Mittwoch, 12. April 2017

Active Sourcing datenschutzkonform durchführen

Wie lässt sich Active Sourcing mit dem Datenschutz vereinbaren? Was ist überhaupt erlaubt und was sind die Risiken, die durch eventuell gemachte Fehler bestehen?
Die wichtigsten Vorgehensweisen bei Einsatz des Active Sourcing bestehen einerseits in der aktiven Suche nach geeigneten Kandidaten im Internet oder in sozialen Netzwerken sowie andererseits in der Verwendung sogenannter Mitarbeiterempfehlungen. In diesem Beitrag werden die datenschutzrechtlichen Anforderungen bei einer Recherche im Internet oder in sozialen Netzwerken aufgezeigt. Zur datenschutzkonformen Ausgestaltung von Mitarbeiterempfehlungen folgt später ein weiterer Artikel.

Recherche in sozialen Netzwerken
Als Rechtsgrundlage für die Recherche nach geeigneten Kandidaten kann auf § 28 Abs. 1 Satz 1 Nr. 3 BDSG zurückgegriffen werden. Demnach dürfen Daten zur Erfüllung eigener Geschäftszwecke erhoben, gespeichert, verändert, übermittelt oder genutzt werden, „wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.“
Entscheidend sind hierbei zwei Aspekte. Zunächst einmal dürfen die Daten aus allgemein zugänglichen Quellen entnommen werden. Hier ist die Frage zu klären, was „allgemein zugänglich“ genau bedeutet. Wie so häufig in Rechtsfragen gib es auch hier unterschiedliche Rechtsauffassungen. Nach herrschender Meinung fallen darunter jedoch diejenigen Daten, die über eine Suche im Internet gefunden werden können. Darüber hinaus fallen jedoch auch Daten in sozialen Netzwerken darunter, unabhängig davon ob diese einen beruflichen Bezug aufweisen wie Xing oder LinkedIn oder ob kein beruflicher Bezug vorliegt wie beispielsweise bei Facebook oder bei Google+. Dass Daten in den sozialen Netzwerken häufig erst nach einer Anmeldung abgerufen werden können, steht der Klassifizierung als „allgemein zugänglich“ nach herrschender Rechtsauffassung nicht entgegen, da eine Anmeldung mit wenigen Klicks von Jedermann durchgeführt werden kann.
Daten, die als „privat“ markiert sind oder nur einem beschränkten Nutzerkreis zur Verfügung gestellt werden, sind dahingegen nicht als allgemein zugänglich anzusehen. Genauso wird eine Erhebung der Daten dann nicht zulässig sein, wenn die AGB des Anbieters eine gewerbliche Nutzung explizit ausschließen.
Der zweite Aspekt ist die gesetzlich geforderte Abwägung, inwieweit der Verarbeitung ein schutzwürdiges Interesse des Betroffenen entgegensteht. In diesem Fall wäre die Durchführung unzulässig. Die Ansprache eines potentiellen Kandidaten bezüglich eines eventuellen späteren Beschäftigungsverhältnisses wird in der Regel aber sogar in dessen eigenem Interesse liegen. Zumindest sind keine schutzwürdigen Interessen des Betroffenen offensichtlich, die der Verarbeitung entgegenstehen.

Und wie kann der potentielle Kandidat angesprochen werden?

Letztlich nutzt es der Personalabteilung wenig, wenn die Daten eines potentiellen Kandidaten zwar erhoben und gespeichert werden dürfen, aber dann eine direkte Ansprache aus datenschutzrechtlichen Gründen nicht möglich ist. Hier wird es leider etwas knifflig, wie ein Blick in den § 7 UWG zeigt.
Demnach ist nämlich eine Ansprache unter folgenden Voraussetzungen möglich:

  • in Papierform (Brief) ist die Ansprache grundsätzlich zulässig 
  • Telefonisch ist die Ansprache zulässig, sofern eine mutmaßliche Einwilligung vorliegt. Hier liegt also ein gewisses Risiko vor. In der Regel wird man bei einer Ansprache bezüglich eines möglichen Beschäftigungsverhältnisses aber von einer mutmaßlichen Einwilligung ausgehen können. Es verbleibt aber ein Restrisiko.
  • Bei elektronischer Ansprache (E-Mail, PN, SMS, Chat) verlangt das UWG eine explizite Einwilligung, die ja noch gar nicht vorliegen kann, da bisher noch kein Kontakt zwischen den Beteiligten bestand. Diese Variante scheidet also aus datenschutzrechtlicher Sicht aus.

Eine Ansprache des potentiellen Kandidaten auf elektronischem Weg steht daher den datenschutzrechtlichen Bestimmungen entgegen und bedeutet das Bestehen eines Risikos. Dies gilt auch für die Kontaktaufnahme in Business-Netzwerken. Die Risiken sind jedoch überschaubar, insbesondere dann, wenn der Kandidat vorher in seinen Einstellungen der Kontaktaufnahme durch Dritte zugestimmt hat.
Letztlich ist (mir) zwar derzeit noch kein einziger Fall bekannt, in dem ein per E-Mail hinsichtlich eines möglichen Beschäftigungsverhältnisses angesprochener potentieller Mitarbeiter rechtlich gegen den Versender vorgegangen wäre. Würde er dies tun, hätte er jedoch aufgrund der gesetzlichen Regelungen gute Argumente in der Hand.
Die möglichen Risiken bestehen darin, von dem potentiellen Kandidaten oder einem Wettbewerber abgemahnt zu werden. Denkbar wäre auch eine Meldung an die zuständige Aufsichtsbehörde, die dieses Vorgehen für die Zukunft untersagen könnte und Bußgelder verhängen könnte. Letztlich wäre sogar eine Schadenersatzpflicht gegenüber dem Kandidaten denkbar, auch wenn diese wohl eher unwahrscheinlich ist, da ein eingetretener Schaden sowohl nach der Art als auch nach der Höhe nachgewiesen werden müsste.

Dieses überschaubare Risiko gilt es mit den Vorteilen abzuwägen und dann eine Entscheidung zu treffen.




Der Autor 
Dipl.-Wirt.-Ing. Oliver Baldner ist Inhaber des Datenschutz- und Sachverständigenbüro bITs GmbH in Paderborn. Seit gut zehn Jahren ist er tätig als externer Datenschutzbeauftragter, erstellt Datenschutzgutachten und berät bundesweit Unternehmen aus unterschiedlichsten Branchen in allen Fragen des Datenschutzes. Oliver Baldner ist seit drei Jahren als Datenschutzauditor nach DS-BvD-GDD-01 zertifiziert - einem unabhängigen Datenschutzstandard für Auftragsdatenverarbeiter/IT-Dienstleister, den die beiden großen deutschen Datenschutzverbände GDD und BvD Ende gemeinsam entwickelt und 2013 vorgestellt haben.



Weitere Informationen zu dem Autoren: www.bits.gmbh

Keine Kommentare:

Kommentar veröffentlichen