Recruiting und Datensammlung: „Hände weg von privaten Daten“

Personalwirtschaft: Herr Insam, heute dreht sich alles um Big Data. Gibt es diese Datensammelwut auch beim E-Recruiting?

Dr. Alexander Insam: Grundsätzlich sind Daten immer attraktiv, aber es gibt inzwischen so viele davon, dass allein die Menge nicht mehr entscheidend ist. Heute geht es darum, sie so zu aufzubereiten, dass sie wertvolle Informationen enthalten. Bei mehreren 100 oder 1000 Bewerbungen braucht man entsprechende Filter, um die Bewerberdaten zu strukturieren. Das heißt nicht, dass beispielsweise alle Bewerber über 50 ausgefiltert werden sollten, denn das wäre eine unzulässige Diskriminierung und leicht nachweisbar.

Wer sich auf eine Online-Ausschreibung auf der Homepage oder in einer Stellenbörse bewirbt, muss zwangsläufig seine Daten preisgeben. Endet hier das Recht auf informelle Selbstbestimmung?

Bei Bewerbungsverfahren braucht man personenbezogene Daten, weil man die Bewerber einladen möchte. Der Bewerber will das ja auch – da gibt es einen Gleichklang der Interessen. Wenn die Initiative vom Bewerber ausgeht, versteht es sich von selbst, dass seine Daten gespeichert werden. Doch man muss differenzieren und fragen: Zu welchem Zweck werden diese Daten erhoben? Wenn es um berufliche Daten geht, sind die Gesetze sehr offen. Bei privaten Daten, etwa was der Mitarbeiter in seiner Freizeit macht, ob er Sport treibt oder Ähnliches, gibt es höhere rechtliche Anforderungen. Die informationelle Selbstbestimmung bleibt aber immer erhalten.

Darf der Arbeitgeber das Netz nach Bildern und Informationen durchsuchen?

Eigentlich nicht, aber man kann davon ausgehen, dass Arbeitgeber eine Google-Suche nach dem Namen vornehmen, allerdings nur bei den Bewerbern, die man zum Gespräch einladen möchte. Alle zu googeln, wäre zu aufwendig.

Facebook, Instagram und andere private Netzwerke gezielt nach privaten Inhalten und Bildern zu durchsuchen, ist nicht zulässig.

Aber was ist mit Zufallsfunden? Es kommt vor, dass ein Arbeitgeber ungewollt auf ein Partyfoto stößt, weil der Bewerber aus Versehen einen Link auf Facebook statt auf seine Referenzen verschickt hat. Das liegt alles an der höheren Geschwindigkeit, in der wir heute arbeiten. Früher waren die Bewerbungen sorgfältiger.

Und wie sieht es bei beruflich genutzten Netzwerken aus?

Eine Recherche in Xing und Linkedin ist erlaubt. Dort ist bereits hinterlegt, was man preisgeben möchte. In den meisten Branchen haben wir einen Fachkräftemangel, also einen Arbeitnehmermarkt, und auch in einem festen Arbeitsverhältnis sucht man vielleicht etwas Besseres als die jetzige Stelle.

Welche rechtlichen Rahmenbedingungen müssen Personaler beim E-Recruiting beachten?

Zu unserem Bundesdatenschutzgesetz (BDSG) kommt im Mai 2018 die Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) hinzu. Ziel ist es, innerhalb der EU gleiche Standards zu schaffen. Deutschland hat bereits ein sehr hohes Niveau, da müssen andere Länder nachziehen. Ansonsten gelten das Betriebsverfassungsgesetz (BetrVG) und das Allgemeine Gleichbehandlungsgesetz (AGG). Der Arbeitnehmer-Datenschutz wird immer wichtiger: Zum einen steigen die Verpflichtungen, zum anderen wird mehr Transparenz über die Verarbeitung der Daten gefordert. Der Bewerbermarkt ist global, aber es gibt noch kein globales Datenschutzrecht.

Was passiert, wenn ein Arbeitgeber die EU-Datenschutzgrundverordnung verletzt?

Die EU-Datenschutzgrundverordnung kommt vor allem mit neuen Sanktionen: Bisher kostet ein Datenschutzverstoß in der Praxis nur wenige 1.000 Euro und nach dem BDSG maximal 300.000 Euro. Ab Mai 2018 kann das wesentlich teurer werden, bis zu 20 Millionen Euro (Art. 83 DSGVO). Die Strafe kann sich mit bis zu vier Prozent am Umsatz des Unternehmens orientieren, das Datenschutzrecht wird zum neuen Kartellrecht. Neue Compliance-Voraussetzungen wie das Verarbeitungsverzeichnis mit genau definierten Dokumentationspflichten (Art. 30 DSGVO) kombiniert mit neuen Folgen für Arbeitgeber werden die Sorgfalt steigern.

Wie sieht es außerhalb der EU aus?

Da wird es schon schwieriger. Die USA haben einen schlechteren Datenschutz, dafür aber ein strengeres AGG beziehungsweise Antidiskriminierungsrecht. Dort enthalten Bewerbungen weder Namen noch Alter, Geschlecht oder Religion – all diese Daten werden in Deutschland jedoch erhoben.

Das bedeutet für international tätige Unternehmen, dass sie bei der Suche nach Kandidaten in der EU und in den USA unterschiedliche Tools einsetzen müssen.

Oder ein Tool, das sich länderspezifisch so anpassen lässt, dass zuverlässig nur die Daten sichtbar sind, deren Erhebung erlaubt ist. Darin müsste es ähnliche Filter geben wie beispielsweise beim Einrichten der Sprache. Zwischen den USA und der EU wird sich meines Erachtens in den nächsten drei bis fünf Jahren kein einheitliches System für alle durchsetzen.

Wo liegt der zentrale Unterschied bei der Rechtsprechung in den USA und bei uns?

In den USA gilt das Case Law. Wenn beispielsweise durch Facebook oder Google Persönlichkeitsrechte eingeschränkt werden, regeln das die Gerichte und sprechen den Klägern, deren Rechte verletzt wurden, Millionensummen zu, die weitere Verstöße in Zukunft verhindern sollen. Vor solchen Klagen ist quasi alles erlaubt. In Deutschland haben wir ein kodifiziertes Recht, das heißt, wir regeln erstmal alles, was verboten ist, in einem Gesetz. Das Problem: Bei der schnellen technologischen Entwicklung kommen die Gesetze nicht hinterher, das ist wie bei Hase und Igel.

Laut der Studie „Recruiting Trends 2017“ von Kienbaum und Staufenbiel betreibt ein Drittel aller Unternehmen Active Sourcing, ein weiteres Drittel denkt darüber nach. Was ist bei diesem digitalen Headhunting zu beachten?

Active Sourcing fällt unter das Wettbewerbsrecht. Wenn jemand sich für ein Unternehmen entschieden hat und keinen neuen Job sucht, ist es schwer, ihn anzusprechen, ohne sich eine Unterlassungs- und Schadenersatzklage einzuhandeln, denn es gilt ein Abwerbeverbot. Ebenso unzulässig ist es, private Informationen zu nutzen, um Bewerber mit unerwünschten Informationen zu überhäufen.

Aber Headhunter sprechen doch auch fest angestellte Mitarbeiter an.

Das ist etwas anderes: Ein kurzer Informationsanruf am Arbeitsplatz, um das generelle Interesse zu erfragen und Kontaktdaten auszutauschen, ist zulässig. Auch Headhunter schauen regelmäßig bei Xing und Linkedin nach, wer gerade sein Studium beendet hat oder wechselwillig ist. Mitglieder können dort ein Häkchen setzen, das die Headhunter informiert, dass man für ein Gespräch offen ist. Das erhöht die Erfolgswahrscheinlichkeit. Doch es gilt dasselbe Prinzip: Wenn man bei Xing jemanden findet, der eine Stelle sucht, darf man ihn anschreiben. Wenn man bei Facebook Fotos von einer Uni-Abschlussfeier findet und die Teilnehmer kontaktiert, ist das unzulässig.

Welche Daten über Bewerber dürfen Unternehmen sammeln und welche müssen sie nach einer bestimmten Zeit löschen?

Laut §35 BDSG müssen alle personenbezogenen Daten gelöscht werden, sobald das Bewerbungsverfahren ohne Einstellung abgeschlossen ist oder das Arbeitsverhältnis endet.

Wenn nur eine Stelle zu besetzen war, aber mehrere Bewerber in Frage kamen, wollen Unternehmen diese Bewerber gerne für spätere offene Stellen vorhalten, beispielsweise in einem Talentpool. Dann brauchen sie das ausdrückliche Einverständnis jedes einzelnen Bewerbers. Man kann die Daten nicht einfach speichern, nur weil sie für den Arbeitgeber wertvoll sind.

Gibt es eine Checkliste für Unternehmen, damit sie rechtssicher handeln können?

Eine allgemeine rechtssichere Checkliste gibt es nicht, denn die Unterschiede zwischen den Unternehmen sind einfach zu groß – beispielsweise in Hinsicht darauf, wo die Anzeigen stehen, was sie beinhalten, ob das Unternehmen einen Betriebsrat hat et cetera. Da kommen die Arbeitgeber nicht umhin, einen Rechtsanwalt zu konsultieren. Wenn ich eine Checkliste erarbeiten würde, stünde ganz oben: Finger weg von privaten Netzwerken!