Montag, 9. Oktober 2017

Active Sourcing nach der Datenschutz-Grundverordnung (DS-GVO)

Im April hatten wir hier darüber berichtet, wie Active Sourcing nach der aktuellen Gesetzgebung
datenschutzkonform durchgeführt werden kann. In diesem Artikel möchten wir nun einen Blick nach vorne werfen. Ab dem 25.05.2018 wird nämlich das derzeitige Datenschutzgesetz (BDSG) durch die neue europaweit einheitliche Datenschutz-Grundverordnung (DS-GVO) ersetzt werden.

Andere Rechtsgrundlage – aber weiterhin zulässig
Nach dem BDSG war die Recherche in sozialen Netzwerken zulässig, da es einen eigenen Erlaubnistatbestand zur Verarbeitung öffentlich gemachter Daten gab. Eine solche Regelung kennt die DS-GVO nicht mehr. Daher ist in diesem Fall auf eine andere Rechtsnorm zurückzugreifen, die sich in Art. 6 Abs. 1 lit. f DS-GVO findet. Danach ist eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten zulässig, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Uns bleibt also nur eine sehr allgemeine Regelung, die darüber hinaus verlangt, eine Interessenabwägung vorzunehmen. Natürlich wird man immer dann, wenn eine Interessenabwägung vorzunehmen ist, zu unterschiedlichen Ergebnissen kommen können. Besonders strenge Datenschützer werden eine Zulässigkeit in solchen Fällen vielleicht verneinen. Das berechtigte Interesse des verantwortlichen Unternehmens liegt jedoch klar auf der Hand: Es geht darum, geeignete Mitarbeiter zu finden und damit letztlich darum, den Fortbestand und den wirtschaftlichen Erfolg des Unternehmens zu sichern. Auf der anderen Seite steht der potentielle Bewerber, der seine Daten im Internet öffentlich zur Verfügung stellt und – im Falle von beruflichen sozialen Netzwerken – sogar sein Interesse an einer neuen Tätigkeit kundtut. Ein überwiegendes Interesse an einem Ausschluss der Verarbeitung kann daher aus unserer Sicht nur schwer begründet werden. Die Durchführung des Active Sourcing wird also auch unter der DS-GVO weiterhin zulässig sein.

Informationspflichten

Leider hat die DS-GVO eine andere Hürde geschaffen, die es zu nehmen gilt, um das Active Sourcing datenschutzkonform durchführen zu können: Die DS-GVO legt in Artikel 14 fest, dass betroffene Personen zu informieren sind, wenn Daten zu ihrer Person erhoben wurden. Hierbei handelt es sich um umfangreiche Informationspflichten, die der Gesetzgeber festgelegt hat. So ist beispielsweise nicht nur zu informieren, welche Daten gespeichert werden, sondern es müssen auch die Rechtsgrundlagen der Verarbeitung, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke der Datenverarbeitung, die Dauer der Speicherung, eine Aufzählung der Betroffenenrechte, das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie die Quelle, aus der die Daten stammen, bekanntgegeben werden.
Diese Information hat direkt an die betroffene Person zu erfolgen und zwar innerhalb eines Monats oder bei erstmaliger Kommunikation mit der betroffenen Person. Nur, wenn sich die Erteilung dieser Information als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, dann erlaubt der Gesetzgeber ausnahmsweise die Bereitstellung dieser Informationen an die Öffentlichkeit. Ob im Falle des Active Sourcing die Erteilung der Informationen direkt an die betroffene Person einen unverhältnismäßigen Aufwand erfordern würde und die Informationspflicht daher auch durch Veröffentlichung im Internet erfolgen kann, wird sicher ein Streitpunkt werden und gegebenenfalls durch die Gerichte endgültig entschieden werden. Aus unserer Sicht spricht viel dafür, dass eine Veröffentlichung ausreichen kann. Dies gilt unter anderem deshalb, da in den Erwägungsgründen zur DS-GVO (Erwägungsgrund 62) explizit festgelegt ist, dass ein Kriterium die Anzahl der betroffenen Personen ist. Sofern als eine große Anzahl an potentiellen Bewerbern „gesammelt“ wird, kann diese Ausnahmeregelung greifen.
Ob jede einzelne betroffene Person informiert wird oder die Informationen öffentlich zur Verfügung gestellt werden (beispielswiese als eigener Punkt in der Datenschutzerklärung der Homepage) müssen die Verantwortlichen im jeweiligen Fall entscheiden. Keinesfalls sollte die Informationspflicht ganz außer Acht gelassen werden. Die Bußgelder für Datenschutzverstöße werden mit der DS-GVO deutlich erhöht. Verstöße gegen die Informationspflicht können mit Bußgeldern von bis zu 20 Mio. EUR (bzw. 4% des weltweit erzielten Jahresumsatzes, wenn dieser Betrag höher ist) geahndet werden.

Ausblick

Es sieht also zunächst sehr danach aus, dass die Unterstützung des Personalrecruitings durch Active Sourcing auch weiterhin zulässig sein wird. Auf eine mögliche Einschränkung möchten wir jedoch an dieser Stelle noch hinweisen. Der europäische Gesetzgeber arbeitet derzeit noch an einer anderen Regelung – der sogenannten ePrivacy-Verordung. Hierzu gibt es derzeit nur einen Entwurf. Eine Verabschiedung soll aber zeitnah erfolgen, damit die Verordnung zeitgleich mit Beginn der Wirksamkeit der DS-GVO am 25.05.2018 in Kraft treten kann. Der Entwurf der ePrivacy-Verordnung sieht derzeit vor, dass für jegliche Ansprache des Betroffenen (sowohl telefonisch als auch mittels elektronischer Post) eine zuvor erteilte Einwilligungserklärung vorliegen muss. Die Bußgelder bei Verstößen können ebenfalls bis zu 20 Mio. EUR betragen. Es könnte also sein, dass ab Mai 2018 zwar das Anlegen des Talentpools zulässig ist – eine spätere Ansprache des potentiellen Bewerbers jedoch nicht mehr möglich sein wird.
Ob dies tatsächlich so kommt, bleibt abzuwarten. Zahlreiche Interessenverbände laufen derzeit Sturm gegen die ePrivacy-Verordnung und versuchen, entsprechende Änderungen zu erwirken. Es bleibt also spannend.

Der Autor 
Dipl.-Wirt.-Ing. Oliver Baldner ist Inhaber des Datenschutz- und Sachverständigenbüro bITs GmbH in Paderborn. Seit gut zehn Jahren ist er tätig als externer Datenschutzbeauftragter, erstellt Datenschutzgutachten und berät bundesweit Unternehmen aus unterschiedlichsten Branchen in allen Fragen des Datenschutzes. Oliver Baldner ist seit drei Jahren als Datenschutzauditor nach DS-BvD-GDD-01 zertifiziert - einem unabhängigen Datenschutzstandard für Auftragsdatenverarbeiter/IT-Dienstleister, den die beiden großen deutschen Datenschutzverbände GDD und BvD Ende gemeinsam entwickelt und 2013 vorgestellt haben.

Keine Kommentare:

Kommentar veröffentlichen