DSGVO: Was Recruiter bei der Bewerberrecherche beachten müssen

| |
(c) gettyimages/Tanaonte
(c) gettyimages/Tanaonte

Recruiter sind von der DSGVO in mehrfacher Hinsicht betroffen. Welche Regeln gelten jetzt für Backgroundchecks auf Google und in sozialen Netzwerken?

Am 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Die „schlechte“ Nachricht für Recruiter: Die DSGVO regelt auch den „neuen“ Beschäftigtendatenschutz. Die „gute“ Nachricht: In materieller Hinsicht sind die Änderungen nicht annähernd so gravierend, wie im allgemeinen Datenschutz. Backgroundchecks sind weiterhin möglich. Verstöße gegen die Regelungen können allerdings teuer werden.

+++Sie bekommen von HR nicht genug? (heart) Dann melden Sie sich jetzt für unsere Newsletter an. Hier geht es zur Anmeldung!+++

Die DSGVO schafft ein weitgehend einheitliches Datenschutzrecht in der EU und gilt als unmittelbar in den Mitgliedsstaaten anwendbares Recht. Die bisherigen deutschen datenschutzrechtlichen Normen treten damit nicht außer Kraft. Es besteht aber ein Anwendungsvorrang der Bestimmungen der DSGVO gegenüber diesen Normen, welcher damit auch für das ebenfalls seit dem 25. Mai 2018 geltende neue Bundesdatenschutzgesetz (BDSG neu) gilt.

Verschärfte Sanktionen für Compliance-Verstöße

Erfasst von der DSGVO ist (wie nach „altem“ Recht) neben der Phase der Dauer des Beschäftigungsverhältnisses auch die Bewerbungsphase als Vorphase der Beschäftigung. Neu ist allerdings neben erhöhten Dokumentationsanforderungen vor allem die deutliche Verschärfung im Sanktionsbereich (Geldbußen von bis zu 20 Millionen Euro beziehungsweise vier Prozent des gesamten weltweit erzielten Jahresumsatzes einer Unternehmensgruppe).

Compliance Verstöße im Beschäftigtendatenschutz können damit erhebliche Konsequenzen für Unternehmen haben. Daher sollen nachfolgend einzelne Maßnahmen zur Informationsgewinnung über Bewerber einem Compliance-Check im Hinblick auf die neue Rechtslage unterzogen werden.

„Googeln“ von Kandidaten – mit Einschränkungen erlaubt

Artikel 9 Abs. 2 lit. e) DSGVO regelt die Datenverarbeitung offensichtlich öffentlich gemachter Daten. Diese Vorschrift dürfte damit auch als Rechtsgrundlage für das „Googeln“ von Bewerbern dienen. Die datenschutzrechtliche Grenze dürfte allerdings erreicht sein, wenn die Informationen erkennbar gegen den Willen des Bewerbers ins Netz gestellt wurden. Soweit das Unternehmen also Anhaltspunkte hat, dass die Veröffentlichung von Informationen erkennbar gegen den Willen des Bewerbers erfolgt ist, sollten diese Informationen im Rahmen des Backgroundchecks nicht ausgewertet werden.

Beruflich genutzt ja, privat nein – Recherche in sozialen Netzwerken

Bei sozialen Netzwerken ist zu unterscheiden, ob es sich um ein rein beruflich genutztes Netzwerk oder ein privat genutztes Netzwerk handelt. Bei rein beruflich genutzten Netzwerken (zum Beispiel LinkedIn und XING) konnte nach der bis zum Inkrafttreten der DSGVO geltenden Rechtslage aufgrund der Einwilligung in den AGB davon ausgegangen werden, dass der User ausdrücklich einwilligt, dass seine Daten von potenziellen weiteren Netzwerkusern beruflich eingesehen und verwendet werden. Eine solche Einwilligung dürfte auch nach der DSGVO weiterhin als Rechtfertigung in Betracht kommen. Von einer Einwilligung dürfte bei rein privaten Netzwerken (Facebook & Co.) hingegen nicht ausgegangen werden können. In beiden Fällen wäre die Netzwerk-Recherche jedenfalls unzulässig, wenn der Arbeitgeber sich den Zugang zu einem fremden Account erschlichen hat, um über diesen mögliche Kandidatenprofile zu recherchieren. Aus Gründen der Rechtssicherheit ist daher zu empfehlen, die Recherche auf berufliche Netzwerke zu beschränken und hierfür nur einen eindeutig dem Arbeitgeber zuordenbaren Account zu verwenden.

Zulässig: „Terrorlisten-Screening“

Eine Form des Backgroundchecks ist auch der AEO (Authorized Economic Operator) Terrorlisten-Abgleich. Sowohl US-amerikanische Bestimmungen als auch EU-Regelungen zielen darauf ab, Geschäftskontakte mit Terroristen zu unterbinden. Auf Grundlage dieser Bestimmungen werden Terrorlisten erstellt und aktualisiert, aus denen ein Verbot des Abschlusses von Arbeitsverträgen mit in der Liste aufgeführten Personen abgeleitet wird. Nach der neuen Rechtslage dürfte ein Terrorlisten-Screening in Form eines Datenabgleichs nach Artikel 6 Abs. 1 S. 1 lit. c) und f) DSGVO beziehungsweise § 26 Abs. 1 BDSG neu zulässig sein, das heißt, wenn der Datenabgleich zur Erfüllung einer rechtlichen Verpflichtung oder der Wahrung berechtigter Interessen dient. Beides dürfte bei einem Terrorlisten-Abgleich erfüllt sein.

IT-Tools und Profiling – wenn der Algorithmus entscheidet

Bei der Verwendung von IT gesteuerten Tools für den Bewerbungsprozess ist darauf zu achten, dass der Recruiting-Prozess einschließlich der Entscheidung über die Auswahl der Bewerber nicht rein automatisiert erfolgt. Denn eine rein automatisierte Verarbeitung könnte als „Profiling“ angesehen werden, was einen Verstoß gegen Artikel 22 DSGVO darstellen könnte. Diese Vorschrift soll gewährleisten, dass Maschinen keine vollständig automatisierten „Entscheidungen“ treffen, welche rechtlich relevante Folgen für den Betroffenen haben (zum Beispiel die Frage über die Nichteinstellung). Die jeweiligen IT-Tools sollten also so ausgestattet sein, dass wesentliche Entscheidungsprozesse (Einladung zum Vorstellunggespräch, Einstellung, Absage) nicht automatisiert erfolgen. Die nicht automatisierten Entscheidungsprozesse sollten auch zu Nachweiszwecken entsprechend dokumentiert werden.

Compliance-mäßiger Recruiting-Prozess ist essentiell

Die DSGVO regelt den Beschäftigtendatenschutz insbesondere auf der Bußgeldseite neu. Für Unternehmen ist ein Compliance-mäßiger Recruiting-Prozess insbesondere vor dem Hintergrund der deutlich verschärfteren Sanktionen damit essentiell. Ein Backgroundcheck bei Bewerbern ist nach der neuen Rechtslage zulässig, solange die konkrete Maßnahme auf Basis einer entsprechenden Rechtsgrundlage und innerhalb der von dieser Rechtsgrundlage festgelegten Grenzen erfolgt.

Weiterbildungen zum Thema Social Media Recruiting und Datenschutz