrücklich auch für Unternehmen außerhalb der EU gelten, wenn diese Waren oder Dienstleistungen im europäischen Markt anbieten.





Was ändert sich dadurch für alle Recruiter?

Zunächst gar nicht so viel. Denn die DS-GVO regelt nicht alle denkbaren Bereiche des Datenschutzes, etwa für die Bereiche der öffentlichen Sicherheit. Auch sieht Artikel 88 vor, dass der Beschäftigtendatenschutz durch die Mitgliedstaaten geregelt wird. Das ist in Deutschland inzwischen schon geschehen: Bundestag und Bundesrat haben eine Überarbeitung des Bundesdatenschutzgesetzes (BDSG) verabschiedet. Dort wird in

§ 26 die Datenverarbeitung im Beschäftigungsverhältnis – auch zur Begründung eines solchen – geregelt. Diese Vorschrift entspricht weitgehend der bisherigen Rechtslage: Unternehmen und Personalberater dürfen personenbezogene Daten verarbeiten, wenn dieses "erforderlich" ist.







Vorbereiten auf EU-Verordnung Entgegen teilweise anderslautender Szenarien ist die DS-GVO keine komplette Revolution. Das deutsche Datenschutzrecht (BDSG) ist schon heute verhältnismäßig streng, teilweise orientiert sich die DS-GVO auch an deutschen Standards, was Art, Dauer und Medium der Speicherung von Bewerberdaten angeht. Allerdings: Der Teufel steckt im Detail, vor allem bei den Dokumentationspflichten. In jedem Fall ist die Verarbeitung von Bewerberdaten und der Umgang mit ihnen in Zukunft auf Zulässigkeit nach der DSGVO und der Neufassung des Bundesdatenschutzgesetzes (BDSG) zu prüfen.

Grundsätzlich ist die Verarbeitung der Bewerberdaten nur zulässig, wenn dies für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Nach der Besetzung einer Stelle sind die eingereichten Bewerberunterlagen zu löschen, soweit keine darüber hinausgehende Einwilligung der Bewerber vorliegt.

Daher empfiehlt der BDU, Bewerber textlich um Einwilligung in die Speicherung ihrer Daten zu bitten. Wenn ein Kandidat der Weiterverwendung nicht zustimmt, dürfen nur solche Daten gespeichert werden, die benötigt werden, um ihn eindeutig zu identifizieren und erkennen zu können, dass er sich bereits in der Vergangenheit beworben hatte. Neben Vor- und Nachnamen dürften dies das Geburtsdatum und die Anschrift sein.

Was die Speichermedien angeht, so müssen sie durch geeignete technische und organisatorische Maßnahmen ausreichend vor unbefugter oder unrechtmäßiger Verarbeitung, Verlust und Zerstörung geschützt sein. Für E-Recruiting-Plattformen, die auf Servern außerhalb der EU laufen, gelten übrigens besonders strenge Maßstäbe. Neu: Liegt eine Verletzung vor, hat der Verantwortliche eine Informationspflicht an die Aufsichtsbehörde.





Inwiefern müssen Unternehmen dennoch ihre Prozesse ändern? Auch in der Zusammenarbeit mit Dienstleistern?

Die Frage, welche Daten zur Begründung eines Beschäftigungsverhältnisses erhoben werden dürfen, wird sich auch in Zukunft am § 26 BDSG messen lassen müssen. Neu ist aber, dass die DS-GVO den Unternehmen grundsätzlich mehr Vorsorge- und Sicherungsmaßnahmen aufbürdet, und zwar auch dann, wenn sich diese "nur" im Beschäftigtenkontext bewegen. Ausgeweitet wurden Dokumentations- und Organisationspflichten, zum Beispiel durch ein Verzeichnis der Verarbeitungsvorgänge und Meldung an die Aufsichtsbehörde nach erfolgtem Hackerangriff. Hier ist in Zukunft eine sehr gute dokumentierte Zusammenarbeit mit IT-Dienstleistern gefragt: Zum Beispiel zu ganz konkreten technischen Vorsorgemaßnahmen.





Was passiert bei Verstößen?

Der Bußgeldrahmen wurde massiv angehoben, von derzeit 300 000 Euro auf bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Aber auch Abmahnungen durch Verbraucherschutzverbände sind möglich. Sicher werden bei kleineren Verstößen auch in Zukunft keine horrenden Bußgelder fällig, aber das wird auch von dem Nachweis einer ordentlichen Compliance abhängen. Wer sich um gar keine strukturierte Erfassung seiner Prozesse und Schutz der IT-Systeme kümmert, wird im Fall einer "Entdeckung" durch die Behörde sicher mit spürbareren Strafmaßen als bisher rechnen müssen.





Was ist der Grund für die Gesetzesnovelle? Wer hat sie initiiert?

Eine erste Datenschutz-Richtlinie der EU gibt es bereits seit 1995. Aber durch das Instrument der "Richtlinie" wurde nicht der gewünschte Harmonisierungseffekt erreicht, es gab einfach zu viele Interpretations- und Umsetzungsfreiräume bei den Mitgliedstaaten. Bereits 2010 begann die EU-Kommission daher mit Überlegungen zu einer stärkeren Vereinheitlichung des Rechtsrahmens. 2012 wurde dann ein erster Entwurf durch die Kommission vorgelegt.

Ende April haben die Landesdatenschutzbehörden in Berlin und NRW für Überraschung gesorgt, als sie Bewerber-Interviews per Skype oder per Video-Aufzeichnung für unzulässig erklärten. Wie können Recruiter das Tool dennoch legal nutzen?

Sollten Gespräche über Skype geführt werden, etwa weil erhebliche Distanzen zu führen sind, muss selbstverständlich die Einwilligung aller Beteiligten – auch über die Details wie Speicherdauer und Zugriffsrechte – eingeholt werden. Der BDU empfiehlt seinen Mitgliedsunternehmen aber ausdrücklich, wenn möglich, persönliche Gespräche zu führen. Denn eine "analoge" Gesprächssituation ermöglicht beiden Seiten, einen unmittelbaren Eindruck von der Persönlichkeit des anderen zu gewinnen. Auch der Faktor "Chemie", der bei der Besetzung von Führungspositionen eine erhebliche Rolle spielt, lässt sich hier besser fassen.





Sind Kandidaten im Zeitalter von Social Media überhaupt noch sensibel dafür, wie mit ihren Daten umgegangen wird? Inwiefern verbessern sich jetzt ihre Rechte?

Der BDU sieht - und begrüßt - eine hohe und steigende Sensibilität von Kandidaten im Führungs- und Fachkräftebereich in Bezug auf ihre Daten. Die im BDU organisierten Beratungsunternehmen unterstützen diese Entwicklung. Beispielsweise wird mit Abschluss eines Suchmandates jeder Bewerber individuell um Zustimmung der weiteren Datenspeicherung über die aktuelle Bewerbung hinaus gefragt. Stimmt der Kandidat dem nicht zu, werden seine Daten selbstverständlich gelöscht. Zweites Beispiel: Von jedem Bewerber wird das Einverständnis zur Einholung von Referenzen, auch bei früheren Arbeitgebern, erbeten.





Was glauben Sie, erschwert das neue Gesetz unterm Strich die Rekrutierung von Mitarbeitern?

Die Rekrutierung wird in den Fällen erschwert, in denen noch nicht datenschutzkonform gehandelt wird oder bei unstrukturierten Prozessen. Wer bereits heute compliant arbeitet, hat sicher einen überschaubaren Mehraufwand.

