Positionspapier des HmbBfDI zum Bewerberdatenschutz

Am 6. Juni 2024 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Positionspapier zum Thema „Bewerberdatenschutz und Recruiting im Fokus“ veröffentlicht. Wenig überraschend begründet der HmbBfDI die Erarbeitung der Stellungnahme mit der zunehmend digitalisierten Welt, in der der Schutz personenbezogener Daten im Bewerbungsprozess, insbesondere durch den Einsatz von künstlicher Intelligenz, immer mehr an Bedeutung gewinnt.

Ein Überblick zu den vom HmbBfDI aufgegriffenen Themen

Das Positionspapier beschäftigte sich zunächst mit den aktuellen Entwicklungen im Bereich des Beschäftigtendatenschutzes und geht hierbei auf das Urteil des Europäischen Gerichtshofs vom 30.03.2023 (Az. C-34/21) ein. Weiterhin definiert der HmbBfDI für seine Stellungnahme die zunehmend verwendeten Anglizismen, wie Recruiting oder Active Sourcing, und geht im Folgenden auf die datenschutzrechtlichen Anforderungen der einzelnen Phasen eines Bewerbungsprozesses ein. Zuletzt wird in dem Positionspapier auf die Anwendung von Künstlicher Intelligenz (KI) eingegangen, indem einzelne Anwendungsfälle in den Blick genommen werden. Im Einzelnen:

Rechtliche Entwicklungen im Beschäftigtendatendatenschutz

Zunächst geht der HmbBfDI auf die „aktuellen“ Entwicklungen im Bereich des Beschäftigtendatenschutzes ein. Bereits im März 2023 veröffentlichte der EuGH ein Urteil (Az. C-34/21), das Zweifel an der unionsrechtlichen Rechtmäßigkeit der im Beschäftigtendatenschutz zentralen Norm des § 26 Abs. 1 Satz 1 BDSG aufwarf. Dieses Urteil stärkte die politischen Bestrebungen, neben dem Bundesdatenschutzgesetz ein gesondertes Gesetz zum Beschäftigtendatenschutz zu entwerfen. Zu Beginn des Jahres legten die gemeinsam erarbeitenden Stellen des Bundesministeriums für Arbeit und Soziales sowie das Bundesministerium für Inneres und für Heimat einen Vorschlag für ein solches eigenes Gesetz vor.

Der HmbBfDI nimmt dabei keine Wertung des Vorschlags vor, sondern verweist lediglich auf das Vorliegen des Vorschlags. Auch werden keine zeitlichen Erwartungen für das Einbringen des Gesetzesvorschlages in den Bundestag genannt.

Grundsätze und Definitionen der DSGVO sind zu beachten

Bei der Verarbeitung von personenbezogenen Daten sind die Grundsätze der Datenschutz-Grundverordnung einzuhalten – dies gilt selbstverständlich auch im Bewerbungsprozess. Neben dem eher allgemeinen Hinweis darauf, dass die datenschutzrechtlichen Grundsätze des Art. 5 DSGVO eingehalten werden müssen, zeigt sich, dass der HmbBfDI im Recruiting-Prozess ein Augenmerk auf die Informationspflichten gem. Art. 13 und 14 DSGVO legt, da diese nach den Ausführungen des HmbBfDI

„häufig vernachlässigt werden oder Bewerber:innen sich unzureichend oder gar nicht informiert fühlen.“ (Positionspapier S. 2, Nr. 2)

Wie die Aufsichtsbehörde richtigerweise herausstellt, werden in den Unternehmen zunehmend Anglizismen verwendet – insbesondere auch im Bereich des Bewerbermanagements. Hilfreich zum Erfassen der Stellungnahmen ist es daher, dass die Aufsichtsbehörde ausführt, welche Bedeutung die Wörter Recruiting, Headhunter / Talentscouts, Active Sourcing, Background-Checks / Pre-Employment-Checks, Talentpool und CV Parsing / Resume Parsing im Rahmen des Positionspapiers haben sollen.

Die 4 Phasen im Bewerbungsprozess eines Unternehmens

Mit Hilfe eines Schaubildes (Positionspapier, S. 5 Abb. 1) zeigt der HmbBfDI die Phasen eines Recruiting-Prozesses auf. Dieser ist in vier Phasen aufgeteilt:

• Phase 1: Erstkontakte vor der Bewerbung
  Ein solcher Erstkontakt ist möglich aufgrund von Active oder Open Sourcing, beispielsweise durch eine Kaltakquise, aufgrund von der Bewerber:innensuche über Stellenaufschreibungen oder auch aufgrund von der Erstellung von Leads.
• Phase 2: Bewerbungsverfahren
  Die zweite Phase umfasst die Verarbeitung von Daten durch ein Assessment Center, durch Bewerbungsinterviews oder ganz allgemein die Verarbeitung durch den oder die Personaler:in.
• Phase 3: Anstellungsverhältnis
  Im Schaubild umfasst die Anstellungsphase alle Verarbeitungen von personenbezogenen Daten, die zu einer Einstellung und Beschäftigung dazugehören, beispielsweise das Erstellen einer Personalakte.
• Phase 4: Beendigung
  Die Beendigung des Anstellungsverhältnisses wird als eigene Phase aufgeführt. Dies erscheint sinnvoll, denn sie bringt eine Vielzahl von datenschutzrechtlichen Fragen wie die Löschung bzw. notwendige weitere Speicherung von Daten mit sich.

Das Schaubild und die Unterteilung in Phasen durch die Aufsichtsbehörde stellt heraus, dass der Bewerbungsprozess nicht pauschal betrachtet werden kann. Die Rechtmäßigkeit der Datenverarbeitung, insbesondere die Einhaltung der datenschutzrechtlichen Grundsätze und das Vorliegen einer Rechtsgrundlage, muss in jedem einzelnen Schritt gesondert betrachtet und geprüft werden.

Aufnahme von Bewerbenden in Talentpools

Es kann als juristisch gefestigte Meinung eingestuft werden, denn neben anderen Aufsichtsbehörden der Republik stellt nun auch die Hamburgische Aufsichtsbehörde klar, dass für die Aufnahme von Bewerber:innen in einen Talentpool eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO notwendig ist. Des Weiteren stellt der HmbBfDI heraus, dass eine solche von dem Bewerbenden eingeholte Einwilligung keine unbegrenzte Gültigkeit hat, sondern die Bewerbungsdaten nur für einen angemessenen Zeitraum gespeichert werden dürfen. Hinsichtlich der Frage, wie der angemessene Zeitraum zu bestimmen ist, wird ausgeführt, dass die branchenüblichen Anforderungen zu beachten sind. Eine Speicherfrist von mehreren Monaten bis hin zu mehreren Jahren ist in Einzelfällen also denkbar. Nach Ablauf der Frist ist es, nach dem HmbBfDI, erneut möglich, um die Einwilligung zu bitten. Bei ausbleibender Rückmeldung sind die Daten jedoch umgehend zu löschen.

Sind Backgroundchecks zulässig?

Im Weiteren widmet sich die Aufsichtsbehörde den Background-Checks, die sie zuvor definiert haben

„als Überprüfungen, die Arbeitgeber:innen durchführen, um die Angaben und Hintergründe der Kandidat:innen vor der Einstellung zu verifizieren, bei Dritten oder über Internetrecherchen. Nicht umfasst sind Sicherheitsüberprüfungen der Mitarbeiter:innen nach einschlägigen Sicherheitsüberprüfungsgesetzen.“

Im Positionspapier wird daran erinnert, dass Informationen, die über das Fragerecht im Bewerbungsgespräch hinausgehen, unter Umständen unberücksichtigt bleiben müssen. Bekannte Beispiele hierfür sind eine bestehende Schwangerschaft oder auch die politische Zugehörigkeit.

Bei der Recherche zu Bewerbenden in sozialen Medien sollen die Arbeitgebenden zwischen beruflichen und privaten Netzwerken unterscheiden. Während Überprüfung auf privaten sozialen Medien grundsätzlich unzulässig sind, ist die Berücksichtigung von Profilen in beruflichen sozialen Medien grundsätzlich denkbar.

Nutzung von KI im Bewerbungsprozess

Zuletzt geht der HmbBfDI auf die Nutzung von KI in den einzelnen Schritten eines Bewerbungsprozesses ein und greift dabei einzelne, praxisnahe Anwendungsfälle heraus.

Einer dieser Anwendungsfälle ist das CV Parsing, dass in dem Positionspapier als automatisiertes Auslesen von Bewerbungen definiert wird, wobei die ausgelesenen Daten sodann ebenfalls automatisch in ein Bewerbungsmanagementsystem überführt werden. Nach Ansicht des HmbBfDI ist ein solches Vorgehen grundsätzlich zulässig, sofern der Grundsatz der Datenrichtigkeit sichergestellt ist. Über das CV-Parsing hinausgehende Analysen zu den Bewerbenden müssen sich in der Regel zusätzlich an den Anforderungen des Art. 22 DSGVO messen lassen. Hervorgehoben wird zudem, dass nach dem sogenannten Schufa-Urteil des EuGH Entscheidungen mit Rechtswirkung nur von einem Menschen getroffen werden dürfen. Vorschläge einer KI, beispielsweise zur Auswahl eines Bewerbenden, müssen so ausgestaltet sein, dass nicht bloß eine formelle menschliche Beteiligung gegeben ist.

Auf der vorletzten Seite des Positionspapieres geht der HmbBfDI auf Emotionsanalysen im Bewerbungsverfahren ein und erklärt diese – wenig überraschend – für grundsätzlich unzulässig. Dies wird mit der fehlenden Erforderlichkeit einer Analyse von Mimik und Gestik, Sprach- oder Tonfall ebenso wie mit Zweifel an der Möglichkeit einer freiwilligen Einwilligung in eine solche im Bewerbungsverfahren begründet. Die Aufsichtsbehörde weist zudem darauf hin, dass es sich bei einer Emotionsanalyse um die Auswertung von biometrischen Daten handeln kann und verweist auf das „Positionspapier zur biometrischen Analyse“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 03.04.2019.

Erneut, aber an dieser Stelle ohne tiefergehende rechtliche Bewertung, äußert sich der HmbBfDI zu LLM-Chatbots und verweist diesbezüglich unter anderem auf seine Ende des Jahres 2023 veröffentlichte Checkliste zum Einsatz von LLM-Lösungen.

Was können wir aus dem Positionspapier mitnehmen?

Neben den sonstigen datenschutzrechtlichen Dauerbrennern im Bereich des Recruiting, derer sich die Hamburgische Datenschutzaufsicht annimmt, ist derzeit besonders interessant, in welcher Form und mit welchem Ergebnis sich die Aufsichtsbehörden zu dem Thema der Stunde – der Künstlichen Intelligenz – äußern. Auch wenn eine tiefgehende Analyse der Anwendungsbeispiele in Bezug auf die Verwendung von Künstlicher Intelligenz im Bewerbungsverfahren hier nicht erfolgt ist, bildet die Stellungnahme des HmbBfDI neben der Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. Mai 2024 „Künstliche Intelligenz und Datenschutz“ einen weiteren Anhaltspunkt für den Umgang der Aufsichtsbehörden mit dem Einsatz von Künstlicher Intelligenz in Bezug auf den Datenschutz.