Was zum Thema Datenschutz im Bewerbungsprozess beachtet werden muss -
Interview mit Datenschutzexpertin Elisa Drescher

Nina Kirsch: Liebe Elisa, herzlich willkommen im kirschwerk Podcast.

Elisa Drescher: Hallo Nina, und herzlichen Dank dir für die Einladung. Ich habe mich schon die ganze Woche darauf gefreut, mit dir heute zu reden.

Nina Kirsch: Ich freu mich auch. Elisa, du bist Data Protection Enthusiast.

Elisa Drescher: Ja.

Nina Kirsch: Wow. Okay. Ich versuche es mal auf Deutsch zu übersetzen: Du bist einfach begeistert vom Thema Datenschutz. Kann man das so zusammenfassen?

Elisa Drescher: Das ist die aller kürzeste Zusammenfassung, die es gibt für meinen Job sozusagen.

Nina Kirsch: Sehr cool. Und vermutlich noch eine der netteren. Was machst du? Du berätst in dieser Funktion, unter anderem als zertifizierte Datenschutzbeauftragte, Unternehmen bei der rechtskonformen Umsetzung von Vorgaben im Datenschutz. Das klingt schon viel trockener, aber du brennst für dieses Thema. Und mich interessiert heute speziell das Thema Datenschutz im Bewerbungsprozess. Das ist nämlich ein Thema, das viele Unternehmen gar nicht so auf dem Schirm haben, glaube ich. Und ich muss ehrlicherweise zugeben, das kam auch erst so richtig auf den Schirm, nachdem ich dich kennengelernt habe.
Ich kenn dich als wahnsinnig brennende und engagierte Frau und auch bunt und pfiffig. Und dann machst du Datenschutz mit so viel Begeisterung. Und deswegen frage ich mich bzw. ich frage dich, wie ist es dazu gekommen, dass du mit so einer Leidenschaft an so ein eher trockenes Thema herangekommen bist? Erzähl mal.

Elisa Drescher: Vielen Dank für die Blumen. Das ist auch heute ein ganz bunter Frühlingsstrauß, den du mir an Komplimenten gibst. Eigentlich ganz kurz, echt lustig: Ich bin ja studierte Juristin und habe im Studium keine einzige Datenschutzrechtsvorlesung gehabt. Und wenn ich ganz ehrlich bin, und das habe ich noch nie jemanden verraten: Ich bin zum Datenschutz durch die Liebe gekommen. Da frage ich mich so: „Hey, wie?“ Ganz einfach: Ich bin ja Österreicherin. Ich glaube, das hört man. Und dann habe ich mich in einen Deutschen verliebt. Und dann habe ich das Studium abgeschlossen, Referendariat gemacht und dann auf einmal war das Problem: Ich bin die österreichische Juristin, ich möchte aber in Deutschland arbeiten, und dann musste eine europarechtliche Rechtsmaterie her… Und et voilà, da war das Datenschutzrecht.

Und ich sag dann immer, dann habe ich dort einen Job gefunden, habe in Deutschland da beraten, war ganz cool. Und dann habe ich einfach gemerkt, als ich den ersten Monat dort war, in der Unternehmensberatung: Das Datenschutzrecht, das ist meine juristische Heimat. Und da sage ich dann immer so scherzhafter Weise: „Da ist der Funken übergesprungen“. Und diesen Funken und dieses Feuer möchte ich verbreiten wie so ein schönes Lagerfeuer. So ist dann auch Scaleline entstanden, weil in der Unternehmensberatung, wo ich zuvor war, da hat es nicht so gut gepasst, wie du vorhin schon gesagt hast. Und dieses Thema ein bisschen anders machen, positiv zu belegen, das ist ja unser großes Ziel mit Scaleline: Datenschutz positiv zu belegen.

Weg von den ewig Negativen. Weil die Umsetzung vom Datenschutz hat einfach auch Vorteile für die Unternehmen. Auch wenn es nicht immer offensichtlich ist, aber zumindest kann man ruhig schlafen. Und so kam es dann dazu, dass ich eben Unternehmen in Deutschland und Österreich, aber auch international berate, wie man die DSGVO umsetzt. Und das ist sozusagen in Kürze die Entstehungsgeschichte zu Scaleline, aber auch wie dieser Enthusiasmus bei mir zustande gekommen ist.

Nina Kirsch: Ja, mega cool. Also wenn ich Datenschutz höre, ist so: „Hm, okay, ja, sollte man eigentlich mal machen, aber… Prokrastinieren wir mal auf so in zehn Jahren.“ Ich kann an dieser Stelle auch sehr stolz sagen: Wir haben jetzt eine Datenschutzbeauftragte, die sehr bunt ist, und die da sehr viel Leben reinbringt. Sie heißt Elisa.

Elisa Drescher: Wollte mich gerade fragen, wer das wohl ist?

Nina Kirsch: Und das ist cool. Der Malchus vom kirschwerk, der findet es auch mega gut… Einfach… Ja, einfach das Thema so greifbar zu haben und da auch zügig durchzukommen, sage ich mal. Es ist nicht unser Lieblingsthema den ganzen Tag, aber selbst das kann Spaß machen. Spannend.

Elisa Drescher: Und das ist auch sozusagen meine Motivation. Ich möchte das Thema nahbar machen und menschlich, weil im Endeffekt… Ich sage immer: Datenschutz, der Begriff ist so abstrakt, aber es geht ja nicht darum, dass man die Daten schützt, sondern immer die dahinter stehende Person, und da muss man immer mit den Menschen reden und mir macht es einfach Spaß, auch dieses Bunte reinzugeben. Mit ein bisschen Humor, einfach auch lachen können, das ist so wichtig. Und so hat sich das dann einfach entwickelt. Und ich sage mal, ein bisschen ein anderes Beratungskonzept. Einfach, weil ich auch so bin, weißt du?

Nina Kirsch: Ja, genau. Ja, nicht nur das Konzept, sondern euer Auftritt ist ja auch durchaus anders. Also klassischerweise würde man vielleicht grau und blau so als Unternehmensfarben erwarten. Ihr habt da eine andere, glaube ich?

Elisa Drescher: Ja, wir haben da komplett eine andere Farbe genommen, so ein knalliges Pink. Das hat wirklich viel Überzeugungsarbeit bei meiner besseren Hälfte gebraucht. Aber ich habe dann auch gesagt: Wenn wir das unterstreichen wollen, dass wir anders sind, dann müssen wir auch den Weg gehen. Und ich muss gestehen, das Scaleline-Pink, das findet sich jetzt auch schon ziemlich oft bei mir im Kleiderschrank, weil es muss hier natürlich durchziehen.

Nina Kirsch: Stimmt, ich trage auch sehr, sehr viel bordeauxrot. Ob das was mit der Kirsche zu tun hat? Man weiß es nicht. Okay. Wenn wir uns jetzt den Bereich Bewerbungsmanagement mal ansehen, auch in Bezug auf Stellenanzeigen, dann gibt es mit Sicherheit Punkte, wo man Fehler machen kann in Bezug auf Datenschutz. Fallen dir da vielleicht welche ein, die ganz klassisch gemacht werden?

Elisa Drescher: Ja, der klassische Fehler ist, dass in den Stellenanzeigen vergessen wird, dass man auf die Datenverarbeitung hinweist. Hintergrund davon ist, dass die DSGVO… Oder eines der Hauptziele der DSGVO ist, dass man Transparenz herstellt. Und deswegen müssen die BewerberInnen darüber informiert werden, welche Daten verarbeitet werden, warum und wieso. Und in den Stellenanzeigen kann das ganz einfach dadurch erfolgen, dass man zum Beispiel hinzufügt: „Nähere Informationen zur Datenverarbeitung im Rahmen des Bewerbungsverfahrens finden Sie unter… „. Dann kann man einen Link eingeben und wichtig wäre halt nur, wenn man verlinkt, dass dort die Infos auch sind.

Nina Kirsch: Ja, das habe ich mir schon gedacht.

Elisa Drescher: Und das ist sozusagen, was bei Stellenanzeigen das Wichtigste ist, was man aus datenschutzrechtlicher Sicht beachtet. Und dass dann die Informationen transparent sind, kein Larifari oder so Standardsätze. Sondern einfach, dass man sagt: So sieht bei uns der Prozess aus, und das passiert mit meinen Daten. That’s it.

Nina Kirsch: Okay. Das heißt, könnte ich das auch selber reinschreiben oder brauche ich da schon eine Datenschutzexpertin wie dich?

Elisa Drescher: Ich kann an alle sagen: Die Informationen, die drin sein müssen, verstecken sich in Artikel 13 DSGVO. Das ist eine Liste mit – möchte jetzt nicht lügen –  10,11,12 Punkten, die man reinschreiben möchte. Das kann man natürlich selber machen. Wenn man mit dem geschulten Auge darüber gehen und vielleicht das eine oder andere noch beachten möchte, dann kann man immer einen Profi engagieren und sagen: „Hey, kannst du kurz drüberlesen oder das noch prüfen und nötigenfalls ergänzen?“

Nina Kirsch: Okay, schon wenn du mit Artikeln anfängst, dann habe ich die Elisa Drescher im Kopf und sag: “Okay, mach du das.” Aber gut, dann kann man das theoretisch selbst machen und sonst so mal darüber gucken lassen, kostet ja dann auch nicht die Welt. Also mir persönlich geht es so: Ich schlafe dann einfach viel ruhiger, wenn ich weiß, da hat jemand drüber geguckt, der was davon versteht.

Elisa Drescher: Du bist nicht die einzige meiner Mandant*innen, die das schon gesagt hat, und es freut mich dann immer so. Das ist einfach dann auch meine Motivation für die Arbeit, wenn ich weiß, die Nina und XY und alle können ruhig schlafen oder brauchen nicht Angst haben, dass das Datenschutz-Albtraum-Monster in der Nacht kommt.

Nina Kirsch: Okay, das hast du jetzt gerade geweckt. So präsent hatte ich es noch nicht. Nee, aber alles gut. Warum ist denn das überhaupt so? Also warum werden denn die Daten von Bewerbern auch ganz besonders geschützt? 

Elisa Drescher: Die Frage wird mir ganz oft gestellt, und da sage ich dann immer gern: „Erinnere dich mal an deine letzte Bewerbung zurück. Welche Unterlagen und Daten von dir hast du da reingegeben?“ Man lässt sprichwörtlich die Hose runter. Vielleicht ein bisschen juristischer ausgedrückt: Man legt das ganze eigene Leben offen. Welchen Beruf habe ich schon ausgeführt? Welche Ausbildungen habe ich gemacht? Auch welche Gehaltsvorstellungen habe ich. Oft wird auch noch reingeschrieben, ob ich Familie habe. Auch Hinweis auf Betreuungspflichten in Deutschland. Ja, auch ein Riesenthema: Die Religionszugehörigkeit, damit dann die Abgaben abgeführt werden können. Und das in der Gesamtheit ist einfach ein Profil von einem Menschen, das man, wenn es in die falschen Hände kommt, einfach zu seinem Nachteil einsetzen könnte.

Nina Kirsch: Okay, das heißt, speziell für eingegangene Bewerbungen ist es ja dann wichtig. Ich habe gehört, es gibt noch Unternehmen, sehr wertungsfrei formuliert, die arbeiten mit Papier-Bewerbungen. Wie ist es denn da dann? Also muss ich mit denen irgendwie anders umgehen? Muss ich irgendwie anders ablegen, oder? Keine Ahnung, weil mit Papier und digital – das ist ja ein Unterschied, oder ist da kein großer Unterschied?

Elisa Drescher: Ja, die DSGVO sagt, es gibt das sogenannte Need-to-know-Prinzip. Auf gut Deutsch formuliert: Niemand soll seine Nase in fremde Angelegenheiten reinstecken. Und wenn ich das dann sozusagen auf Papier-Bewerbungen übertrage, dann ist einfach wichtig, dass im Unternehmen nur jene Leute die Bewerbungsunterlagen sehen, die tatsächlich auch am Entscheidungsprozess dabei sind. Wichtig wäre dann, dass man die dann irgendwie versperrt, sodass man sie nicht offen herumliegen lasst und dass man dann so einen ganzen Bewerbungsstoß nicht in den Mülleimer wirft. Sondern, wenn man schon Papier hat, dass man es einmal durch einen Schredder lässt. Dass diese Schnipsel ganz klein sind, und in Klammern: Der Schredder soll mindestens P4 haben, wenn man sich den noch zulegen möchte oder muss.

Nina Kirsch: Was ist denn P4?

Elisa Drescher: Da gibt es eine DIN in Deutschland 66933, die dann sagt, wie groß diese Schnipsel sein müssen in Abhängigkeit von  der Sensibilität der Daten. Und wenn es Bewerbungsdaten sind, sagt man: Man braucht P4.

Nina Kirsch: Echt jetzt? Wow. Du hast super cooles Wissen! Ich bin froh, dass du es hast. Ich will es nicht haben, aber mega spannend. Oh Gott, was ist… Echt? Für so was gibt es eine DIN? Cool. Ich bin ein bisschen platt jetzt. Okay. Ähm, genau. Fahren wir fort in unserer Reise. Die Stellenanzeige ist ja erst der Anfang im Bewerbungsmanagement. Dann gibt es aber im weiteren Prozess einer Bewerbung ja noch unterschiedlichste Stellen, in denen vielleicht mit Daten nicht so ganz korrekt umgegangen wird. Was begegnet dir denn da am häufigsten?

Elisa Drescher: Ja, ich möchte, glaube ich, vorneweg sagen: Die häufigste Fehlerquelle ist der Mensch. Es ist aber auch natürlich und die meisten MitarbeiterInnen in den Unternehmen machen das ja nicht absichtlich sozusagen. Der Klassiker ist zum Beispiel, dass, wenn Gehaltsabrechnungen auch nicht irgendwie durch ein System verschickt werden, sondern nur noch per Post, dass die verwechselt werden. Gehaltsabrechnung von der Susi geht an die Maria, und das ist dann immer ein Problem, weil da werden relativ viele Daten offengelegt gegenüber jemandem, der das eigentlich nicht wissen sollte. Das nennt man dann auch juristisch betrachtet: Verletzung des Schutzes personenbezogener Daten. Einfacher: Datenpanne. Das ist so ein Klassiker, und da möchte ich auch nochmal sensibilisieren, weil das mache ich an jeder Stelle, wenn ich wo eingeladen bin. Wenn es so eine Datenpanne gibt, dann gibt es eine ziemlich kurze Meldefrist. Man muss so eine Panne innerhalb von 72 Stunden an die Behörde melden. Meine Mandanten sagen immer: „Oh mein Gott, das ist ja wie eine Selbstanzeige.“ Ja, ist wirklich nicht geil. Ich verstehe das, aber man muss es machen. Und auch nochmal der Appell: Da hat erst gestern Meta, also der Konzern hinter Facebook und Instagram, von der irischen Aufsichtsbehörde ein saftiges Bußgeld, natürlich noch nicht rechtskräftig, von 17 Millionen € bekommen. – In Bezug auf so Datenpannen. 

Aber ganz kurz angemerkt: Der Metakonzern kann das gut wegstecken. Die haben erst letztes Jahr 225 Millionen Bußgeld bekommen wegen WhatsApp, weil die Infopflichten nicht ganz so transparent sind. Ist zwar auch noch nicht rechtskräftig, aber die haben sicherlich auch irgendwo mal diese Rückstellungen angelegt. 

Nina Kirsch: Okay, krass. Aber was wären jetzt zum Beispiel so Verletzungen? Also wäre das eine Verletzung, wenn die falsche Person die Gehaltsabrechnung per Brief bekommt? Wäre das eine Verletzung, die ich melden muss? Also, wie kann ich mir das vorstellen?

Elisa Drescher: Ja, man muss sich dann immer vor Gesicht halten: Die DSGVO geht immer davon aus, welches Risiko hat die betroffene Person? An und für sich denkt man sich: „Okay. Halb so tragisch. Da steht halt droben, wie viel die Person verdient.“ Dann steht aber auch in der Regel noch oben die komplette Adresse, Religionszugehörigkeit. Dann sind wir wieder im Bereich der sensiblen Daten. Sozialversicherungsnummern, vielleicht auch eine IBAN. Und in dieser Gesamtbetrachtung komm ich leider nicht drumherum, dass ich dann immer sage: Das ist ein Risiko, und wir müssen das melden.

Nina Kirsch: Ach, krass, echt? Das hätte ich persönlich jetzt nicht gedacht. Was wären denn dann noch so Punkte, wo so jemand unbedarft wie ich vielleicht denkt: Ja, halb so wild?

Elisa Drescher: Ein Riesenthema, gerade auch im Bewerbungsgespräch, sind dann auch falsche Berechtigungen. Also gerade, wenn man vielleicht in einem Unternehmen denkt: Das hat 50 bis 100 Mitarbeiter, dann gibt es eine Personalabteilung und sagen wir drei verschiedene Abteilungen. Und der Abteilungsleiter 1 sucht einen neuen Mitarbeiter. Und dann dürfte sozusagen neben der Personalabteilung aus datenschutzrechtliche Sicht der Abteilungsleiter 1 Zugriff haben auf die Bewerbungsunterlagen, aber nicht Abteilungsleiter 2, 3. Und wenn die auch zugreifen können und nicht irgendwie in der Entscheidungsfindung dabei sind, dann ist das eigentlich auch wieder ein klassischer Fall von so einer Datenpanne.

Nina Kirsch: Ach was, echt? Okay, ist ja gruselig. Also ich meine, ich würde jetzt mal behaupten, ich gehe mal frecherweise von mir aus: Das weiß ja niemand. Deswegen, wenn ich es richtig verstanden habe, ist ein Riesenpunkt bei euch zum einen die Datenschutzsicherheit herzustellen, und zum anderen auch zu informieren, zu schulen: Wo gibt es überhaupt Stolperfallen?

Elisa Drescher: Genau, du hast es wirklich ganz toll zusammengefasst. Für mich ist immer das Allerwichtigste, sobald wir auch beim neuen Mandanten das Boarding machen, relativ schnell Mitarbeiterschulungen zu machen. Weil es einfach so viel Stolperfallen gibt, die in der Regel gar nicht so offensichtlich sind. Da geht es gar nicht darum, dass man sagt: „Um Gottes willen, ich traue mir keinen Lebenslauf mehr anzugreifen, weil da kann ich nur was falsch machen.“ Das ist es gar nicht, sondern wirklich reines Sensibilisieren und auch sozusagen die Abstraktheit von der DSGVO rauszunehmen. Aber die Begrifflichkeiten, die verwendet man nicht bei einem Feierabendbier oder wenn man gemeinsam Mittagspause macht mit dem Kunden. Und da einfach auch die Berührungsängste abzunehmen, ist mir so enorm wichtig in dem Punkt.

Nina Kirsch: Ja, das finde ich jetzt voll gut, dass du es noch mal gesagt hast. Jetzt gehts mir schon ein bisschen besser. Malen wir doch den Teufel mal an die Wand: Was ist das Schlimmste, was passieren kann, wenn ich da jetzt einen Fehler gemacht habe, und den hätte ich eigentlich melden sollen, aber ich habe es nicht gemacht? Also, wie du vorhin gesagt hast, die Abrechnung von Hans wurde dem Kai zugeschickt oder umgekehrt.

Elisa Drescher: Genau. Ist im Worst-Case-Szenario ähnlich wie es jetzt Facebook gegangen ist: Dass man, wenn die Behörde davon Wind bekommt, weil sich jemand an sie wendet, dann kann man schon ein Bußgeld deswegen bekommen und – in Klammern – das Bußgeld können hier sein: maximal 4 % vom weltweit erzielten Jahresumsatz. Das ist halt in der Regel nicht so hoch wie bei Meta etc. Das ist ja nur, weil die einfach Milliardenumsätze haben. Dann sind natürlich – in Relation gesehen – 17 Millionen wenig. Aber, und das ist das, was gerade in Deutschland ist, immer mehr kommt: Dass Schadenersatzansprüche geltend gemacht werden gegen das Unternehmen, weil die DSGVO auch so eine Regelung vorsieht. Und sobald da eine Verletzung eingetreten ist, kann die Person da einfach Schadensersatz begehren.

Nina Kirsch: Okay, das heißt, mein eigener Mitarbeiter würde sich dann… Oder der eigene Mitarbeiter würde sich gegen das Unternehmen sozusagen stellen und sagen: „Hier ist mir ein Schaden entstanden. Macht mal was.“

Elisa Drescher: Okay, exakt. Und das Thema ist in der Regel gar nicht der eigene Mitarbeiter bzw. dann der Bewerber, der zum Mitarbeiter wurde, sondern vielmehr der abgelehnte Bewerber.

Nina Kirsch: Ah, okay.

Elisa Drescher: Die das dann sozusagen nutzen können, um wertfrei gesagt, etwaige Probleme, die man vielleicht gehabt hat, da auf eine andere Art und Weise geltend zu machen. Und einen Riesenpunkt, vielleicht ist in dem Zusammenhang auch zu sensibilisieren: Abgelehnte Bewerber reagieren dann wirklich ganz oft ein bisschen… wie soll ich das nett formulieren? Eingeschnappt und schießen dann auch noch Betroffenenrecht dahinter, nach der DSGVO. Vorliegendes können sein: Auskunftsersuchen und Löschbegehren oder Widerspruch gegenüber fast allem. Also ich möchte euch, die sich das anhören, echt sensibilisieren: Wenn es so ist, reagiert! Weil auf Betroffenen-Anfragen muss man innerhalb von einem Monat antworten. Wenn man da auch nicht antwortet und die Frist verstreicht, dann gibt es wieder das Gleiche. Es kann ein Bußgeld geben und die betroffene Person kann Schadenersatz begehren. Es ist immer sozusagen diese folgende DSGVO.

Nina Kirsch: Aha, wow, okay, war mir so auch nicht bewusst. Ich glaube dem Malchus hast du schon viel davon erzählt, aber mir war das jetzt noch nicht so bewusst. Okay. Gut, dann sagen wir mal, ich habe irgendwie was gehabt. Ich bin sensibilisiert. Ich habe es erkannt. An wen genau melde ich das? In welcher Form?

Elisa Drescher: Guter Punkt. Für Deutschland gibt es die Landesdatenschutz-Aufsichtsbehörden. Das heißt, in jedem Bundesland ist eine eingerichtet. In Klammern: Da können wir auch wieder streiten, ob das sinnvoll ist oder nicht. Klammer geschlossen. Und die betroffenen Personen, also zum Beispiel ein abgelehnter Bewerber, kann sich an die Behörde wenden, die in dem Gebiet sitzt, wo er selber wohnt. Also zum Beispiel in eurem Fall an die baden-württembergische.

Nina Kirsch: Okay.

Elisa Drescher: Wenn es aber ein Bewerber aus Bayern ist, was jetzt bei eurer Lage auch nicht so abwegig wäre, dann kann dieser sich auch an die bayerische Behörde wenden.

Nina Kirsch: Okay, und wenn ich das melden möchte, wende ich mich an die gleiche Behörde, und da schreibe ich dann eine Mail oder gibt es ein Formular?

Elisa Drescher: Genau, in Deutschland, das muss ich lobend hervorheben, da stellen die Behörden immer Meldeformular direkt zur Verfügung. Für alle Landsmänner und -Frauen, die es hören: In Österreich muss man noch eine E-Mail schreiben oder ein Fax.

Nina Kirsch: Ein Fax?! Okay, habe ich, glaube ich, in meinem Leben noch nicht bedient.

Elisa Drescher: Same here. Doch, ich musste es einmal machen: im Praktikum. Und dann wurde mit großen Augen angeschaut, warum ich kein Fax bedienen kann. Das ist jetzt 15 Jahre her, sag ich: Generation E-Mail und so.

Nina Kirsch: Genau. Okay, dann verlassen wir mal den Bewerbungsprozess im eigenen Unternehmen, denn ich kann ja auch eine Stellenanzeige auf externen Plattformen einstellen, zum Beispiel bei Indeed oder bei Stepstone. Inwiefern muss ich mich dort um den Datenschutz kümmern? Und bzw. was kann ich da denn genau tun, damit ich da safe bin?

Elisa Drescher: Ach, das ist eine Frage, die gar nicht so einfach zu beantworten ist, weil es gibt drei verschiedene Konstellationen, die da zur Anwendung gelangen. Das heißt, die ganze Power der DSGVO tritt hier zum Vorschein. Ich würde gern anhand von Beispielen erklären.

Nina Kirsch: Ja bitte.

Elisa Drescher: Es gibt ja sozusagen auf den Plattformen auch oft die Möglichkeit, dass die Unternehmen nur unter Anführungszeichen die Stellenausschreibung platzieren und dann verlinken sie dann sozusagen auf die eigene Page, wo der Bewerbende dann die Daten eingeben kann. Dann ist es einfach, weil dann ist sozusagen nur das Unternehmen, dass die Stellenausschreibung geschalten hat, verantwortlich dafür. Dann gibt es aber auch die Möglichkeit, dass die Bewerbenden ihre Daten direkt über ein Formular auf der externen Plattform eingeben können. Ich glaube, das ist auch bekannt, und das wird dann datenschutzrechtlich betrachtet in einer sogenannten Auftragsverarbeitung.

Nina Kirsch: Oh no.

Elisa Drescher: Ja, das heißt… und keine Sorge, jetzt an alle: Diese ganzen vertraglichen Bestimmungen, die sind alle in den AGB, bei den großen Plattformen irgendwo versteckt. Man muss halt hin und wieder suchen. Man muss das nur im Zuge der Informationen, die wir vorhin schon erwähnt haben, bedenken und dort auch transparent mit aufnehmen. Das heißt: Wenn ich über Stepstone mich beim kirschwerk bewerbe und bei Stepstone direkt die Daten eingebe, dann muss das kirschwerk darüber informieren und sagen: „Wenn du deine Daten direkt über Stepstone eingibst, dann wird Stepstone für uns als Auftragsverarbeiter darin tätig.“ Punkt.

Nina Kirsch: Ah, okay!

Elisa Drescher: Wichtig ist: Stepstone darf die Daten dann aber nicht für andere Zwecke verwenden, sondern nur, damit die Nina und der Malchus die Infos bekommen. Die dürfen die Daten nicht weitergeben.

Nina Kirsch: Okay.

Elisa Drescher: Und damit es noch komplizierter wird, gibt es natürlich noch eine dritte Möglichkeit. Und die dritte Möglichkeit der DSGVO nennt man gemeinsame Verantwortlichkeit. Das ist auch ein Konstrukt, das ist gar nicht so einfach. Ganz kurz, auch anhand von einem Beispiel erklärt: Wenn die Plattform anbietet, dass die Plattform selber Bewerberdaten irgendwo erhebt, die sie dann Unternehmen zur Verfügung stellt. Weil es einfach feststellt – das ist in der Regel ein Algorithmus: Das ist ein Match, Bewerber A passt zum Unternehmen C. Und wenn die Plattform dann die Daten so weitergibt, dann liegt eben diese gemeinsame Verantwortlichkeit vor. Und das ist enorm kompliziert, weil die Verantwortlichkeit untergliedert sich hier in verschiedene Prozesse. Das heißt: Verantwortlich für die Datenerhebung ist Stepstone, und es geht sozusagen um das Weiterleiten an das Unternehmen. Und da muss man das auch wieder in die Informationspflichten – was ich vorhin gesagt habe – hinschreiben, dass so was vorliegt. Ich weiß, es ist ziemlich komplex. Meinen Mandanten, wenn ich sowas schreibe, sage ich einfach immer: Ich kann es euch erklären. Einfach ist meistens, wenn ich es einfach schreibe.

Nina Kirsch: Ja, das glaube ich auch.

Elisa Drescher: Genau.

Nina Kirsch: Ja gut, aber es ist ja… Unterm Strich ist es ja schon mal gut zu wissen: Möglichkeit 1 ist relativ leicht zu machen, Möglichkeit 2 eigentlich auch und Möglichkeit 3 kommt ja dann auch nicht mehr für so viele Unternehmen infrage. – Und dann einfach an den oder die DatenschutzexpertIn des Vertrauens wenden und dann wird alles wieder gut.

Elisa Drescher: Genau.

Nina Kirsch: Sehr schön, genau. Dann gucken wir mal weiter. Und zwar, wir versuchen das Ganze ja… Du merkst schon, ich hadere ein bisschen mit dem Thema, aber ich finde so toll, dass du dabei bist. Wir versuchen das Ganze natürlich möglichst lösungsorientiert anzugehen. Deswegen habe ich ja auch gefragt: „Hey, kann ich das selber machen? Wie genau geht das?“ Und so weiter. Was sind denn jetzt deine Best Practice Tipps für Unternehmen, die diesen Prozess vereinfachen wollen? Und speziell halt auch für kleinere Unternehmen, die jetzt vielleicht keine 500 oder 1.000 € pro Monat für teure Software ausgeben wollen oder können.

Elisa Drescher: Genau. Vielleicht einmal die schlechte Nachricht zuerst: Um die DSGVO kommt man leider nicht drumherum, weil die gilt sozusagen für jedes Unternehmen an sich. Ich glaube, die einfachste und kostengünstigste Variante für Unternehmen – und da kannst du aber dann gerne auch noch was dazu sagen, da seid ihr die Profis – ist wirklich, wenn man sagt, man erhebt die Bewerberdaten direkt über die eigene Page, weil dann braucht man sich keine Gedanken machen: Liegt dieser Auftragsverarbeitungsvertrag vor? Wie muss ich darüber informieren? Sondern ich sage immer: keep it as simple as possible. Und dann wird es auch datenschutzrechtlich immer einfacher. 

Und wenn man es generell… Es gibt ja auch spezielle Software für Datenschutzmanagement. Wenn das jetzt KollegInnen hören oder nicht: Bitte steinigt mich nicht. Ich bin immer der Auffassung, wenn es ein kleineres Unternehmen ist, wo die Komplexität von der Datenverarbeitung nicht so hoch ist, und da meine ich wirklich so STANDARD-Verarbeitungen, Personalsachen, Marketing, dann kann man das Ganze wirklich auch in Word oder Excel führen, weil es einfach – einfach ist. Was anderes ist es in einem großen Konzern. Da ist es irrsinnig wichtig, dass die Workflows entsprechend passen, dass an die richtigen Personen weitergeleitet wird. Die können dann teure und komplexe Datenschutz-Managementsoftware haben. Aber an und für sich ist der Datenschutz in kleineren Unternehmen relativ schnell gehändelt. Am Anfang oder wahrscheinlich die erste Erhebung: Das kostet mal Zeit, kostet auch ein bisschen Geld, aber wenn das einmal aufgestellt ist, dann läuft’s. Und da muss man wirklich unter Anführungszeichen nur dann dran denken, wenn etwa was Neues gemacht wird. Zum Beispiel ist es bei euch der Podcast, da haben wir auch was gemacht. Oder wenn man eine Betroffenen-Anfrage hat und ansonsten läuft es immer eigentlich gut nebenher.

Nina Kirsch: Ja, ich denke, das ist etwas, was so ähnlich ist wie bei ganz vielem anderen. Ich weiß, dass wir, der Malchus und ich, sehr viel Zeit investiert haben, um interne Prozesse möglichst transparent und nachvollziehbar zu machen. Aber ja, das war ein großer initialer Aufwand, natürlich im Verhältnis zu unserer Arbeitszeit. Aber das ist jetzt einfach ein Punkt, der wird nachgezogen und der lebt einfach mit, wie du sagst, wenn sich was ändert, dann wird halt der Prozess mal angepasst. Und insofern, ich denke auch einfach mal machen, wie du gesagt hast, es geht nicht weg. Es gilt für alle. Und gerade für kleinere Unternehmen. Die Daten intern zu haben, ist mit Sicherheit eine gute Idee. Zumal auch die Kommunikation dann einfach direkter ist. Und das gibt auch den Bewerbenden dann schon wieder ein gutes Gefühl, wenn sie da eine persönliche Rückmeldung bekommen anstatt eine automatische, vielleicht von einem System. Also sicherlich eine gute Idee von beiden Aspekten her gesehen. Dann schließen wir doch mit einer großartigen Neuigkeit, nämlich: Ich habe jemanden eingestellt, und das ist mein Wunschkandidat, und ich bin so glücklich. Jetzt habe ich ja immer noch die Unterlagen von der Bewerbung. Wie gehe ich jetzt mit denen um?

Elisa Drescher: Genau, da müssen wir ein bisschen unterscheiden.

Nina Kirsch: Schon wieder? Das gibt’s doch nicht!

Elisa Drescher: Zumindest insofern unterscheiden… Beim Mitarbeiter, den ich über alles liebe und eingestellt habe, dessen Bewerbungsdaten brauch ich natürlich nicht löschen, weil die überführen wir in die Personalakte. Aber was mach ich mit all den Bewerbungen, die mir vielleicht jetzt nicht so zugesagt haben? Und da ist immer ganz wichtig: Bitte, bitte – und ich falte gerade meine Hand, als würde ich beten – bitte löscht die Daten nach maximal vier Monaten, also dreieinhalb Monate bis vier Monate später, und dann Tabula rasa machen. Delete und that’s it. Dann hat man keine Probleme mehr. Hintergrund, warum ich das so sage: Warum soll man die Bewerberdaten so lange für maximal vier Monate speichern? Abgelehnte Bewerber können, neben den ganzen DSGVO-Sachen, was sie machen können, auch eine Klage erheben, wenn sie der Meinung sind, sie wurden aus bestimmten Gründen diskriminiert: Alter, Religion, Ethnie. Und deswegen erlaubt die DSGVO, angelehnt an das Allgemeine Gleichbehandlungsgesetz in Deutschland, dass man sagt: Okay, man hebt dich vier Monate auf. 

Und mit meinem überglücklichen Mitarbeiter – Da muss ich dann nur mal drauf aufpassen, weil es gibt in Deutschland auch einen Paragrafen, der den ganzen Themenkomplex Beschäftigten-Datenschutz angeht. Da musst du dann immer nur überlegen, wenn ich die Daten von Mitarbeitern erhebe, dass das auch datenschutzrechtlich passt. Und dann ist es eigentlich gut. Und ein Riesenthema ist da immer Verhaltens- und Leistungskontrolle. Das wird in Deutschland, aber auch in anderen Ländern, wo die DSGVO gilt, immer ein bisschen strenger gehandhabt. Weil da fragt man sich immer: Braucht man die, diese Verhaltens- und Leistungskontrollen? Kommt man nicht auch auf allen anderen Weg dorthin, ohne dass jetzt zum Beispiel ein krasser Druck auf Mitarbeiter ausgeübt wird? Ein anderes Beispiel ist dann auch – das ist eine Sonderform, die in Deutschland gilt -, wenn ich zum Beispiel eine Einwilligung von meinen Mitarbeitenden einhole. Klassiker ist: Ich möchte irgendwie ein Mitarbeiterfoto veröffentlichen. Wir brauchen eine Einwilligung. Da darf dann absolut kein Druck erzeugt werden. Das heißt, wenn ein Mitarbeiter von dir sagt: Ich möchte nicht, dass das Foto von mir auf der Homepage ist. Dann stell dich nicht hin und sag: „Aber ich möchte das, und du unterschreibst mir das“. Dann hast du zwar die Unterschrift, aber im Falle des Falles kann er, wenn er das behauptet und die Behörde ihm glaubt, dann ist die Einwilligung futsch. Das heißt, du hast keine Rechtsgrundlage und hast wieder Problem.

Nina Kirsch: Oh, okay.

Elisa Drescher: Ich glaube, zusammengefasst kann ich zu dem Thema Datenschutz oder generell zu Einwilligung und Druckaufbau sagen: Datenschutz ist im Endeffekt Menschenschutz, natürlich, aber es ist so viel Hausverstand, und ich appelliere dann auch immer an die Mandanten. Oder wir machen so viel Awareness Arbeit, weil mir das so unglaublich wichtig ist, wo ich dann sage: „Überleg einfach, möchtest du, dass das mit dir gemacht wird?“ Und wenn dein Bauchgefühl sagt: Nein! Dann ist es auch meistens – und es ist egal welches Rechtsgebiet -, nicht so toll, wenn man das macht.

Nina Kirsch: Jetzt hast du ja doch ein gewisses Gerüst gebaut, an das ich zum Beispiel halt jetzt nicht so viel gedacht habe. Vielleicht geht es dir, liebe Hörerin oder dir, lieber Hörer, auch so? Ja, damit wir jetzt nicht irgendwie feuchte Hände bekommen. Was ist denn so deine Erfahrung in Bezug auf: Wie viel passiert denn wirklich? Du hast viel davon gesprochen, dass abgelehnte Bewerbende zum Beispiel sich da melden und verklagen können. Passiert denn das oft? Was ist da vielleicht dein Bauchgefühl? Also gerade bei kleineren Unternehmen?

Elisa Drescher: Genau. Ich sage mal, ich bin da vielleicht auch ein bisschen Blindspot-mäßig, weil ich einfach bis Oktober fast nur Konzerne beraten habe und da mehr los ist. Also wirklich, da war das immer ein Riesenthema. Ich glaube, im KMU Bereich braucht man sich in der Regel weniger Sorgen machen, wenn meistens im Endeffekt… Und ich sag es ungern, es ist einfach eine menschliche Verärgerung, wo dann… Wirklich, ich finde die DSGVO so wichtig und Datenschutz so wichtig, wo dann einfach das instrumentalisiert wird, damit man jemanden das Leben schwer macht. Und an alle Landsmänner von mir und Landfrauen: Es ist ein irrsinniger Unterschied zwischen Deutschland und Österreich. Ich bin immer wieder platt, alleine in der Beratung und auch in der Sensibilität, was das Thema angeht. Und ich glaube, die Österreicher, Österreicherinnen lehnen sich nur ein bisschen zurück, weil es in Österreich nur eine Behörde gibt und die einfach so viele Verfahren hat, weil auch die NGO von Max Schrems in Wien sitzt und die ganz viele Musterverfahren über die Behörde dort lässt, dass die kaum Kapazitäten freihaben, um sich mal um ihre Sachen zu kümmern. Was natürlich für uns super ist, weil die immer ganz viel präjudizielle Arbeit machen, dass man weiß, wie das läuft. Aber natürlich, die kleinen Unternehmen oder die kleineren Unternehmen können sich zurücklehnen. 

In Deutschland ist das anders. Da gibt es wirklich proaktive Schreiben von den Aufsichtsbehörden. Da gibt es Anfragen von den Behörden, wo man dann in der Regel zwischen 2 und 3 Wochen antworten muss. Daher auch die Antwort: Da einfach auch schauen, wo man sitzt und vielleicht das Thema auch nicht immer zu easy-peasy nehmen. Weil ich sag immer, die DSGVO wird jetzt bald vier Jahre alt. – So, dass sie in Kraft ist. Sechs Jahre sozusagen, seitdem sie heraußen ist. Ich glaube einfach, die Behörden waren zwei Jahre lang mild. Und jetzt glaube ich, wenn man sich dann nochmal in die Lage von Sachbearbeitern oder auch Juristen oder in die Behörden versetzt, da denkt man sich dann glaube ich auch: „Ja, nach vier, fünf Jahren könnten es doch die Leute wissen.“ Und ich glaube, diese Schonfrist ist, um jetzt die Jägersprache zu bedienen, langsam vorbei.

Nina Kirsch: Ja, das kann ich mir auch gut vorstellen. Ich habe auch gehört, dass halt dann Behörden, vielleicht jetzt bei kleineren Unternehmen… Dass es da vor allem auch darum geht, zu gucken: Wird denn da schon was gemacht? Und selbst wenn es nicht ganz perfekt ist, das ist dann auch nicht, dass sie dir dann auch nicht unbedingt jetzt was aufdrücken, sondern, dass es halt darum geht: Hey, die möchten sehen, du bist bemüht, das richtigzumachen, oder?

Elisa Drescher: Genau, das ist auch gerade in kleineren Unternehmen der Fall. Das Wichtige ist, das habe ich auch vor kurzem in einem anderen Interview gesagt: Wenn ein Behördenschreiben kommt, holt euch wirklich Unterstützung von einem Profi und beantwortet nur die Fragen, die euch gestellt werden. Und reitet euch nicht selber noch in das eigene Verderben, in dem ich mehr sage, als eigentlich gefragt wird. Es ist ein Riesenrat, immer.

Nina Kirsch: Okay. Das ist auch so ein Juristen-Rat, glaube ich.

Elisa Drescher: Absolut!

Nina Kirsch: Okay, cool. Ja, mega spannend. Ich denke, ich habe so ein bisschen die Berührungsängste verloren, ehrlich gesagt, weil ich mich da auch und das gesamte kirschwerk einfach super gut aufgehoben fühle in deinen Händen. Zum Abschluss stelle ich immer noch mal eine besondere Frage. Und zwar: Welchen Tipp oder welchen Ratschlag hast du jetzt für meine Hörer, für meine Hörerinnen, die auf der Suche nach Personal sind und im Thema Datenschutz und Bewerbermanagement auf der sicheren Seite sein möchten? Was sollten Sie unbedingt, vielleicht direkt im Anschluss tun?

Elisa Drescher: Ja, ich könnte jetzt Eigenwerbung machen und sagen: Schaut auf dataprotection-scaleline.com oder schreibt es mir gerne auf LinkedIn oder Instagram. Ich bin immer erreichbar und immer happy to help. Nein, Scherz beiseite, es gibt da draußen so viele tolle DatenschützerInnen, Datenschutzbeauftragte. Wenn ihr euch unsicher seid, fragt euren Anwalt des Vertrauens oder euren Datenschutzjuristen des Vertrauens. Wir sind immer froh, wenn wir helfen können. Und im Endeffekt: Datenschutz ist eine Compliance Disziplin, und da geht es darum, dass man einfach, bevor was passiert, die Maßnahmen trifft, dass eben nichts passiert. Und wenn das jemand beherzigt oder sich einfach denkt: Ich möchte das Thema angehen, holt euch den Rat, es kann euch nur wirklich dienen und eurem Unternehmen.

Nina Kirsch: Okay, das heißt, man kann einfach dann auch mit einem Datenschützer, mit einer Datenschützerin einfach mal einen kostenlosen Termin ausmachen und sagen: Schau mal, grob sieht es bei mir so aus, siehst du da irgendwo Potenzial, dass da irgendwo eine Lücke wäre? Oder man kann es einfach mal grob beleuchten lassen.

Elisa Drescher: Ja, auf alle Fälle. Es gibt einen unterschiedlichen Zugang. Ich habe bei uns immer den Zugang, bevor wir jemanden onboarden, einfach auch mal länger zu telefonieren. Gerne auch per Video-Telefonat, dass man mal sagt: Okay, erklär mal, was ist euer Geschäftsmodell? Wo könnte es bei euch problematisch sein? Dann natürlich, wenn man die Erfahrung hat, stellt man halt dann noch kritische Rückfragen, und dann kann man auch sagen: Okay, die Punkte und die Punkte gehen wir als Erstes an. Ich sage dann immer ganz gerne: Glänzen auch nach außen. Das heißt, dass man die ersten Punkte, wo ein Kunde oder ein Bewerber auf die eigene Page kommt, dass das alles passt und die interne Dokumentation. Das muss ich ein bisschen leise sagen, das kann man ja dann alles nachziehen, aber alles zumindest nach außen zuerst mal machen.

Nina Kirsch: Ja klar, aber das sind ja auch die ersten Angriffspunkte, das macht ja durchaus Sinn. Und sich dann eben voran zu hangeln. Alles auf einmal kann ja auch niemand leisten. Also ich glaube, das Wichtigste ist echt: Hey, geh es an, such dir eine Person deines Vertrauens, die da mal einen Blick drauf wirft, so wie es Elisa gesagt hat. Man kann da einfach mal drüber sprechen und Potenziale mal ermitteln und nicht so lange die Augen verschließen, wie ich das gemacht habe, sondern früher einfach mal tätig werden. Und speziell im Bewerbungsprozess gibt es da einfach doch auch ein paar Sachen, die zu beachten sind. Mega cool, liebe Elisa, wir sind schon am Ende. Vielen herzlichen Dank. Es war total spannend. Ich habe extrem viel gelernt, und du hast es bunt gemacht. Vielen Dank dafür.

Elisa Drescher: Ich bedanke mich bei dir für die Einladung und ich bin immer wieder überrascht. Ich habe gerade auf die Uhr geschaut, wie schnell die Zeit verfliegt, wenn wir beide am Reden sind. Ich hoffe, dass es den HörerInnen auch so geht, und sie denken: Oh mein Gott, das waren jetzt knappe 35, 40 Minuten. Nein, das ist super geworden. Vielen Dank.

Nina Kirsch: Ja, ich danke. Genau. Und wenn es dir Spaß gemacht hat, wenn es die Freude gemacht hat, wenn du was mitgenommen hast, dann kannst du natürlich auch sehr gerne einen Kommentar hinterlassen oder unseren Podcast natürlich abonnieren. Das hilft uns, um mehr Reichweite mit unseren Inhalten zu erzielen. Vielen Dank und bis zum nächsten Mal. Danke dir, Elisa. Ciao.

Elisa Drescher: Tschüss. Danke.