1. Aktuelle Entwicklungen im Beschäftigtendatenschutz

Das Urteil des Europäischen Gerichtshofs (EuGH) vom 30. März 2023 (Rechtssache C-34/21) hat Zweifel an der Konformität des § 26 Abs. 1 Satz 1 BDSG hinsichtlich der Datenverarbeitung im Beschäftigtenkontext aufgeworfen. Der HmbBfDI empfiehlt daher eine erneute Prüfung der Rechtsgrundlagen. Trotz des Urteils sind Datenverarbeitungsvorgänge im Beschäftigtenkontext nicht ohne Rechtsgrundlage. Gemäß Art. 288 AEUV gilt die DSGVO als EU-Verordnung und somit weiterhin Art. 6 Abs. 1 lit. b DSGVO unmittelbar in allen Mitgliedstaaten als Rechtsgrundlage für die Verarbeitung personenbezogener Daten zur Erfüllung eines Arbeitsvertrages.

2. Grundsätze der DSGVO

Die Verarbeitung personenbezogener Daten im Bewerbungsprozess unterliegt, wie jede Verarbeitung personenbezogener Daten, den Grundsätzen der Datenschutz-Grundverordnung (DSGVO). Neben der allgemeinen Verpflichtung zur Einhaltung der datenschutzrechtlichen Grundsätze gemäß Art. 5 DSGVO hebt der HmbBfDI insbesondere die Bedeutung der Informationspflichten nach Art. 13 und 14 DSGVO hervor. Diese werden laut HmbBfDI häufig vernachlässigt, sodass sich Bewerber:innen oft unzureichend oder gar nicht informiert fühlen (s. Positionspapier, S. 2, Nr. 2).

3. Phasen im Recruiting- und Beschäftigungs-Prozess

Mit Hilfe eines Schaubildes (Positionspapier, S. 5) zeigt der HmbBfDI, dass der Rekrutierungsprozess sich in verschiedene Phasen unterteilen lässt, die von der Erstansprache potenzieller Kandidat:innen (Kaltakquise), bis hin zur Entscheidung für (Auswahl) oder gegen (Ablehnung) einzelne Bewerber:innen reichen. Dieser Abschnitt lässt sich als Teil eines Gesamtprozesses (vom Bewerbungsverfahren, über Einstellung, Durchführung bis hin zur Beendigung eines Arbeitsverhältnisses) darstellen.

Das Schaubild und die Phasenaufteilung durch die Aufsichtsbehörde verdeutlichen, dass der Bewerbungsprozess nicht allgemein beurteilt werden kann. Die Rechtmäßigkeit der Datenverarbeitung, insbesondere die Einhaltung der datenschutzrechtlichen Grundsätze und das Vorhandensein einer Rechtsgrundlage, muss für jeden einzelnen Verarbeitungsschritt separat geprüft und bewertet werden.

4. Talentpools – Aufnahme nur mit Einwilligung

Es gilt mittlerweile als rechtlich gesicherte Auffassung, dass für die Aufnahme von Bewerber: innen in einen Talentpool eine rechtskonforme Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO erforderlich ist. Der HmbBfDI betont zudem, dass eine einmal erteilte Einwilligung nicht unbegrenzt gilt und die Bewerberdaten nur für einen angemessenen Zeitraum gespeichert werden dürfen. Der angemessene Zeitraum sollte dabei unter Berücksichtigung der branchenüblichen Anforderungen festgelegt werden, was Speicherfristen von mehreren Monaten bis hin zu Jahren in Einzelfällen rechtfertigen kann. Nach Ablauf dieser Frist kann erneut um die Einwilligung gebeten werden, und wenn keine Antwort erfolgt, müssen die Daten umgehend gelöscht werden.

5. Background-Checks orientieren sich am Fragerecht im Bewerbungsgespräch

Der HmbBfDI widmet sich zudem dem Fragerecht und Background-Checks. Es wird betont, dass Informationen, die über das zulässige Fragerecht im Bewerbungsgespräch hinausgehen, möglicherweise nicht berücksichtigt werden dürfen. Beispiele hierfür sind etwa eine Schwangerschaft oder die politische Zugehörigkeit.

Bei der Recherche von Bewerbenden in sozialen Medien sollten Arbeitgeber zwischen beruflichen und privaten Netzwerken unterscheiden. Während die Prüfung von privaten sozialen Medien grundsätzlich unzulässig ist, kann die Berücksichtigung von Profilen in beruflichen sozialen Medien grundsätzlich erlaubt sein. Vergleichbar hierzu hatte sich bereits das Bayerische Landesamt für Datenschutzaufsicht in seinen Tätigkeitsberichten 2017/2018 (Seite 88) und 2019 (Seite 47) geäußert.

6. KI-Anwendungen

Zuletzt thematisiert der HmbBfDI die Nutzung von KI im Bewerbungsprozess und beleuchtet praxisnahe Anwendungsfälle:

Lebenslaufparser:

Automatisiertes Auslesen von Bewerbungen und Übertragung der Daten in ein Bewerbungsmanagementsystem wird als grundsätzlich zulässig angesehen, sofern neben den übrigen datenschutzrechtlichen Anforderungen insbesondere die Datenrichtigkeit gewährleistet ist. Weiterführende Analysen unterliegen den Anforderungen des Art. 22 DSGVO. Zu berücksichtigen seien zudem die Auswirkungen des Urteils des Europäischen Gerichtshofs (EuGH) zur Schufa vom 07.12.2023 zu berücksichtigen. Nach Art. 22 Abs. 1 DSGVO und dem EuGH-Urteil dürfen Entscheidungen mit rechtlicher Wirkung grundsätzlich nur von Menschen getroffen werden. KI-Vorschläge, die solche Auswirkungen auf Betroffene haben, müssen so konzipiert sein, dass die entscheidende Person tatsächlich eigenständig entscheiden kann und nicht primär auf den KI-Vorschlag angewiesen ist. Eine rein formelle Einbindung eines Menschen reicht hierbei nicht aus.

Emotionsanalysen:

Diese sind im Bewerbungsverfahren grundsätzlich unzulässig, da weder die Erforderlichkeit solcher Analysen noch die Möglichkeit einer freiwilligen Einwilligung gegeben ist. Zudem handelt es sich potenziell um die Verarbeitung biometrischer Daten, wie das „Positionspapier zur biometrischen Analyse“ (2019) betont.

LLM-Chatbots:

Der HmbBfDI verweist auf eine Ende 2023 veröffentlichte Checkliste zur Nutzung von LLM-Lösungen, ohne jedoch detailliert auf rechtliche Bewertungen einzugehen.

Fazit:

Bewerberdatenschutz und Recruiting bleibt ungeachtet der aktuellen rechtlichen Entwicklungen auch weiterhin im Fokus der Aufsichtsbehörden. Neben datenschutzrechtlichen Dauerbrennern im Bereich des Recruitings, welche u.a. auch bereits durch das Bayerische Landesamt für Datenschutzaufsicht Gegenstand einer flächendeckenden Überprüfung waren, rücken Herausforderungen der Künstlichen Intelligenz zunehmend auch hier in den Vordergrund. Dies insbesondere vor dem Hintergrund, dass der Einsatz derartiger Systeme im Recruiting-Bereich nach Art. 6 Abs. 2 i.V.m. Anhang III Nr. 4 der KI-VO oftmals als Betrieb eines Hochrisiko-KI-Systems zu bewerten ist, welcher neben der unabhängig geltenden KI-Verordnung gesondert datenschutzrechtlich zu beurteilen ist. Eine weitere Unterstützung bietet hierfür u.a. auch die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden „Künstliche Intelligenz und Datenschutz“.