open search
close
Arbeitsrecht 4.0 Datenschutz

Ins Netz gegangen – E-Recruiting und Background-Checks unter der DSGVO

Print Friendly, PDF & Email
E-Recruiting

In Zeiten zunehmender Digitalisierung neigen Nutzer dazu, mehr Daten von sich preis zu geben und einem größeren Publikum zugänglich zu machen. Diese Datenquellen machen sich auch potentielle Arbeitgeber verstärkt zu nutze. Für Unternehmen stellt sich zunehmend die Frage, wie geeignete Kandidaten für eine bestimmte Stelle ausfindig gemacht bzw. aus der Anzahl der interessierten Bewerber identifiziert werden können. Insbesondere Soziale Netzwerke bieten eine effektive und kostengünstige Möglichkeit, eine Vorauswahl zu treffen oder interessante Arbeitnehmer ausfindig zu machen. Wir zeigen, welche Fallstricke es auch nach Inkrafttreten der DSGVO zu beachten sich lohnt.

Was ist „E-Recruiting“?

Der Einsatz von elektronischen Medien und Personalsystemen zur Unterstützung von Arbeitgebern, Bewerbern oder Dritten (Headhunter) im Bewerbungsprozess wird als „E-Recruiting“ bezeichnet. Um auch das Potential der in der digitalen Welt aufgewachsenen Generation auszuschöpfen und diese sog. „Digital Natives“ zu erreichen, nutzen spezialisierte E-Recruiter und Personalmanager das Internet gezielt für den Recruiting-Prozess geeigneter Kandidaten und bedienen sich zunehmend auch der Recherche in Sozial Netzwerken.

Rahmenbedingungen

Die üblicherweise in Sozialen Netzwerken eingestellten persönlichen Angaben (Name, Kontaktdaten, Geburtstag, Beruf, Werdegang) sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, und mithin personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Dabei ist es unerheblich, ob es sich um einen Bewerber (§ 26 Abs. 8 S. 2 BDSG n.F.) oder einen durch den Arbeitgeber ausfindig gemachten Kandidaten handelt, wie auch, ob die entsprechenden Daten über Suchmaschinen (öffentlich) zugänglich sind oder für eine Recherche die vorherige Registrierung in einem Netzwerk erfordern (Art. 14 Abs. 2 lit. f) DSGVO).

Die Erhebung, Verarbeitung und Nutzung entsprechender Daten durch private Arbeitgeber ist daher auch künftig nur zulässig, soweit der Betroffene zuvor wirksam eingewilligt (Art. 6 Abs. 1 lit. a) DSGVO) oder dies von einer Erlaubnisnorm (Art. 9 Abs. 2 lit. e); Art. 6 Abs. 1 lit b) und f) DSGVO) bzw. einer spezifischeren nationalen Vorschrift (Art. 88 DSGVO i.V.m. § 26 Abs. 1 S. 1 BDSG n.F.) gedeckt ist. Nicht – explizit – vorgesehen ist unter der DSGVO jedoch der bislang zu beachtende Grundsatz der Direkterhebung, wonach personenbezogene Daten beim Betroffenen selbst zu erheben sind.

Freizeitorientierte Soziale Medien / Soziale Netzwerke mit privatem Nutzungscharakter

Handelt es sich um ein öffentliches Profil, das von jedem beliebigen Internetnutzer ohne vorherige Registrierung oder Anmeldung abgerufen werden kann, fragt sich, ob der Profilinhaber durch das Einstellen seiner Daten bei uneingeschränkter Zugriffsmöglichkeit Dritter (auch) in ihre Erhebung, und Verarbeitung durch potentielle Arbeitgeber eingewilligt hat. Unter Beachtung der Anforderungen durch Art. 4 Nr. 11 („in informierter Weise“) und Art. 6 Abs. 1 S. 1 lit. a) DSGVO (bestimmter Zweck) sowie § 26 Abs. 2 S. 4 BDSG n.F. ist zum Schutz der Betroffenen eine vorherige Hinweispflicht auf den vorgesehenen Zweck der Erhebung, Verarbeitung und Nutzung der Daten vorgesehen. Gerade hieran dürfte es bei der Nutzung Sozialer Netzwerke mit privatem Nutzungscharakter fehlen. Denn der Profilinhaber kann nicht davon ausgehen, dass seine Daten aus geschäftlichen Zwecken zur Mitarbeitersuche ausgewertet werden. Hinzu kommt, dass Einwilligungen im Bereich des Beschäftigtendatenschutzes von Bewerbern regelmäßig auch an dem in Art. 7 Abs. 4 DSGVO und § 26 Abs. 2 BDSG n.F. zum Ausdruck kommenden „Kopplungsverbot“, also dem Verbot zu messen sein werden, die Anbahnung eines Beschäftigungsverhältnisses in Verbindung mit der Einwilligung zu setzen, was bedenklich erscheint.

  • Begründung eines Beschäftigungsverhältnisses als Erlaubnistatbestand?

Eine zulässige Erhebung und Nutzung der Daten kommt daher in aller Regel nur bei Eingreifen einer Erlaubnisnorm in Betracht. Hier kommen insbesondere Art. 88 DSGVO i.V.m. § 26 Abs. 1 S. 1 BDSG n.F. (Erforderlichkeit zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses) und – bei Bejahung „beschäftigungsfremder“ Zwecke – Art. 6 Abs. 1 lit. f) DSGVO in Betracht, wenngleich sich regelmäßig im Ergebnis nichts ändern wird. Die Anwendung von § 26 Abs. 1 S. 1 BDSG n.F. dürfte in einer Vielzahl der Fälle aber bereits an der Erfüllung der Tatbestandsvoraussetzungen scheitern. Denn von „Bewerbern“ i.S.v. § 26 Abs. 8 S. 2 BDSG n.F. wird nur bei Bestehen eines vertragsähnlichen Vertrauensverhältnisses im Anbahnungsstadium gesprochen werden können. Dies wird bei einer dem Profilinhaber regelmäßig verborgen bleibenden Informationsgewinnung nicht vorliegen. Entsprechendes wird mangels Anfrage des Betroffenen für Art. 6 Abs. 1 S. 1 lit. b) DSGVO gelten müssen.

  • Kommerzielle Nutzung von Daten als Stolperstein für Recruiter?

Können personenbezogene Daten eines Betroffenen ohne Weiteres mittels einfacher Internetrecherche oder durch eine Suchmaschine aufgefunden werden, kann ihre Erhebung und Verarbeitung künftig nach Art. 9 Abs. 2 lit. e) und Art. 6 Abs. 1 lit. f) DSGVO datenschutzrechtlich gerechtfertigt sein, soweit nicht die Interessen des Bewerbers das Informationsinteresse des potentiellen Arbeitgebers überwiegen. Hier werden jedoch regelmäßig Interessen des Betroffenen einer gezielten kommerziellen Nutzung seiner Daten für Geschäftszwecke Dritter entgegenstehen. Dies wird jedenfalls für Daten gelten müssen, die keinen Bezug zu einem möglichen Arbeitsverhältnis haben bzw. über das Fragerecht des Arbeitgebers im Bewerbungsprozess hinausgehende Erkenntnisse ermöglichen.

Selbst wenn ein Zugriff auf personenbezogene Daten erst nach einer vorherigen Anmeldung als registrierter Nutzer möglich ist, werden diese regelmäßig als (noch) „öffentlich“ anzusehen sein. Da die Anmeldung meist kostenfrei und mit wenig Aufwand in kurzer Zeit durchgeführt und somit von einem beliebig erweiterbaren Personenkreis ausgegangen werden kann, sind an den Zugriff auf solche Daten keine gesteigerten Anforderungen zu stellen. Auch hier wird die nach Art. 6 Abs. 1 lit. f DSGVO vorzunehmende Interessenabwägung regelmäßig zugunsten des Betroffenen ausfallen, da eine kommerzielle Nutzung vornehmlich privater und der Gestaltung sowie Darstellung des Privatlebens dienender Sozialer Netzwerke mit ihrem Nutzungscharakter nicht in Einklang zu bringen sein wird. In jedem Fall müssen potentielle Arbeitgeber damit rechnen, an auf diese Weise gewonnenen Daten kein überwiegendes Interesse begründen bzw. nachweisen zu können.

  • Interessen des Betroffenen regelmäßig schutzwürdiger

Personenbezogene Daten, auf die selbst nach vorheriger Registrierung und Anmeldung nur von dem mit dem Betroffenen direkt verbundenen Kontakten zugegriffen werden kann, sind nicht mehr „öffentlich“. Eine durch die „Annahme einer Kontaktanfrage“ (konkludent) erklärte Einwilligung wäre erneut an den o. g. Voraussetzungen zu messen und wird daher ebenso regelmäßig ausscheiden, da entsprechende Anfragen gewöhnlich nicht unter Nennung des vorgesehenen Zwecks der beabsichtigten Datenverarbeitung erfolgen. Die Auswertung von nur direkt mit dem Betroffenen vernetzte Mitglieder sichtbaren Profilen für Zwecke des E-Recruiting ist daher auch nach Durchführung einer Interessenabwägung unzulässig. Gerade hier müssen die Betroffenen darauf vertrauen können, dass ihre Daten nicht von Unternehmen gezielt zur Anwerbung von Mitarbeitern analysiert werden. Hat ein potentieller Kandidat der Kontaktanfrage eines interessierten Arbeitgebers jedoch zugestimmt, der zuvor eindeutig auf die Datenerhebung für Zwecke des Recruiting hingewiesen hat, erscheint eine Auswertung seiner personenbezogenen Daten im Rahmen der mitgeteilten gewerblichen Zwecke aber zumindest vorstellbar.

Berufsbezogene Soziale Medien

Personenbezogene Daten in berufsorientierten Sozialen Netzwerken dienen vor allem der Darstellung der beruflichen Qualifikation ihrer Mitglieder. In einem bereits laufenden Bewerbungsprozess erscheint eine Erhebung der entsprechenden Daten auch ohne Einwilligung nach § 26 Abs. 1 S. 1, Abs. 8 S. 2 BDSG n.F. möglich.

Nichts Anderes dürfte auch für das Auffinden und Kontaktieren eines potentiellen Kandidaten gelten. Soweit Daten mittels einer Suchmaschine ohne vorherige Registrierung bzw. Anmeldung auffindbar und daher „öffentlich“ sind, kann ihre Erhebung, Verarbeitung und Nutzung jedenfalls innerhalb der Grenzen von Art. 9 Abs. 2 lit. e), Art. 6 Abs. 1 lit. f) DSGVO zulässig sein. Regelmäßig dürfte hier die Interessenabwägung zugunsten des interessierten Arbeitgeber bzw. in seinem Auftrag handelnden Recruiters ausfallen. Denn der Betroffene muss hier damit rechnen, dass seine frei zugänglichen Daten (auch) für kommerzielle Zwecke von Unternehmen genutzt werden, soweit dies nicht sogar bezweckt war. Dies gilt auch, soweit Daten nur registrierten Mitgliedern des berufsorientierten Sozialen Netzwerks zugänglich sind. Denn zumindest für die dort angemeldeten Unternehmen sind sie „öffentlich“.

Wurde der Datenzugriff hingegen auf solche Kontakte beschränkt, die mit dem Betroffenen „vernetzt“ sind, ist die Nutzung dieser Daten im Recruiting-Prozess nur dann zulässig, wenn der potentielle Arbeitgeber bei der Kontaktaufnahme seine Absichten offenlegt und auf eine mögliche Auswertung der Daten hingewiesen hat. Da diese Daten nicht „öffentlich“ sind, scheidet hier eine Anwendung von Art. 9 Abs. 2 lit. e) DSGVO sowie im Übrigen selbst bei berufsbezogenen Daten von § 26 Abs. 1 S. 1 BDSG n.F. aus.

Fazit

Insbesondere die Bedeutung von Sozialen Netzwerken als Recruiting-Tool wird unabhängig von der konkreten Ausgestaltung künftiger Arbeitsmodelle beständig steigen. In Zeiten des demographischen Wandels und des mit ihm einhergehenden Fachkräftemangels sind sich gut ausgebildete Kandidaten ihrer privilegierten Situation bewusst. Für interessierte Arbeitgeber bedeutet dies, dass der Recruiting-Prozess frühestmöglich einsetzen muss, um auch geeignete Kandidaten zu erreichen, die sich von alleine nicht auf eine offene Stelle beworben hätten oder nicht aktiv auf Stellensuche sind. Insbesondere bei der Nutzung Sozialer Netzwerke sollte der Fokus dabei auch unter der ab dem 25. Mai 2018 geltenden DSGVO ausschließlich auf der Nutzung berufsorientierter Sozialer Netzwerke liegen.

9 beiträge

Jan-Philipp Brune




Jan-Philipp Brune begleitet Arbeitgeber vorwiegend bei Umstrukturierungsprojekten, im Bereich des Betriebsverfassungsrechts und der Vertragsgestaltung. Ein weiterer Schwerpunkt seiner Tätigkeit liegt auf der Prozessführung und der Beratung von Kündigungsrechtsstreitigkeiten.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Rekord-DSGVO-Bußgeld für die Modekette H&M

Der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar hat gegen die Modekette H&M ein Bußgeld von € 35,3 Mio verhängt. In der Nürnberger Filiale der Modekette war seit Jahren das Privatleben von Beschäftigten systematisch ausgespäht worden. Bereits im Oktober 2019 war bekannt geworden, dass in der Nürnberger Filiale von H&M Führungskräfte sogenannte Welcome-Back-Gespräche mit Beschäftigten geführt hatten, die aus Urlaub oder Krankheit zurückkehrten. Dabei wurden u….
Corona Datenschutz Home Office Neueste Beiträge

Bitte zunächst Fieber messen – oder doch nicht?

Nachdem aufgrund der Corona-Pandemie in vielen Unternehmen Homeoffice angeordnet worden ist oder immer noch praktiziert wird, stellt sich nunmehr die Frage, welche Maßnahmen bei der Rückkehr zum Arbeitsplatz getroffen werden müssen und dürfen, um zu prüfen, ob ein Arbeitnehmer sich gegebenenfalls mit dem Corona-Virus angesteckt hat. Ein aus den Medien bekanntes Mittel ist dabei die Fiebermessung. In vielen Ländern wird dies bereits praktiziert, in Deutschland…
Datenschutz Haftung Neueste Beiträge

Datenschutzgrundverordnung: Wie weit reicht der Auskunftsanspruch?

„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können“, heißt es in Erwägungsgrund 63 zur Datenschutzgrundverordnung (DSGVO). Gemeint ist der Auskunftsanspruch gemäß Art. 15 DSGVO. Arbeitgeber können jederzeit mit einem Antrag auf Auskunft konfrontiert werden und vor der Frage stehen: Was genau wird eigentlich von diesem Auskunftsanspruch…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.