In Zeiten zunehmender Digitalisierung neigen Nutzer dazu, mehr Daten von sich preis zu geben und einem größeren Publikum zugänglich zu machen. Diese Datenquellen machen sich auch potentielle Arbeitgeber verstärkt zu nutze. Für Unternehmen stellt sich zunehmend die Frage, wie geeignete Kandidaten für eine bestimmte Stelle ausfindig gemacht bzw. aus der Anzahl der interessierten Bewerber identifiziert werden können. Insbesondere Soziale Netzwerke bieten eine effektive und kostengünstige Möglichkeit, eine Vorauswahl zu treffen oder interessante Arbeitnehmer ausfindig zu machen. Wir zeigen, welche Fallstricke es auch nach Inkrafttreten der DSGVO zu beachten sich lohnt.
Was ist „E-Recruiting“?
Der Einsatz von elektronischen Medien und Personalsystemen zur Unterstützung von Arbeitgebern, Bewerbern oder Dritten (Headhunter) im Bewerbungsprozess wird als „E-Recruiting“ bezeichnet. Um auch das Potential der in der digitalen Welt aufgewachsenen Generation auszuschöpfen und diese sog. „Digital Natives“ zu erreichen, nutzen spezialisierte E-Recruiter und Personalmanager das Internet gezielt für den Recruiting-Prozess geeigneter Kandidaten und bedienen sich zunehmend auch der Recherche in Sozial Netzwerken.
Rahmenbedingungen
Die üblicherweise in Sozialen Netzwerken eingestellten persönlichen Angaben (Name, Kontaktdaten, Geburtstag, Beruf, Werdegang) sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, und mithin personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Dabei ist es unerheblich, ob es sich um einen Bewerber (§ 26 Abs. 8 S. 2 BDSG n.F.) oder einen durch den Arbeitgeber ausfindig gemachten Kandidaten handelt, wie auch, ob die entsprechenden Daten über Suchmaschinen (öffentlich) zugänglich sind oder für eine Recherche die vorherige Registrierung in einem Netzwerk erfordern (Art. 14 Abs. 2 lit. f) DSGVO).
Die Erhebung, Verarbeitung und Nutzung entsprechender Daten durch private Arbeitgeber ist daher auch künftig nur zulässig, soweit der Betroffene zuvor wirksam eingewilligt (Art. 6 Abs. 1 lit. a) DSGVO) oder dies von einer Erlaubnisnorm (Art. 9 Abs. 2 lit. e); Art. 6 Abs. 1 lit b) und f) DSGVO) bzw. einer spezifischeren nationalen Vorschrift (Art. 88 DSGVO i.V.m. § 26 Abs. 1 S. 1 BDSG n.F.) gedeckt ist. Nicht – explizit – vorgesehen ist unter der DSGVO jedoch der bislang zu beachtende Grundsatz der Direkterhebung, wonach personenbezogene Daten beim Betroffenen selbst zu erheben sind.
Freizeitorientierte Soziale Medien / Soziale Netzwerke mit privatem Nutzungscharakter
Handelt es sich um ein öffentliches Profil, das von jedem beliebigen Internetnutzer ohne vorherige Registrierung oder Anmeldung abgerufen werden kann, fragt sich, ob der Profilinhaber durch das Einstellen seiner Daten bei uneingeschränkter Zugriffsmöglichkeit Dritter (auch) in ihre Erhebung, und Verarbeitung durch potentielle Arbeitgeber eingewilligt hat. Unter Beachtung der Anforderungen durch Art. 4 Nr. 11 („in informierter Weise“) und Art. 6 Abs. 1 S. 1 lit. a) DSGVO (bestimmter Zweck) sowie § 26 Abs. 2 S. 4 BDSG n.F. ist zum Schutz der Betroffenen eine vorherige Hinweispflicht auf den vorgesehenen Zweck der Erhebung, Verarbeitung und Nutzung der Daten vorgesehen. Gerade hieran dürfte es bei der Nutzung Sozialer Netzwerke mit privatem Nutzungscharakter fehlen. Denn der Profilinhaber kann nicht davon ausgehen, dass seine Daten aus geschäftlichen Zwecken zur Mitarbeitersuche ausgewertet werden. Hinzu kommt, dass Einwilligungen im Bereich des Beschäftigtendatenschutzes von Bewerbern regelmäßig auch an dem in Art. 7 Abs. 4 DSGVO und § 26 Abs. 2 BDSG n.F. zum Ausdruck kommenden „Kopplungsverbot“, also dem Verbot zu messen sein werden, die Anbahnung eines Beschäftigungsverhältnisses in Verbindung mit der Einwilligung zu setzen, was bedenklich erscheint.
- Begründung eines Beschäftigungsverhältnisses als Erlaubnistatbestand?
Eine zulässige Erhebung und Nutzung der Daten kommt daher in aller Regel nur bei Eingreifen einer Erlaubnisnorm in Betracht. Hier kommen insbesondere Art. 88 DSGVO i.V.m. § 26 Abs. 1 S. 1 BDSG n.F. (Erforderlichkeit zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses) und – bei Bejahung „beschäftigungsfremder“ Zwecke – Art. 6 Abs. 1 lit. f) DSGVO in Betracht, wenngleich sich regelmäßig im Ergebnis nichts ändern wird. Die Anwendung von § 26 Abs. 1 S. 1 BDSG n.F. dürfte in einer Vielzahl der Fälle aber bereits an der Erfüllung der Tatbestandsvoraussetzungen scheitern. Denn von „Bewerbern“ i.S.v. § 26 Abs. 8 S. 2 BDSG n.F. wird nur bei Bestehen eines vertragsähnlichen Vertrauensverhältnisses im Anbahnungsstadium gesprochen werden können. Dies wird bei einer dem Profilinhaber regelmäßig verborgen bleibenden Informationsgewinnung nicht vorliegen. Entsprechendes wird mangels Anfrage des Betroffenen für Art. 6 Abs. 1 S. 1 lit. b) DSGVO gelten müssen.
- Kommerzielle Nutzung von Daten als Stolperstein für Recruiter?
Können personenbezogene Daten eines Betroffenen ohne Weiteres mittels einfacher Internetrecherche oder durch eine Suchmaschine aufgefunden werden, kann ihre Erhebung und Verarbeitung künftig nach Art. 9 Abs. 2 lit. e) und Art. 6 Abs. 1 lit. f) DSGVO datenschutzrechtlich gerechtfertigt sein, soweit nicht die Interessen des Bewerbers das Informationsinteresse des potentiellen Arbeitgebers überwiegen. Hier werden jedoch regelmäßig Interessen des Betroffenen einer gezielten kommerziellen Nutzung seiner Daten für Geschäftszwecke Dritter entgegenstehen. Dies wird jedenfalls für Daten gelten müssen, die keinen Bezug zu einem möglichen Arbeitsverhältnis haben bzw. über das Fragerecht des Arbeitgebers im Bewerbungsprozess hinausgehende Erkenntnisse ermöglichen.
Selbst wenn ein Zugriff auf personenbezogene Daten erst nach einer vorherigen Anmeldung als registrierter Nutzer möglich ist, werden diese regelmäßig als (noch) „öffentlich“ anzusehen sein. Da die Anmeldung meist kostenfrei und mit wenig Aufwand in kurzer Zeit durchgeführt und somit von einem beliebig erweiterbaren Personenkreis ausgegangen werden kann, sind an den Zugriff auf solche Daten keine gesteigerten Anforderungen zu stellen. Auch hier wird die nach Art. 6 Abs. 1 lit. f DSGVO vorzunehmende Interessenabwägung regelmäßig zugunsten des Betroffenen ausfallen, da eine kommerzielle Nutzung vornehmlich privater und der Gestaltung sowie Darstellung des Privatlebens dienender Sozialer Netzwerke mit ihrem Nutzungscharakter nicht in Einklang zu bringen sein wird. In jedem Fall müssen potentielle Arbeitgeber damit rechnen, an auf diese Weise gewonnenen Daten kein überwiegendes Interesse begründen bzw. nachweisen zu können.
- Interessen des Betroffenen regelmäßig schutzwürdiger
Personenbezogene Daten, auf die selbst nach vorheriger Registrierung und Anmeldung nur von dem mit dem Betroffenen direkt verbundenen Kontakten zugegriffen werden kann, sind nicht mehr „öffentlich“. Eine durch die „Annahme einer Kontaktanfrage“ (konkludent) erklärte Einwilligung wäre erneut an den o. g. Voraussetzungen zu messen und wird daher ebenso regelmäßig ausscheiden, da entsprechende Anfragen gewöhnlich nicht unter Nennung des vorgesehenen Zwecks der beabsichtigten Datenverarbeitung erfolgen. Die Auswertung von nur direkt mit dem Betroffenen vernetzte Mitglieder sichtbaren Profilen für Zwecke des E-Recruiting ist daher auch nach Durchführung einer Interessenabwägung unzulässig. Gerade hier müssen die Betroffenen darauf vertrauen können, dass ihre Daten nicht von Unternehmen gezielt zur Anwerbung von Mitarbeitern analysiert werden. Hat ein potentieller Kandidat der Kontaktanfrage eines interessierten Arbeitgebers jedoch zugestimmt, der zuvor eindeutig auf die Datenerhebung für Zwecke des Recruiting hingewiesen hat, erscheint eine Auswertung seiner personenbezogenen Daten im Rahmen der mitgeteilten gewerblichen Zwecke aber zumindest vorstellbar.
Berufsbezogene Soziale Medien
Personenbezogene Daten in berufsorientierten Sozialen Netzwerken dienen vor allem der Darstellung der beruflichen Qualifikation ihrer Mitglieder. In einem bereits laufenden Bewerbungsprozess erscheint eine Erhebung der entsprechenden Daten auch ohne Einwilligung nach § 26 Abs. 1 S. 1, Abs. 8 S. 2 BDSG n.F. möglich.
Nichts Anderes dürfte auch für das Auffinden und Kontaktieren eines potentiellen Kandidaten gelten. Soweit Daten mittels einer Suchmaschine ohne vorherige Registrierung bzw. Anmeldung auffindbar und daher „öffentlich“ sind, kann ihre Erhebung, Verarbeitung und Nutzung jedenfalls innerhalb der Grenzen von Art. 9 Abs. 2 lit. e), Art. 6 Abs. 1 lit. f) DSGVO zulässig sein. Regelmäßig dürfte hier die Interessenabwägung zugunsten des interessierten Arbeitgeber bzw. in seinem Auftrag handelnden Recruiters ausfallen. Denn der Betroffene muss hier damit rechnen, dass seine frei zugänglichen Daten (auch) für kommerzielle Zwecke von Unternehmen genutzt werden, soweit dies nicht sogar bezweckt war. Dies gilt auch, soweit Daten nur registrierten Mitgliedern des berufsorientierten Sozialen Netzwerks zugänglich sind. Denn zumindest für die dort angemeldeten Unternehmen sind sie „öffentlich“.
Wurde der Datenzugriff hingegen auf solche Kontakte beschränkt, die mit dem Betroffenen „vernetzt“ sind, ist die Nutzung dieser Daten im Recruiting-Prozess nur dann zulässig, wenn der potentielle Arbeitgeber bei der Kontaktaufnahme seine Absichten offenlegt und auf eine mögliche Auswertung der Daten hingewiesen hat. Da diese Daten nicht „öffentlich“ sind, scheidet hier eine Anwendung von Art. 9 Abs. 2 lit. e) DSGVO sowie im Übrigen selbst bei berufsbezogenen Daten von § 26 Abs. 1 S. 1 BDSG n.F. aus.
Fazit
Insbesondere die Bedeutung von Sozialen Netzwerken als Recruiting-Tool wird unabhängig von der konkreten Ausgestaltung künftiger Arbeitsmodelle beständig steigen. In Zeiten des demographischen Wandels und des mit ihm einhergehenden Fachkräftemangels sind sich gut ausgebildete Kandidaten ihrer privilegierten Situation bewusst. Für interessierte Arbeitgeber bedeutet dies, dass der Recruiting-Prozess frühestmöglich einsetzen muss, um auch geeignete Kandidaten zu erreichen, die sich von alleine nicht auf eine offene Stelle beworben hätten oder nicht aktiv auf Stellensuche sind. Insbesondere bei der Nutzung Sozialer Netzwerke sollte der Fokus dabei auch unter der ab dem 25. Mai 2018 geltenden DSGVO ausschließlich auf der Nutzung berufsorientierter Sozialer Netzwerke liegen.