DSGVO für Headhunter: Datenweitergabe & Bewerberdatenbank

Fachbeitrag

Der erste Teil des Beitrages beschäftigte sich mit den Fragen, um die Anwendbarkeit der DSGVO und wie Headhunter sich Informationen über geeignete Kandidaten beschaffen. Dieser Artikel widmet sich dem Zeitpunkt, ab dem der Kontakt zwischen Headhunter und Kandidat geschaffen wurde. Auch hier muss der Headhunter einige datenschutzrechtliche Aspekte beachten.

Weitergabe der Daten nach erfolgreichem Gespräch

Dem Bewerber ist unbedingt genau mitzuteilen, welche Daten zu welchen Verarbeitungszwecken, an wen weitergegeben werden. Da der potentielle Arbeitgeber nur mittelbar über den Headhunter die Datenverarbeitung veranlasst, gilt es die Informationspflichten aus Art. 13 und Art. 14 DSGVO zu beachten. Ob der Headhunter bereits selber Verantwortlicher i. S. d. DSGVO ist, hängt maßgeblich vom Einzelfall bzw. insbesondere der Ausgestaltung des Suchauftrages und den Grund der Kontaktaufnahme ab.

Die Datenverarbeitung ist, soweit der Bewerber Interesse an dem Job hat, jedenfalls nach § 26 Abs. 1 BDSG gerechtfertigt, da der Arbeitgeber die Identität des Bewerbers kennen muss, um über die Begründung eines Beschäftigungsverhältnisses entscheiden zu können.

An dieser Stelle sei auf das sog. „need-to-know-Prinzip“ hingewiesen. Der Zugriff auf die personenbezogenen Daten des Bewerbers muss auf die Personen beschränkt bleiben, die bei der Entscheidungsfindung mitwirken. Dies ist für die Geschäftsleitung und Personalabteilung unproblematisch zu bejahen. Bei allen übrigen Personen hängt dies maßgeblich von deren Funktion ab. So kann dies für den potentiellen Teamleiter ebenfalls noch gerechtfertigt sein, soweit das Bewerbungsverfahren bereits fortgeschritten ist. Keinesfalls darf aber schon im Bewerbungsverfahren die ganze Belegschaft, also jeder Angestellter, die Identität des Bewerbers erfahren.

Abschluss des Bewerbungsverfahrens

Hat der Headhunter einen passenden Kandidaten gefunden und wird dieser von dem Unternehmen eingestellt, dann hat sich der Zweck der Datenverarbeitung erfüllt. Das unverzügliche Löschen der Daten ist daher grundsätzlich geboten.

Der Headhunter kann als Vermittler den Bestimmungen des § 298 SGB Drittes Buch unterliegen. Daraus ergibt sich einerseits, dass der Headhunter die vom Bewerber eingereichten Unterlagen zurückgeben muss. Andererseits sind die übrigen Geschäftsunterlagen für 3 Jahre zu verwahren.

Für den Fall, dass ein nicht angenommener Bewerber arbeitsrechtliche Schritte gegen die Absage vornehmen möchte, ist die Verwahrung aller Bewerber-Unterlagen für ca. 4 Monate bzw. längstens 6 Monate zulässig. Möchte der Headhunter die Daten darüber hinaus aufbewahren, dann bedarf es hierzu einer Einwilligung der Bewerber.

Beim Anlegen einer Bewerberpool-Datenbank

Viele Headhunter legen eine ganze Datenbank über Bewerber an. Hierfür ist immer die Einwilligung des Bewerbers erforderlich. Der Bewerber muss hierbei umfassend informiert, welche Daten für welchen Zwecke verarbeitet werden und wann die Löschung erfolgt. Die Erstellung eines Löschkonzeptes ist hier besonders wichtig.

In Art. 35 Abs. 1 S. 1 DSGVO ist allgemein normiert, dass aufgrund der „bei Verwendung neuer Technologien, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung“ vorab eine Datenschutz-Folgenabschätzung zu erfolgen hat, soweit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erwarten ist. In Abs. 3 werden dann Beispiele, u. a. das Profiling, genannt, bei denen diese Abschätzung insbesondere vorzunehmen ist. Wie dieses Abschätzung zu erfolgen hat, wird hier kurz erklärt.

Ob die Datenbank eines Headhunters diese Kriterien bereits erfüllt, hängt wohl maßgeblich vom Umfang des Datensatzes sowie den angewandten Automatismen der Entscheidungsfindung ab und lässt sich daher nicht so leicht beantworten. Die Aufsichtsbehörden sollen nach der DSGVO sog. Black-Listen veröffentlichen, aus denen hervorgeht, wann eine Folgenabschätzung verpflichtend ist. Da diese innerhalb der Bundesländer variieren und es auch noch keine festgelegten Grenzwerte für den Umfang gibt, ist hier eine Einzelfallentscheidung vorzunehmen.

Die Arbeit ist komplexer, aber nicht unmöglich geworden

Headhunter müssen seit Inkrafttreten der DSGVO einige rechtliche Pflichten beachten und sollten sich daher unbedingt beraten lassen. Aufgrund der Menge an personenbezogenen Daten, die sie erhalten, ist die Bestellung eines Datenschutzbeauftragten und Vornahme einer Folgenabschätzung angezeigt.

Der Headhunter muss seine Arbeitsprozesse vollständig analysieren und datenschutzkonform ausgestalten. Diesen Arbeitsschritt kann der Headhunter aber auch mit einer Überprüfung der Prozesse auf Effektivität verbinden und somit zugleich unnötige Prozesse eliminieren. Insoweit kann die DSGVO auch als Chance für die Erhöhung der eigenen Produktivität genutzt werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

6 Kommentare zu diesem Beitrag

  1. Mich würde interessieren, woraus Sie die Pflicht ableiten, dass ein Headhunter einen Datenschutzbeauftragten bestellen soll? Dem Gesetz kann ich dies nicht entnehmen. Nur aufgrund der Menge an Daten? Diese hat jedes andere Unternehmen mit Bewerbern auch und eine Folgenschätzung muss der Verantwortliche auch selbst vornehmen?

    • § 38 BDSG Absatz 1 Satz 2 verlangt von Verantwortlichen einen Datenschutzbeauftragten unabhängig von der 10-Personengrenze zu bestellen, wenn Verarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung unterliegen.

      • Danke für die Antwort. Da allerdings nicht einmal sicher ist, ob im konkreten Fall eine Folgenabschätzung notwendig ist, müsste streng genommen der Verantwortliche erstmal prüfen, ob er eine solche braucht und wenn nicht, braucht er dann auch keinen Datenschutzbeauftragten. Kann dem Verantwortlichen dies und die Konsequenzen (kein DS-Beauftragter) im ergebnis mit einem Bußgeld versehen werden, wenn nun eine Aufsichtsbehörde meint, eine Folgenabschätzung sei erforderlich und damit eben auch ein DS-Beauftragter (gegen den sich der Verantwortliche aber bewusst nicht entschieden hat, weil er die Folgenabschätzung nicht für erforderlich ansieht). Oder wird es hier bei einer Verwarnung der Behörde bleiben mit der Auflage einen DS-Beauftragten einzustellen? Dann müsste aber ja wirklich in stein gemeiselt sein, dass eine Folgenabschätzung im konkreten Fall eindeutig erforderlich ist. Für Graubereiche bzw wo man viel argumentieren kann, stelle ich mir das schwierig vor.

        • Eine Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich zusätzlich aus Art. 37 Abs. 1 b) DSGVO, da hier die Kerntätigkeit des Headhunters eine risikoreiche Datenverarbeitung darstellt, “welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich“ macht. Beim Betreiben einer Personal- oder Partnervermittlung ist dies musterbeispielhaft erfüllt, vgl. Dammann ZD 2016, 308.

          Hier werden zahlreiche Daten von vielen Kandidaten und Bewerbern gesammelt und systematisch aufbereitet und Dritten (potentiellen Arbeitgebern) zur Verfügung gestellt. Es ist nicht nur eine Nebenaufgabe für den Headhunter wie für ein anderes Unternehmen, welches zwar auch die Mitarbeiterdaten regelmäßig verarbeitet, aber dessen Hauptgeschäft der Verkauf von Waren ist.

          Zudem ist es nicht unwahrscheinlich, dass auch besondere Daten i. S. v. Art. 9 DSGVO regelmäßig erhoben werden. In diesem Falle käme auch noch die Pflicht aus Art. 37 Abs. 1c) DSGVO in Betracht (wobei diese eher auf Labore abzielt).

          Wie man sieht, kommen mehrere Rechtsgrundlagen hinsichtlich der Bestellpflicht in Betracht.

  2. Guten Tag Frau Dannewitz
    Sie sprechen § 298 SGB III an, welcher in Absatz 1, in Bezug auf § 4a BDSG-alt ein Einwilligungserfordernis normiert.
    Wie ordnen Sie das ein? Das würde ja bedeuten, dass ein Headhunter immer eine Einwilligung einholen muss, wenn er Arbeitsvermittler ist (was in aller Regel der Fall sein dürfte).
    MFG

    • Soweit die Voraussetzungen von § 298 Abs. 1 SGB III vorliegen, ist wohl vom Erfordernis einer Einwilligung auszugehen. Allerdings ist es bereits unklar, inwieweit dieser Absatz noch Anwendung findet, da er sich noch auf die alte Gesetzeslage stützt. Denkbar wäre auch eine nunmehr unionsrechtliche Auslegung nach den Vorschriften der DSGVO. Da seitdem Wirksamwerden der DSGVO auch bei vielen anderen nationalen Vorschriften die weitere Anwendbarkeit fraglich ist, muss die Entwicklung in der Rechtsprechung abgewartet werden. Weitere Ausführungen hierzu und insbesondere zu den verschiedenen Konstellationen des Headhunters übersteigen hier leider den Rahmen des Blogbeitrages.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.