Zum Inhalt springen Zur Navigation springen
DSGVO für Headhunter: Die Recherche geeigneter Bewerber

DSGVO für Headhunter: Die Recherche geeigneter Bewerber

Headhunter können Unternehmen im Wettbewerb um die besten Bewerber helfen. Mit Inkrafttreten der DSGVO gilt es zu beleuchten, was sich nunmehr für Headhunter geändert hat. Im ersten Teil geht es zunächst um die Voraussetzungen, wie Headhunter sich Informationen beschaffen können. Der weiterführende Beitrag beschäftigt sich dann mit dem Zeitpunkt ab dem erfolgreichen Erstgespräch mit dem Bewerber.

Wie arbeiten Headhunter allgemein?

Viele Unternehmen beauftragen Headhunter, damit diese für sie einen passenden Kandidaten finden. Der Headhunter trifft in diesem Falle also eine Vorauswahl und präsentiert dem Unternehmen nur noch den Kandidaten, den er für besonders geeignet hält. Der Headhunter kann geeignete Bewerber wie folgt ermitteln:

  1. Veröffentlichung einer Annonce (ggf. unter Anonymisierung des Unternehmens)
  2. Suche in sozialen Netzwerken
  3. Suche in eigener Datenbank bzw. Bewerber-Pool

Daneben kann ein Bewerber auch selber proaktiv den Kontakt zum Headhunter suchen, um einen passenden neuen Arbeitgeber zu finden.

Findet die DSGVO überhaupt Anwendung?

Art. 88 Abs. 1 DSGVO sieht eine Öffnungsklausel vor, wonach die Mitgliedstaaten selber spezifische Vorschriften für das Beschäftigtenrecht erlassen können. Der deutsche Bundesgesetzgeber hat hiervon in § 26 BDSG Gebrauch gemacht. Bewerber werden hierbei den Beschäftigten gleichgestellt. Danach dürfen personenbezogenen Daten

„zum Zwecke für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses“

verarbeitet werden, soweit dies erforderlich ist oder der Bewerber der Verarbeitung eingewilligt hat. Absatz 7 dehnt den Anwendungsbereich sogar auf Beschäftigtendaten aus, die weder durch Automation noch mit der Absicht zur Speicherung in einem Dateisystem verarbeitet werden. Insoweit werden grundsätzlich auch handschriftliche Notizen und Gespräche erfasst.

Der Begriff Bewerber ist gesetzlich nicht weiter definiert. Wenn eine Person von sich aus aktiv den Kontakt zum Headhunter oder potentiellen Arbeitgeber aufnimmt, dann ist diese unzweifelhaft Bewerber. Wenn die Initiative aber zunächst vom Headhunter ausgeht, kann man dies wohl nicht so einfach annehmen. Erst wenn diese Person Interesse an der Stelle bekundet und die weitere Kommunikation zum Bewerbungsverfahren wünscht, wird sie zum Bewerber. Davor handelt es sich nur um einen potentiellen Kandidaten, sodass der Anwendungsbereich von § 26 BDSG noch nicht eröffnet ist. Bis zum Wille der Jobvermittlung gelten daher die Vorschriften der DGSVO.

Welche Quellen darf der Headhunter nutzen?

Die Datenerhebung ist gemäß Art. 6 Abs. 1 lit. f DSGVO zulässig, soweit der Headhunter ein berechtigtes Interesse an der Datenverarbeitung hat und diese auch erforderlich ist. Als Interesse kommt insoweit die Vertragserfüllung gegenüber dem beauftragenden Arbeitgeber in Betracht. Damit einher geht indirekt das Interesse des Arbeitgebers an der erfolgreichen Suche nach passenden Kandidaten. Die Datenverarbeitung ist erforderlich, wenn das berechtigte Interesse des Headhunters höher wiegt als das Persönlichkeitsrecht des Kandidaten. Zudem darf es keine weniger eingriffsintensiven Mittel zur Zielerreichung geben. Im Rahmen dieser Interessenabwägung sind neben der Art der Daten auch deren Herkunft zu berücksichtigen.

Informationen aus allgemeiner Google-Suche

Ein „Googlen“ von Kandidaten ist auch nach Inkrafttreten der DSGVO grundsätzlich zulässig. Weder die DSGVO noch das neue BDSG sehen einen Vorrang der Datenerhebung bei der betroffenen Person vor. Lediglich aus Art. 6 und 8 der Charta der Grundrechte der EU kann dieser sog. Direkterhebungsgrundsatz partiell abgeleitet werden, um so die Einflusschancen des Betroffenen zu stärken. Soweit der Headhunter passende Kandidaten im „Internet sucht“, unterliegt er jedenfalls den umfassenden Informationspflichten aus Art. 14 DSGVO.

Bei der Abwägung ist maßgeblich, für welchen Personenkreis der Kandidat die Daten zugänglich gemacht hat. Wenn der Zugang ganz ohne Mitgliedschaft in einem Netzwerk, Forum o Ä. für jedermann möglich ist, hat der Kandidat bereits selber diese Daten als nicht schutzbedürftig eingestuft. Das Verarbeitunsginteresse des Headhunters überwiegt dann regelmäßig.

Anders ist dies aber bei Daten, die erkennbar gegen den Willen des Betroffenen veröffentlicht wurden (z. B. diffamierende Fotos oder Informationen). Bei solchen überragt das Interesse des Betroffenen an der Nichtverarbeitung und daher sollten diese Daten nicht weiter beachtet werden.

Informationen aus sozialen Netzwerken

Bei Netzwerken muss man auch nach deren Art unterscheiden. Berufsorientierte Netzwerke wie Xing oder LinkedIn dienen insbesondere leichteren Kontaktaufnahme zwischen potentiellen Arbeitgebern und Bewerbern. Ein registrierter Nutzer kann hier also signalisieren, dass er an einem Jobwechsel interessiert ist. Der Headhunter agiert dann auch in deren Interesse, sodass die Interessenabwägung zu seinen Gunsten ausfällt. Bei freizeitorientierten Netzwerken, wie z. B. Instagram, sollte der Headhunter allerdings die Finger weglassen. Der Nutzer will dieses primär oder sogar ausschließlich zu privaten Zwecken nutzen. Insoweit überwiegt das Persönlichkeitsinteresse des Nutzers.

Auskunft beim Ex-Arbeitgeber

Manchmal möchte der Headhunter sich Informationen über den Bewerber durch den ehemaligen Arbeitgeber bestätigen lassen. Bereits vor Inkrafttreten der DSGVO war es stark umstritten, inwieweit eine Einwilligung des Bewerbes erforderlich ist. Hierzu wurde in folgenden Beitrag ausführlich erläutert, warum die Einholung einer Einwilligung ratsam ist. In der Regel handelt es sich dann um einen Bewerber, sodass § 26 BDSG Anwendung findet. Aus Absatz 2 dieser Norm ergibt sich hinsichtlich der Einwilligung die Besonderheit, dass diese schriftlich, also mit eigenhändiger Unterschrift, zu erfolgen hat.

Welche Rechte stehen den Kandidaten bzw. Bewerbern zu?

Über die Rechte des Bewerbers als Betroffenen haben wir bereits ausführlich hier berichtet. Allgemein lassen sich folgende Rechte nennen:

  • Informationsrecht
  • Auskunfts- und Widerspruchsrecht
  • Recht auf Berichtigung, Löschung und Einschränkung
  • Recht auf Datenübertragbarkeit

Insbesondere den Umfang seiner Informationspflichten sollte der Headhunter im Auge behalten. Soweit er Daten nicht ausschließlich beim Betroffenen erhoben hat, muss er diesem genau mitteilen, welche Datenkategorien er wo und zu welchen Zwecken erhoben hat, vgl. Art. 14 Abs. 1 und 2 DSGVO. Um dieser Pflicht hinreichend nachkommen zu können, ist eine geordnete Dokumentation unabdingbar. Die Voraussetzungen einer Ausnahme von dieser Pflicht wegen unverhältnismäßigen Aufwandes i. S. d. Art. 14 Abs. 5 lit. b DSGVO kommt nur selten in Frage und bedarf daher einer genauen Prüfung.

Was passiert bei Verstößen?

Soweit Headhunter gegen die Bestimmungen der DSGVO verstoßen, kann mit Bußgeldern gerechnet werden. Risikobehaftet sind vor allem das Sammeln potentiell sensibler Bewerberdaten (in Datenbanken) und die korrekte Umsetzung der Betroffenenrechte. So brachte die Informationspflicht einem Unternehmen in Polen ein Bußgeld ein, da die Meinung der Aufsichtsbehörde und des Verantwortlichen bei der Frage auseinandergingen, was ein unverhältnismäßiger Aufwand sei. Eine allgemeine Erläuterung zu den Geldbußen und Sanktionen können Sie folgendem Beitrag entnehmen: Datenschutz-Grundverordnung: Bußgelder und Sanktionen Teil 2

Traumjob Headhunter bleibt weiterhin erhalten

Die zunehmende Digitalisierung erleichtert die Suche für den Headhunter. Aber er kann nicht jede Quelle bedenkenlos verwenden. Denn wenn er diese Daten nicht in zulässiger Weise erhalten hat, dann kann dies schnell teuer für ihn werden.

Mit der erfolgreichen Suche eines geeigneten Kandidaten ist die Arbeit des Headhunters aber noch nicht getan. In der Fortsetzung wird berichtet, unter welchen Voraussetzungen der Headhunter die Daten an potentielle Arbeitgeber weitergeben darf und welche Pflichten ihn nach Abschluss des Bewerbungsverfahren treffen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.