Bewerberdatenschutz: Was Headhunter beim Recruiting beachten müssen
Die zunehmende Digitalisierung erleichtert die Suche nach potentiellen Jobkandidaten für Headhunter. Die bereits im Mai 2018 zu beachtende DSGVO stellt sie jedoch vor neue Herausforderungen. Da Recruiter täglich mit sensiblen personenbezogenen Bewerberdaten umgehen müssen, sind einige wichtige datenschutzrechtliche Aspekte zu beachten.
In diesem Artikel wird erläutert, unter welchen Voraussetzungen Headhunter sich Informationen über geeignete Kandidaten beschaffen und an potentielle Arbeitgeber weitergeben dürfen sowie welche datenschutzrechtliche Pflichten sie nach Abschluss des Bewerbungsverfahrens treffen.
Wann dürfen personenbezogene Daten verarbeitet werden?
Mit Art. 6 Abs. 1 lit. f DSGVO hat der Verordnungsgeber eine neue Grundlage für die Datenverarbeitung geschaffen. Es muss demnach “ein berechtigtes Interesse” vorliegen, zu dessen Wahrung die Datenverarbeitung erforderlich ist:
„wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
Auch wirtschaftliche Interessen (z.B. die Notwendigkeit der Personalbeschaffung für das betroffene Unternehmen) sind geeignet, eine Datenverarbeitung zu rechtfertigen. Dazu zählen z.B. die grundlegenden Tätigkeiten innerhalb des Bewerbungsverfahrens, wie das Sichten der Bewerbungsunterlagen oder das Einladen zum Vorstellungsgespräch.
Social Media Monitoring: Bewerberdaten aus sozialen Netzwerken
Sind Bewerberdaten öffentlich zugänglich, darf ein potentieller Arbeitgeber sie dennoch nur dann der Entscheidung über einen Bewerber zugrunde legen, wenn dem keine schutzwürdigen Interesse des Bewerbers entgegen stehen. Entscheidend ist, für welchen Personenkreis der Kandidat die Daten zugänglich gemacht hat. Die Schutzbedürftigkeit fehlt beispielsweise dann, wenn Bewerberdaten ohne Hindernis für jedermann zugänglich sind. Das Verarbeitungsinteresse des Recruiters überwiegt dann regelmäßig.
Bei Netzwerken hat man danach zu differenzieren, ob es sich um ein rein beruflich genutztes Netzwerk oder ein privat genutztes Netzwerk handelt. Bei sozialen Business-Netzwerken (z.B. LinkedIn und XING) werden Personaldaten von Nutzern insbesondere mit dem Ziel der Jobsuche und Karriereentwicklung hinterlegt. Es kann daher davon ausgegangen werden, dass eine Datenverarbeitung durch den Headhunter dann auch in deren Interesse erfolgt.
Daten auf privaten sozialen Netzwerken wie Facebook, Instagram oder Snapchat dürfen jedoch von Unternehmen in der Regel nicht in einem beruflichen Kontext verarbeitet werden. Insoweit überwiegt das Persönlichkeitsinteresse des Nutzers.
Bewerberdaten aus Google-Suche
Ein „Googlen“ von Kandidaten ist grundsätzlich zulässig. Als Rechtsgrundlage dafür dürfte Art. 9 Abs. 2 lit. e) DSGVO dienen, der die Datenverarbeitung offensichtlich öffentlich gemachter Daten, damit auch das „Googeln“ von Bewerbern, regelt. Headhunter unterliegen dabei den umfassenden Informationspflichten aus Art. 14 DSGVO.
Anders ist dies aber bei Informationen, die erkennbar gegen den Willen des Bewerbers veröffentlicht wurden (z. B. diffamierende Fotos oder Informationen). Diese Daten dürfen nicht ausgewertet werden.
Weitergabe von Bewerberdaten an Arbeitgeber
Bewerberdaten dürfen nur den Personen zugänglich gemacht werden, die in den Einstellungsprozess unmittelbar involviert sind (das sog. „need-to-know-Prinzip“). Eine Weitergabe an Dritte ist ohne ausdrückliche Zustimmung des Bewerbers unzulässig. Gemäß Art. 13, 14 DSGVO müssen die Betroffenen darüber informiert werden, welche Daten zu welchen Verarbeitungszwecken, an wen weitergegeben werden.
Wie lange dürfen Personaldaten gespeichert werden?
Gemäß Art. 5 Abs.1 e) DSGVO sind personenbezogene Daten nur solange zu speichern, „wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Der Arbeitgeber muss somit ein berechtigtes, billigenswertes und schutzwürdiges Interesse an der weiteren Speicherung der Informationen haben. Wurde ein passender Kandidat gefunden und ist die Stelle einmal besetzt, oder ist der betroffene Bewerber definitiv ungeeignet, dann besteht kein Grund mehr, die Bewerberdaten aufzubewahren.
Ein nicht berücksichtigter Bewerber könnte allerdings theoretisch nach dem Allgemeinen Gleichbehandlungsgesetzes (AGG) eine angebliche Diskriminierung im Bewerbungsverfahren innerhalb von zwei Monaten nach der Ablehnung schriftlich geltend machen. Eine daran anschließende Klage muss gemäß § 61 Abs. 1 ArbGG i.V.m. § 15 AGG innerhalb von drei Monaten, nachdem der Anspruch schriftlich geltend gemacht worden ist, erhoben werden. Daher dürfen Unternehmen die Bewerberdaten aufbewahren, solange sie mit derartigen rechtlichen Auseinandersetzungen rechnen müssen.
Sofern ein Unternehmen die Bewerbungsunterlagen länger aufbewahren möchte, um den Bewerber ggf. bei der nächsten freien Stelle noch einmal zu berücksichtigen und zu kontaktieren, bedarf es einer gesonderten schriftlichen Einwilligung durch den Betroffenen.
Beachten Sie, dass Bewerber gemäß Art. 15 DSGVO ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten haben. Die Zweckgebundenheit sollte daher stets bei der Speicherung bzw. Verarbeitung der Bewerberdaten dokumentiert werden.
Fazit
Um den neuen Pflichtvoraussetzungen der DSGVO gerecht zu werden, sollten Headhunter ihre Arbeitsprozesse vollständig analysieren und datenschutzkonform ausgestalten. Dafür sollten die technischen und organisatorischen Maßnahmen auf mögliche Datenschutzrisiken geprüft werden. Aufgrund der Menge an sensiblen personenbezogenen Daten, die sie erhalten, empfiehlt es sich einen internen oder externen Datenschutzbeauftragten hinzuziehen, um empfindliche finanzielle Sanktionen zu vermeiden.
So hat die polnische Datenschutzbehörde (UODO) gegen eine Wirtschaftsauskunftei ein Bußgeld über 200.000 € wegen der Verletzung der nach Art. 14 DSGVO vorgesehenen Informationspflichten bei Verwendung von personenbezogenen Daten aus öffentlich zugänglichen Quellen verhängt. Eine allgemeine Erläuterung zur Haftung bei Verstößen können Sie folgendem Beitrag entnehmen: Die Datenschutz-Grundverordnung (DSGVO).
In unserem Beitrag vom 29.01.19 können Sie zudem über die wettbewerbsrechtliche Problematik der Abwerbung von Mitarbeitern durch Headhunter lesen: