Im digitalen Zeitalter gewinnen moderne Bewerber-Recruiting-Methoden wie Active Sourcing, Headhunting und der Einsatz von Künstlicher Intelligenz (KI) zunehmend an Bedeutung. Diese Technologien bieten zahlreiche Vorteile, insbesondere die Möglichkeit, gezielt und schnell geeignete Bewerber zu finden. Doch mit diesen Entwicklungen entstehen auch neue datenschutzrechtliche Herausforderungen für Personalabteilungen und HR-Verantwortliche. Besonders Personalvermittler, Zeitarbeitsfirmen und Personaldienstleister stehen vor der Aufgabe, die Bewerberdaten datenschutzkonform zu verarbeiten, um den rechtlichen Anforderungen zum Thema Datenschutz gerecht zu werden. In diesem Zusammenhang rückt auch die Rolle des Datenschutzbeauftragter Recruiter stärker in den Fokus – also die Notwendigkeit, Datenschutzverantwortung gezielt im Recruiting-Prozess zu verankern.
In diesem Artikel erfahren Sie, welche datenschutzrechtlichen Anforderungen beim Bewerbermanagement erfüllt werden müssen, welche Daten besonders geschützt werden sollten und ab wann ein Datenschutzbeauftragter für Recruiter erforderlich ist.
Inhaltsverzeichnis
- Datenschutz im Recruiting: Gesetzliche Grundlagen
- Datenschutzgrundsätze im Recruiting
- Umgang mit Bewerberdaten: Welche Daten müssen geschützt werden?
- Wann dürfen Recruiter Bewerberdaten verarbeiten ?
- Ab wann benötigen Recruiter einen Datenschutzbeauftragten?
- Welche Fragen sind im Bewerbungsgespräch datenschutzrechtlich zulässig?
- Speicherdauer von Bewerberdaten
- Talentpools – Aufnahme nur mit Einwilligung
- Background-Checks datenschutzrechtlich zulässig?
- Lebenslauf Parsing mit KI-Tool datenschutzrechtlich zulässig?
- Sprach- und Emotionsanalysen mit KI-Tool datenschutzrechtlich zulässig?
- Fazit – Datenschutzbeauftragter für Recruiter
- FAQ Datenschutzbeauftragter Recruiter
Datenschutz im Recruiting: Gesetzliche Grundlagen
Betroffene Personen, wie Bewerber müssen sich darauf verlassen können, dass ihre personenbezogenen Daten, die sie einem Unternehmen anvertrauen, vertraulich und sicher behandelt werden. Der Datenschutz spielt daher eine wesentliche Rolle im Recruiting-Prozess. Im Umgang mit den Daten von potenziellen Kandidaten sind insbesondere folgende gesetzliche Grundlagen zu beachten:
- Datenschutz-Grundverordnung (DSGVO): Die wichtigste europäische Regelung zum Schutz personenbezogener Daten.
- Bundesdatenschutzgesetz (BDSG): Ergänzt und konkretisiert die DSGVO im nationalen Kontext.
- Betriebsverfassungsgesetz (BetrVG): Regelt unter anderem den Umgang mit datenschutzrelevanten Mitbestimmungsrechte von Betriebsräten.
Datenschutzgrundsätze im Recruiting
Bewerbungsunterlagen beinhalten eine Vielzahl personenbezogener Daten, die einen hohen Schutz erfordern. Besonders wichtig ist es, dass sowohl die sensiblen als auch die allgemeinen Daten der Bewerber korrekt behandelt werden. Zu den wichtigsten Kategorien von Daten, die im Recruiting-Prozess verarbeitet werden, gehören:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben: Die Verarbeitung muss auf einer klaren Rechtsgrundlage beruhen.
- Zweckbindung: Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden.
- Datenminimierung: Es dürfen nur die für den jeweiligen Zweck notwendigen Daten verarbeitet werden.
- Richtigkeit: Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein.
- Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.
- Integrität und Vertraulichkeit: Die Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt werden.
Umgang mit Bewerberdaten: Welche Daten müssen geschützt werden?
Bewerbungsunterlagen enthalten eine Vielzahl personenbezogener Daten. Zu den wichtigsten Daten, die im Recruiting-Prozess verarbeitet werden, gehören:
- Personenbezogene Daten wie Vor- und Nachname, Adresse, Geburtsdatum
- Berufliche Qualifikationen wie Ausbildung, Arbeitszeugnisse, beruflicher und schulischer Werdegang
- Gesundheitsdaten, sofern diese für die Ausübung des Berufes relevant sind (z.B. im Falle von Bewerbungen im Gesundheitswesen)
- Besondere Datenkategorien, wie beispielsweise der Schwerbehindertenstatus, der nach § 26 SGB IX besondere Regelungen erfordert
Wann dürfen Recruiter Bewerberdaten verarbeiten ?
Die Verarbeitung von Bewerberdaten ist nur unter bestimmten Voraussetzungen zulässig:
- Vertragsanbahnung: Die Verarbeitung ist zulässig, wenn sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Beispielsweise muss das Unternehmen prüfen, ob der Bewerber die nötigen Qualifikationen für die ausgeschriebene Position mitbringt.
- Berechtigtes Interesse:Wenn das Unternehmen ein berechtigtes Interesse an der Verarbeitung hat, das die Interessen des Bewerbers überwiegt, kann die Datenverarbeitung auch ohne ausdrückliche Einwilligung erfolgen. Ein Beispiel könnte die Prüfung der Eignung des Bewerbers auf Grundlage von öffentlich zugänglichen Daten sein, wie z. B. berufliche Profile auf beruflichen Netzwerken..
- Einwilligung: Die Verarbeitung von Bewerberdaten kann auch auf der Grundlage der ausdrücklichen Einwilligung des Bewerbers erfolgen. Diese muss freiwillig, informiert und unmissverständlich abgegeben werden, und der Bewerber muss umfassend darüber informiert werden, welche Daten wie verarbeitet werden.
Wichtig ist, dass der Bewerber immer transparent über die Grundlage der Datenverarbeitung informiert wird, zum Beispiel in der Datenschutzerklärung auf der Unternehmenswebsite oder im Bewerbungsgespräch.
Ab wann benötigen Recruiter einen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter für Recruiter ist gemäß DSGVO erforderlich, wenn:
- mehr als 20 Mitarbeiter: Wenn das Unternehmen mehr als 20 Mitarbeiter beschäftigt, die regelmäßig mit der automatisierten Verarbeitung von personenbezogenen Daten betraut sind, ist die Benennung eines Datenschutzbeauftragten notwendig.
- KI-Tools im Einsatz: Wenn im Recruiting Prozess Künstliche Intelligenz zur Unterstützung der Bewerbersuche eingesetzt wird, müssen die mit der Nutzung verbundenen Risiken berücksichtigt werden. Eine Datenschutz-Folgenabschätzung ist erforderlich, um die Auswirkungen auf die Privatsphäre der betroffenen Personen zu bewerten.
- Verarbeitung besonderer Kategorien personenbezogener Daten: Besonders sensible Daten, wie Gesundheitsdaten oder Informationen zur Religionszugehörigkeit, erfordern ebenfalls einen Datenschutzbeauftragten. Wenn solche Daten im Bewerbungsprozess verarbeitet werden (z.B. bei Bewerbungen für eine Tätigkeit im Gesundheitswesen), muss ein Datenschutzbeauftragter benannt werden, um bei der rechtskonformen Anwendung zu unterstützen.
Die Bestellung eines externen Datenschutzbeauftragten für Recruiter stellt sicher, dass das Unternehmen den Datenschutz im Recruiting-Prozess konsequent umsetzt und die rechtlichen Anforderungen erfüllt.
Welche Fragen sind im Bewerbungsgespräch datenschutzrechtlich zulässig?
Im Bewerbungsgespräch dürfen nur Fragen gestellt werden, die für die Entscheidung über die Eignung des Bewerbers für die ausgeschriebene Stelle erforderlich sind. Fragen, die in den Bereich der Diskriminierung fallen oder die Privatsphäre des Bewerbers verletzen, sind unzulässig. Was datenschutzrechtlich zulässig ist, orientiert sich am arbeitsrechtlichen Fragerecht:
- Gesundheitszustand: Nur wenn die Tätigkeit eine gesundheitliche Eignung erfordert, dürfen Fragen zu Krankheiten oder Behinderungen gestellt werden.
- Schwangerschaft oder Familienplanung: Solche Fragen sind unzulässig, da sie in der Regel nichts mit der Eignung für die Stelle zu tun haben.
- Gewerkschaftszugehörigkeit oder politische Einstellungen: Diese Informationen dürfen nur erfragt werden, wenn sie für die Tätigkeit relevant sind.
Recruiter sollten sich darauf konzentrieren, die fachliche Qualifikation und die berufliche Eignung der Bewerber zu prüfen und Fragen zu persönlichen oder privaten Themen zu vermeiden, die nicht im Zusammenhang mit der Stelle stehen.
Speicherdauer von Bewerberdaten
Nach Abschluss eines Bewerbungsverfahrens dürfen Bewerberdaten nicht unbegrenzt gespeichert werden. Nichtsdestotrotz ist es angemessen, eine Zeit lang mit der Löschung zu warten. Schließlich könnte es sein, dass der Bewerber Ansprüche wegen Benachteiligung (Diskriminierung) gegen den potenziellen Arbeitgeber erhebt.Um sich gegen potenzielle rechtliche Ansprüche zu wappnen, ist es ratsam, Bewerbungsunterlagen nicht sofort nach der Absage zu löschen.
Bewerberdaten sollten nach sechs Monaten gelöscht werden.
Diese Frist berücksichtigt mögliche Klageansprüche des Bewerbers im Falle einer Diskriminierung gemäß dem Allgemeinen Gleichbehandlungsgesetz (AGG).
Bewerber können Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz wegen möglicher Diskriminierung innerhalb von zwei Monaten schriftlich geltend machen (§ 15 Abs. 4 AGG) und innerhalb von drei Monaten Klage am zuständigen Gericht erheben (§ 61b ArbGG). Um eventuellen Verzögerungen bei Zustellungen und Prozessorganisation entgegenzuwirken, wird ein zusätzlicher Monat als Puffer gewährt. So kommt die Sechsmonatsfrist als Richtwert für die Speicherdauer von Bewerbungsunterlagen zustande. Unternehmen müssen sicherstellen, dass die maximale Speicherdauer von Bewerberunterlagen nicht überschritten wird, etwa durch eine automatische Löschfrist im Postfach oder im Bewerberportal.
Talentpools – Aufnahme nur mit Einwilligung
In der heutigen Arbeitswelt setzen viele Unternehmen auf sogenannte Talentpools, um Bewerberdaten für zukünftige Stellenangebote zu speichern. Diese Pools ermöglichen es Unternehmen, schnell auf qualifizierte Kandidaten zurückzugreifen, wenn passende Positionen verfügbar sind. Der Vorteil liegt auf der Hand: Es wird wertvolle Zeit gespart, da nicht immer wieder von vorne mit der Suche und Auswahl geeigneter Bewerber begonnen werden muss. Doch dieser Prozess birgt auch datenschutzrechtliche Herausforderungen, die nicht unbeachtet bleiben dürfen.
Die Speicherung von Bewerberdaten in einem Talentpool ist nur dann zulässig, wenn der Bewerber explizit und freiwillig in die Speicherung seiner Daten eingewilligt hat. Diese Einwilligung muss klar und unmissverständlich sein, sodass der Bewerber ohne Zweifel erkennen kann, was mit seinen Daten geschieht. Der Bewerber sollte zudem umfassend darüber informiert werden, wie lange seine Daten gespeichert werden und zu welchem konkreten Zweck dies erfolgt.
Unternehmen müssen die Einwilligungen entsprechend dokumentieren und diese im Zweifel gegenüber den Aufsichtsbehörden nachweisen könne
Background-Checks datenschutzrechtlich zulässig?
Die Durchführung von Background-Checks, also die Überprüfung von Bewerbern auf Informationen, die über die in der Bewerbung gemachten Angaben hinausgehen, ist in vielen Fällen üblich. Dabei kann es sich um die Überprüfung von Vorstrafen, Bonitätsauskünften oder auch die Recherche von öffentlich zugänglichen Informationen handeln, die Aufschluss über den Bewerber geben können. Hierbei sind jedoch strenge datenschutzrechtliche Grenzen zu beachten.
Grundsätzlich gilt, dass Bewerberinformationen in der Regel direkt vom Bewerber selbst eingeholt werden sollten. Methoden wie Bewerbungsgespräche, Assessment-Center, die Prüfung von Qualifikationen oder Arbeitszeugnissen sind in den meisten Fällen ausreichend, um die Eignung eines Bewerbers zu beurteilen. Die Recherche in öffentlich zugänglichen Quellen, etwa über das Internet, kann unter bestimmten Umständen ebenfalls zulässig sein – allerdings nur, wenn das Interesse des Unternehmens an der Information das Datenschutzinteresse des Bewerbers überwiegt.
Ein besonderes Augenmerk muss auf die unterschiedlichen sozialen Netzwerke gelegt werden, wenn eine Internetrecherche durchgeführt wird. Berufliche Netzwerke wie Xing oder LinkedIn bieten in der Regel relevante und gezielt beruflich orientierte Informationen. In diesen Fällen kann ein berechtigtes Interesse an der Recherche bestehen, da die Bewerber in diesen Netzwerken selbst berufliche Daten teilen. In sozialen Netzwerken, die eher privat und freizeitorientiert sind, wie Facebook, Instagram oder TikTok, sind die Informationen, die ein Bewerber dort hinterlässt, in der Regel weniger auf den beruflichen Kontext ausgerichtet. Hier dürfte das Interesse des Nutzers an der Geheimhaltung seiner Daten gegenüber Personalberatern und potenziellen Arbeitgebern überwiegen. Daher ist die Recherche in solchen Netzwerken in der Regel nicht zulässig. Im Zweifelsfall sollten Recruiter ihren Datenschutzbeauftragten einbeziehen.
Lebenslauf Parsing mit KI-Tool datenschutzrechtlich zulässig?
Die Verwendung von KI-Tools zur Analyse von Lebensläufen hat das Recruiting revolutioniert. Diese Technologien ermöglichen es, Bewerbungen automatisiert zu scannen und so die besten Kandidaten effizienter auszuwählen. KI-Systeme können wichtige Informationen aus Lebensläufen extrahieren, wie etwa Qualifikationen, Berufserfahrung oder Fähigkeiten, und diese in einer strukturierten Form darstellen, was den Auswahlprozess deutlich vereinfacht.
Zur Einhaltung der Datenschutzbestimmungen ist die Durchführung einer Datenschutz-Folgenabschätzung erforderlich. Insbesondere dürfen derartige KI-Tools nur verwendet werden, wenn keine automatisierten Entscheidungen getroffen werden, die rechtliche Auswirkungen auf den Bewerber haben. Das bedeutet, dass die KI lediglich unterstützend bei der Sichtung von Bewerbungen eingesetzt werden darf und keine endgültige Entscheidung über die Eignung eines Bewerbers allein auf der Grundlage der KI-Analyse getroffen werden darf.
Sprach- und Emotionsanalysen mit KI-Tool datenschutzrechtlich zulässig?
Emotionsanalysen im Bewerbungsverfahren bezeichnen den Einsatz von Technologien, die die emotionalen Zustände und Reaktionen von Bewerber:innen während des Bewerbungsprozesses erkennen und interpretieren sollen. Diese Analyse kann durch verschiedene Methoden erfolgen, darunter Mimik- und Gestikanalyse, Sprach- und Tonfallanalyse oder die Auswertung von schriftlichen Antworten. Das Ziel ist, Rückschlüsse auf die Persönlichkeit, Motivation und potenzielle Eignung der Bewerber:in zu ziehen. Im Bewerbungsverfahren sind Emotionsanalysen datenschutzrechtlich problematisch, weil sie in der Regel nicht erforderlich sind und die Freiwilligkeit der Einwilligung zweifelhaft sein könnte.
Fazit – Datenschutzbeauftragter für Recruiter
Der Datenschutz im Recruiting ist ein komplexes Thema, das in der heutigen Zeit zunehmend an Bedeutung gewinnt. Recruiter und Personalvermittler müssen mit ihren Datenschutzbeauftragten sicherstellen, dass sie die Anforderungen der DSGVO erfüllen, um den Schutz der Bewerberdaten zu gewährleisten und rechtlichen Risiken vorzubeugen. Durch die Beachtung der datenschutzrechtlichen Vorgaben – insbesondere in Bezug auf die Einwilligung, die Speicherdauer und die Verarbeitung sensibler Daten – können Unternehmen sicherstellen, dass ihre Rekrutierungsprozesse sowohl effektiv als auch datenschutzkonform ablaufen.
FAQ Datenschutzbeauftragter Recruiter
Ein Datenschutzbeauftragter ist erforderlich, wenn mehr als 20 Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind oder wenn besonders sensible Daten, wie Gesundheitsdaten oder Informationen zur ethnischen Herkunft, verarbeitet werden. Auch der Einsatz von Künstlicher Intelligenz (KI) im Recruiting-Prozess kann die Notwendigkeit eines Datenschutzbeauftragten begründen.
Recruiting bezeichnet eine Personalbeschaffung oder Personalvermittlung, umfasst alle Aktivitäten, die darauf abzielen, vakante Stellen zu besetzen. Mitumfasst sind Stellenanzeigen, Veröffentlichungen, Vorstellungsgespräche, Vertragsunterzeichnungen und Onboarding-Prozesse.
Headhunting bezeichnet die Suche nach Fach- und Führungskräften auf Erfolgsbasis, oftmals im Auftragsverhältnis und insbesondere unter Nutzung von Sozialen Medien und Business-Plattformen
Active Sourcing bezeichnet eine aktive Personalbeschaffung, also Maßnahmen eines Unternehmens, um proaktiv potenzielle Bewerber:innen zu identifizieren. Erreicht werden sollen insbesondere auch Kandidat:innen, die nicht aktiv nach einem Job suchen.
Background-Checks/Pre-Employment-Checks sind auch bekannt als Bewerber:innenScreening/Überprüfung von Kandidat:innen. Es handelt sich um Überprüfungen, die 4 Arbeitgeber:innen durchführen, um die Angaben und Hintergründe der Kandidat:innen vor der Einstellung zu verifizieren, bei Dritten oder über Internetrecherchen.
Ein Talentpool ist eine Datenbank oder Online-Plattform, die Profile von Bewerber:innen, Mitarbeiter:innen, Freiberufler:innen oder anderen externen Kontakten enthält, welche für eine Stellenbesetzung in Betracht kommen.
CV Parsing bezeichnet das automatisierte Auslesen von Bewerbungen (insbesondere Anschreiben und Lebenslauf). Die ausgelesenen Daten werden sodann ebenfalls automatisch in ein Bewerbungsmanagementsystem (BMS) überführt.
Das Weiterleiten von Bewerbungsunterlagen zwischen Kollegen per E-Mail kann potenziell zu Problemen führen. Insbesondere gestaltet sich die Löschung von intern weitergeleiteten E-Mails, die automatisch ins Mail-Archiv überführt werden, äußerst schwierig. Diese Herausforderungen bei der zeitnahen Löschung können zu erheblichen Datenschutzproblemen führen. In der Praxis ist es selten üblich, dass Unternehmen die zu löschenden E-Mails manuell aus dem Mail-Archiv suchen und entfernen. Dies kann für den potenziellen Arbeitgeber zu Drucksituationen führen, insbesondere wenn abgelehnte Bewerber (aus sachfremden Gründen) ihr Recht auf Auskunft (Art. 15 DSGVO) oder Löschung (Art. 17 DSGVO) geltend machen und weiterhin Daten ohne ausreichende Rechtsgrundlage gespeichert werden.
Das Recruiting in berufsorientierten Medien wie z. B. Xing oder LinkedIn kann zulässig sein, insbesondere wenn eine Person die Jobsuche aktiviert oder Jobwünsche oder Gehaltsvorstellungen in berufsorientierten Medien wie z. B. Xing oder LinkedIn hinterlegt.
In freizeitorientierten sozialen Medien (Facebook, Instagram, TikTok) dürfte das Interesse des Nutzers an der Geheimhaltung der Daten gegenüber Personalberatern und potenziellen Arbeitgebern überwiegen, mit der Folge, dass das Recruiting dort nicht zulässig ist.
Besonders schützenswert sind sensible personenbezogene Daten wie Gesundheitsdaten, Daten zur ethnischen Herkunft oder der Schwerbehindertenstatus. Auch Daten, die auf religiöse oder politische Überzeugungen hinweisen, erfordern besonderen Schutz.
Wenn ein Bewerber seine Einwilligung zur Speicherung seiner Daten widerruft, müssen die gespeicherten Daten unverzüglich gelöscht werden, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten oder andere rechtliche Gründe für eine längere Speicherung.
Der Einsatz von Künstlicher Intelligenz (KI) zur Analyse von Lebensläufen oder zur Auswahl von Bewerbern muss mit der DSGVO in Einklang stehen. Bewerber müssen im Vorfeld informiert werden, dass ihre Daten durch KI verarbeitet werden, und ihre ausdrückliche Einwilligung muss eingeholt werden. Automatisierte Entscheidungen mit rechtlicher Wirkung, die allein auf der KI-Analyse basieren, sind unzulässig.
Ein Talentpool ist eine Sammlung von Bewerberdaten, die für zukünftige Stellenangebote genutzt werden. Die Aufnahme von Bewerbern in einen Talentpool ist nur zulässig, wenn der Bewerber ausdrücklich und unmissverständlich seine Zustimmung zur Speicherung seiner Daten gibt. Der Bewerber muss darüber informiert werden, wie lange seine Daten gespeichert werden und zu welchem Zweck sie verwendet werden.
Im Bewerbungsgespräch dürfen nur Fragen gestellt werden, die für die Beurteilung der Eignung des Bewerbers für die ausgeschriebene Position relevant sind. Fragen zu persönlichen oder privaten Themen wie Schwangerschaft, Gesundheit oder politischen Überzeugungen sind unzulässig, es sei denn, sie sind in Bezug auf die Tätigkeit unbedingt erforderlich.
Bewerber haben das Recht, Auskunft über die gespeicherten Daten zu verlangen, ihre Daten berichtigen oder löschen zu lassen und die Verarbeitung einzuschränken. Sie haben auch das Recht, der Verarbeitung ihrer Daten zu widersprechen und die Daten in einem strukturierten, gängigen Format zu erhalten (Datenübertragbarkeit).
