ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Active Sourcing und Datenschutz

/von

Es wird für die Unternehmen immer schwieriger geeignetes Personal für die verschiedenen immer spezielleren Aufgaben zu finden. Das Thema Fachkräftemangel ist in vielen Unternehmen angekommen. Da heißt es, neue Wege zu gehen, um die richtigen Bewerber ansprechen zu können.

Was ist Active Sourcing eigentlich?

Ein möglicher Weg ist das sogenannte Active Sourcing. Man wartet nicht mehr passiv ab, bis sich ein hoffentlich passender Kandidat meldet. Stattdessen versucht man selbst aktiv Bewerber zu finden, speichert diese in Datenbanken kategorisiert ab und spricht sie bei Bedarf gezielt an. Da bei diesem Verfahren personenbezogene Daten verarbeitet werden, dürfen – bei aller Euphorie über die neu entdeckten Möglichkeiten, aktiv geeignete Bewerber zu finden und auf diese zuzugehen – die datenschutzrechtlichen Vorgaben nicht außer Acht gelassen werden. Dieser Artikel betrachtet das Thema bereits unter Berücksichtigung der ab Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO).

Active Sourcing in sozialen Netzwerken

Eine sehr gute Möglichkeit, aktiv nach geeigneten Kandidaten zu suchen, ist die Recherche in sozialen Netzwerken. Aber ist diese Art der Recherche aus datenschutzrechtlicher Sicht überhaupt zulässig? Bei der Suche nach einem Erlaubnistatbestand, landet man recht schnell bei Art. 6 Abs. 1 lit. f DSGVO. Die Verarbeitung ist demnach zulässig zur „Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“.

Wir haben also nur eine relativ „weiche“ Erlaubnisnorm und müssen zwischen dem berechtigten Interesse des Verantwortlichen und den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person abwägen. Bei solchen Abwägungen wird man je nach Einzelfall und abwägender Person zu unterschiedlichen Ergebnissen kommen. Es gibt aber gute Gründe, davon auszugehen, dass die Recherche in sozialen Netzwerken auf diese Rechtsgrundlage gestützt werden kann. Gemäß Art. 9 Abs. 2 lit. e DSGVO dürfen nämlich die deutlich sensibleren besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, biometrische Daten) verarbeitet werden, sofern die betroffene Person offensichtlich öffentlich gemacht hat. Zwar werden in unserem Fall keine besonderen Kategorien personenbezogener Daten verarbeitet. Aber es wird wohl kaum jemand ernsthaft argumentieren wollen, dass ein Erlaubnistatbestand, der die Verarbeitung besonders sensibler Daten erlaubt, nicht auch für „normale“ personenbezogene Daten herangezogen werden kann.

Als „offensichtlich öffentlich gemacht“ gelten übrigens alle in sozialen Netzwerken veröffentlichten Daten, unabhängig davon ob es sich um berufliche Netzwerke handelt wie bespielsweise Xing oder LinkedIn oder ob es sich um überwiegend private Netzwerke handelt, wie beispielsweise Facebook. Auch dass eine Anmeldung zur Einsicht in die veröffentlichten Daten erforderlich ist, stellt keinen Hinderungsgrund dar, sofern sich Jedermann mit wenigen Klicks registrieren kann. Lediglich als privat gekennzeichnete oder nur einem bestimmten Personenkreis zugängliche Daten würden nicht darunterfallen.

Information der betroffenen Personen

Damit sind wir allerdings noch nicht am Ende. Daten aus sozialen Netzwerken, gelten nach der DSGVO als „nicht bei der betroffenen Person erhoben“. Und für derartige Daten legt Art. 14 DSGVO umfangreiche Informationspflichten fest. Detailliert hatten wir bereits hier über die Informationspflichten berichtet. Bestünde wirklich die Pflicht, jeden potentiellen Mitarbeiter, den man in sozialen Netzwerken gefunden hat, ausführlich zu informieren, dann wäre dies aufgrund des enormen Verwaltungsaufwands wohl in den meisten Fällen schon das Aus für diese Form des Active Sourcing.

Komplett entlässt die DSGVO die Unternehmen zwar leider nicht aus der Informationspflicht, allerdings hält sie eine angenehme Erleichterung bereit. Und zwar gilt die Informationspflicht nicht, wenn „die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde….“ In diesen Fällen hat der Verantwortliche diese Informationen dann allerdings der Öffentlichkeit bereitzustellen (Art. 14 Abs. 5 lit. b DSGVO). Die Frage, ob die Informationspflicht tatsächlich einen unverhältnismäßigen Aufwand erfordern würde, kann natürlich wieder individuell unterschiedlich bewertet werden. Die Tatsache, dass der zugehörige Erwägungsgrund Nr. 62 aber zumindest die „Zahl der betroffenen Personen“ als mögliches Kriterium für das Vorliegen eines unverhältnismäßigen Aufwands nennt, lässt es als wahrscheinlich erscheinen, dass sich der Entfall der Informationspflicht gegenüber den einzelnen betroffenen Personen verargumentieren ließe. Lediglich der „Öffentlichkeit“ sind diese Informationen bereitzustellen. Die Datenschutzerklärung auf der Webseite würde in diesem Fall um einen Absatz länger ausfallen müssen.

Und dürfen die potentiellen Mitarbeiter nun auch angesprochen werden?

Bei der Ansprache der ermittelten Kandidaten bleibt leider ein gewisses Restrisiko. Es ist uns zwar derzeit kein Fall bekannt, in dem ein potentieller Mitarbeiter tatsächlich gegen die Ansprache bezüglich eines möglichen Arbeitsverhältnisses vorgegangen wäre. Würde er dies jedoch tun, bestünden unter Umständen durchaus Chancen auf Erfolg. Es wird nämlich teilweise die Ansicht vertreten, dass § 7 UWG, der eigentlich den Wettbewerb regelt, auch für derartige Ansprachen herangezogen werden kann. Demnach wäre eine Ansprache per E-Mail oder Telefon nur aufgrund einer zuvor erteilten Einwilligung zulässig. Generell unkritisch hingegen wäre eine Ansprache auf dem normalen Postweg.

Möchten Sie Ihre Personalbeschaffung durch aktive Maßnahmen erweitern? Rufen Sie uns an, wir unterstützen Sie dabei!

Das könnte Sie auch interessieren
facebook fanpageFacebook ändert die AGB im Businessbereich – bleibt alles neu?
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersBußgeld in Österreich wegen Verstoßes gegen Double-Opt-In Pflicht
datenlöschung löschen schreddern vernichten 17 dsgvoDatenschutz-gerechte Datenlöschung nach BGSG
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichDie Reichweite des Auskunftsanspruchs – der BGH hat geurteilt
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichBehördliches Bußgeldberechnungskonzept auf dem Prüfstand – Gericht kippt Millionenbußgeld
dashcam crashcam datenpanne meldepflichtDatenpannen – worauf kommt es jetzt an?
Automatische Einzelfallentscheidungen nach der DSGVOdatenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungfunktionsübertragung auftragsverarbeitungDie Funktionsübertragung nach der DSGVO