Datenschutz als Grundlage verantwortungsvoller Kommunikation
Klare Zuständigkeiten sind ein zentraler Bestandteil eines verantwortungsvollen Umgangs mit personenbezogenen Daten. Bereits in den Datenschutzhinweisen sollte deshalb eindeutig benannt werden, welches Unternehmen bzw. welche Stelle für die Verarbeitung verantwortlich ist. In der Praxis ist das häufig die HR-Abteilung oder eine andere intern zuständige Stelle. Zusätzlich sollte ein Ansprechpartner für Datenschutzfragen genannt werden. Je nach Ausgestaltung des Recruitings kann außerdem zu prüfen sein, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, etwa bei einer systematischen Direktansprache in größerem Umfang.
Active Sourcing und Direktansprache
Beim Active Sourcing und bei der Direktansprache von Talenten ist ein besonders sorgfältiger Umgang mit personenbezogenen Daten erforderlich. In der Regel werden dabei öffentlich zugängliche Profildaten genutzt, um potenziell geeignete Kandidaten gezielt auf berufliche Möglichkeiten aufmerksam zu machen. Aus datenschutzrechtlicher Sicht ist darauf zu achten, dass die Ansprache einen erkennbaren beruflichen Bezug hat und transparent erfolgt.
Auch die Wahl des Kommunikationskanals sollte bewusst erfolgen. In der Praxis bietet es sich an, zunächst die hierfür vorgesehenen beruflichen Plattformen wie LinkedIn zu nutzen. Auf private Kommunikationskanäle wie WhatsApp sollte jedenfalls nicht ohne Weiteres ausgewichen werden.
Beim Erstkontakt werden dann die betroffenen Personen transparent informiert über:
- die Verarbeitung ihrer Daten gemäß Art. 14 DS-GVO
- den Verantwortlichen
- die Verarbeitungszwecke und die zugrunde liegende Rechtsgrundlage
- ihre Rechte als betroffene Person
- einen Link zur Datenschutzerklärung
Als Rechtsgrundlage dient Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse). Voraussetzung ist jedoch stets eine sorgfältige Interessenabwägung, bei der die Rechte und Freiheiten der betroffenen Personen angemessen berücksichtigt werden.
Darüber hinaus gilt:
- Kein Export von Profildaten in Drittstaaten ohne geeignete Garantien
- Verarbeitung der Daten ausschließlich zweckgebunden und nachvollziehbar
So wird Active Sourcing nicht nur effektiv, sondern auch vertrauenswürdig und rechtskonform umgesetzt.
Auch bei Bewerbungen über „Easy Apply“ (Funktion, die es Nutzern ermöglicht, sich mit wenigen Klicks auf LinkedIn für Jobs zu bewerben, indem Ihre Profildaten und hochgeladenen Lebensläufe genutzt werden) oder per Direktnachricht, steht der verantwortungsvolle Umgang mit personenbezogenen Daten im Mittelpunkt. Die Verarbeitung der Bewerbungsdaten erfolgt ausschließlich zur Durchführung des Bewerbungsverfahrens und auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO.
Bewerbende sollten frühzeitig und transparent über die Verarbeitung ihrer Daten informiert werden (z. B. Link zur Bewerber-Datenschutzerklärung). So ist jederzeit nachvollziehbar, welche Daten zu welchem Zweck verarbeitet werden.
Externe Headhunter und Recruiter
Bei der Zusammenarbeit mit externen Recruitern oder Headhuntern sollte besonderer Wert auf klar definierte Rollen und Verantwortlichkeiten gelegt werden. Es ist empfehlenswert, genau festzulegen, welche Aufgaben intern wahrgenommen werden und welche durch den Dienstleister erfolgen. In vielen Fällen handeln Headhunter als eigenständige Verantwortliche, sodass kein Auftragsverarbeitungsverhältnis besteht. Je nach konkreter Ausgestaltung der Zusammenarbeit kann jedoch auch eine gemeinsame Verantwortlichkeit in Betracht kommen, wenn beide Parteien gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden. Entsprechend sollte im Einzelfall geprüft werden, welches datenschutzrechtliche Rollenmodell zutrifft und vertraglich abgebildet werden muss.
Eine automatisierte Weiterleitung von Bewerbungen erfolgt nur nach sorgfältiger Prüfung. Zudem bestehen klare vertragliche Vereinbarungen, die die getrennte Verantwortung und die Einhaltung der datenschutzrechtlichen Vorgaben regeln. Die Weitergabe von Bewerberdaten an externe Partner erfolgt ausschließlich auf rechtlicher Grundlage und nur im notwendigen Umfang.
Wichtige Aspekte
Die Verarbeitung muss rechtmäßig, zweckgebunden und transparent erfolgen. Im Folgenden werden die wichtigsten Aspekte zusammengefasst, die beim Einsatz von LinkedIn für Bewerbungen aus datenschutzrechtlicher Sicht besonders relevant sind:
Informationspflichten (Art. 13, 14 DS-GVO)
- Bewerber müssen klar und verständlich informiert werden, dass ihre Daten über LinkedIn erhoben und verarbeitet werden.
- Folgende Informationen sind dabei Pflicht: Verantwortlicher (Unternehmen), Zwecke der Verarbeitung, Rechtsgrundlagen, Speicherdauer, Empfänger, Betroffenenrechte (Auskunft, Berichtigung, Löschung), Widerrufsrecht, Beschwerderecht.
- Bei Active Sourcing oder wenn Daten nicht direkt vom Bewerber stammen, ist zusätzlich Art. 14 DS-GVO zu beachten (Herkunft der Daten, Kategorien personenbezogener Daten).
- Die Informationsbereitstellung bei Jobanzeigen kann über einen Link zu den Datenschutzhinweisen erfolgen oder über eine direkt sichtbare Erklärung. Bei einer Direktansprache sollte die Datenschutzinformation spätestens bei der ersten Kontaktaufnahme zur Verfügung gestellt werden.
- In den Antworten per Mail sollte ein erneuter Hinweis auf die Datenschutzerklärung enthalten sein.
Speicherung und Löschung
Es gibt bzgl. der Löschung von Bewerbungsunterlagen und Bewerbungsprofilen keine Informationen von LinkedIn, ebenso wenig wie Erfahrungswerte. Nachfolgend werden deshalb die allgemein anerkannten Löschvorgaben näher erläutert:
- Bewerbungsdaten auf LinkedIn sollten nur so lange gespeichert werden, wie dies für den Bewerbungsprozess erforderlich ist.
- Es gibt keine festen gesetzlichen Aufbewahrungsfristen für Bewerbungsunterlagen. Sie setzen sich aus den Datenschutzprinzipien, dem AGG und dem BDSG zusammen. Die Speicherdauer von max. 3 bzw. 6 Monaten sind Richtwerte aus der Praxis. Nach Art. 15 Abs. 4 AGG sind Ansprüche innerhalb von zwei Monaten geltend zu machen und gem. § 61b ArbGG innerhalb von 3 Monaten einzuklagen. Um mögliche Verzögerungen mit einzuplanen, wird max. ein Monat als Puffer gewährt.
- In der Praxis ist bei einer Absage eine Frist von 6 Monaten üblich.
- Längere Aufbewahrungsmöglichkeiten sind bei Einwilligung des Bewerbers möglich (z. B. Initiativbewerbungen, Bewerberpool)
- Automatisch archivierte Bewerbungen, die nicht den Screening-Kriterien entsprechen, müssen nach Ablauf der festgelegten Frist gelöscht werden.
- Bewerber haben jederzeit das Recht auf Löschung ihrer Daten (Art. 17 DS-GVO).
- Backup-Daten sind ebenfalls in die Löschfristen einzubeziehen.
Automatisierte Entscheidungsfindung und Art. 22 DS-GVO
Bewerber werden über LinkedIn z. B. automatisch abgelehnt, wenn sie bestimmte Auswahlkriterien nicht erfüllen, die vorher vom Unternehmen in den Einstellungen von LinkedIn festgelegt wurden.
- Screening-Fragen, automatische Ablehnungen oder Standortfilter stellen eine automatisierte Entscheidung mit potenzieller rechtlicher Wirkung dar.
- Art. 22 DS-GVO verlangt, dass Bewerber durch eine Standardabsage nicht ausschließlich automatisiert abgelehnt werden, ohne dass ein menschlicher Eingriff möglich ist.
- Bedeutung für die Praxis: Unternehmen sollten sicherstellen, dass automatisierte Vorauswahlen nicht zu einer ausschließlich automatisierten Ablehnung ohne menschliche Kontrollmöglichkeit führen. Nach den LinkedIn-Hinweisen zu automatisierten Absagen wird eine Ablehnungsnachricht erst drei Kalendertage nach der Bewerbung versendet. Dieses Zeitfenster sollte genutzt werden, um eine dokumentierte menschliche Gegensicht zu ermöglichen und gegebenenfalls korrigierend einzugreifen, bevor eine Absage tatsächlich versandt wird.
- Die Bewerber sollten im Vorfeld transparent über die automatische Vorauswahl informiert werden.
Risiken und Compliance
- Voreingestellte Kriterien können qualifizierte Bewerber unbemerkt ausschließen, wodurch ein Risiko für Diskriminierung (AGG) und eine mangelnde Transparenz entsteht.
- Dokumentiert werden sollten insbesondere die eingesetzten Auswahlkriterien, die Konfiguration der Screening-Fragen und Filter, die zugrunde liegenden Entscheidungslogiken bzw. eingesetzten Systemversionen, der Datenfluss sowie die durchgeführten manuellen Prüfungen. So lässt sich nachvollziehen, wie automatisierte Vorauswahlen zustande gekommen sind und ob eine wirksame menschliche Kontrolle stattgefunden hat.
Handlungsempfehlungen
- Schulung von HR und Marketing: Sensibilisierung für eine datenschutzkonforme Ansprache von Kandidaten, Umgang mit Bewerberdaten und der Auswahl von Tools.
- Datenschutzhinweise: Die Datenschutzhinweise sollten bei jeder Jobanzeige bereits verlinkt sind.
- Screening-Tools: Automatisierte Screening-Ergebnisse sollten nur, als Empfehlung verwendet werden und die finale Entscheidung sollte durch eine manuelle Überprüfung erfolgen.
- Risikominimierung: Eine regelmäßige Überprüfung/Audit der Kriterien, Löschfristen und der Dokumentation der Bewerberkommunikation ist zu empfehlen, um Fehler und Risikoquellen zu erkennen.
Bei Fragen oder Hilfe zur Risikominimierung kontaktieren Sie uns gerne über das Kontaktformular: https://www.audatis.de/kontakt. Wir beraten sie gern.
Fazit
Die Nutzung von LinkedIn im Bewerbungsprozess bietet Unternehmen viele Chancen, Talente effizient zu identifizieren und anzusprechen. Gleichzeitig bringt sie besondere datenschutzrechtliche Anforderungen mit sich. Transparenz, klar definierte Zuständigkeiten und eine sorgfältige Dokumentation sind dabei zentrale Aspekte.
Unternehmen sollten insbesondere darauf achten, dass Bewerbungen rechtmäßig, zweckgebunden und nachvollziehbar verarbeitet werden. Active Sourcing, Direktansprache, „Easy Apply“-Bewerbungen und die Zusammenarbeit mit externen Recruitern müssen stets datenschutzkonform gestaltet sein, inklusive entsprechender Informationspflichten, Löschkonzepte und der Wahrung von Betroffenenrechten.
Automatisierte Verfahren wie Screening-Fragen oder Filter können hilfreich sein, bergen aber Risiken hinsichtlich Diskriminierung und Transparenz, die durch menschliche Kontrolle und klare Kommunikation minimiert werden müssen.
Insgesamt gilt: Ein strukturierter, datenschutzkonformer Umgang mit Bewerberdaten schafft Vertrauen bei Kandidaten, reduziert rechtliche Risiken und unterstützt eine faire, transparente Personalauswahl.
