Janik Brunner ist IT-Security Manager bei der Brunner & Kollegen Datenschutz GmbH – und außerdem unser persönlicher Datenschutzbeauftragter. Wir haben ihn gefragt, wie guter Datenschutz in unserer Branche aussieht und wie Berg auf diesem Gebiet abschneidet.

Herr Brunner, Datenschutzbeauftragter bei einem Personaldienstleister zu sein, bedeutet….?

Bedeutet auf jeden Fall viel Verantwortung, weil hier direkt mit Personendaten gearbeitet wird. Da hängen vom Umgang damit im Zweifelsfall persönliche Schicksale ab. Man muss sich vor Augen halten, dass allein in Deutschland Personaldienstleister wie Berg jedes Jahr Daten von rund 1,5 Millionen* Kandidat:innen verarbeiten und diese an ihre Kundenunternehmen weiter geben. Das ist eine große Hausnummer.

Diskretion ist daher sehr wichtig, genauso wie akkurates Arbeiten und die Kenntnisse sämtlicher gesetzlicher Vorgaben, die sich allerdings auch immer wieder ändern. Das Gute für alle, die mit Berg zusammenarbeiten: hier gelten höchste Datenschutzstandards. Und damit meine ich, höher als der deutsche Standard im Allgemeinen und auch höher als der Standard in der Personaldienstleistungsbranche.

Was sind Ihre Aufgaben innerhalb der Berg-Gruppe?

Zum einen behalte ich sämtliche gesetzlichen Regelungen, die für die Branche gelten, ständig im Blick und bespreche Veränderungen, die ein Handeln erfordern, proaktiv mit den zuständigen Ansprechpartnern bei Berg. War jetzt erst der Fall beim Hinweisgeberschutz- bzw. Whistleblower-Gesetz. Zum anderen sorge ich dafür, dass die zugehörige Dokumentation immer auf Stand ist. Dazu führen wir einmal im Jahr bei Berg ein Datenschutz-Audit durch, den wir mit einem Datenschutzjahresbericht abschließen.

Das ist auch gegenüber von Aufsichtsbehörden ein Beleg dafür, dass man das Thema Datenschutz tatsächlich ernst nimmt. Und wenn man das so regelmäßig macht, kann man auf Veränderungen auch sehr sehr schnell reagieren. Davon profitiert das Unternehmen aber auch, denn die Digitalisierung findet auch in der Personaldienstleistungsbranche statt, was bedeutet: in Zukunft werden noch mehr Daten in der Cloud bzw. digital verarbeitet. Wer hier am Ball ist, ist folglich schneller als der Wettbewerb – und professioneller im Auftritt.

Welche besonderen Richtlinien gelten denn für Personaldienstleister, welche werden häufig nicht eingehalten – und was passiert, wenn diese nicht eingehalten werden?

Neben der Datenschutzgrundverordnung (DSGVO) kommt hier auch das Bundesdatenschutz zur Anwendung, das Arbeitnehmerüberlassungsgesetz und manchmal sogar das Strafrecht. Diese Gesetze regeln welche Daten zu welchem Zweck wie weitergegeben und weiterverarbeitet werden dürfen. Und natürlich auch, wie ein Verstoß zu bestrafen ist.

Ein ganz typischer Verstoß in der Branche ist – neben unvollständigen Datenschutzbestimmungen auf der Website – die unzureichende Dokumentation und Pflege von Datenschutzunterlagen wie AV-Verträgen und die Einhaltung technischen organisatorischen Maßnahmen (TOMs).

Wenn man dagegen verstößt, kommt es nun darauf an, ob es jemand bemerkt und der zuständigen Aufsichtsbehörde meldet. Denn die ist dann verpflichtet, einem solchen Hinweis nachzugehen. Schlimmstenfalls wird ein Bußgeld verhängt und das kann inzwischen recht happig ausfallen, weil sich die Sätze seit 2018 am Jahresumsatz des betroffenen Unternehmens orientieren. Es kann also richtig teuer werden.

Wie können Bewerbende sicher gehen, dass mit ihren Daten sorgfältig umgegangen wird?

Man sollte grundsätzlich immer nachfragen, wenn etwas unklar ist, und auf jeden Fall immer zuerst einmal die Datenschutzerklärung und weitere Informationen des Unternehmens auf dessen Internetseite gut durchlesen. Und dann auch den zugeschickten Vertragsentwurf.

Denn: gut aufgestellte Unternehmen bieten dazu auch transparente Informationen an. Eigentlich sind sogar alle dazu verpflichtet Und natürlich hat man das Recht, Auskunft darüber zu erhalten, welche Daten gespeichert werden bzw. welche bereits gespeichert wurden und wie diese genutzt werden. Diese Auskunft muss jedes Unternehmen kostenlos erteilen – übrigens auch die SCHUFA, die aber offiziell auf ihrer Website dafür 30 Euro verlangt.

Wie geht denn die Mehrheit der Personaldienstleister mit dem Thema Datenschutz um?

Ich würde sagen, dass in der Branche häufig noch viel Unwissenheit verbreitet ist. Viele wissen zum Beispiel nicht, dass bei der Weitergabe von Kandidaten-Daten das sogenannte Minimalprinzip gilt. Bedeutet: ich kann, beispielsweise nur weil ich wenig Zeit habe, meinem Kundenunternehmen nicht einfach einen vollständigen Lebenslauf weiterleiten. Das ist ein absolutes No-Go, denn nicht alle Angaben sind für die Bewerberauswahl relevant, andere wiederum dürfen nur in anonymisierter Form weitergegeben werden. Geschlecht und Konfession sind beispielsweise typische Informationen, die heutzutage gar nicht mehr weitergegeben werden dürfen. Passiert aber heutzutage immer noch und immer wieder. Bei Berg dagegen kann jeder Bewerbende sicher sein, dass das nicht der Fall ist – das kann ich garantieren.