Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung I – Teil 9 zur EU-DSGVO

Mitarbeit: Christian Frerix*

Wie auch hier in diesem Blog schon des öfteren beschrieben, gestaltet sich die Besetzung freier Stellen für Unternehmen zunehmend schwieriger. Abhängig von Region und/oder Branche bewerben sich auf offene Stellen entweder keine oder keine im Ansatz geeigneten Kandidaten. Von daher gehen viele Unternehmen (zwangsweise) inzwischen andere Wege. Sie machen sich auf und suchen selbst aktiv nach neuem Personal oder lassen suchen („sourcen“).

Ob mit der Aufgabe des „Active Sourcing“, der nachfolgenden Kandidatenansprache oder des Talent Relationship Managements nun Recruiter, Personalberater oder Headhunter betraut sind, ist in einer Hinsicht gleichgültig:  Es gilt, aus rechtlicher Sicht einige Spielregeln einzuhalten, wie ich bereits vor geraumer Zeit hier im Blog ausführlich dargelegt habe.

Warum nun dieser Artikel? Nun der Titel lässt es ahnen: Die Geltung der EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018, eine bevorstehende Neufassung des Bundesdatenschutzgesetzes (BDSG-E) durch den deutschen Gesetzgeber sowie der geplante Erlass einer E-Privacy-Verordnung durch den EU-Verordnungsgeber sind Grund genug, sich erneut mit der Regulierung des Active Sourcing zu beschäftigen und einen Ausblick auf die ab 2018 geltenden Vorgaben zu wagen.

Sie sind Personaler? Sie langweilt der Datenschutz? Vielleicht langweilt es Sie nicht mehr so sehr, wenn Sie wissen, dass jeder Verstoß gegen die Regelungen der DSGVO mit Bußgeldern von bis zu 10 Millionen EUR oder 2% des weltweiten Jahresumsatzes oder 20 Millionen EUR oder 4% des weltweiten Jahresumsatz – je nach Art des Verstoßes – bedroht ist.

Sie sind Geschäftsführer oder Vorstand und wollen, dass die Personalleitung einfach mal Personal ranschafft ohne „kompliziert“ zu sein? (Also, dass diese Sie bitte nicht zu sehr mit diesem Compliance-Tinnef nervt?) Nun, dann interessiert Sie als geschäftsführendes Organ vielleicht, dass die für die Datenverarbeitung Verantwortlichen (ja, das sind Sie als Geschäftsführer oder Vorstand) für Schäden haften, die durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurden. (Sic! Siehe dazu Artikel 82 DSGVO).

Nach dem ich nun ihr Interesse geweckt habe, wie immer, der Reihe nach:

I. Kandidatensuche und Anlage eines Kandidaten-Pools

Sowohl die Suche nach potentiellen Kandidaten als auch die anschließende Erstellung eines Kandidaten-Pools ist – klar – mit der Verarbeitung personenbezogener Daten verbunden.

Um zu verstehen, was sich ändert bzw. worüber wir hier dem Grunde nach eigentlich reden, können Sie entweder hier noch mal alles ausführlich in dem besagten Blogartikel nachlesen. Oder nachfolgend einen kurzen Blick auf die derzeitige Rechtslage werfen:

Nach derzeitiger Rechtslage darf diese Verarbeitung nur in dem Rahmen erfolgen, den insbesondere das BDSG dafür bereitstellt. Das heißt, dass die Datennutzung, -speicherung, -übermittlung etc. grundsätzlich verboten ist, wenn nicht der Betroffene einwilligt oder eine gesetzliche Vorschrift diese erlaubt (sog. Verbot mit Erlaubnisvorbehalt).

Da das Unternehmen den Betroffenen selbst noch gar nicht kennt – schließlich will es diesen ja gerade suchen und kontaktieren – kann eine Einwilligung schon nicht vorliegen. Als Erlaubnisgrund kommt daher nur eine gesetzliche Vorschrift in Betracht.

Dabei wird regelmäßig zunächst an § 32 BDSG gedacht. Schließlich wird mit dieser Norm der Beschäftigtendatenschutz geregelt und auch Bewerber gelten als Beschäftigte im Sinne des BDSG. Die Frage ist bloß: Sind Kandidaten auch Bewerber im Sinne des § 32 BDSG? Schließlich wissen Kandidaten, die über Suchmaschinen, soziale Netzwerke, Foren und/oder Unternehmenshomepages  gesucht und vom Unternehmen als potentieller Mitarbeiter erfasst werden, in der Regel noch nichts von ihrem Glück. Es stellt sich also die Frage, ob solche potentiellen Kandidaten, die bisher in keinerlei Beziehung zum möglichen Arbeitgeber stehen, schon als „Bewerber“ im Sinne der Vorschrift angesehen werden können. Nach (nicht nur) hier vertretener Ansicht würde die Einbeziehung von Kandidaten jedoch den Anwendungsbereich von § 32 BDSG überdehnen. § 32 BDSG umfasst schließlich das besondere Näheverhältnis zwischen Arbeitgeber und Arbeitnehmer, dass sich auch schon in der Bewerbungsphase zu konkretisieren beginnt. Zwischen Kandidat und Unternehmen besteht jedoch überhaupt noch kein Nähe- oder Vertrauensverhältnis. Es ist zum Zeitpunkt des Sourcings noch nicht einmal klar, ob es überhaupt zu einem Bewerbungsverfahren kommt, ja, ob denn der Kandidat jemals davon erfährt in eine irgendwie geartete „Auswahl“ gekommen zu sein. Eine Datenverarbeitung zu „Beschäftigungszwecken“ im Sinne von § 32 BDSG liegt also gerade (noch) nicht vor.

In Folge dessen wenden wir uns § 28 I Nr.3 BDSG  und greifen auf diese zurück. Demnach ist – eine Verarbeitung zu eigenen Zwecken (hier der Personalbeschaffung) zulässig, wenn es sich um allgemein zugängliche Daten handelt und keine überwiegenden Interessen des Kandidaten gegen diese Datenverarbeitung sprechen. Unter allgemein zugängliche Daten fallen auch Daten aus sozialen Netzwerken, Suchmaschinen oder von Homepages, so dass die Kandidatensuche im Internet sowie die daraus folgende Anlage eines Kandidaten-Pools unter diesen Voraussetzungen grundsätzlich möglich ist. [Einzelheiten: Siehe hier]

Wie ist die Rechtslage ab 2018?

Zunächst könnte man auf die Idee kommen, dass der Beschäftigtendatenschutz mit der DSGVO erweiterte, also moderne Regelungen bekommt, die etwa auch das Sourcing umfassen – doch, nein. Man sehe und staune, die DSGVO erhält gar keine Regelungen zum Beschäftigtendatenschutz.

Vielmehr enthält Art. 88 DSGVO eine Öffnungsklausel, wonach die Mitgliedstaaten zur Regelungen zum Beschäftigtendatenschutz erlassen können. Da ist bzw. wird der Gesetzgeber zwar tätig. Doch er hat es sich relativ einfach gemacht. Denn die „alte“ Regelung aus § 32 Abs. 1 BDSG wird mit § 26 BDSG-Neu dem Grunde nach einfach übertragen (ein anderes Mal mehr zu den Feinheiten dieser Norm und den damit einhergehenden arbeitsrechtlichen Änderungen).

Das heißt für die Frage nach der Zulässigkeit einer Datenverarbeitung zu Sourcing-Zwecken werden wir hier auch unter dem Regime der DSGVO unter dem Stichwort „Beschäftigtendatenschutz“ nicht fündig.

Und nun, oh weh, oh ach! – Ein Äquivalent zu  § 28 I Nr. 3 BDSG gibt es auch nicht! Und nun? Nun schauen wir mal, was die DSGVO denn sonst so bereit hält:

Kandidatensuche und Kandidaten-Pool-Bildung nach Art. 6 I f DSGVO 

Die DSGVO folgt im Grundsatz ebenfalls dem Verbot mit Erlaubnisvorbehalt, so dass es künftig weiterhin einer Vorschrift bedarf, die eine Verarbeitung zu Sourcing-Zwecken erlaubt.

Der Beschäftigtendatenschutz aus § 26 BDSG-Neu hilft uns hier nicht und eine spezielle Regelung wie § 28 BDSG gibt es nicht, also bleibt uns – wie üblich in solchen Fällen, „nur“ der Rückgriff auf eine allgemeine Klausel. Genau genommen schauen wir hier auf die allgemeine Abwägungsklausel des Art. 6 Abs. 1 lit. f) DSGVO. Zulässig ist eine Datenverarbeitung danach,

wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist und] sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, […]

Wie man liest, liest man also nichts. Jedenfalls nichts zur Kandidatensuche, zur Verarbeitung in einem irgendwie gearteten Personalbeschaffungskontext und auch nichts zu Daten aus allgemein zugänglichen Quellen. Doch ausweislich des Erwägungsgrundes 47 zur DSGVO sind auch wirtschaftliche Interessen grundsätzlich geeignet, eine Datenverarbeitung zu rechtfertigen. Und die Notwendigkeit der Personalbeschaffung ist definitiv als ein wirtschaftliches Interesses zu qualifizieren. Wie schön! Uff. Zwar gilt auch hier, dass der Verarbeitung keine überwiegenden Betroffeneninteressen entgegenstehen dürfen. Aber grundsätzlich wird dies kaum der Fall sein. [Zur Argumentation siehe hier].

Wie schön. Für das Sourcing ist also auch unter der DSGVO eine mögliche Erlaubnisnorm gefunden. Horray! Allerdings, hier kommt jetzt der Disclaimer, wird es ziemlich sicher konservative Datenschützer geben, die unterstellen werden, dass bei den Kandidaten stets ein berechtigtes Interesse dahingehend überwiegen wird, nicht von einem Unternehmen in den Karteikasten gesteckt zu werden. Diese Kämpfe werden dann aber einfach mal (mit guten Aussichten) ausgefochten werden müssen.

Das klingt jetzt zu schön, um wahr zu sein? Ja, es ist leider auch nicht die ganze Wahrheit. Denn auch wenn eine Erlaubnisnorm existiert, auf die wir unter der DSGVO das Sourcing stützen können, müssen wir noch um ein paar weitere Klippen herum.

Dürfen allgemein zugängliche Daten auch unter der DSGVO zu Sourcing- Zwecken verarbeitet werden?

Wie bereits angeklungen ist, kennt die DSGVO den aus dem BDSG bekannten Terminus der „allgemein zugänglichen Daten“ so nicht. Das bedeutet jedoch nicht, dass eine Verarbeitung von aus dem Internet stammenden Daten zu Sourcing-Zwecken nun unzulässig sein wird. Vielmehr wird mit der DSGVO ein anderer Regelungsansatz verfolgt.

Das zeigt sich darin, dass der im BDSG enthaltene Grundsatz der Direkterhebung (danach sollten die Daten grundsätzlich beim Betroffenen erhoben werden) nirgends zu finden ist. Das heißt, dem Grunde nach sieht die DSGVO vor, dass Daten nicht zwingend beim Betroffenen selbst erhoben, sondern von und an anderer Stelle verarbeitet werden können – ob diese Verarbeitung zulässig ist, bestimmt sich dann „nur“ im Rahmen der Interessensabwägung. Und daneben spricht ein Umkehrschluss aus Art. 9 Abs. 2 lit. e) DSGVO eine deutliche Sprache. Dort wird nämlich festgelegt, dass die Verarbeitung besonders sensibler Daten zulässig ist, wenn der Betroffene diese selbst öffentlich gemacht hat. Wenn dies also für derart wichtige Daten (sexuelle Orientierung, Religionszugehörigkeit, Gesundheitsdaten etc.) gilt, dann muss das erst recht für „normale“, öffentlich gemachte Daten gelten.

Lange Rede, kurzer Sinn: Festzuhalten bleibt, dass sich an der grundsätzlichen Zulässigkeit einer Verarbeitung von im Internet öffentlich gemachten Daten zu Sourcing-Zwecken soweit nichts ändern wird.

Verschärfte Informations- und Dokumentationspflichten

Doch, ich sagte es bereits, es kommt noch mehr: Die Informations- und Dokumentationspflichten suchender Arbeitgeber und Personalberater werden schärfer.

Derzeit ist eine Benachrichtigung der Betroffenen über die Verarbeitung „ihrer“ Daten nämlich nicht erforderlich, wenn die Daten für eigene Zwecke gespeichert sind und aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, § 33 Abs. 2 Nr. 7 lit. a BDSG. Diese Ausnahmeregelung enthält die DSGVO so nicht mehr.

Wird  die Verarbeitung allgemein zugänglicher Daten zu Sourcing-Zwecken – wie dargelegt –  auf ein „berechtigtes Interesse“ im Sinne von Art. 6 I f DSGVO gestützt, so bestimmen sich die Informationspflichten nach Art. 14 DSGVO. In Artikel 14 werden die Informationspflichten im Falle einer Datenerhebung, die nicht beim Betroffenen erfolgt, geregelt. Und zwar dezidiert. So muss dem Betroffenen unter anderem der Grund, auf den sich die Verarbeitung stützt (Art. 14 Abs. 2 lit. b), die Speicherdauer, das Bestehen eines Auskunfts- und Beschwerderechts, die Angabe der Quelle, woher die Daten stammen sowie die Empfänger im Falle einer Weitergabe der Daten, genannt werden. Die Frist zur Mitteilung dieser Information bestimmt sich nach Art. 14 Abs. 3 DSGVO. Danach ist der Betroffene innerhalb eines Monats nach Erlangung der Daten oder, sollten die Daten zur Kommunikation mit dem Betroffenen verwendet werden, spätestens zum Zeitpunkt der ersten Mitteilung an ihn zu informieren. URRRGS!

Das hört sich – ähnlich wie im BDSG – erst einmal schlimmer an, als es ist. Die Benachrichtigungspflicht entfällt nach Art. 14 Abs. 5 lit b DSGVO nämlich dann, wenn die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Problematisch ist hier natürlich die Bestimmung der Unverhältnismäßigkeit. Unter dem BDSG war diese etwa an eine Vielzahl betroffener Fälle geknüpft. Diese Formulierung fehlt zwar in der DSGVO , doch es ergibt sich aus Erwägungsgrund 62, dass auch nach Auffassung des EU-Verordnungsgebers die Zahl der betroffenen Personen als Anhaltspunkt zur Bestimmung der Unverhältnismäßigkeit dienen soll. Es steht daher zu erwarten, dass auch in Zukunft eine Benachrichtigung wegen der Vielzahl der Fälle unverhältnismäßig ist und eine Pflicht zur Benachrichtigung des Betroffenen daher entfällt.

Wird eine Ausnahme von der Benachrichtigungspflicht künftig auf die Unverhältnismäßigkeit gestützt, so liegt die Beweispflicht bei dem für die Datenverarbeitung verantwortlichen Unternehmen. Dieses muss nämlich den Nachweis darüber erbringen können, dass die Verarbeitung im Einklang mit der DSGVO erfolgt (Art. 24 Abs. 1). Insoweit entstehen hier also zusätzliche Dokumentationspflichten.

Hinzu kommt: Wenn Sie den Betroffenen aufgrund der Unverhältnismäßigkeit nicht direkt informieren müssen, so müssen Sie die Informationen im Sinne von Art. 14 DSGVO der öffentlich bereitstellen. Ergo, Sie müssen eine öffentliche Datenschutzerklärung, z.B. auf Ihrer Webseite, bereithalten, in der Sie erklären, was Sie mit den Daten von im Rahmen des Active Sourcing aufgefundenen Kandidaten tun. Sozusagen eine Datenschutzerklärung „unangesprochene“ Kandidaten – natürlich kann man diese auch gleich so gestalten, dass ein Link dazu an angesprochene Kandidaten versendet wird und man hier gleich der Informationspflicht auf diesem Wege nachkommt.

Sollten Sie diese Informations- und Dokumentationpflichten albern oder überflüssig finden, können Sie das gerne persönlich meinen, aber ich erinnere freundlich an die eingangs genannten Bußgelder und die Haftung der Geschäftsführung. Aus dieser Perspektive ist es dann vielleicht doch nicht soooo albern, sich mit diesem Thema näher auseinander zu setzen.

(Zwischen-) Fazit 

Für vom Leid geplagte Personalleitungen und Personalvorstände sowie die Personaldienstleister gibt es im Ergebnis eine gute Nachricht: Die Kandidatensuche und der Aufbau eines Talentpools im Unternehmen wird auch unter der DSGVO möglich bleiben. Zwar steigen die Anforderungen an das (rechtskonforme) Sourcing ebenso wie die Bußgelder.  Doch die Folge ist schlicht, dass der Datenschutz im Unternehmen nun (endlich ernsthaft!) einfach als ein weiteres Compliance-Thema behandelt werden muss.

Das ist zum einen besser als gar nicht mehr Sourcen zu können, zum anderen trifft es EU-weit alle Unternehmen. Und zum Dritten müssen ohnehin alle Prozesse im Unternehmen im Hinblick auf die DSGVO-Compliance unter die Lupe genommen werden, die Personalabteilung und selbst die Personaldienstleister müssen also nicht nur deswegen wie die Rohrspatzen schimpfen. 😉

Ihnen fehlen hier jetzt Themen wie Kandidatenansprache oder die Beziehungspflege aka das Talent-Relationship-Management? Ja. Es hat ja einen Grund, dass hier „Zwischen“-Fazit steht. Es geht noch weiter und es gibt noch viel mehr zu sagen. Doch knapp 2.000 Wörter reichen für heute. Und ich würde auch vermuten, Ihnen schwirrt schon genug der Kopf.

Zu guter Letzt aber doch noch ein ernstes Wort bzw. ein guter Rat: Es ist noch ein knappes Jahr bis die DSGVO im Mai 2018 Wirkung entfaltet. Das klingt weit weg. Und so haben viele Unternehmen noch nicht begonnen, sich weiter mit der DSGVO auseinander zu setzten. Doch Sie selbst wissen am besten, wie lange es dauert, Prozesse im Unternehmen anzustoßen und umzusetzen. Und ich kann Ihnen nur sagen, dass es regelmäßig nicht in wenigen Wochen erledigt ist, ein Unternehmen DSGVO compliant aufzustellen. Stoßen Sie diesen Prozess jetzt an. In Ihrem eigenen Interesse. Mehr Information zur Frage, was auf Unternehmen mit der DSGVO zukommt, finden Sie übrigens hier.

In diesem Sinne,

auf bald!

*Der Artikel ist unter Mitarbeit von Christian Frerix entstanden. Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.

Bisher in der Reihe zur DSGVO außerdem erschienen:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Teil 8 – Der Datenschutzbeauftragte unter der DSGVO