Mit der fortschreitenden Digitalisierung und dem vermehrten Einsatz von Künstlicher Intelligenz (KI) im Bewerbungsprozess gewinnt der Schutz personenbezogener Daten zunehmend an Bedeutung. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) legt dabei besonderen Wert auf den Bewerberdatenschutz und hat deshalb einen Leitfaden verfasst, welchen wir nachfolgend zusammenfassen möchten:
Wichtige Grundlagen und aktuelle Entwicklungen
Im Personalbereich ist der Einsatz von KI bereits etabliert und wird in Zukunft weiter zunehmen. Daher müssen klare Datenschutzgrenzen eingehalten werden. Gemäß § 26 Abs. 8 S. 2 BDSG gelten Bewerbende im Datenschutzrecht als Beschäftigte und haben vergleichbare Rechte wie Mitarbeitende.
Am 30. März 2023 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-34/21 ein Urteil gefällt, das Zweifel an der Anwendbarkeit des § 26 Abs. 1 Satz 1 BDSG aufwirft (wobei Art. 6 Abs. 1 lit. b DSGVO weiterhin anwendbar bleibt). Dieses Urteil gibt den Bestrebungen für ein eigenständiges Beschäftigtendatenschutzgesetz neuen Schwung.
Grundsätze der DSGVO
Die Verarbeitung von Bewerberdaten muss den Grundsätzen nach Art. 5 DSGVO, u.a. der Grundsatz der Rechtmäßigkeit und Verarbeitung nach Treu und Glauben, Zweckbindung und Datenminimierung entsprechen. Die Informationspflichten nach Art. 13 und 14 DSGVO sind zu beachten. Gerade darauf weist das HmbBfDI explizit hin, da nach dessen Auffassung Bewerbende oft gar nicht, oder nur unzureichend informiert werden.
Recruiting und Anglizismen
Unternehmen verwenden häufig Anglizismen wie Recruiting, Active Sourcing und Talent Management, die unterschiedlich interpretiert werden können. Einheitliche Definitionen und klare Kommunikation sind daher essenziell. Im Leitfaden definiert der HmbBfDI (Bewerberdatenschutz und Recruiting im Fokus, Stand 06.06.2024, S. 3) die Begriffe wie folgt:
„Recruiting bezeichnet eine Personalbeschaffung oder Personalvermittlung, umfasst alle Aktivitäten, die darauf abzielen vakante Stellen zu besetzen. Mitumfasst sind Stellenanzeigen, Veröffentlichungen, Vorstellungsgespräche, Vertragsunterzeichnungen und Onboarding-Prozesse.
Headhunter/Talentscouts: Headhunting bezeichnet die Suche nach Fach- und Führungskräften auf Erfolgsbasis, oftmals im Auftragsverhältnis und insbesondere unter Nutzung von Sozialen Medien und Business-Plattformen.
Active Sourcing bezeichnet eine aktive Personalbeschaffung, also Maßnahmen eines Unternehmens, um proaktiv potenzielle Bewerber:innen zu identifizieren. Erreicht werden sollen insbesondere auch Kandidat:innen, die nicht aktiv nach einem Job suchen.
Background-Checks/Pre-Employment-Checks sind auch bekannt als Bewerber:innenScreening/Überprüfung von Kandidat:innen. Es handelt sich um Überprüfungen, die Arbeitgeber:innen durchführen, um die Angaben und Hintergründe der Kandidat:innen vor der Einstellung zu verifizieren, bei Dritten oder über Internetrecherchen. Nicht umfasst sind Sicherheitsüberprüfungen der Mitarbeiter:innen nach einschlägigen Sicherheitsüberprüfungsgesetzen (z.B.zum Beispiel SÜG und LuftSiG).
Ein Talentpool ist eine Datenbank oder Online-Plattform, die Profile von Bewerber:innen, Mitarbeiter:innen, Freiberufler:innen oder anderen externen Kontakten enthält, welche für eine Stellenbesetzung in Betracht kommen.
Die Begriffe CV Parsing/Resume Parsing bezeichnen das automatisierte Auslesen von Bewerbungen (insbesondere Anschreiben und Lebenslauf). Die ausgelesenen Daten werden sodann ebenfalls automatisch in ein Bewerbungsmanagementsystem (BMS) überführt.wobei die Daten automatisch in ein Bewerbungsmanagementsystem übertragen werden.“
Phasen im Recruiting-Prozess
Der Recruiting-Prozess umfasst mehrere Phasen von der Kaltakquise bis zur finalen Entscheidung. Jede Phase bringt spezifische Aktivitäten und rechtliche Anforderungen mit sich. Verantwortliche sollten eine Übersicht erstellen, um die Verarbeitungsvorgänge korrekt rechtlich zu bewerten und den Anforderungen des Art. 30 Abs. 1 DSGVO gerecht zu werden. Insbesondere müssen die Datenverarbeitungen zur Begründung eines Beschäftigungsverhältnisses für die betroffene Phase nach Art. 6 Abs. 1 lit. b DSGVO erforderlich sein.
Darüber hinaus ging der HmbBfDI explizit auf folgende Prozesse innerhalb eines Recruitingprozesses ein:
1. Talentpools
Die Aufnahme von Bewerbenden in Talentpools ist grundsätzlich zulässig, jedoch nur mit der ausdrücklichen Einwilligung der betroffenen Personen. Diese Einwilligung muss freiwillig erfolgen und alle relevanten Informationen umfassen. Dies bedeutet, dass Bewerbende genau darüber nach Art. 13 DSGVO informiert werden müssen, wie ihre Daten verwendet werden. Die Einwilligungen müssen regelmäßig überprüft und erneuert werden. Eine unbegrenzte Speicherung der Daten ohne erneute Einwilligung ist nicht zulässig. Löschfristen sind zu definieren.
2. Background-Checks
Informationen über Bewerbende sollten grundsätzlich direkt von diesen eingeholt werden. Die traditionellen Methoden, wie Bewerbungsgespräche, Assessment-Center, Qualifikationsnachweise oder Arbeitszeugnisse, sollten normalerweise ausreichend sein.
Der Bedarf, zusätzliche Informationen über Bewerbende zu erlangen, muss in datenschutzrechtlichen Grenzen erfolgen. Dies schließt die Einhaltung der Informationspflichten gemäß Art. 14 DSGVO ein, wenn Informationen von Dritten eingeholt werden.
Informationen, die über das Fragerecht im Bewerbungsgespräch hinausgehen (z.B. Schwangerschaft, Gesundheitsdaten, politische Zugehörigkeit), dürfen in der Regel nicht berücksichtigt werden. Darüber hinaus gilt, dass bei der Internetrecherche zwischen beruflichen und privaten Netzwerken unterschieden werden muss. Private Netzwerke dürfen nicht für Background-Checks verwendet werden. Auch in beruflichen Netzwerken müssen private Informationen beachtet werden. Der Zweck der Informationspreisgabe entscheidet über die Verwertbarkeit der gefundenen Informationen.
3. KI-Anwendungen im Bewerbungsprozess
KI bietet zahlreiche Automatisierungsmöglichkeiten, bringt jedoch auch datenschutzrechtliche Herausforderungen mit sich. Zusammenfassend lässt sich sagen:
- Lebenslaufparser: Grundsätzlich zulässig, wenn personenbezogene Daten ausgelesen und strukturiert in Systeme übertragen werden. Dabei ist die Datenrichtigkeit und die Einhaltung des Art. 22 DSGVO zu gewährleisten. Soweit Analysen darüber hinaus erfolgen, sollte der Prozess aber datenschutzrechtlich betrachtet werden, da Entscheidungen mit Rechtswirkung nur von Menschen getroffen werden dürfen.
- Emotionsanalysen: Diese Analysen sollen emotionale Zustände und Reaktionen von Bewerbenden bewerten. Sie sind im Bewerbungsverfahren problematisch und meist unzulässig, da sie in der Regel nicht erforderlich sind und die Freiwilligkeit der Einwilligung fraglich ist. Emotionsanalysen könnten zudem als Verarbeitung biometrischer Daten gelten, was zusätzliche rechtliche Anforderungen mit sich bringt.
- LLM-Chatbots: KI-basierte Chatbots können im Bewerbungsprozess zum Einsatz kommen, soweit sie insbesondere zum Versand von Einladungen oder Absagen sowie zur Beantwortung von FAQ verwendet werden. Eine vollständige Auswahlentscheidung darf unter Einhaltung des Art. 22 DGSVO aber nicht erfolgen.
Fazit
Unternehmen müssen im Bewerbungsprozess datenschutzrechtliche Vorgaben sorgfältig einhalten. Dies umfasst die korrekte Behandlung sensibler Daten, die transparente Kommunikation und die rechtliche Bewertung aller Phasen des Recruiting-Prozesses. Die zunehmende Digitalisierung und der Einsatz von KI stellen dabei besondere Herausforderungen dar, die durch klare Richtlinien und eine umfassende Datenschutzstrategie gemeistert werden können.