Dieser Artikel beschäftigt sich mit der Durchführung von Background-Checks bei Bewerbern. Betrachtet werden Erhebungen von personenbezogenen Daten über soziale Netzwerke wie Meta, oder eher berufsbezogenen Netzwerken wie Xing und LinkedIn, sowie reine Google-Suchen. Dabei wird auf die möglichen Rechtsgrundlagen sowie die notwendigen Interessenabwägungen eingegangen.
Der Inhalt im Überblick
Rechtsgrundlage für die Recherche im Internet und in sozialen Netzwerken
In Zeiten des Fachkräftemangels hat Active-Sourcing über Social Media und Internet einen hohen Stellenwert für Arbeitgeber. Im Kampf um die besten Arbeitskräfte wird der Bewerber dabei über alle verfügbaren Ressourcen hin überprüft und auch nach Informationen außerhalb der üblichen Bewerbungsunterlagen gesucht.
Grundsätzlich ist dabei zu beachten, dass die DSGVO als „Verbotsgesetz mit Erlaubnisvorbehalt“, ausgestaltet ist, sodass die Verarbeitung personenbezogener Daten grundsätzlich untersagt ist, solange kein Erlaubnistatbestand in Betracht kommt.
Erforderlich für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses?
Als Rechtsgrundlage für die Durchführung von Background-Checks kommt neben einer Einwilligung der Bewerber nach Art. 6 Abs. 1 lit. a DSGVO § 26 Abs. 1 S. 1 BDSG in Betracht. Diese Rechtsgrundlage ist einschlägig, wenn die Verarbeitung für die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Ob für eine Anwendbarkeit des § 26 BDSG nach dem Urteil des Europäischen Gerichtshofs vom 30.03.2023 (Az. C-34/21) weiter Raum ist, ist zur Zeit unklar. Letztendlich bleibt aber für Vertragsverhältnisse alternativ der Weg über Art. 6 Abs. 1 lit. b DSGVO.
Bei der Prüfung der Erforderlichkeit für das Beschäftigungsverhältnisses kann ggf. auf die vom BAG vor der Einführung der Vorgängernorm des § 32 Abs. 1 S. 1 BDSG aF entwickelten Prinzipien zum Fragerecht des Arbeitgebers abgestellt werden. Danach darf der Arbeitgeber lediglich erfragen, was seinen berechtigten, billigenswerten und schutzwürdigen Interessen entspricht.
Pre-Employment-Screening aufgrund einer Einwilligung
Eine datenschutzrechtliche Einwilligung muss nach den Vorgaben von Art. 6 Abs. 1 lit. a DSGVO i. V. m. Art. 7 DSGVO erteilt werden. Hier ist zu berücksichtigen, dass bei der Beurteilung des Merkmals „Freiwilligkeit“ ein Machtgefälle zu Lasten des Bewerbers besteht. Für den Bewerber wiegt der Ausschluss aus dem Bewerbungsverfahren regelmäßig schwerer als für den Arbeitgeber der Verlust eines potenziellen Arbeitnehmers.
Allerdings ist auch zu berücksichtigen, dass nach den Maßstäben des Rechts auf informationelle Selbstbestimmung dem Betroffenen nicht pauschal abgesprochen werden sollte, gewisse Informationen (die normalerweise für den AG tabu sind) bewusst und freiwillig zu offenbaren, um seine Einstellungschancen zu erhöhen.
Weitere Risiken der Einwilligung ergeben sich für den Arbeitgeber zudem daraus, dass diese gem. Art. 7 Abs. 3 DSGVO frei widerruflich ist.
Ist das Googeln von Bewerbern durch potentielle Arbeitgeber erlaubt?
Ob Daten von Bewerbern die über Google abrufbar sind durch den Arbeitgeber verwendet werden dürfen ist strittig. Nach der in diesem Artikel vertretenen Ansicht ist der Zugriff auf allgemein zugängliche Daten des Bewerbers datenschutzrechtlich grundsätzlich zulässig. Dürfte der Arbeitgeber auf solche Daten nicht zugreifen, würde dies zu praxisfernen Ergebnissen führen. So könnten Informationen zu Auszeichnungen oder Referenzen des Bewerbers, die sich in Online-Zeitschriften oder auf Webseiten befinden im Bewerbungsverfahren grundsätzlich nicht berücksichtigt werden.
Allerdings dürfen dadurch keine überwiegenden schutzwürdigen Interessen des Bewerbers beeinträchtigt werden und es müsste ein berechtigtes Interesse des Arbeitgebers zur Verarbeitung der Daten bestehen. Der Arbeitgeber darf daher nur Informationen verarbeiten, die einen Bezug zu der zu besetzenden Stelle aufweisen und geeignet sind eine konkrete Aussage über die Eignung des Bewerbers zu treffen.
Automatisierte Background-Checks im Internet mittels Software („Scraping“)
KI-Systeme können aufgrund von Trainingsdaten einschlägige Karriereportale, aber auch soziale Netzwerke oder andere Websites nach passenden Kandidaten durchsuchen und Kandidatenprofile anlegen (sog. „Scraping“).
Als Rechtsgrundlage für das Anlegen von Trainingsdaten in der KI aus öffentlich gemachten Informationen der Bewerber kommt mangels der konkreten Anbahnung eines Beschäftigungsverhältnisses nur ein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO oder eine Rechtfertigung nach Art. 9 Abs. 2 lit. e DSGVO in Betracht. Bei der rechtlichen Einordnung sind die oben genannten Grundsätze im Einzelfall zu beachten.
Nach der Erhebung der personenbezogenen Daten des potenziellen Bewerbers kann die KI anschließend potentiell ein Persönlichkeitsprofil erstellen. Diese Verarbeitung kann ein Profiling im Sinne des Art. 22 Abs. 1 DSGVO darstellen. Sollte dies der Fall sein, ist eine Einwilligung der betroffenen Person einzuholen, was in der Praxis nicht umsetzbar erscheint.
Was ist beim Background-Check in sozialen Netzwerken beachten?
Die Frage ob bei der Zulässigkeit der Recherche nach beruflichen und sozialen Netzwerken unterschieden werden muss oder das anhand der Information einzelfallbezogen entschieden wird ist strittig.
Nach Ansicht des Verfassers ist eine starre Unterscheidung zwischen vermeintlich „privaten“ und „beruflichen“ sozialen Netzwerken ist nicht überzeugend, da in der Praxis inzwischen eine starke Vermischung der Nutzung der Netzwerke stattfindet. So dienen scheinbar „berufliche“ Netzwerke oft auch der privaten Vernetzung.
Im Ergebnis ist daher in der rechtlichen Bewertung auf die oben genannten Grundsätze zurückzugreifen. Verantwortliche können daher Profildaten wie beruflichen Stationen und Qualifikationen, die öffentlich gemacht wurden und einen klaren Bezug zur beruflichen Tätigkeit oder der Eignung für eine bestimmte Stelle haben verarbeiten.
Offensichtlich öffentlich gemacht und konkreter Stellenbezug
In Betracht kommt ggf. auch eine Verarbeitung von sensiblen Daten nach Art. 9 Abs. 2 lit. e DSGVO. Danach ist die Verarbeitung sensibler Daten erlaubt, wenn die betroffene Person sie „offensichtlich öffentlich gemacht hat”. Öffentlich sind Daten, wenn eine unbegrenzte Zahl von Personen ohne Zugriffsbeschränkung wie z.B. eine Passworteingabe auf diese zugreifen kann.
Der EuGH führt zur Veröffentlichung der Daten von Nutzern in seiner Entscheidung vom 04.Juli 2023 gegen Meta wie folgt aus:
„wenn sie (..) durch in voller Kenntnis der Sachlage vorgenommene individuelle Einstellungen klar ihre Entscheidung zum Ausdruck gebracht haben, dass diese Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden sollen.“
Und weiter:
„Werden solche individuellen Einstellungen nicht angeboten, ist hingegen in Anbetracht der Ausführungen in Rn. 77 des vorliegenden Urteils davon auszugehen, dass Nutzer, wenn sie Daten freiwillig auf einer Website oder in einer App eingeben oder darin eingebundene Schaltflächen betätigen, diese Daten nur dann offensichtlich öffentlich gemacht haben, wenn sie auf der Grundlage einer auf dieser Website bzw. in dieser App erteilten expliziten Information vor einer solchen Eingabe bzw. Betätigung ausdrücklich darin eingewilligt haben, dass die Daten von jeder Person, die Zugang zu dieser Website bzw. App hat, eingesehen werden können.“
Transparenz und Informationspflichten beim Pre-Employment-Screening
Verantwortliche sollten in jedem Fall eine vorhergehende Information nach Art. 14 DSGVO in Betracht ziehen. In diesem Sinne sollte über die gesamten der Datenverarbeitung bei Dritterhebung vor Beginn der Datenverarbeitung informiert werden. Die Einhaltung der Anforderungen der DSGVO an die Transparenz kann sich ggf. positiv auf die Interessenabwägung auswirken.
Wie Background-Checks in der Praxis planen
Zusammenfassend lässt sich sagen, dass es wie dargestellt bei der Durchführung von Background-Checks auf eine Einzelfallbetrachtung ankommt. Es empfiehlt sich daher in jedem Fall den betrieblichen Datenschutzbeauftragten bei der Gestaltung des Prozesses mit einzubeziehen.
Ja, genau – erst aus Geltungssucht alles mögliche rausblasen und dann beschweren, wenn es „der Falsche“ liest … absurd!
Da stellt sich ja wieder die große Frage nach Theorie und Praxis.
Wenn ich als Personaler den Bewerber google und jede Menge Informationen finde (egal ob in sozialen Netzwerken oder auf anderen Webseiten) und mir die ein oder andere Notiz auf einem kleinen gelben Zettelchen mache, stellt sich für mich die Frage, ob die DSGVO überhaupt Anwendung findet. In Art. 2 Abs. 1 DSGVO heißt es ja „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Gem. der Definition in Art. 4 Abs. 6 DSGVO würde ich den gelben Zettel nicht als Dateisystem bezeichnen, so dass meiner Meinung nach in dem Fall die DSGVO gar nicht greift…
Ganz so einfach ist es leider nicht.
Was wird auf dem „gelben Zettel“ notiert (gespeichert)?
Wie groß bzw. wie viele „gelbe Zettel“ werden verwendet?
Wer kann/darf den/die „gelben Zettel“ lesen?
Ein Dateisystem muss nicht elektronisch sein.
Die bloße Recherche fällt schon unter die Definition der Verarbeitung aus Art. 4 DSGVO.
Die Frage ist halt, ob es sich bei den gelben Zetteln um ein Dateisystem handelt oder nicht. Laut Definition in Art. 4 DSGVO ist ein Dateisystem eine „strukturierte Sammlung“, die nach bestimmten Kriterien zugänglich ist. Das sehe ich bei den gelben Zetteln eher nicht. Die sind weder strukturiert noch nach bestimmten Kriterien zugänglich.
Das die bloße Recherche schon eine Verarbeitung ist, sehe ich genauso. Die Frage ist aber: greift bei der Recherche und dem Notieren von einzelnen Informationen auf einer Lose-Blatt-Sammlung überhaupt die DSGVO? Und das würde ich hier verneinen.
Diese Frage kann im Bereich des Beschäftigtendatenschutzes dahinstehen, da der § 26 Abs. 7 BDSG dessen Anwendungsberech auf jegliche personenbezogene Daten von Beschäftigten erweitert, ohne dass diese in einem Dateisystem gespeichert werden müssen.