Digital Recruiting und DSGVO
Autor: Dennis Lüers, Fachanwalt für Arbeitsrecht, vangard München
Der Datenschutz ist zurzeit in aller Munde. Grund hierfür ist die am 25. Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung (DSGVO). In der Diskussion oftmals unterschätzt wird der Datenschutz im Rahmen des Recruiting-Prozesses. Dabei gilt es auch hier die datenschutzrechtlichen Vorgaben zu beachten, da sowohl Bewerbungsunterlagen, wie auch Profile in sozialen Netzwerken personenbezogene Daten enthalten.
1. Daten aus sozialen Netzwerken
Soziale Netzwerke sind aus der heutigen Zeit kaum noch wegzudenken. Aus den Profilen lassen sich jede Menge Informationen über die Personen erlangen. Allerdings dürfen nicht alle Informationen ohne eine Einwilligung des Profilinhabers genutzt werden.
Zunächst muss beim Recruiting in sozialen Netzwerken danach differenziert werden, ob es sich um ein freizeitorientiertes Netzwerk, wie z.B. Facebook oder aber um ein berufsorientiertes Netzwerk, wie z.B. LinkedIn oder XING handelt. Die Unterscheidung hat deshalb zu erfolgen, da bei berufsorientierten Netzwerken die Daten gezielt für die Jobsuche preisgegeben werden, während die Daten in freizeitorientierten Netzwerken in der Regel nicht für einen potenziellen Arbeitgeber, sondern für das persönliche Lebensumfeld (Freunde, Verwandte, etc.) bestimmt sind.
Freizeitorientierte soziale Netzwerke
Auch wenn ein Bewerber ein öffentliches Profil hat, also eines, das für jedermann einsehbar ist ohne bei dem Netzwerk angemeldet zu sein, können die darauf einsehbaren Daten nicht ohne weiteres genutzt werden. Die gebotene Interessenabwägung zwischen den Interessen des Profilinhabers und des Unternehmens führt dazu, dass nur solche Daten genutzt werden können, die einen Bezug zum Arbeitsverhältnis haben. Private Informationen dürfen dagegen nicht genutzt werden, da der Bewerber insofern bei Einstellen der Daten nicht davon ausgehen konnte, dass sie zum Zwecke des Recruitings genutzt werden. Sofern man diese Daten nutzen möchte, ist daher eine ausdrückliche Zustimmung des Bewerbers/Profilinhabers notwendig.
Wenn das Profil dagegen nur einsehbar ist, wenn man sich in dem jeweiligen Netzwerk anmeldet, sind diese Informationen zwar auch öffentlich zugänglich, da eine Anmeldung schnell und zumeist kostenfrei möglich ist, die Daten dürfen aber auch nur mit ausdrücklicher Zustimmung genutzt werden, da wiederum private Zwecke im Vordergrund stehen.
Sobald das Profil nur für Kontakte einsehbar ist, ist eine Nutzung der Daten ebenfalls nur mit ausdrücklicher Zustimmung möglich. Es genügt dabei nicht etwa eine „Freundschaftsanfrage“ zu senden, sondern es muss ausdrücklich darauf hingewiesen werden, dass man den Kontakt wünscht, um Daten zum Zwecke des Recruitings zu erhalten. Anders ist dies dagegen für Informationen, die frei über eine Suchmaschine erlangt werden können. Diese gelten als allgemein zugänglich und dürfen genutzt werden.
Unproblematisch genutzt werden können freizeitorientierte Netzwerke aber für ein eigenes Profil des Unternehmens, auf dem Stellenangebote ausgeschrieben und Werbung betrieben wird.
Berufsorientierte soziale Netzwerke
Anders als bei freizeitorientierten sozialen Netzwerken werden in berufsorientierten Netzwerken Daten u.a. gezielt zu dem Zweck preisgegeben, dass potenzielle Arbeitgeber diese für den Recruiting-Prozess nutzen. Sofern das Profil daher öffentlich ist oder aber für angemeldete Nutzer des Netzwerkes einsehbar ist, können diese Daten auch ohne Zustimmung des Profilinhabers genutzt werden.
Dies gilt aber nicht, wenn das Profil nur für „Kontakte“ einsehbar ist. In diesem Fall muss, wie bei freizeitorientierten Netzwerken, eine ausdrückliche Zustimmung des Profilinhabers zur Nutzung der Daten eingeholt werden. Auch hier muss sich der Recruiter bei der Kontaktanfrage als solcher „outen“ und auf die potenzielle Auswertung der Daten zum Zwecke des Recruitings hinweisen.
2. Recruiting und Big Data
Big-Data-Analysen im Rahmen von Bewerbungsprozessen eignen sich, um Bewerber gezielt nach gewünschten Eigenschaften des Arbeitgebers auszuwählen. Im Rahmen einer Big-Data-Analyse werden zunächst erfolgreiche Arbeitnehmer analysiert, um sodann die wesentlichen Eigenschaften dieser Arbeitnehmer in einen Algorithmus zur Prüfung von Bewerbern einfließen zu lassen.
Zunächst ist für diese Analyse die ausdrückliche Einwilligung der zu analysierenden Arbeitnehmer notwendig, denn es werden personenbezogene Daten von ihnen erhoben, wie z.B. Ausbildung, Beruf, Fähigkeiten, Leistungen oder Arbeitsverhalten. Zu beachten ist weiterhin, dass – soweit vorhanden – der Betriebsrat ein Mitbestimmungsrecht hat, wenn Big-Data Analysen durchgeführt werden.
Im Rahmen des Bewerbungsprozesses dürfen Big-Data-Analysen durchgeführt werden, sofern nur Qualifikation, Eignung und Erfahrung des Bewerbers durchleuchtet werden. Eine Persönlichkeitsanalyse des Bewerbers ist dagegen unzulässig, wenn er dieser nicht ausdrücklich zustimmt.
Durch eine Big-Data-Analyse dürfen zudem nicht solche Daten erhoben werden, die durch zulässige Fragen des Arbeitgebers nicht in Erfahrung gebracht werden könnten. Zudem ist auch bei den Analysen zu beachten, dass der Algorithmus keine diskriminierenden Elemente nach dem Antidiskriminierungsgesetz (AGG) enthalten darf.
3. Datenschutz im Bewerbungsverfahren
Unabhängig vom Recruiting in sozialen Netzwerken und von Big-Data-Analysen ist auch im „normalen“ Bewerbungsverfahren der Datenschutz in jeder Phase zu beachten.
Stellenausschreibung
Der Datenschutz beginnt bereits mit der Stellenausschreibung. Bei der Nutzung eines Online-Formulars, welches zum Zwecke der Bewerbung ausgefüllt werden soll, ist darauf zu achten, dass die Fragen nur insoweit zulässig sind, als die Informationen für die Begründung/Durchführung des Arbeitsverhältnisses erforderlich sind. Sofern in einem Bewerbermanagement-Tool Eigenschaften des Bewerbers abgefragt werden, sollte hierbei auf verschiedene Auswahlmöglichkeiten geachtet werden. Zudem ist bei Nutzung solcher Tools zu beachten, dass dem möglicherweise vorhandenen Betriebsrat ein Mitbestimmungsrecht zukommt. Sofern es einen Karrierebereich auf der Homepage des Unternehmens gibt, sollte zudem sichergestellt werden, dass dieser auf dem aktuellen Stand der Technik verschlüsselt ist.
Bei einer Übermittlung der Unterlagen per E-Mail sollte es dem Bewerber ermöglicht werden, die Daten auch verschlüsselt zu übermitteln. Wenn dies aus technischen Gründen nicht möglich ist, sollte in die Stellenausschreibung der Hinweis aufgenommen werden, dass die Bewerbung per E-Mail in unverschlüsselter Form übertragen wird.
Eingang von Bewerbungsunterlagen
Sobald eine Bewerbung beim Unternehmen eingegangen ist, sind weitere Vorgaben zu beachten. § 13 DSGVO enthält eine Reihe von Informationen, die dem Bewerber mitgeteilt werden müssen. Dazu gehört z.B. die Art der Datenverarbeitung, Angaben zum Verwendungszweck sowie zur Dauer des Aufbewahrungszeitraums. Diese Informationen können dem Bewerber bereits mit einer Eingangsbestätigung der Bewerbung per E-Mail mitgeteilt werden.
Zu beachten ist, dass Bewerberdaten nur denjenigen Personen zugänglich gemacht werden dürfen, die am Auswahlverfahren beteiligt sind. Dies sind z.B. der Geschäftsinhaber, der Personalchef/-sachbearbeiter, der Vorgesetzte bzw. Bereichsleiter, in dessen Abteilung die Stelle zu besetzen ist sowie der Betriebsrat.
Um einen Zugriff von unbefugten Personen zu vermeiden, sollten Bewerberdaten von anderen Datensätzen getrennt aufbewahrt und verwaltet werden. Sofern die Daten auf einem gemeinsamen Netzwerk gesichert werden, ist sicherzustellen, dass der Zugang hierauf auf den Personenkreis beschränkt wird, der an der Auswahlentscheidung bzw. den administrativen Tätigkeiten für das Bewerbungsverfahren beteiligt ist.
Einbeziehung von Dienstleistern
Wird für das Bewerber-Management oder aber für die Datenverarbeitung auf Dienste Dritter zurückgegriffen und kann nicht ausgeschlossen werden, dass diese Dritten auf die Daten zugreifen, ist eine Auftragsdatenverarbeitungsvereinbarung abzuschließen. In einer solchen Vereinbarung werden die datenschutzrechtlichen Aspekte entsprechend der gesetzlichen Vorgaben geregelt. Sollte sich der Dienstleister außerhalb der EU befinden, so kann zusätzlich der Abschluss der EU-Standardvertragsklauseln erforderlich sein.
Löschung von Bewerberdaten
Bewerberdaten dürfen nur zweckgebunden, also nur so lange aufbewahrt werden, wie der Zweck der Stellenbesetzung es erforderlich macht. Dies bedeutet allerdings nicht, dass die Daten sofort mit der Besetzung der Stelle gelöscht bzw. vernichtet werden sollten. Um sich im Falle einer Klage eines abgelehnten Bewerbers, bspw. wegen Verstoßes gegen das AGG, verteidigen zu können, dürfen die Daten für weitere sechs Monate nach der Absage aufbewahrt werden. Die Daten des eingestellten Bewerbers dürfen dagegen für die Dauer des Arbeitsverhältnisses aufbewahrt werden.
Nach Ablauf der sechsmonatigen Frist, müssen die Daten sodann gelöscht werden. Die Löschpflicht bezieht sich nicht nur auf die Bewerbungsunterlagen, sondern z.B. auch auf Mitschriften oder Anmerkungen der Personalverantwortlichen während des Bewerbungsprozesses.
Wird eine Online-Bewerbung vervielfältigt, z.B. durch Weiterleitung, Ausdrucken oder Abspeichern auf der Festplatte, ist sicherzustellen, dass nach Abschluss des Verfahrens alle Kopien gelöscht werden.
Sofern das Unternehmen die Daten über die sechs Monate hinaus aufbewahren möchte, um den Bewerber z.B. in einen Bewerberpool aufzunehmen, so muss eine schriftliche Einverständniserklärung des Bewerbers eingeholt werden. Zudem muss der Bewerber vor Abgabe der Einwilligung darauf hingewiesen werden, dass seine Einwilligung jederzeit widerrufen werden kann.
Auskunftsrecht und Dokumentation
Die Bewerber haben zudem nach § 15 DSGVO das Recht umfangreiche Auskunft von den Unternehmen über die gespeicherten Daten zu erhalten. Dieses Auskunftsrecht umfasst z.B. den Verwendungszweck, die geplante Dauer der Speicherung oder welchen Dritten die Daten zugänglich gemacht worden sind.
Um einem etwaigen Auskunftsersuchen gerecht werden zu können, sollten jegliche Datenverarbeitungsvorgänge, wie z.B. die Zweckgebundenheit der Speicherung der Daten, jederzeit dokumentiert werden. Sobald ein Bewerber Auskunft darüber verlangt, was mit seinen Daten geschieht, so ist ihm dies, am besten schriftlich, mitzuteilen. Alternativ kann auch ohne konkrete Anfrage bereits im Rahmen des Ablehnungsschreibens auf die Löschungsmodalitäten der Bewerbungsunterlagen hingewiesen werden.
Sanktionen
Die Beweislast für das Einhalten des Datenschutzes liegt beim Unternehmen. Mit Inkrafttreten der DSGVO nehmen die Sanktionen bei Verstößen erheblich zu. Es können Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes verhängt werden. Ein sorgsamer Umgang mit dem Datenschutz von Bewerbern ist daher unumgänglich.
Zuerst erschienen auf HRM.de – dem Netzwerk für Personaler und HR-Dienstleister.