Die Februar-Ausgabe des PERSONALMAGAZINS widmet sich beinahe komplett dem Top-Thema Eignungsdiagnostik. Und in der Tat: Immer mehr Unternehmen setzen Online-Auswahltests im Rahmen der Personalauswahl ein. Und das gilt nicht nur für die großen Konzerne, sondern in zunehmendem Maße auch für den Mittelstand.

Das dürfte einerseits daran liegen, dass sich so langsam die Erkenntnis durchsetzt, dass eignungsdiagnostische Testverfahren durchaus wertvolle beurteilungs- und auswahlrelevante Erkenntnisse über die kognitive Leistungsfähigkeit, berufsbezogene Persönlichkeit, Interessen oder den Cultural Fit eines Kandidaten oder einer Kandidatin liefern können.

Wesentlich dürften aber auch die massiven Digitalisierungsbestrebungen der Unternehmen sein, zumal Online-Tests ein wunderbares Instrument für das datengetriebene Recruiting und den Aufbau aussagekräftiger People Analytics-Systeme sein können.

Es hat also auch etwas mit dem Zauberwort “Digitalisierung” zu tun…

Es liegt auf der Hand, dass bei derart sensiblen personenbezogenen Daten das Thema Datenschutz ganz oben auf die Agenda gehört. Und auch wenn es da prinzipiell schon immer hingehörte, bekommt das Thema spätestens durch die direkte Anwendbarkeit der EU-Datenschutzgrundverordnung (EU-DSGVO) ab Mai 2018 noch einmal eine ganz andere Dringlichkeit.

Warum?

Nun, weil Verstöße gegen die gesetzlichen Vorgaben dann richtig unangenehm werden können. Und mit “unangenehm” meine ich nicht nur richtig teuer (statt wie bisher lt. BDSG bis zu 300.000 €, sieht die DSGVO Bußgelder von bis zu 20 Mio. oder 4% des weltweiten Konzern-Jahresumsatzes vor), sondern ich meine auch unangenehm iSv. “nervig”, wirklich nervig.

Es reicht im Prinzip ein unzufriedener Nutzer, der von seinem Beschwerderecht nach Art. 77 DSGVO Gebrauch macht und sich bei einer Aufsichtsbehörde meldet, und schon hat man als Unternehmen ebenjene Aufsichtsbehörde auf der Matte stehen. Und diese lässt sich dann haarklein darlegen, ob man das denn nun auch alles ordentlich macht mit dem Datenschutz… Das muss sie nämlich auch, da sie ansonsten dem Beschwerdeführer kaum Auskunft über Stand und Ergebnis seiner Beschwerde geben könnte, was sie aber wiederum gem. Art. 78 DSGVO muss.

Aber bevor jetzt alle Schnappatmung bekommen, erstmal durchatmen.

Klar, das Thema Datenschutz bekommt durch die DSGVO ein ganz anderes Gewicht (gut so!), aber man kann diese Dinge ja auch alle regeln.

Was bedeutet das konkret im Zusammenhang mit dem Einsatz von Online-Tests zur Bewerberauswahl?

Je nach individueller Ausgestaltung verarbeitet der Testanbieter im Auftrag des rekrutierenden Unternehmens mehr oder weniger eindeutig personenbezogene Daten.

Sofern zum Beispiel die Einladung zum Online-Test direkt über ein System des Testanbieters an den Testkandidaten geschickt wird (in der Regel per E-Mail) ist die Sache sehr eindeutig. Die E-Mail ist ein personenbezogenes Merkmal und folglich liegt hier klar eine Auftrags(daten)verarbeitung durch den Testanbieter vor.

Oftmals werden die Testsysteme allerdings auch dergestalt angebunden, dass die Einladung zum Test durch das Bewerbermanagementsystem des rekrutierenden Unternehmens verschickt wird und der Testkandidat dann über einen kodierten Link oder eine TAN Zugang zum Testsystem des Testanbieters erhält. In diesem Fall erhält der Testanbieter in dem Moment, wo der Kandidat den Test betritt möglicherweise nur ein pseudonymes Merkmal des Kandidaten (z.B. dessen Bewerber-ID aus dem Bewerbermanagementsystem des Kunden). Der Testanbieter kann folglich keinen direkten Bezug der Testergebnisse zu einer natürlichen Person herstellen, denn er weiß nicht, ob sich Lieschen Müller oder Maximilian Mustermann hinter der Bewerber-ID verbirgt. Der Personenbezug ist nur beim Auftraggeber oder innerhalb des Bewerbermanagementsystems herstellbar, jedenfalls nicht beim Testanbieter.

Da der Testanbieter aber mindestens kurzfristig die IP-Nummer des Kandidaten verarbeiten muss (sonst könnte er keine Inhalte ausliefern…) und da es in der Praxis durchaus vorkommen kann, dass der Testanbieter sog. First-Level-Support bei Nutzern leistet, die bspw. ein technisches Problem hatten, tritt der Fall der Auftragsverarbeitung personenbezogener Bewerberdaten durch den Testanbieter doch schneller ein, als man das eigentlich geplant hatte. Es reicht ja schon, wenn ein Mitarbeiter des rekrutierenden Unternehmens unbedacht eine E-Mail eines Kandidaten an den Testanbieter weiterleitet oder vergisst, den Mailtext des Kandidaten aus der weitergeleiteten Frage zu löschen.

Egal wie: Das rekrutierenden Unternehmen sollte auf jeden Fall mit dem Testanbieter eine sog. Auftragsverarbeitungsvereinbarung (AVV) schließen, denn es reicht eben, dass “ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann”. Diese AVV regelt die Rechte und Pflichten beider Seiten im Zusammenhang mit der Auftragsverarbeitung von (personenbezogenen) Daten.

Im Einzelnen (Art. 28 EU DSGVO):

• Gegenstand der Verarbeitung
• Dauer der Verarbeitung
• Art und Zweck der Verarbeitung. Hierbei sollte sehr konkret beschrieben werden, wie und wann welche Daten zwischen welchen Systemen hin- und hergeschickt und verarbeitet werden
• Art der personenbezogenen Daten und die Kategorien von betroffenen Personen
• Umfang der Weisungsbefugnisse
• Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
• Sicherstellung von technischen und organisatorischen Maßnahmen (den “TOM”)
• Regelungen bei Hinzuziehung von Unterauftragnehmern
• Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
• Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
• Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
• Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
• Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Wichtiger Bestandteil dieser Vereinbarung sind dabei regelmäßig wie dargestellt die sog. “TOM” (Technisch-organisatorische Maßnahmen) des Auftragnehmers, in diesem Fall des Testanbieters.

Diese sind in Form eines sog. Verzeichnis von Verarbeitungstätigkeiten festzuhalten (Art. 30 DSGVO). Darin dokumentiert der Testanbieter, wie er mit Daten umgeht, wer verantwortlich ist, welche Personengruppen Zugriff auf welche Daten haben, wie Regelfristen zur Datenlöschung aussehen, wo (geografisch) die Datenverarbeitung stattfindet bzw. in welche Länder Daten bei der Verarbeitung fließen, welche Unterauftragnehmer (z.B. Hosting oder Housing-Unternehmen) der Testanbieter zur Erbringung seiner Dienstleistung einsetzt, Benennung des Datenschutzbeauftragten usw..

Zentraler Bestandteil dieser Dokumente sind dabei die konkreten technisch-organisatorischen Maßnahmen der Datensicherung:

• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennungskontrolle

All das wird Bestandteil der Auftragsverarbeitungsvereinbarung zwischen dem Testanbieter und dem Unternehmen, das die Tests einsetzt.

Klingt kompliziert. Und da ich dieses Thema nicht nur durch meine Frau, die ja selber zahlreiche Unternehmen in Fragen der DSGVO berät, quasi jeden Tag mit am Abendbrotstisch sitzen habe, sondern wir uns bei CYQUEST als Testanbieter natürlich hiermit schon sehr lange intensiv beschäftigen, kann ich bestätigen, dass es das auch ist.

Aber die gute Nachricht: Seriöse Anbieter von Tests sollten das alles mehr oder weniger out-of-the-box parat haben.

Wenn Ihr also bei Euch im Unternehmen den Einsatz von (Online-)Tests planen solltet, dann fragt Euren Anbieter (oder den, der es vielleicht werden soll) doch einfach mal nach den entsprechenden Vertragsentwürfen und Dokumenten. Das sollte dann eigentlich per Knopfdruck verfügbar sein. Denn: Das Thema ist nicht neu. Auch schon vor der DSGVO waren datenverarbeitende Unternehmen selbstverständlich verpflichtet, die entsprechenden Informationen fertig aufbereitet verfügbar zu haben. Das hat sich im Prinzip überhaupt nicht geändert. Nur die Fallhöhe für alle Beteiligten ist nun, spätestens ab Mai 2018, wie gesagt eine andere.

Information zur Datenverarbeitung (formerly known as “Datenschutzerklärung”)

Während die Auftragsverarbeitungsvereinbarung die Dinge zwischen dem Testanbieter und dem die Tests einsetzenden Unternehmen regelt, muss zudem auch noch der letztlich Betroffene, der Test-Kandidat, in die ganze Angelegenheit einbezogen werden.

Klar, zu dem Zeitpunkt, wenn ein Bewerber mit dem Online-Assessment in Berührung kommt, hat er dem Unternehmen ja typischerweise schon allerhand personenbezogene Daten mitgeteilt – in Form seiner Bewerbung. Unter welchen Bedingungen er dies tut, darüber muss der Bewerber natürlich auch an der Stelle aufgeklärt werden. D.h. bei oder konkreter vor der eigentlichen Bewerbung muss eine datenschutzrechtliche Aufklärung des Bewerbers über die Art und Weise der Verarbeitung seiner Bewerberdaten stattfinden. Sofern es sein kann, dass er im Verlauf des Bewerbungsprozesses mit einem Online-Test in Berührung kommt, macht es Sinn, den Bewerber bereits hier – im Rahmen seiner Bewerbung – darauf hinzuweisen und darüber aufzuklären. Eine explizite Einwilligung ist hier wiederum bis auf in speziellen Sonderfällen nicht notwendig, weil es mit §26 BDSG-neu eine gesetzliche Grundlage zur Verarbeitung von Bewerberdaten gibt.

Gleichwohl empfiehlt es sich, auch noch einmal beim (möglicherweise ja zeitversetzt zum Einsatz kommenden) Auswahltest eine sog. Datenschutzerklärung, oder im DSGVO-Sprech: Information zur Datenverarbeitung – IDV, zu integrieren, die den Testteilnehmer noch einmal dezidiert über die Art und Weise der Verarbeitung seiner Daten im Zusammenhang mit dem Test informiert.

Hier wird also im Gegensatz zur oben beschriebenen Auftragsverarbeitungsvereinbarung nicht das Verhältnis zwischen rekrutierendem Unternehmen und Testanbieter definiert, sondern das Verhältnis zwischen rekrutierendem Unternehmen (und seinem beauftragten Datenverarbeiter, dem Testanbieter) auf der einen Seite und dem Bewerber auf der anderen.

Aber auch hier gilt: Klingt kompliziert und juristisch ist es das auch. Aber seriöse (Test-)Anbieter sollten auch hierfür fertige Muster vorliegen haben.

Fazit:

Ja, die DSGVO schwenkt noch einmal mit Nachdruck den Scheinwerfer auf das Thema Datenschutz. Allein die drohenden Bußgelder sollten Anlass genug sein, sich dem Thema zu widmen.

Und natürlich sind Auswahltests – wir reden ja immerhin über Verfahren zur Erhebung psychografischer Merkmale – direkt hiervon betroffen.

Aber ebenso natürlich lässt sich das alles natürlich lösen. Und gute Testanbieter haben dafür auch schon fertige Lösungen.

Wenn einem das kein gutes Gefühl gibt… ;-)

P.S. Dies ist ein Beitrag zur Blogparade “Weckruf EU-DSGVO”.