Personalrecruting und DSGVO: Ein Spannungsfeld

Ich benötige doch immer eine Einwilligung der Bewerber – oder etwa nicht? Warum sich dieses Gerücht leider immer noch hartnäckig hält und was Sie beim Recruiting aus datenschutzrechtlicher Sicht beachten sollten, erfahren Sie in diesem Beitrag.

Warum keine Einwilligung?

Seit Inkrafttreten der DSGVO im Mai 2018 herrscht insbesondere in Personalabteilungen große Unsicherheit, wenn es um die Datenverarbeitung im Rahmen des Recruitings geht. Nicht selten werden hier viel zu häufig Einwilligungen der Bewerber als Erlaubnistatbestand für die weitere Datenverarbeitung eingeholt. Doch in der täglichen Praxis eignet sich die Einwilligung nur bedingt als Erlaubnistatbestand. Denn eine Einwilligung hat einen entscheidenden Nachteil – der Bewerber kann sie gem. Art. 7 Abs. 3 S. 1 DSGVO jederzeit widerrufen. Zudem bestehen an einer Einwilligung gem. § 26 Abs. 2 BDSG i.V.m. Art. 7 DSGVO hohe Zuläsigkeitsvoraussetzungen.

Daher sollten Unternehmen nicht auf die Einwilligung, sondern auf andere Rechtsgrundlagen zurückgreifen. Gerade im Bereich der Bewerberauswahl und der weiteren Verarbeitung von Beschäftigtendaten stellt uns die DSGVO und das BDSG speziellere Erlaubnistatbestände zur Verfügung.

26 BDSG als Erlaubnistatbestand

Im Beschäftigungskontext dürfen Unternehmen gem. § 26 BDSG personenbezogene Daten verarbeiten, wenn dies etwa für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

Daher dürfen Unternehmen auch ohne Einwilligung personenbezogene Daten (z.B. Lebenslauf, Anschreiben, Zeugnisse, usw.) von Bewerbern und auch Beschäftigten erheben und weiterverarbeiten, wenn dies zur Begründung eines Arbeitsverhältnisses notwendig ist. Gleiches gilt auch für die Verarbeitung sensitiver Daten, wie etwa die Erhebung der Religionszugehörigkeit. Denn für die ordnungsgemäße Lohnabrechnung des Beschäftigten ist dessen Religionszugehörigkeit zwingendermaßen im Personalfragebogen abzufragen. Hier gibt uns § 26 Abs. 3 BDSG die konkrete Rechtsgrundlage bereits vor. Die Verarbeitung sensitiver oder auch sensibler Daten ist demzufolge zulässig, wenn die Verarbeitung zur Ausübung von Rechten und Pflichten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit erforderlich ist.

Bewirbt sich ein Kandidat auf eine konkrete Stellenausschreibung, so ist die Erhebung und die weitere Verarbeitung somit grundsätzlich auf den Erlaubnistatbestand gem. § 26 BDSG zu stützen.

Die Suche nach Bewerbern

Anders zu beurteilen ist jedoch die aktive Suche nach potenziellen Bewerbern. Denn in der heutigen Zeit müssen Unternehmen immer häufiger selbst auf die Suche nach geeigneten Kandidaten gehen. Für die Suche nutzen Personalabteilungen immer häufiger Plattformen, wie z.B.: XING, LinkedIn oder Monster.de. Doch auch hier stellt sich die Frage, was ist erlaubt und was nicht?

Bildung eines ersten Talentpool

In Vorbereitung einer proaktiven Ansprache von geeigneten Kandidaten in sozialen Netzwerken, werden häufig sogenannte Vorauswahllisten erstellt. Das Zusammentragen dieser Informationen stellt regelmäßig eine Verarbeitung personenbezogener Daten dar und bedarf einer anderen gesetzlichen Grundlage als § 26 BDSG. Denn im Gegensatz zum gesetzlichen Erlaubnistatbestand gem. § 26 BDSG, handelt es sich bei einer Ansprache eines potenziellen Bewerbers ja noch nicht um einen Bewerber.

Hier könnte als Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO in Betracht kommen. Demzufolge wäre die Verarbeitung zulässig, wenn ein berechtigtes Interesse des Arbeitgebers vorliegt, dem kein überwiegendes Interesse des potenziellen Bewerbers entgegensteht und der Kandidat selbst die zu verarbeitenden Daten öffentlich gemacht hat.

Das berechtigte Interesse auf Seiten des Arbeitgebers kann in der schlichten Absicht der Personalgewinnung gesehen werden. Ein dem entgegenstehendes und überwiegendes Interesse des potenziellen Bewerbers ist nicht ersichtlich, da er seine Daten selbst auf den einschlägigen Karriereportalen öffentlich zugänglich gemacht hat.

Das Anlegen von Vorauswahllisten und die weitere Verarbeitung im Rahmen des Recruitings ist daher gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig.

Die Ansprache des Kandidaten

Allein das Anlegen einer Vorauswahlliste reicht selbstverständlich nicht aus, um geeignete Bewerber zu finden, denn die Kandidaten müssen schließlich auch angesprochen werden. Was aus Sicht der DSGVO unproblematisch wäre, ist unter Betrachtung des Gesetzes gegen den unlauteren Wettbewerb (UWG) anders zu bewerten.

Denn auch bei der Personalgewinnung stehen die Unternehmen im Wettbewerb zueinander und die Ansprache ist gem. Art. 2a UGP-Richtlinie (RL2006/114/EG) als Werbung einzuordnen. Die werbliche Direktansprache ist in § 7 UWG geregelt. Demzufolge ist eine postalische und telefonische Ansprache, nicht jedoch die elektronische Ansprache zulässig. Und genau da liegt das Problem, denn auch die Nutzung der Messenger Dienste innerhalb der einschlägigen Karriereportale stellt eine elektronische Direktansprache gem. Art. 7 Abs. 2 Nr. 3 UWG dar.

Die Gefahr einer Abmahnung auf Grundlage des Wettbewerbsrechts im Rahmen des Acitive Sourcing durch den potenziellen Bewerber besteht aber auf jeden Fall. Daher sollte jedes Unternehmen, dass auf ein Active Sourcing setzt, eine Risikoabschätzung durchführen und ggf. einen Fachanwalt für Lauterkeitsrecht hinzuziehen.

Informationspflichten beachten!

In jedem Fall sind aber die in Art. 13 DSGVO vorgegebenen Informationspflichten einzuhalten. Es empfiehlt sich, den Bewerber direkt nach der Ansprache über die Verarbeitung seiner personenbezogenen Daten zu informieren (Details hier im Blogbeitrag).

Fazit

Die Verarbeitung von personenbezogenen Daten im Rahmen des Recruitings kann in den meisten Fällen auch ohne die Einwilligung des Bewerbers erfolgen. Diese ist beispielsweise nur dann erforderlich, wenn Sie einen Bewerber in den unternehmenseigenen Talentpool aufnehmen möchte, derzeit aber keine passende Stelle anbieten können. Weiterhin ist zu beachten, dass sich die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen des Recruitings durchaus unterscheiden können. Ferner muss die Ansprache des potenziellen Bewerbers auch wettbewerbsrechtlich zulässig sein. Hier gibt es für Unternehmen ein gewisses Risiko.

Sollten Sie Fragen zum datenschutzkonformen Recruiting haben, stehen wir Ihnen gerne zur Verfügung.