Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Active Sourcing

24. Juli 2017
Es wird für die Unternehmen immer schwieriger geeignetes Personal für die verschiedenen immer spezielleren Aufgaben zu finden. Das Thema Fachkräftemangel ist in vielen Unternehmen angekommen. Da heißt es, neue Wege zu suchen und möglichst auch zu finden um die richtigen Bewerber anzusprechen zu können.
 

Was ist Active Sourcing eigentlich?

Ein möglicher Weg ist das sogenannte Active Sourcing. Man wartet also nicht mehr einfach ab, bis sich irgendwann mal jemand (möglichst der Richtige) meldet, sondern versucht selbst aktiv Bewerber zu finden, speichert diese in Datenbanken kategorisiert ab und spricht sie bei Bedarf gezielt an. Und da bei diesem Verfahren personenbezogene Daten verarbeitet werden, dürfen – bei aller Euphorie über die neu entdeckten Möglichkeiten, geeignete Bewerber zu finden – die datenschutzrechtlichen Vorgaben nicht außer Acht gelassen werden. Natürlich betrachtet dieser Artikel das Thema bereits unter Berücksichtigung der ab Mai 2018 geltenden DS-GVO. Wen die aktuelle Gesetzeslage nach dem BDSG ebenfalls interessiert, der findet hier weiterführende Informationen. Es handelt sich dabei um einen Artikel, den wir zu einem früheren Zeitpunt in einem Blog zur Personalberatung veröffentlicht hatten.

Active Sourcing in sozialen Netzwerken

Eine sehr gutge Möglichkeit, aktiv nach geeigneten potentiellen Mitarbeitern zu suchen, ist die Recherche in sozialen Netzwerken. Aber ist diese Art der Recherche aus datenschutzrechtlicher Sicht überhaupt zulässig? Wie so oft, bei der Suche nach einem Erlaubnistatbestand, kommt man irgendwann zu Art. 6 Abs. 1 lit. f DS-GVO. Die Verarbeitung ist demnach zulässig zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten,  sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personen bezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

 
Wir haben also nur eine relativ „weiche“ Erlaubnisnorm und müssen zwischen dem berechtigten Interesse des Verantwortlichen und den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person abwägen. Immer wenn eine derartige Abwägung vorzunehmen ist, kann man natürlich zu einem unterschiedlichen Ergebnis kommen. Es gibt aber gute Gründe, davon auszugehen, dass die Recherche in sozialen Netzwerken auf diese Rechtsgrundlage gestützt werden kann. Gemäß Art. 9 Abs. 2 lit. e DS-GVO dürfen nämlich die deutlich sensibleren besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, biometrische Daten) verarbeitet werden, sofern die betroffene Person offensichtlich öffentlich gemacht hat. Zwar werden in unserem Fall keine besonderen Kategorien personenbezogener Daten verabeitet. Aber es wird wohl kaum jemand ernsthaft argumentieren wollen, dass ein Erlaubnistatbestand, der die Verarbeitung besonders sensibler Daten erlaubt, nicht auch für „normale“ personenbezogene Daten herangezogen werden kann.
 
Als „offensichtlich öffentlich gemacht“ gelten übrigens alle in sozialen Netzwerken veröffentlichten Daten, unabhängig davon ob es sich um berufliche Netzwerke handelt wie bespielswiese Xing oder LinkedIn, oder ob es sich um überwiegend private Netzwerke handelt wie beispielsweise Facebook. Auch dass eine Anmeldung zur Einsicht in die veröffentlichten Daten erforderlich ist, stellt keinen Hinderungsgrund dar, sofern sich Jedermann mit wenigen Klicks registrieren kann. Lediglich als privat gekennzeichnete oder nur einem bestimmten Personenkreis zugängliche Daten würden nicht darunter fallen.
 

Information der betroffenen Personen

Leider sind wir damit aber noch nicht am Ende. Daten aus sozialen Netzwerken, gelten nach der DS-GVO als „nicht bei der betroffenen Person erhoben“. Und für derartige Daten legt Art. 14 DS-GVO umfangreiche Informationspflichten fest. Datailliert hatten wir bereits hier über die Informationspflichten berichtet. Bestünde wirklich die Pflicht, jeden potentiellen Mitarbeiter, den man irgendwo in sozialen Netzwerken gefunden hat, ausführlich zu informieren, dann wäre dies aufgrund des enormen Verwaltungsaufwands wohl in den meisten Fällen schon das Aus für diese Form des Active Sourcing.

Komplett entlässt die DS-GVO die Unternehmen zwar leider nicht aus der Informationspflicht, allerdings hält sie eine angenehme Erleichterung bereit. Und zwar gilt die Informationspflicht nicht, wenn „die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde….“ In diesen Fällen hat der Verantwortliche diese Informationen dann allerdings der Öffentlichkeit bereitzustellen (Art. 14 Abs. 5 lit. b DS-GVO). Die Frage, ob die Informationspflicht tatsächlich einen unverhältnismäßigen Aufwand erfordern würde, könnte natürlich wieder unterschiedlich bewertet werden. Die Tatsache, dass der zugehörige Erwägungsgrund Nr. 62 aber zumindest die „Zahl der betroffenen Personen“ als mögliches Kriterium für das Vorliegen eines unverhältnismäßigen Aufwands nennt, lässt es als wahrscheinlich erscheinen, dass eine Informationspflicht gegenüber den einzelnen betroffenen Personen entfällt. Lediglich der „Öffentlichkeit“ sind diese Informationen bereitzustellen. Die Datenschutzerklärung auf der Webseite wird also künftig um einen Absatz länger ausfallen.

 

Und dürfen die potentiellen Mitarbeiter nun auch angesprochen werden?

Hier bleibt leider ein gewisses Restrisiko. Es ist (uns) zwar derzeit kein einziger Fall bekannt, in dem ein potentieller Mitarbeiter sich tatsächlich gegen die Ansprache bezüglich eines möglichen Arbeitsverhältnisses vorgegangen wäre. Würde er dies jedoch tun, dann hätte er unter Umständen durchaus Chancen auf Erfolg. Es wird nämlich teilweise die Ansicht vertreten, dass § 7 UWG, der eigentlich den Wettbewerb regelt, auch für derartige Ansprachen herangezogen werden kann. Demnach wäre eine Ansprache per E-Mail oder Telefon nur aufgrund einer zuvor erteilten Einwilligung zulässig. Generell unkritisch wäre eine Ansprache auf dem normalen Postweg.

 

Möchten Sie Ihre Personalbeschaffung durch aktive Maßnahmen erweitern? Rufen Sie uns an, wir unterstützen Sie dabei!