Unter,,Pre-Employment Screenings“ (nachfolgend PES) oder auch umgangssprachlich „Backgroundchecks“ wird die Überprüfung der Identität, Vita und des Umfelds eines Bewerbers durch den Arbeitgeber vor einer möglichen Anstellung bezeichnet. PES dienen dem Arbeitgeber gerade dazu, mögliche Risiken in der Person des Bewerbers für das Unternehmen vorzubeugen. Die PES können mitunter Recherchen in sozialen Medien oder die Abfrage verschiedener Datenbanken nach Straftaten oder Einträgen auf Sanktionslisten umfassen.
In diesem Zusammenhang stellt sich daher die Frage, inwiefern PES unter der Datenschutzgrundverordnung zulässig sind. Als Rechtsgrundlage für die Durchführung von PES kommen Art. 6 Abs. 1 lit. c DSGVO und Art. 88 Abs. 1 S. 1 DSGVO i.V.m. § 26 Abs. 1 S. 1 BDSG in Betracht. Bewerber sind gemäß § 26 Abs. 8 S. 2 BDSG Beschäftigte iSd § 26 Abs. 1 S. 1 BDSG.
Pre Employment Screenings aufgrund einer rechtlichen Verpflichtung
Eine Datenverarbeitung kann über Art. 6 Abs. 1 lit. c DSGVO gerechtfertigt werden, soweit sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist. Sofern es sich bei dem Screening um eine Pflicht des Unternehmens handelt, kann der Abgleich daher auf diese Rechtsvorschrift gestützt werden. Hierbei ist zu beachten, dass das jeweilige Gesetz, auf welches sich das Unternehmen stützt, eine proaktive Pflicht zum Screening von personenbezogenen Daten vorsehen muss.
Pre Employment Screenings aufgrund der Erforderlichkeit für die Begründung eines Beschäftigungsverhältnisses
Für die Zulässigkeit der Datenverarbeitung nach Art. 88 Abs. 1 S. 1 DSGVO i.V.m. § 26 Abs. 1 S. 1 BDSG ist entscheidend, dass die Datenerhebung für die Begründung des Beschäftigungsverhältnisses erforderlich ist. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten miteinander abzuwägen. Voraussetzung ist, dass der Arbeitgeber ein berechtigtes und schutzwürdiges Interesse an der Erhebung haben muss. Die Reichweite des Datenerhebungsinteresses des Arbeitgebers ist an der jeweils konkret zu besetzenden Stelle zu messen, wobei eine Pauschalierung der Anforderungen unzulässig ist
Darüber hinaus dürfen keine personenbezogenen Daten verarbeitet werden, die für das Beschäftigungsverhältnis nicht erforderlich sind. Arbeitgeber dürfen daher Informationen, die vom Fragerecht nicht erfasst sind, auch nicht über allgemein zugängliche Quellen beschaffen. Anders ist dies – so die Ansicht des LfDI Baden-Württemberg – nur bei Online-Diensten wie den beruflichen Netzwerken XING oder LinkedIn, die Beschäftigte zur Selbstdarstellung nutzen. Sie lassen ausnahmsweise das schutzwürdige Interesse des Bewerbers hinter dem Interesse des potenziellen Arbeitgebers an einer Datenerhebung ohne Mitwirkung des Beschäftigten zurückstehen.
Recherchen in sozialen Netzwerken wie Facebook oder Twitter stellen sich hingegen als datenschutzrechtlich unzulässig dar. Der Betroffene wird in seinem Persönlichkeitsrecht verletzt, wenn Daten verarbeitet werden, die er in einem sozialen Netzwerk einstellt und die ausschließlich nur für private Nutzer zugänglich gemacht wurden. (So auch die Aufsichtsbehörde Baden-Württemberg – siehe hier).
Für die Erforderlichkeit einer solchen Datenverarbeitung kommt es auf das Risiko für den Arbeitgeber an. Grundsätzlich stehen Arbeitgebern genügend andere Möglichkeiten (bspw. Vorstellungsgespräch, Nachweis von Unterlagen im Original, AssessmentCenter) zur Verfügung, um die richtige Personalentscheidung zu treffen. Bei Positionen, in denen Beschäftigte einen hohen Schaden anrichten können, ist ein PES als vertretbar anzusehen.
Die Grundvoraussetzung ist aber in jedem Fall die Gewährleistung von Transparenz und Verhältnismäßigkeit. In den engen Grenzen des arbeitsrechtlichen Fragerechts ist ein PES wohl auch unter Geltung der DSGVO mit guten Argumenten als erforderlich i.S.v. § 26 Abs. 1 S. 1 BDSG und damit als zulässig anzusehen.
Die Durchführung eines PES setzt daher intensive Vorarbeit des Unternehmens in Form einer Risikoeinstufung spezifischer Stellen voraus, um hieraus abzuleiten, welche Daten vom Bewerber berechtigterweise erfragt werden dürfen, bzw. welche Detailtiefe ein PES haben darf.
Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage
PES sollten auch nicht auf die Einwilligung des Bewerbers als Legitimationsgrundlage gestützt werden. Die besondere Situation des Bewerbers wird in der Regel dazu führen, dass die von Art. 7 Abs. 4 DSGVO i.V.m. § 26 Abs. 2 BDSG geforderte Freiwilligkeit verneint werden muss (vgl. hier).
Für die Beurteilung der Freiwilligkeit ist die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person zu berücksichtigen. Anderes kann wohl nur schwer für die Bewerbersituation gelten, in der ein ähnliches Ungleichgewicht besteht. Da ein Bewerber, der einem PES nicht zustimmt, möglicherweise im Auswahlverfahren benachteiligt wird, kann nur in seltenen Situationen von einer echten Freiwilligkeit ausgegangen werden. (So auch die Aufsichtsbehörde Baden-Württemberg – vgl. hier).
Unsere Empfehlungen:
Vor Durchführung eines PES ist daher streng zu prüfen, ob auch tatsächlich eine Legitimationsgrundlagevorliegt. Entscheidet man sich sodann für die Durchführung von PES so sind die Bewerber noch bevor sie sich an dem Einstellungsverfahren beteiligen, hierüber zu informieren (siehe hierzu: Art. 29-Datenschutzgruppe, WP 249 v. 8.6.2017, Opinion 2/2017 on data processing at work, S. 11). Da im Rahmen von PES personenbezogene Daten gerade nicht direkt bei dem Bewerber selbst erhoben werden, müssen Unternehmen nicht nur der Informationspflicht aus Art. 13 DSGVO, sondern auch der weitreichenderen Informationspflicht aus Art. 14 DSGVO nachkommen.