Active Sourcing auf Plattformen

men sitting on sofa
Foto von Kaleidico

Die aktive Suche nach Kandidaten auf Plattformen wie Xing, LinkedIn oder Facebook wird für Recruiter immer wichtiger. Gesetzliche Regelungen oder klare Rechtsprechung dazu, welche datenschutzrechtlichen Aspekte beim Active Sourcing zu beachten sind, fehlen allerdings bislang. Grundsätzlich dürfen HR-Verantwortliche nur veröffentlichte, also frei zugängliche Daten heranziehen.

Informationen zu sammeln, indem Recruiter „Fake“-Profile anlegen, um sich mit dem Bewerber zu vernetzen und Informationen zu erhalten, ist in der Regel unzulässig. Nutzen können sie hingegen Informationen und personenbezogene Daten, die der Kandidat selbst für alle sichtbar in das Netz gestellt hat – oder die mit dessen Einwilligung veröffentlicht wurden.

Weiters sollten Recuriter sich auf die Sammlung von Informationen und Daten beschränken, die beruflichen Konnex haben. Private Daten sind der privaten Sphäre zuzuordnen. Generell gilt: Personalverantwortliche sollten besser keine sensiblen Daten wie bespielweise zur politischen Meinung, Weltanschauung oder sexuellen Orientierung verarbeiten. Daten, die ein Recruiter im Internet über Bewerber erhebt, müssen zudem datenschutzrechtskonform verarbeitet und sicher geschützt werden. Recruiter sollten mit dem im Internet gewonnenen Daten und Informationen über Bewerber sensibel umgehen.

Digitale Bewerbungen

Das gilt auch für alle Informationen, die den Unternehmen über Bewerbungen zugehen. Digitale Bewerbungen haben die Print-Bewerbungsmappen mittlerweile weitgehend ersetzt. Das erleichtert die Informationsverarbeitung für die Arbeitgeber, bietet aber auch datenschutzrechtliche Risiken. Sobald Arbeitgeber Informationen über Bewerber in Datenbanken speichern, müssen diese auch den Grundsätzen und Vorgaben der DSGVO entsprechen. Besonders heikel sind sogenannte „Bewerberpools“, auf die mehrere Konzerngesellschaften zugreifen können. Wenn personenbezogene Daten von Bewerbern an Konzernunternehmen übermittelt werden, liegt eine Übermittlung an Dritte vor. Können mehrere Unternehmen auf die Bewerberdaten zugreifen, wird es noch heikler, denn dann muss einerseits zwischen den einzelnen Unternehmen eine Vereinbarung mit Mindestinhalt laut DSGVO abgeschlossen werden und zudem die Einwilligung der Bewerber zur Weitergabe an Konzernunternehmen und Verwendung in Bewerberpools eingeholt werden.

Welche Bewerberdaten dürfen Arbeitgeber erheben?

Mit jeder Bewerbung erhalten Arbeitgeber eine Flut von Daten über den Kandidaten – teils gewünscht, teils ungewünscht. Dies ist aus datenschutzrechtlichen Erwägungen riskant. Unter dem Gesichtspunkt des Datenschutzes gilt: Weniger ist mehr. Fragen Sie sich ehrlich – brauchen Sie alle Daten, die Sie von Bewerbern erhalten? Bedenken Sie: Je mehr personenbezogene und vielleicht sogar sensible Daten von Bewerbern Sie verarbeiten, umso mehr Pflichten treffen Sie aus datenschutzrechtlicher Sicht.

Im Datenschutzrecht gelten bisher und auch künftig gewisse Grundsätze. Im Zusammenhang mit Bewerbungen sind insbesondere die Grundsätze der Datenminimierung, der Speicherbegrenzung und der Zweckbindung zu beachten. Ohne die Einwilligung des Bewerbers ist es beispielsweise nicht zulässig, vor Unterzeichnung des Vertrags all jene Daten zu erheben und zu verarbeiten, die für ein aufrechtes Arbeitsverhältnis erforderlich sind. Beispielsweise dürfte ein Arbeitgeber im Bewerbungsprozess noch nicht nach der Sozialversicherungsnummer fragen, da er diese erst bei Anmeldung eines Arbeitnehmers zur Sozialversicherung benötigt.

Bei der Erhebung der Daten mittels Eingabemaske auf der Karriereseite oder Bewerberplattform sind auch Erkundigungen über den Familienstand oder religiöse Ansichten für die Einstellungsentscheidung irrelevant und sollten daher während eines Bewerbungsverfahrens nicht abgefragt werden. Diese Informationen sind – wenn überhaupt – erst im Zuge einer tatsächlichen Einstellung zu erheben, wenn beispielsweise das Religionsbekenntnis notwendig ist, um den Anspruch des Arbeitnehmers auf Feiertagsruhe zu beurteilen.

Bedenken Sie neben den datenschutzrechtlichen Einschränkungen auch die Thematik der Gleichbehandlung. Nach dem Gleichbehandlungsgesetz dürfen Arbeitgeber niemanden aufgrund des Alters, des Geschlechts, der Religion oder aus anderen Gründen bei Begründung des Arbeitsverhältnisses ohne sachliche Rechtfertigung benachteiligen.

Ein Beispiel dazu: Sie fragen einen Bewerber nach seinem Religionsbekenntnis, speichern diese Information ohne seine ausdrückliche Einwilligung in einem Bewerberpool, lehnen den Bewerber aber für die konkrete Stelle ab. Dieser ist verärgert und behauptet, er wurde aufgrund seines Religionsbekenntnisses diskriminiert und er habe zudem nie seine Einwilligung zur Speicherung seiner Daten in einem Bewerberpool gegeben. Er erhebt Vorwürfe und Forderungen gegen Ihr Unternehmen sowohl wegen des Verstoßes gegen das Gleichbehandlungsgesetz als auch wegen des Verstoßes gegen den Datenschutz. Nebenbei erstattet er Anzeige bei der Datenschutzbehörde und macht von seinen Betroffenenrechten nach dem Datenschutz Gebrauch.

Solche Fälle bedeuten finanziellen und zeitlichen Aufwand für Ihr Unternehmen. Diesen können Sie vermeiden, indem Sie digitale Bewerbungsprozesse nach den Grundsätzen des Datenschutzes strukturieren.

Welche Informationspflichten hat der Arbeitgeber?

Damit der Bewerbungsprozess den Anforderungen der Datenschutz-Grundverordnung gerecht wird, müssen Arbeitgeber ihre Bewerber darüber informieren, welche Daten sie im Laufe des Bewerbungsverfahrens (wozu auch spätere „Online-Assessment-Center“ zählen) verarbeiten. Die Information muss erfolgen, bevor die Kandidaten ihre Daten in die Bewerbermaske eingeben. Sie sollte also auf der Karriere-Website oder Bewerberplattform leicht auffindbar sein. Außerdem muss die Information umfassend sein: Arbeitgeber sollten die in der Datenschutz-Grundverordnung genannten Mindestangaben berücksichtigen und insbesondere über Zwecke und Rechtsgrundlagen der Datenverarbeitung, über die Empfänger der Daten, die Speicherdauer und die Betroffenenrechte sowie die Beschwerdemöglichkeit bei der Datenschutzbehörde informieren.

Sie sollten diese Informationen strukturiert aufbereitet für Ihr Unternehmen gleich zu Beginn des digitalen Bewerbungsprozesses einbauen. So stellen Sie sicher, dass der Bewerber seine Daten erst nach Kenntnisnahme der Informationen hochlädt.

Einwilligungserklärungen – aber richtig!

Sofern Unternehmen Daten von Bewerbern länger als gesetzlich zulässig aufbewahren, an andere Konzernunternehmen weitergeben oder für eine andere Stelle verwenden, benötigen sie eine Einwilligung des Bewerbers. Jede Datenverarbeitung bedarf einer Rechtfertigung. Die Einwilligung ist eine mögliche Rechtfertigung.

Eine andere wäre das sogenannte „berechtigte Interesse“. Dabei sind die Interessen des Unternehmens und des Bewerbers gegeneinander abzuwägen. Da es noch keine Rechtsprechung zur neuen Rechtslage gibt, ist offen, ob Unternehmen bei Bewerbungen das berechtigte Interesse als Rechtfertigung heranziehen können. Bis dahin sollten sie Einwilligungen einholen.

An diese Einwilligungen müssen sie strenge Anforderungen stellen: Die Bewerber sollten umfassend informiert sein und ihre Einwilligung für einen konkreten Fall geben. Die entsprechende Erklärung muss in einer klaren und verständlichen Sprache verfasst und nachweisbar sein. Außerdem sollten die Kandidaten ihre Einwilligung aktiv geben, zum Beispiel, indem sie auf einer Website in einem Opt-in-Verfahren ein Häkchen setzen müssen. Es reicht nicht aus, bereits vorangekreuzte Erklärungen zu verwenden (Opt-out).

Die Nutzer müssen den Inhalt der abgegebenen Einwilligung jederzeit widerrufen können. Unternehmen müssen verpflichtend auf die Widerrufsmöglichkeit hinweisen und die Einwilligungserklärungen protokollieren. Einwilligungen zu verschiedenen Datenverarbeitungen dürfen nicht gekoppelt werden – der Bewerber sollte beispielsweise die Möglichkeit haben, einer längeren Speicherung zuzustimmen, nicht aber einer Weitergabe an Konzerngesellschaften.

Dürfen Unternehmen Bewerberdaten im Konzern weitergeben?

Wenn sich Kandidaten über eine zentrale Plattform oder Website bei einem Konzern bewerben, der verschiedene Gesellschaften oder Tochterunternehmen hat, dann sollte klar sein, wie die Daten innerhalb des Konzerns verarbeitet werden. Alle Unternehmen, die die Bewerberdaten erhalten, sollten angeführt sein. Außerdem muss deutlich werden, welche Unternehmensgruppen die Daten zu welchem Zweck verwenden. Sofern Daten in einem Bewerberpool verarbeitet werden, kann je nach Ausgestaltung der Abschluss einer datenschutzrechtlichen Vereinbarung zwischen diesen Unternehmen erforderlich sein. Daraus muss hervorgehen, ob die beteiligten Unternehmen gemeinsam für den Datenschutz verantwortlich sind oder ob die Bewerberdaten im Auftrag eines Verantwortlichen verarbeitet werden und es sich daher um eine Auftragsdatenverarbeitung handelt. 


Automatisierte Entscheidungsfindung

Wenn über digitale Plattformen oder Softwarelösungen Bewerberdaten automatisiert vorselektiert werden, kann Profiling vorliegen. Profiling definiert die DSGVO als eine Verarbeitung personenbezogener Daten, die darin besteht, persönliche Aspekte einer natürlichen Person zu analysieren oder vorherzusagen. Darunter fällt jede Art der automatisierten Verarbeitung personenbezogener Daten, die dazu dient, Faktoren wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Über das Bestehen einer solchen automatisierten Entscheidungsfindung müssen Unternehmen Bewerber informieren. Dabei müssen sie aussagekräftige Informationen über die involvierte Logik der Entscheidungsfindung sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person bekannt geben. 


Wie lange dürfen Unternehmen Daten von Bewerbern aufbewahren?

Gemäß dem datenschutzrechtlichen Grundsatz der Speicherbegrenzung dürfen Unternehmen Daten nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Doch wie lange ist das? Solange ein Bewerbungsverfahren andauert, können Arbeitgeber jene Daten verarbeiten, die im Bewerbungsprozess für die Entscheidung über die Stellenbesetzung erforderlich sind oder für die zusätzlich eine Einwilligung erteilt wurde.

Nach Abschluss des Bewerbungsprozesses haben Arbeitgeber unter Umständen aufgrund des Gleichbehandlungsgesetzes ein Interesse an der weiteren Datenaufbewahrung, um im Falle von Ansprüchen abgelehnter Bewerber die Entscheidungsgrundlage nachweisen zu können. Da Ansprüche nach dem Gleichbehandlungsgesetz binnen sechs Monaten ab dem Zeitpunkt der Ablehnung der Bewerbung oder Beförderung geltend zu machen sind, ist eine Aufbewahrung für diesen Zeitraum – und noch zwei bis vier Wochen danach für den Postlauf – gerechtfertigt.

Danach sollten Unternehmen Bewerberdaten löschen, sofern ihnen die Bewerber keine Einwilligung für die Aufbewahrung erteilt haben. In der Einwilligungserklärung sollte aufgenommen werden, für welchen Zeitraum die Einwilligung zur Aufbewahrung beziehungsweise weiteren Verwendung erfolgt. 


Welche Betroffenenrechte haben Bewerber?

Neben dem Recht auf Löschung und dem Widerrufsrecht sind auch die sonstigen Betroffenenrechte von Bewerbern zu beachten. Bewerber können beispielsweise verlangen, dass Arbeitgeber Daten aktualisieren (wenn sie eine neue Ausbildung absolviert haben) oder nur zum Teil löschen. Es ist wichtig, dass Sie in Ihrem Unternehmen einen Prozess für den Umgang mit Datenschutzanfragen von Bewerbern einrichten. 


Machen Sie Ihren Bewerbungsprozess datenschutz-compliant!

Aufgrund der vielen neuen Regelungen und der hohen Strafdrohungen (Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres), ist es wichtig, dass Sie Ihren Bewerbungsprozess überprüfen und mit den datenschutzrechtlichen Regelungen in Übereinstimmung bringen. Starten Sie am besten sofort. Aufgrund der Komplexität des neuen Datenschutzes sind die Hinweise in diesem Beitrag nicht abschließend zu verstehen und können eine Beratung im Einzelfall nicht ersetzen.


Quelle: 


Der Artikel ist Ausgabe 3/2018 der Zeitschrift personal manager entnommen. www.personal-manager.at