Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

LinkedIn
Twitter
Xing
Facebook
Datenschutz

Pre-Employment-Screenings/Background Checks und der Datenschutz

Vor der Auswahl von Bewerbern führen Arbeitgeber immer häufiger eigenständig Nachforschungen, sogenannte Pre-Employment-Screenings oder Background-Checks, durch. Unternehmen wollen auf diesem Weg mehr über die Kandidaten erfahren als diese selbst preisgeben oder Informationen auf Korrektheit prüfen. Was ist datenschutzrechtlich zulässig?

Das Thema

Im Rahmen des Pre-Employment-Screenings oder Background-Checks (nachfolgend: „PES/BC“) werden regelmäßig u.a. die Identität des Bewerbers, die Beteiligung an im Wettbewerb stehenden Unternehmen, die Präsenz auf Social Media und die wirtschaftlichen Verhältnisse einer Prüfung unterzogen. Meist dient das PES/BC dem Schutz des Unternehmens (Know-how, Eigentum etc.) und erfüllt Compliance-Anforderungen. Eigenständige Nachforschungen sind in anderen Ländern an der Tagesordnung und werden durch zunehmenden Einsatz von KI in Zukunft noch effizienter durchführbar. In Deutschland wird regelmäßig die Frage aufgeworfen, inwieweit die Verarbeitung der Daten des Bewerbers im Rahmen eines PES/BC zulässig ist.

Anzeige

Die Verarbeitung personenbezogener Daten kann nur auf Basis einer Erlaubnisnorm erfolgen. Für die Verarbeitung von Bewerberdaten kommen sowohl eine wirksame Einwilligung des Bewerbers als auch gesetzliche Erlaubnistatbestände in Betracht. 

Einwilligung in die Verarbeitung von Bewerberdaten?

Die datenschutzrechtliche Einwilligung ist in Art. 4 Nr. 11 und Art. 7 DSGVO geregelt. Um wirksam zu sein, muss die Einwilligung freiwillig, in informierter Weise, unmissverständlich und für einen bestimmten Fall erteilt werden (Art. 4 Nr. 11 DSGVO). Zweifel am Vorliegen der Voraussetzungen gehen gemäß Art. 7 Abs. 1 DSGVO zulasten des Verantwortlichen für die Datenverarbeitung. Im Kontext der Verarbeitung von Bewerberdaten ist die Freiwilligkeit der Einwilligung kaum anzunehmen. Zwar gibt es keine eindeutigen gesetzlichen Vorgaben unter welchen Voraussetzungen eine Einwilligung als freiwillig erteilt gilt. Jedoch bietet die DSGVO Anhaltspunkte dafür in ihren Erwägungsgründen (EG) 42 und 43 sowie in Art. 7 Abs. 4 DSGVO.

Die Einwilligung in die Datenverarbeitung ist nach EG 42 DSGVO nur dann als freiwillig anzusehen, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. EG 43 DSGVO regelt, dass die Einwilligung bei Bestehen eines klaren Ungleichgewichts ungültig ist, wenn in Anbetracht aller Umstände im Einzelfall unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde. 

Bewerber befinden sich regelmäßig in einer Drucksituation. Anders als im laufenden Arbeitsverhältnis existieren wenig Schutzvorschriften zu ihren Gunsten. Sie sind stark auf das Wohlwollen des potenziellen Arbeitgebers angewiesen. Eine Freiwilligkeit bei der Erteilung einer Einwilligung zur Verarbeitung personenbezogener Daten im Rechtssinn liegt daher in der Regel nicht vor. Zudem verbietet Art. 7 Abs. 4 DSGVO sogenannte Koppelungsgeschäfte: Die Einwilligung kann nicht als Rechtfertigung für die Datenverarbeitung dienen, wenn sie zur Bedingung für den Abschluss des Arbeitsvertrags gemacht wird.

Anzeige

Daher empfiehlt es sich, die Datenverarbeitung im Rahmen eines PES/BC nicht auf eine Einwilligung, sondern auf einen gesetzlichen Erlaubnistatbestand zu stützen.

Gesetzliche Grundlage zur Verarbeitung von Bewerberdaten

Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO bildet einen Erlaubnistatbestand für die Datenverarbeitung. Es ist aufgrund des Urteils des EuGH vom 30.03.2023 in der Rechtssache C-34/21 davon auszugehen, dass § 26 Abs. 1 Satz 1 BDSG, die entsprechende Grundlage nach deutschem Recht, nicht europarechtskonform ist. Aufgrund der Gleichartigkeit beider Erlaubnisnormen ist es aber unerheblich, auf welche der beiden Erlaubnisnormen die Verarbeitung gestützt wird. In beiden Fällen muss der Verantwortliche mit der Verarbeitung ein legitimes Ziel verfolgen und die Verarbeitung muss zur Erreichung dieses Ziels geeignet, erforderlich und angemessen sein.

  • Das legitime Ziel, das mit der Durchführung eines PES/BC verfolgt wird, muss der Arbeitgeber formulieren und begründen können. Ein berechtigtes Interesse besteht etwa daran, die fachliche Eignung, berufliche Erfahrung und die Zuverlässigkeit von Bewerbern zu überprüfen, die sich auf Stellen bewerben, deren Inhaber Zugang zu besonders schützenswerten Informationen erhalten, Einfluss auf strategische Entscheidungen haben oder bedeutend für die Aufrechterhaltung der Informationssicherheit sind.
  • Geeignet zur Erreichung dieses Ziels ist jede Verarbeitung von Daten, die einen Schluss auf die fachliche Eignung, Erfahrung und Zuverlässigkeit des Bewerbers zulassen. Erforderlich ist die Verarbeitung, wenn es keine gleich wirksamen, aber weniger stark in das Persönlichkeitsrecht der Bewerber eingreifenden Mittel gibt. In diesem Zusammenhang ist an die Direkterhebung der Daten bei den Bewerbern zu denken, die aber teils nicht gleich wirksam ist. So können Bewerber Dinge verschweigen oder auch falsche Angaben machen. Selbst die Vorlage gefälschter Zeugnisse oder sonstiger Qualifikationsnachweise kommt in der Praxis vor. Der Arbeitgeber hat also auch im Falle der Direkterhebung ein Interesse daran, die Richtigkeit der gemachten Angaben zu überprüfen. Die Angemessenheit richtet sich nach dem Grad des Interesses an der Verarbeitung der jeweiligen Information und dem Gewicht des Persönlichkeitsrechts des Bewerbers. Allgemein lässt sich aber festhalten, dass der Arbeitgeber alles erfahren darf, was er im Zuge der Besetzung der Stelle berechtigterweise erfahren möchte.

Information der Bewerber nach Art. 13, 14 DSGVO

Die Datenverarbeitung muss nicht nur gerechtfertigt sein, sondern auch transparent. Das Prinzip der Transparenz durchzieht die DSGVO. Die Bewerber sind gemäß Art. 13, 14 DSGVO vor der Datenverarbeitung zu informieren. Abs. 1 der Normen enthält jeweils Pflichtangaben, Abs. 2 enthält Angaben, die nur erteilt werden müssen, soweit sie erforderlich sind. Dies ist jedoch in der Regel der Fall. Führt ein Dienstleister das PES/BC durch, ist die Information dahingehend zu ergänzen. Befindet sich der Dienstleister in einem Drittstaat, muss das EU-rechtliche Datenschutzniveau gewahrt werden. Hierzu muss entweder ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vorliegen, wie es u.a. für das Vereinigte Königreich und eingeschränkt für Kanada der Fall ist, oder der Verarbeiter muss geeignete Garantien gemäß Art. 46 DSGVO vorsehen.

Folgende Informationen sind zu erteilen:

  • der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters,
  • zusätzlich die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
  • die Dauer, für die die personenbezogenen Daten gespeichert werden,
  • das Bestehen eines Rechts auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit,
  • wenn die Verarbeitung auf einer Einwilligung beruht, über das Recht, die Einwilligung jederzeit mit Wirkung ab dem Widerruf zu widerrufen,
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob eine Pflicht des Bewerbers zur Bereitstellung der Daten besteht und welche möglichen Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Da im Rahmen des PES/BC personenbezogene Daten typischerweise bei einem Dritten erhoben werden, muss zusätzlich informiert werden über:

  • die Kategorien personenbezogener Daten, die verarbeitet werden,
  • wenn die Verarbeitung auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, sowie
  • aus welchen Quellen die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen.

Wird die Verarbeitung auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützt, darf der Hinweis auf das Widerspruchsrecht aus Art. 21 DSGVO nicht fehlen.

Beispiele für Datenverarbeitung im Rahmen eines PES/BC

Jedes Informationsbegehren des Arbeitgebers muss einem rechtlich geschützten Interesse entspringen, das das Persönlichkeitsrecht des Bewerbers im Einzelfall überwiegen muss. Gerade bei intensiven Eingriffen lassen sich hierzu keine pauschalen Aussagen treffen. Die Rechtfertigung des Eingriffs hängt maßgeblich von den Anforderungen an die zu besetzende Stelle ab.

Vorbehaltlich einer Prüfung im Einzelfall lässt sich abstrakt sagen, dass die folgenden Informationen grundsätzlich im Zuge der Besetzung einer sensiblen Stelle erhoben werden dürfen: Die Stammdaten des Bewerbers, insbesondere die Kontaktdaten, dürfen verarbeitet werden. Es ist weiterhin zulässig, Daten über die Ausbildung, den Werdegang, die Weiterbildung und tätigkeitsrelevante Kenntnisse zu verarbeiten. Ebenfalls zulässig ist die Prüfung der inhaltlichen Richtigkeit und Echtheit von entsprechenden Zeugnissen. Darüber hinaus ist es zulässig, Interessenkonflikte abzuklären, soweit der Arbeitgeber ein schützenswertes Interesse daran hat, die Stelle mit einer Person zu besetzen, die frei von Interessenskonflikten ist. Hierzu kann die Frage nach Nebentätigkeiten bei einem Wettbewerber ebenso wie die nach einer maßgeblichen Unternehmensbeteiligung an einem Konkurrenten gehören.

Risiko für Arbeitgeber?

Schwieriger zu rechtfertigen sind bspw. Fragen nach den Vermögensverhältnissen oder nach früheren Verstößen gegen Strafgesetze im Bereich der Vermögensdelikte und der Wirtschaftskriminalität. Hier muss der Arbeitgeber sehr gut begründen können, weshalb er diese sensiblen Informationen erlangen möchte.

Ähnliches gilt für die Recherche in sozialen Netzwerken. Überwiegend wird hier zwischen beruflich orientierten Netzwerken und freizeitorientierten Netzwerken unterschieden. Dies wird damit begründet, dass der Bewerber Daten in beruflich orientierten Netzwerken entsprechend aufbereitet und bereitstellt, damit potenzielle Arbeitgeber auf ihn aufmerksam werden. An einer Datenerhebung in freizeitorientierten sozialen Netzwerken werden Unternehmen jedoch in der Regel kein schützenswertes Interesse haben.

Erhebt der Arbeitgeber Daten, ohne dies mit einem überwiegenden geschützten Interesse rechtfertigen zu können, wäre die Verarbeitung unzulässig. Eine unzulässige Verarbeitung geht mit dem Risiko von Schadensersatzansprüchen (Art. 82 DSGVO) einher. Ferner könnten Bewerber die Datenschutzbehörde einschalten, die im schlimmsten Fall ein Bußgeld verhängen kann (Art. 83 DSGVO).

Zusammenfassung und Fazit

Der Arbeitgeber darf aus rechtlicher Sicht alle Daten verarbeiten, die erforderlich sind, um die Stelle mit dem bestgeeigneten Kandidaten besetzen zu können. Die Bestimmung dessen, was erforderlich ist, erfordert Augenmaß. Wenig intensive Eingriffe in das Persönlichkeitsrecht des Bewerbers sind grundsätzlich möglich, wenn sie dazu dienen, entscheidungserhebliche Informationen zu erlangen. Bei schwerwiegenderen Eingriffen in das Persönlichkeitsrecht muss gut begründet werden können, weshalb das Informationsinteresse des Arbeitgebers das Persönlichkeitsrecht des Bewerbers im Hinblick auf das fragliche Datum überwiegt. Die Argumentation darf nicht auf generelle Erwägungen abstellen, sondern muss sich auf das konkrete Stellenprofil beziehen.

Handcrafted with by Jung und Wild design.