Personalgewinnungsprozesse gibt es seit jeher. Dabei war das Thema Datenschutz stets so etwas wie das ungeliebte Kind im Recruiting. Infolgedessen halten sich eine Reihe von Mythen und Irrtümern hartnäckig. In diesem Beitrag zeige ich 5 juristische Mythen zum Datenschutz im Recruiting auf und verrate Ihnen eine Quelle, die sie rechtlich deutlich aufschlauen kann.
Recruiting und Datenschutz
Dass Datenschutz für Personaler schon immer einen extrem hohen Stellenwert im Recruiting hatte, wird vermutlich niemand ernsthaft bestreiten. Allerdings haben Recruitingprozesse selten so viel Aufmerksamkeit erhalten wie in den letzten Jahren.
Dafür ins Feld geführt werden können medial extrem wirksame Themen wie
- ein branchen- und ortsbezogener Fachkräftemangel
- die demografischen Entwicklungen oder
- die Digitalisierung, mit ihren zahlreichen Möglichkeiten der Sichtbarkeitserhöhung und online-Vergleichbarkeit von Arbeitgebern
In gleichem Maße rückte auch das Thema Datenschutz im Recruiting weiter in den Fokus.
Die DSGVO als Alarmsignal
Spätestens mit dem Inkrafttreten der Datenschutz Grundverordnung (#DSGVO) zum 25.05.2018 interessierten sich auf einmal alle irgendwie für die rechtlichen Grundlagen hinter den Personalgewinnungsprozessen. Vielerorts herrscht noch immer spürbare Panik. Diese wurde ausgelöst durch die Unkenntnis vieler Personalverantwortlichen, was die Auslegung der Rechtsnormen des Bundesdatenschutzgesetzes (BDSG) sowie insbesondere der neuen DSGVO angeht.
Meine folgende Zusammenfassung basiert auf einem sehr ausführlichen und äußerst lesenswerten Beitrag von Rechtsanwältin und Blogger-Kollegin Nina Diercks.
Mythos 1: Es ist eine Einwilligung für die Verarbeitung von Bewerberdaten erforderlich
Dem Mythos liegt die Annahme zugrunde, dass Unternehmen von ihren Bewerbern eine explizite Einwilligung in die Speicherung und Verarbeitung der Bewerberdaten benötigen. Auch wenn eine solche Einwilligung, zum Beispiel via Formularfeld im Online-Bewerbermanagementsystem (ATS) nicht schädlich ist – rechtlich notwendig ist sie nicht.
Denn sowohl nach BDSG als auch der DSGVO dürfen „personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses […] erforderlich ist.“
Dies gilt explizit auch für Bewerberdaten. Es reicht somit aus, wenn Sie die Bewerber im Rahmen des Bewerbungsprozesses nach Art. 12 und Art. 13 DSGVO über die Datenverarbeitung informieren. Dies können Sie am einfachsten im Rahmen Ihrer Datenschutzerklärung tun, die Sie unter Ihr Bewerbungsformular hängen. Oder aber Sie fügen eine Verlinkung unmittelbar in Ihre Stellenanzeige ein.
Mythos 2: Personenbezogene Daten auf Vorauswahllisten müssen explizit freigegeben werden
In Vorbereitung einer proaktiven Ansprache von geeigneten Kandidaten in sozialen Netzwerken, werden häufig sogenannte Vorauswahllisten erstellt. Diese enthalten personenbezogene Daten. Wiederum also ein Datenschutz-Thema, diesmal im Rahmen des Active Sourcings.
Entgegen der landläufigen Meinung müssen die hier einfließenden Daten von Kandidaten nicht explizit von diesen zur Speicherung freigegeben werden.
Dies gilt zumindest dann wenn
- Sie ein berechtigtes Interesse vorweisen können
- kein entgegenstehendes, überwiegendes Interesse auf Seiten des Kandidaten besteht und
- die Daten selbst durch den Kandidaten offensichtlich öffentlich gemacht wurden.
Das von der DSGVO geforderte „berechtigte Interesse“ liegt aufgrund Ihrer Zielsetzung, Personal für sich zu gewinnen, generell vor. Sind die persönlichen Daten frei im Internet zugänglich und haben die Profilinhaber (m/w/d) nicht ausdrücklich in ihren Einstellungen angegeben, dass sie nicht offen für Jobangebote sind (dann entgegenstehendes Interesse unterstellbar), können Sie diese Daten für ihre Vorauswahllisten übernehmen.
Frei im Internet zugänglich bedeutet allerdings nicht, dass Sie sich unter einem Vorwand oder gar Fake-Account mit Kandidaten vernetzen, um dann auf weitere, nur für persönliche Kontakte freigegebene Daten, zugreifen zu können.
Mythos 3: Beim Active Sourcing dürfen Sie die InMail-Optionen von XING, LinkedIn, Twitter, Facebook und Co verwenden
Dass Sie die hierfür von Anbietern vorgesehenen Möglichkeiten einer direkten Kontaktaufnahme per InMail innerhalb des jeweiligen sozialen Netzwerks für eine Ansprache via Active Sourcing nutzen dürfen, ist Mythos 3.
Bei der Suche und Ansprache von geeigneten Kandidaten befinden Sie sich als Arbeitgeber im Wettbewerb mit anderen Unternehmen (siehe auch „War for talent“). Gleichzeitig möchten Sie für Ihre Arbeitgebermarke Werbung machen. Insofern sind die Regelungen des UWG (Gesetz gegen den unlauteren Wettbewerb) einschlägig.
Nach §7 UWG allerdings ist eine werbliche Direktansprache nicht ohne vorherige Einwilligung möglich. Das gilt übrigens auch für die Ansprache via E-Mail!
Active Sourcing ist in dieser Hinsicht eine bewusste Risiko-Entscheidung.
Das Risiko einer Abmahnung durch Kandidaten wegen einer rechtswidrigen Direktansprache erscheint derzeit zwar noch überschaubar. Mit der sogenannten ePrivacy Verordnung (dazu alsbald mehr auf diesem Blog) am Horizont, könnte sich das ändern. Denn dann sollen massive Bußgelder wie bei Verstößen gegen die DSGVO verhängt werden können. Und diese betragen immerhin bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
Mythos 4: Bewerberdaten müssen nach 3 bzw. 6 Monaten gelöscht werden
Auch wenn die Hinterlegung von (teil)automatisierten Löschfristen eine sinnvolle Sache ist. Das Gesetz spricht weder von einer Löschung nach 3 noch 6 Monaten. Stattdessen gilt der Grundsatz der zweckmäßigen und verhältnismäßigen Datenverarbeitung. Das bedeutet, dass Sie Bewerbungsunterlagen auch mal 7 oder 8 Monaten speichern können.
Unternehmen sollte es nämlich möglich sein, nach Ablauf einer erfolglosen Probezeit (zumeist 6 Monate) noch einmal auf die Profile anderer geeigneter Bewerber zugreifen zu können, ohne einen komplett neuen Bewerbungsprozess anstoßen zu müssen.
Aber Achtung: Anders zu bewerten ist die Speicherung von Daten auf Auswahllisten im Rahmen des Active Sourcings (siehe oben). Sollten Sie innerhalb von sechs Monaten keine Ansprache vornehmen, dann sind diese Kandidatendaten zu löschen mangels berechtigtem Interesse an einer längerfristigen Speicherung.
Mythos 5: Die Zustimmung zur langfristigen Speicherung von Bewerberdaten im Talentpool kann gleich bei Bewerbungseingang eingeholt werden
Unternehmen könnten versucht sein, die langfristige Speicherung von Bewerberdaten mit der Einholung der (wie oben dargestellt unnötigen) Zustimmung bei Eingang der Bewerbung im System gleich mit abzufragen. Dem steht allerdings das sogenannte Kopplungsverbot aus Art. 7 Abs. 4 DSGVO entgegen.
Zustimmungen für die längerfristige Speicherung von Bewerberdaten im Rahmen eines Talent-Relationship-Managements (TRM) via Talentpool, müssen tatsächlich explizit eingeholt werden.
Weiterführende Informationen und rechtlicher Hinweis
Zur ausführlichen rechtlichen Begründung der oben dargestellten Sachverhalte, lesen Sie unbedingt den Ursprungsbeitrag von Nina Diercks. Dort finden Sie darüber hinaus weitere spannende Einblicke in die juristische Bewertung von Personalauswahlverfahren.
Dieser Beitrag ist keine Rechtsberatung. Auch übernehme ich keine Haftung für Schäden, die aufgrund des Befolgens der dargestellten Hinweise entstehen. Bei Fragen wenden Sie sich unbedingt an Ihre(n) rechtskundigen Berater.
Mein Name ist Stefan Scheller. In meiner Rolle als Persoblogger und Top HR-Influencer betreibe ich diese Website und das gleichnamige 
Newsletter