Personalvermittlung und Recruiting: Das gilt es in Sachen Datenschutz zu beachten
© JESHOOTS.COM/ unsplash.com
Letztes Update am: 

Personalvermittlung und Recruiting: Das gilt es in Sachen Datenschutz zu beachten

In den Personalabteilungen von Unternehmen und bei Personalvermittlungsagenturen und Headhuntern ist das Thema Datenschutz sehr wichtig. Immerhin ist es ihr täglich Brot, die Daten unterschiedlichster Bewerber*innen zu bearbeiten.

Obwohl die aktuelle Datenschutz-Grundverordnung bereits seit einigen Jahren in Kraft ist, gibt es in manchen Bereichen Wissenslücken. Obwohl sich für Personalvermittler, Personalabteilungen und Recruiter durch die Einführung der neuen Datenschutz-Grundverordnung nicht viel geändert hat, müssen sie informiert bleiben. Wir klären auf und beantworten die Frage: Was müssen Personaler in Sachen Datenschutz beachten?

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die seit dem 25. Mai 2018 in Kraft ist. Dort ist die Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen reglementiert. Obwohl die Bestimmungen EU-weit gelten, existieren Öffnungsklauseln für länderspezifische Regelungen.

Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine natürliche, identifizierbare Person beziehen. Teilinformationen, die in der Summe zur Identifizierung einer Person beitragen, fallen ebenfalls darunter. Neben Vor- und Nachnamen zählen Daten wie die IP-Adresse oder Standortdaten dazu.

Daten, die so anonymisiert wurden, dass eine Identifikation der Person nicht mehr möglich ist, gelten nicht als personenbezogene Daten. Weitere Informationen dazu finden sich auf der Webseite der Europäischen Kommission.

Ziel der DSGVO ist die Wahrung der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere das Recht auf Schutz personenbezogener Daten. Nutzer sollen selbst entscheiden können, was mit ihren Daten geschieht. Die Verordnung stärkt damit die Verbraucherrechte.

Für die Umsetzung müssen Unternehmen, Konzerne, Vereine sowie andere Institutionen und Organisationen gewisse Pflichten erfüllen:

  • Meldepflicht: Eine Datenschutzpanne muss der Datenschutzbehörde gemeldet werden.
  • Rechenschaftspflicht: Organisationen müssen über geeignete technische und organisatorische Maßnahmen verfügen, um auf Nachfrage nachweisen zu können, was mit den personenbezogenen Daten passiert ist.
  • Datensicherheit: Die Verordnung beinhaltet die Notwendigkeit von Datensicherheitsmaßnahmen, die den ausreichenden Datenschutz gewährleisten.
  • Rechte Betroffener: Die Menschen haben das Recht, sich umfassend über die Verarbeitung ihrer Daten zu informieren. Organisationen müssen ihnen auf Nachfrage Auskunft geben.

Für Personaler, Recruiter und Headhunter ergeben sich daraus Pflichten und Richtlinien.

Pflichten von Personalern und Headhuntern

Zunächst sind Personaler wie auch Headhunter verpflichtet, sensibel und diskret mit den Daten der Bewerber*innen umzugehen. Immerhin enthalten Bewerbungen zahlreiche persönliche Daten, wie etwa die Adresse oder private Telefonnummern. Geraten diese Daten in die falschen Hände, kann das großen Schaden anrichten.

Heutzutage laufen Bewerbungsprozesse in vielen Fällen rein digital ab. Daten aus Bewerbungen könnten abgefangen und vervielfältigt werden. Deshalb ist gerade bei digitalen Bewerbungen ein sensibler Umgang mit Daten wichtig.

Unternehmen, die Bewerbungen entgegennehmen, müssen gegenüber Bewerber*innen transparent sein und auf ihrer Website umfänglich über die Verarbeitung der personenbezogenen Daten aus den Bewerbungen informieren.

Ein Unternehmen, das über die eigene Homepage nach Bewerber*innen sucht, muss die Allgemeinen Geschäftsbedingungen entsprechend gestalten und erläutern. Dabei gilt es, über folgende Punkte aufzuklären:

  • Zu welchem Zweck verarbeitet das Unternehmen die personenbezogenen Daten? Vor allem Headhunter sollten klar formulieren, dass die Daten an Dritte, also potenzielle Arbeitgeber*innen, weitergegeben werden.
  • Was sind die geltenden Rechtsgrundlagen? Dabei geht es um die Auskunfts-, Berichtigungs- und Löschungsrechte bezüglich der Daten.
  • Alle potenzielle Bewerber*innen müssen über ihr Recht des Widerrufs oder der Einschränkung der personenbezogenen Daten Bescheid wissen.
  • Die zuständige Landesaufsichtsbehörde ist zu nennen, damit das Beschwerderecht für die Bewerber*innen gewahrt bleibt.
  • Bei Unternehmen, die mehr als 10 Personen beschäftigen, muss mindestens eine Person mit der Wahrung des Datenschutzes beauftragt und der Landesaufsichtsbehörde bekannt sein.
© Amy Hirschi/unsplash.com

Personaler*innen und Headhunter*innen arbeiten mit Menschen und deren Daten. Über die Jahre kann sich eine große Datenbank mit Kontakten ansammeln. Zu beachten ist dabei, dass sie diese Kontaktdaten nur mit einer Einwilligung der Betroffenen speichern dürfen.

Falls diese Einwilligung nicht mehr vorliegt und sie auf Anfrage der betroffenen Personen auch nicht mehr gegeben wird, müssen die Unternehmen die entsprechenden Daten unverzüglich löschen.

Datenschutz bei der Bewerbung

Bewerber*innen müssen kein Einverständnis zur Weiterverarbeitung der Daten geben. Immerhin bewerben sie sich auf eine ausgeschriebene Stelle und sie geben ihre Daten freiwillig zu diesem Zweck heraus. Die Abgabe einer Einverständniserklärung zur Verarbeitung der Daten, etwa in Form von Opt-In-Kästchen, ist somit nicht notwendig.

Die Datenschutz-Grundverordnung verlangt es nicht, sie erlaubt sogar das Gegenteil. Das wird in §26 des Bundesdatenschutzgesetzes ersichtlich:

„ Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses […] erforderlich ist.“ 

Obwohl hier nur von „Beschäftigten“ die Rede ist, fallen Bewerber*innen laut Artikel 8 desselben Paragrafen ebenfalls unter diesen Begriff. Damit Personaler und Headhunter die personenbezogenen Daten von Bewerber*innen aus der Bewerbung verarbeiten dürfen, ist keine Einwilligung der Betroffenen notwendig. Es genügt, dass sie über die Datenverarbeitung informiert werden.

Diese Information kann in den Allgemeinen Geschäftsbedingungen zu finden sein. Zusätzlich ist es möglich, dass Unternehmen diese Information in der Datenschutzerklärung der jeweiligen Website in einem Abschnitt zum Recruiting einfügen. Unterhalb der Stellenanzeige setzen sie einen Link zu diesem Abschnitt, damit sich die Bewerber*innen selbstständig über die Verarbeitung ihrer personenbezogenen Daten informieren können.

Datenschutz im Recruiting und Sourcing

Wer sich bei einem Unternehmen auf eine Stelle bewirbt, willigt mit seiner Bewerbung ein, dass die persönlichen Daten im Rahmen des Bewerbungsprozesses weiterverarbeitet werden. Allerdings bietet das Internet heutzutage viel mehr Möglichkeiten, um an Jobs zu kommen. Unternehmen sourcen die Suche nach passenden Kandidat*innen heutzutage häufig aus.

Dazu wenden sie sich unter anderem an Headhunter, die sich dann um den Rekrutierungsprozess kümmern. Personen bewerben sich bei Personalvermittlern, die den Unternehmen passende Profile vorstellen.

Nicht selten gehen Headhunter aktiv auf die Suche nach passenden Personen, die die ausgeschriebene Stelle ausfüllen könnten. Dann sieht die Lage beim Datenschutz anders aus.

Wer geeignete Kandidat*innen in den sozialen Medien ansprechen möchte, muss ein paar Punkte beachten. Es ist nur unter gewissen Voraussetzungen möglich.

  • Um die Person anzusprechen, muss ein berechtigtes Interesse bestehen.
  • Es darf kein Interesse seitens der Kandidat*innen bestehen, das dem Interesse der Headhunter entgegensteht.
  • Die Daten müssen selbst von den jeweiligen Personen im Internet veröffentlicht worden sein.

Wer also die eigene Adresse im Netz für jeden frei zugänglich präsentiert, darf kontaktiert werden. Dabei ist die Art und Weise der Kontaktaufnahme ausschlaggebend.

Briefe sind das sicherste Mittel. Anrufe können ebenfalls rechtmäßig sein, allerdings sollten sich Headhunter kurz fassen und bei Interesse um eine Kontaktaufnahme seitens der Kandidat*innen bitten.

Bei elektronischen Nachrichten, egal in welcher Form, bedarf es einer Einwilligung. Wichtig ist zudem, dass die angeschriebenen Personen über ihre Rechte gemäß der DSGVO aufgeklärt werden müssen.

Daneben gilt es insbesondere für Headhunter einige Punkte beim Umgang mit personenbezogenen Daten von Bewerber*innen zu beachten.

Datenbank von Kandidaten

Ähnlich wie beim Vorgehen von Personalabteilungen müssen Headhunter die potenziellen Kandidat*innen darauf aufmerksam machen, dass ihre persönlichen Daten zur Weiterverarbeitung gespeichert werden. Notwendige Informationen sind die Art der Speicherung sowie die Dauer. Die einfachste Lösung ist ein Formular, das direkt zu Beginn der Vermittlung von den Bewerber*innen ausgefüllt wird.

Die Daten aus diesen Karteien dürfen dann an die Unternehmen weitergeleitet werden. Es liegt in der Verantwortung der Headhunter, dass diese empfindlichen Informationen nicht an dritte Personen im Unternehmen gelangen, sondern nur an die Führungsetage sowie die Personalabteilung. Daneben ist lediglich der Betriebsrat dazu berechtigt, die Daten von Bewerber*innen einzusehen.

Löschungsfristen von Daten beachten

Wurde ein Kandidat oder eine Kandidatin erfolgreich an ein Unternehmen vermittelt und somit der Auftrag der Personalvermittlungsagentur erfüllt, muss der Headhunter die Daten löschen. Hin und wieder kann es sinnvoll sein, die Daten noch für eine gewisse Zeit aufzuheben.

Ein gutes Beispiel hierfür sind Daten von Bewerbern, die abgelehnt wurden und rechtlich dagegen vorgehen möchten. Die gesammelten Unterlagen der Headhunter können in einer solchen Situation hilfreich sein.

Empfohlen wird, die Daten vier bis maximal sechs Monate zu verwahren. Eine längere Verwahrung der Unterlagen muss noch einmal gesondert erlaubt werden, etwa falls der Headhunter plant, eine Datenbank anzulegen.

Dann ist es wiederum wichtig, dass die Bewerber*innen alle nötigen Informationen dazu  bekommen. Welche Zwecke verfolgen Headhunter damit und wann und wie werden die Daten wieder gelöscht?

Nach der Bewerbung: Personenrecherche im Netz

Ist die Bewerbung in einem Unternehmen eingegangen, sei es auf dem klassischen Weg oder auf Anraten einer Personalvermittlung, muss der Betrieb diskret mit den Daten umgehen. Oft ist bei Personalern und anderen Verantwortlichen ein erster Impuls, eine Suchmaschine im Internet nach den Bewerber*innen zu befragen.

Unternehmen müssen sich nach den Grenzen des Bundesdatenschutzgesetzes richten. Dabei kommt der bereits erwähnte § 26 des BDSG zum Tragen. Veröffentlichen die Bewerber*innen freiwillig mit Klarnamen ihre empfindlichen Daten im Netz, haben Unternehmen rechtlich zunächst nichts zu befürchten.

Dennoch ist diese Internetrecherche datenschutzrechtlich umstritten. Zwar können frei verfügbare Daten, die über gängige Suchmaschinen auffindbar sind, herangezogen werden, dennoch sollten sich Unternehmen dabei zurückhalten.

Denn berücksichtigt man die Rechtsprechung des Bundesverfassungsgerichts, handelt es sich dabei um eine Datenerhebung, die zur Persönlichkeitsprofilbildung führen kann. Das verstößt gegen das Persönlichkeitsrecht der Bewerber*innen. In den sozialen Netzwerken wird die Lage noch schwieriger.

Nicht alles in den sozialen Netzwerken ist erlaubt

Die sozialen Medien, wie etwa Facebook, Instagram, Twitter, Xing und LinkedIn, sind erst nach einer Anmeldung zugänglich. Viele Profile lassen sich nicht im Rahmen einer Google-Suche finden, sondern erst auf den Portalen selbst.

© Jeremy Bezanger/unspalsh.com

Wenn Bewerber*innen Daten von sich preisgeben, dürfen Unternehmen, Personaler und auch Headhunter nicht einfach ohne Vorbehalt „zugreifen“. Handelt es sich nämlich um Daten, die auf freizeitorientierten Social-Media-Plattformen zu finden sind, dürfen diese Daten von Unternehmen genutzt werden, um Informationen über Personen zu sammeln. Zu diesen freizeitorientierten Portalen gehören unter anderem Facebook, Instagram oder Twitter. In den meisten Fällen haben die Daten dort nichts mit der beruflichen Person zu tun.

Daten, die nicht öffentlich und sogar nur einem bestimmten Personenkreis zugänglich sind, wie etwa Freunden oder speziellen Gruppen, sind für Personaler tabu.

Daneben gibt es berufsorientierte Social-Media-Plattformen, wie etwa Xing und LinkedIn. Die bereitgestellten Daten auf diesen Portalen sind insbesondere für potenzielle neue Arbeitgeber*innen, Kund*innen oder Geschäftspartner*innen aufbereitet. In diesen Netzwerken kann eine Recherche, was die Rechtsprechung im Datenschutz angeht, zulässig sein.

Ein Blick in die allgemeinen Geschäftsbedingungen der jeweiligen Social-Media-Plattformen kann sich für Personaler und Headhunter lohnen. Gibt es hier eindeutige Verbote, die die Personaldatenerhebung durch Informationen, die auf der Seite gespeichert sind, untersagen, dürfen die Daten nicht genutzt werden.

Neben dem Datenschutz ist bei einer Recherche in den Sozialen Medien der Schutz der Persönlichkeitsrechte ein zentrales Thema. Persönliche Daten über das Intimleben, Sexualität, Religion oder Ethnie dürfen Personaler nicht erheben. Punkte, die für die Arbeitsstelle nicht wichtig sind und nicht im Vorstellungsgespräch abgefragt werden würden, dürfen im Vorfeld nicht die Entscheidung über das Zustandekommen des Arbeitsverhältnisses beeinflussen.

Konsequenzen bei Verstößen gegen die DSGVO

Halten sich Unternehmen, Personaler oder Headhunter nicht an die rechtlichen Vorgaben der Datenschutz-Grundverordnung, müssen sie mit entsprechenden Konsequenzen rechnen. Hohe Bußgelder und/oder Schadenersatzansprüche können drohen. Dabei sind Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens oder bis zu 20 Millionen Euro möglich. Grundsätzlich darf nichts ohne die Kenntnis und, sofern erforderlich, die Einwilligung der Bewerber*innen geschehen.

Zwar sind Suchen im Netz und die Recherche in den sozialen Medien zulässig, dennoch dürfen sie nicht zur Erstellung eines Persönlichkeitsprofils beitragen. Nicht nur würden Personaler und Headhunter dann gegen die geltende Datenschutz-Grundverordnung verstoßen, sondern allgemeine Persönlichkeitsrechte verletzen.

© Tingey Injury Law Firm/unslapsh.com

Sinnvoller ist es, wenn die Daten von den berufsorientierten Social-Media-Plattformen genutzt werden. Sie sind speziell für die Augen potenzieller Arbeitgeber*innen aufbereitet und auch dafür vorgesehen.

Fazit

Das Thema Datenschutz beim Recruiting und in der Personalvermittlung ist nicht einfach zu verstehen. Sehr häufig widersprechen sich hier einige Punkte. Dennoch lassen sich ein paar klare Regeln ableiten, nach denen Personaler in Unternehmen und Headhunter agieren können.

An erster Stelle steht das Informieren der Bewerber*innen. Sie müssen kein Einverständnis über die Verarbeitung ihrer Daten zu Bewerbungszwecken geben, sollten jedoch zumindest auf der Seite des Unternehmens nachlesen können, was damit passiert und wann die Daten wieder gelöscht werden.

Headhunter sollten beachten, dass eine Kontaktaufnahme auf elektronischem Wege eine Einwilligung erfordert. Per Brief ist der Kontakt unproblematisch, per Telefon ist er unter den oben genannten Voraussetzungen zulässig.

Im Bewerbungsverfahren sollten Unternehmen bei der Recherche mit Suchmaschinen und sozialen Medien eher vorsichtig umgehen. Verstoßen Unternehmen, Personaler und Headhunter gegen die Regelungen der DSGVO, können empfindliche Strafen drohen.

Wie finden Sie diesen Artikel?