Stirbt Active Sourcing unter der ePrivacy Verordnung? – Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung II – Teil 10 zur EU-DSGVO

Fast zwei Monate ist es her, dass hier der Artikel Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO I erschien. Dort erläuterten wir, wie sich die Rechtslage hinsichtlich der Kandidatensuche und der Anlage eines Kandidatenpools ab 2018 gestaltet und welchen (erweiterten) Dokumentations- und Informationspflichten Unternehmen spätestens dann nachkommen müssen.

Nun, ein paar sehr arbeitsintensive Wochen und einen phantastischen – natürlich 😉 viel zu kurzen – Urlaub später geht es heute um die rechtlichen Fragen der Kandidatenansprache im Hinblick auf die Änderungen, die uns 2018 erwarten. Das sind – leider – weder kleine Änderungen noch sehr angenehme und das hat vor allem mit der schon im Titel genannten ePrivacyVO zu tun. Man könnte sagen, es wird eher dunkel.

Doch der Reihe nach.

Die derzeitige Rechtslage bei der Kandidatenansprache

Zum besseren Verständnis werfen wir zunächst noch einmal schnell einen Blick auf die derzeitige Rechtslage. Nach der derzeitigen Rechtslage hängt die Zulässigkeit einer Kandidatenansprache unter anderem von dem gewählten Kommunikationsmittel ab. Diese Unterscheidungen sind dabei nicht dem Datenschutzrecht, sondern dem Wettbewerbsrecht, genau genommen dem Gesetz gegen den unlauteren Wettbewerb (UWG) geschuldet bzw. zu entnehmen (§ 7 Abs. 2 UWG). Ausführlich haben wir das in Teil II der Serie zum Active Sourcing aus dem Jahr 2013 erläutert, doch in aller Kürze hier noch einmal zu den verschiedenen Mitteln der Ansprache:

Ein Brief ist stets unproblematisch. Ein Telefonanruf kann rechtmäßig sein, wenn und soweit sie sich als werbendes Unternehmen kurz fassen und sachlich bleiben sowie sich nicht aufdringlich, belästigend oder bedrängend verhalten (BGH, Urteil vom 22.11.2007 – I ZR 183/04). Problematisch wird es nach derzeitiger Rechtslage jedoch, wenn Sie sich für eine Direct-Message, also für eine E-Mail, XING-, LinkedIn-, Twitter- oder Facebook-Nachricht entscheiden. Denn solche elektronischen Nachrichten dürfen hingegen nicht ohne vorherige Einwilligung verschickt werden (§ 7 Abs. 2 Nr. 3 UWG).Das finden Sie sehr merkwürdig? Ja, das verstehe ich. Aber das Gesetz ist nun einmal genauso formuliert. Wie gesagt, hier (Ziffer 3) erläutere ich das ausführlich, falls es Sie dieses Problem in der Tiefe interessiert.

Und sollten Sie mehr dazu wissen wollen, wie Sie Kandidaten ansprechen dürfen, dann werfen Sie doch einen Blick in Active Sourcing und Talent Relationship Management (TRM) rechtlich betrachtet – Part III. Dort erläutern wir Ihnen den rechtlichen Rahmen der Art und Weise der Abwerbung – und vor allem, was Sie besser unterlassen.

Wie ist die Rechtslage ab 2018?

Nun haben Sie gelesen, dass sich die Fragen der Kandidatenansprache maßgeblich nach dem UWG richten. Das UWG bleibt von der DSGVO unberührt und wird weiter wie bekannt bestehen bleiben. Also können Sie sich diesbezüglich zurücklehnen und… Nein! Leider nicht. Natürlich nicht, sonst würde ich Sie ja nicht mit diesen Blogartikel belästigen.

Es sieht aus wie folgt:

Das UWG bleibt bestehen. Ja. Doch der EU-Gesetzgeber arbeitet gerade an der sogenannten E-Privacy-Verordnung. Mit dieser sollen – so noch der derzeitige, offizielle Planungshorizont – ab Mai 2018 gesonderte und die DSGVO ergänzende (Datenschutz-) Regeln für die elektronische Kommunikation eingeführt werden. Ich schrieb dazu bereits vor einigen Monaten, dass die Grundidee einer eigenständigen Regelung dieses Bereiches gar nicht verkehrt ist.

Doch wie so oft, wenn Grundideen gut sind, hapert es in den Details. In Bezug auf das Active Sourcing hapert es ganz besonders. Die derzeitigen Entwurfs-Regelungen sind nämlich kaum mit dem bisherigen, dem UWG entfließenden und durch die Rechtssprechung gefestigten Rechtsrahmen in Einklang zu bringen.

In Artikel 16 der ePrivacy-VO heißt es:

„[…] juristische Personen können Direktwerbung […] an Endnutzer richten, die natürliche Personen sind und hierzu ihre Einwilligung gegeben haben.“

Umfasst sind hiervon elektronische Nachrichten und Telefonanrufe. Direktwerbeanrufe müssen nach der Verordnung gar mit einer besonderen Vorwahl vorgenommen werden, damit hierdurch Werbeanrufe direkt kenntlich gemacht sind. Doch Kennzeichnung hin oder her, entscheiden ist hier: Nach dem (derzeitigen) Wortlaut der ePrivacy-VO bedarf es sowohl bei Anrufen als auch bei E-Mails oder sonstigen elektronischen Nachrichten der vorherigen Einwilligung des Endnutzer. 

Nun, das war bei elektronischen Nachrichten im Rahmen des Active Sourcing auch bisher so. Allerdings standen bei einer Zuwiderhandlung nicht Bußgelder von bis zu 20 Millionen EUR im Raum, sondern allenfalls die Abmahnung eines Mitbewerbers oder eines Verbraucherschutzverbandes. Vielleicht auch noch die Verwarnung einer Datenschutzbehörde. Alles unangenehm, aber auch kein Grund, in Panik zu verfallen. Doch nun? Bis zu 20 Millionen EUR für eine unzulässige E-Mail oder einen Anruf? Weil die Einwilligung des potentiellen Kandidaten fehlt? Steht das Sourcing ebenso vor dem Aus wie das Geschäftsmodell der Personalvermittler und Headhunter? Ist das gewollt? Kann das sein? Und wie verhält sich das zu dem weiter bestehenden UWG?

Fragen über Fragen. Und vor allem die Frage: Gibt es aus Auswege?

Ist Kandidatenansprache auch Werbung im Sinne der ePrivacy-VO?

Nun könnte man sich zunächst einmal Fragen, ob Kandidatenansprache überhaupt Werbung im Sinne der ePrivacy-VO darstellt. Denn wenn Kandidatenansprache von der ePrivacy-VO gar nicht umfasst wäre, würde sich das hier aufgeworfene Problem nicht stellen und die Geschäftsmodelle stünden nicht in Frage.

In der ePrivacy-VO selbst findet sich keine Definition der Werbung. Folglich gilt der allgemeine  Werbebegriff der EU-Richtlinie 2006/114/EG. Nach Art. 2 lit a der RiLi ist Werbung jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern. Das Merkmal der Absatzförderung wird von EuGH wie BGH jedoch äußerst weit verstanden und so genügt bereits jede mittelbare Absatzförderung wie etwa auch Imagewerbung. Kandidatenansprache ist mindestens Imagewerbung. Schließlich wird hier für einen Arbeitgeber und regelmäßig auch einen bestimmten Arbeitsplatz geworben. Und nicht umsonst gibt es Marketing-Kategorien, die sich mit nichts anderem als dem Marketing bzw. der Bewerbung von Unternehmen als attraktive Arbeitgeber befassen (aka „Employer Branding“). In der Regel wird aber gar ganz konkret versucht ein „Produkt“ abzusetzen. Das Produkt ist hier kein Duschgel oder ein Auto, sondern ein Arbeitsplatz – und für den wird geworben.

Hinsichtlich der ePrivacy-VO kommt es dem Verordnungsgeber (soweit folgerichtig) scheinbar auch schon gar nicht mehr auf das Merkmal der Absatzförderung an. Aus Erwägungsgrund 32 der ePrivcy-VO ergibt sich nämlich weiter, dass Nachrichten von politischen Parteien ebenso unter den Begriff der Werbung wie Nachrichten von Organisationen ohne Erwerbszweck (etwa NGOsm gemeinnützige Vereine etc.) fallen sollen – und wenn diese Nachrichten schon unter den Werbebegriff fallen, dann erst recht Nachrichten, die Werbung für eine neue Arbeitsstelle machen (und nichts anderes sind Sourcing-Nachrichten).

Das heißt im Ergebnis fällt auch die Kandidatenansprache als Werbung unter die ePrivacy-VO.

Soweit so schlecht. Da bleibt wohl nur die

Opt-Out-Lösung durch den deutschen Gesetzgeber

Vor dem aufgezeigten Hintergrund scheint es, als böte  Art. 16 Abs. 4 des Entwurfs noch eine Rettung – und zwar über den deutschen Gesetzgeber. Denn demnach können Mitgliedstaaten durch Rechtsvorschriften vorsehen, dass die Tätigung persönlicher Direktwerbeanrufe an Endnutzer, die natürliche Personen sind, nur bei Endnutzern erlaubt ist, die natürliche Personen sind und dem Erhalt solcher Kommunikation nicht widersprochen haben (Hervorhebung durch d. Verf.).

Anders ausgedrückt: Hier wird der deutsche Gesetzgeber zur Schaffung einer Opt-Out-Regelung (Anrufe sind so lange erlaubt, bis Betroffener z.B. durch Eintrag in eine Blacklist widerspricht) ermächtigt. Macht er von dieser Möglichkeit Gebrauch, entfällt das Einwilligungserfordernis. Ob und inwieweit der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen wird, ist derzeit jedoch überhaupt nicht ersichtlich.

Also, es ist immer noch schlecht.

Himmel! Und nun? Was machen wir denn dann 2018?

Ich bin an dieser Stelle ehrlich. Genau das dachte ich mir auch, als ich mir die ePrivacy-VO unter dem Aspekt des Sourcings näher ansah. Nach dem Wortlaut der Normen sah ich zunächst keine Möglichkeit das Active Sourcing ohne erhebliche Risiken durchzuführen und fürchtete schon, meinen Mandanten äußerst schlechte Nachrichten überbringen zu müssen.

Doch dann begab ich mich im Mai zur re:publica 2017.  Dort diskutierten Jan Philipp Albrecht, MdEP und Verhandlungsführer des EP für die DSGVO sowie Berichterstatter zur EU-Datenschutzreform und Susanne Dehmel vom BitKom e.V. über über die ePrivacy-VO unter dem Titel Datenschatz vs. Datenschutz.

Eine spannende und vor allem sehr gut moderierte Diskussion, die man in voller Länge hier noch einmal nachsehen kann. Am Ende der Podiumsdiskussion gab es die Möglichkeit, Fragen zu stellen. Und wenn man den Berichterstatter zur EU-Datenschutzreform vor der Nase und derart brennende Fragen zur ePrivacy-VO unter den Nägeln hat, dann sollte man das auch tun.

Sinngemäß stellte ich die folgende Frage (wenn Sie die Frage in Gänze und hören wollen, wie ich erkältet klinge, bitte, hier ab 57:00):

  • Frage ND: „Nach dem Wortlaut der ePrivacy-VO ist in Fällen der Kandidatenansprache sowohl telefonisch als auch per Direct Message eine vorhergehende Einwilligung notwendig. Soll damit tatsächlich das UWG und die dazu ergangene Rechtsprechung ausgehebelt werden?“

Jan-Philipp Albrecht holt in seiner Antwort – wohl für alle – relativ weit aus und erläutert noch einmal, warum werbliche Nachrichten gleich über welchen Kommunikationsweg grundsätzlich unter dem Einwilligungsvorbehalt stehen müssen. Dann wendet er sich konkret der Kandidatenansprache zu und sagt sinngemäß (volle Antwort, hier ab 59:58)

  • Antwort JPA:  „Nein, also das ist nicht Intention des Gesetzgebers! Selbstverständlich soll es möglich sein, im Bereich der Kandidatenansprache auf Kandidaten zuzugehen. Nein, da müsse man veröffentlichte Kontaktdaten schon als Einwilligung werten (können).“
  • ND: „Ähm, das lässt sich aus dem Wortlaut aber leider so gar nicht rauslesen“ (nicht auf der Aufnahme zu hören, da ich kein Mikrofon hatte).
  • JPA: „Nun, wenn das so missverständlich ist, dann sollten wir das noch in den Text, jedenfalls in die Erwägungsgründe aufnehmen.“

Das sind dem Grunde nach schon einmal gute Nachrichten. Denn das heißt zum einen, dass Kandidaten auf Basis von allgemein zugänglichen Kontaktdaten grundsätzlich angesprochen werden könnten. Und zum anderen wird ersichtlich, dass der Gesetzgeber das Problem, das sich hier im Bereich der Arbeitgeber-Werbung, im Bereich des Sourcing ergibt, noch gar nicht als solches gesehen hat (und in Folge dessen noch bereit sein könnte, sein gesetzgeberisches Handeln zu überdenken).

Es sind allerdings nur dem Grunde nach gute Nachrichten. Denn auch nach der Aussage von Albrecht hilft eine Veröffentlichung der Kontaktdaten dem Arbeitgeber nur dann, wenn in der Veröffentlichung eine Einwilligung zur Kontaktaufnahme zu sehen wäre. Die Frage ist, wann soll das der Fall sein? Bei einer Veröffentlichung auf Netzwerken wie XING oder LinkedIn? Nein, so einfach ist es nicht. Nicht jeder, der dort Kontaktdaten veröffentlicht, will angesprochen werden. Und nein, nicht jeder kreuzt dieses „Ich möchte angesprochen werden“ an oder auch ab (wenn er nicht mehr angesprochen werden will). Ganz davon abgesehen, dass es solche Ankreuzmöglichkeiten ohnehin nur auf Netzwerken wie XING oder LinkedIN gibt. Und es geht nicht nur um diese Daten, sondern auch um E-Mail-Adressen, die auf anderen Webseiten ersichtlich sind, wie zum Beispiel dem Fachblog eines Ingenieurs. Oder um Nachrichten die in Special-Interest-Foren ausgetauscht werden können. Wann soll hier ersichtlich sein, dass die Adressen/Accounts zu „Zwecken der Kontaktaufnahme im Rekrutierungskontext“ veröffentlicht wurden? Um es kurz zu machen: Das Kriterium ist genauso schwammig, wie es das schon im Entwurf zum Beschäftigtendatenschutz 2010 war, in welchem zwischen „beruflichen“ und sonstigen sozialen Netzwerken unterschieden werden sollte.

Des Weiteren löst es natürlich auch nicht das Problem, dass das UWG eine ausdrückliche Einwilligung bei elektronischen Nachrichten verlangt und eine solche Veröffentlichung eben kein ausdrückliche, sondern allenfalls eine konkludente Einwilligung darstellt. Weiter löst es nicht das Problem, dass im Zweifel der Headhunter oder der Arbeitgeber auch nach der ePrivacy-VO wie Albrecht sie interpretiert in der Beweispflicht hinsichtlich der erfolgten Einwillgung wäre. Und hier sind wir dann wieder bei äußerst schwierigen und schwammigen Abwägungen/Interpretationen zum Kriterium „veröffentlicht zur Kontaktaufnahme“ und bei den nun durch den neuen Bußgeldrahmen extrem hohen finanziellen Risiken.

Lobbying! Betreiben Sie als Unternehmen als Verantwortliche der Personalwirtschaft Lobbying!

Vor dem hier aufgezeigten Hintergrund kann nur geraten werden, das Thema Sourcing und Headhunting oder einfach „Personalgewinnung“ in Bezug auf die ePrivacy endlich auf eine öffentliche und breite Agenda zu heben.

Denn während sich die Online-Marketing-Branche sehr bewusst ist, was mit der ePrivacy-VO an Regulierung auf sie zukommt. dementsprechende Stellungnahmen etwa über den Bitkom e.V. , den BVDW oder den IAB Europe vorlegt und das Thema massiv in die Öffentlichkeit treibt, scheint das Problem bei den Verantwortlichen in der Personalwirtschaft noch nicht im Ansatz angekommen zu sein.

Es scheint – wie so oft -, dass die Verantwortlichen in der Personalwirtschaft weiterhin frei nach dem Motto

„Datenschutz?! Ach, das ist doch Aufgabe von Compliance. Da müssen wir uns nicht drum kümmern“

und/oder nach dem Motto

„Datenschutz?! Ach, wir machen das schon ganz ordentlich, aber das was sich der Gesetzgeber da ausdenkt, das ist doch sowieso einfach Quatsch! Das machen wir weiterhin wie wir das für richtig halten. Da ist doch noch nie was passiert.“

agieren. Dieses Silo-Denken in Sachen Datenschutz-Compliance ist heutzutage ebenso gefährlich wie der Glaube, Datenschutz werde auch weiterhin keine Rolle im Tagesgeschäft einnehmen und man könne so weiter machen wie bisher.

Mit der DSGVO und der ePrivacy-VO stehen auch im Bereich Personalwesen umfassende Änderungen bezüglich der (datenschutztechnischen und -rechtlichen) Unternehmensprozesse ins Haus. Weder DSGVO noch ePrivacyVO verschwinden, nur weil man nicht hinsieht.

Es gibt allerdings einen prägnanten Unterschied zwischen DSGVO und ePrivacyVO. Die DSGVO ist bereits in Kraft. Sie entfaltet Wirkung im Mai 2018. Die ePrivacy-VO ist jedoch noch nicht verabschiedet worden. An dieser wird noch gearbeitet. Folglich kann auf die ePrivacy-VO noch Einfluss genommen werden. Es kann zum Beispiel durch Formulierungen im Gesetzestext und/oder in den sog. Erwägungsgründen klar gestellt werden, dass Ansprache zu Zwecken der Personalgewinnung im bislang schon wettbewerbsrechtlich erlaubten Rahmen (vgl. die Rechtsprechung des BGH zur Direktansprache I und II) auch unter der ePrivacy-VO erlaubt sein werden. Von alleine wird das jedoch nicht passieren.

Von daher kann ich an dieser Stelle nur das wiederholen, was ich dem Publikum bei Vorträgen auch mitgebe: Engagieren Sie sich hier. Klären Sie auf. Vertreten Sie Ihre Interessen so laut, dass diese Gehör finden. Unterbleibt eine Interessensvertretung der Personalwirtschaft in Sachen ePrivacy-VO, dann wird demnächst ein Gesetz vorliegen, dass für diese Branche äußerst unangenehme Folgen hat. Es entstünde ein Gesetz, dass mindestens massive Rechtsunsicherheit und erhebliche Risiken für das Tagesgeschäft mitbringt.

Fazit

Sollten Sie jetzt gerade auf Ihrem Bürostuhl oder auf Ihrem Sofa etwas in sich zusammengesackt sein, so möchte ich sagen: Nehmen Sie sich einen Tee, der wird regelmäßig auch nicht so heiß getrunken, wie er gekocht wird. Dieser Artikel sollte wach machen und aufrütteln. Ich hoffe, das ist gelungen. Das Ende der Welt oder vielmehr des Sourcings soll er hingegen nicht einläuten. Ganz im Gegenteil. Ich glaube auch nicht, dass das Sourcing oder sonstige Formen der aktiven Personalgewinnung 2018 vorbei sein werden. Sollte sich jedoch niemand lautstark mit den hier aufgeworfenen Fragen beschäftigen, dann wird ein Gesetz Wirklichkeit werden, bei dem in der Rechtswirklichkeit getestet werden muss, wie „es denn gemeint“ ist. Und dass jeder Mitarbeiter in den Datenschutzbehörden und jeder Richter per se die Auffassung von Jan-Philipp Albrecht teilt, dass das Gesetz (sinngemäß) „selbstverständlich weiter die Kandidatenansprache ermöglichen“ soll, das glaube ich einfach mal nicht.

Soviel an dieser Stelle. Knapp 2.500 Wörter sind geschrieben. Das reicht wohl erst einmal. Und so wird es einen dritten Teil der Serie geben. Und in dem beschäftigen wir uns dann mit dem Talent Relationship Management unter der DSGVO. (Wie Sie sehen, ich hab die aktive Personalgewinnung noch nicht abgeschrieben. 😉 )

In diesem Sinne,

atmen Sie durch & bis zum nächsten Mal.

Bisher in der Reihe zur DSGVO außerdem erschienen:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Teil 8 – Der Datenschutzbeauftragte unter der DSGVO

Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I

Bisher zum Thema Active Sourcing erschienen:

Active Sourcing & Talent Relationship Management (TRM) rechtlich betrachtet – Part I (aus 2013)

Active Sourcing & Talent Relationship Management rechtlich betrachtet – Part II (aus 2013)

Active Sourcing und Talent Relationship Management (TRM) rechtlich betrachtet – Part III (aus 2013)

Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I