Peter Kiesgen, Dr. iur. Jan Grawe
Rz. 120
Bereits im Juni 2009 hat eine Umfrage bei 500 Unternehmen ergeben, dass fast 30 % der befragten Unternehmen Internetrecherchen zur Bewerberüberprüfung nutzen, und zwar um so intensiver, je größer das Unternehmen ist. Dieser Wert dürfte sich in der Zwischenzeit noch gesteigert haben. Dabei wird u.a. auch auf Daten aus sozialen Netzwerken zurückgegriffen.
Die AGB freizeitorientierter Netzwerke (z.B. Facebook) untersagen durchweg die Nutzung personenbezogener Daten zu kommerziellen Zwecken. Anders stellt sich die Lage bei berufsorientierten Netzwerken dar (z.B. XING oder LinkedIn), deren Zweck gerade in der beschäftigungsbezogenen Selbstdarstellung und in der Anbahnung beruflicher und geschäftlicher Kontakte besteht. Ist der Arbeitgeber selbst Mitglied des Netzwerks, so hat er in der Regel einen erweiterten Datenzugriff.
Rz. 121
Der im Internet recherchierende Arbeitgeber unterliegt den Vorschriften des BDSG und der DSGVO. Diese sind als Verbot mit Erlaubnisvorbehalt ausgestaltet, sodass der Arbeitgeber eine gesetzliche Erlaubnis oder eine ausdrückliche Einwilligung des Bewerbers benötigt. An Letztere sind jedoch hohe Anforderungen nach den 26 Abs. 2 BDSG i.V.m. Art. 7 Abs. 3 DSGVO zu stellen.
Geht die Kandidatensuche vom Arbeitgeber aus, kommt zunächst Art. 6 Abs. 1f) DSGVO als gesetzliche Erlaubnisnorm in Betracht. Diese ist regelmäßig in Verbindung mit Art. 9 Abs. 2e) DSGVO anzuwenden, wonach ein Datenzugriff grundsätzlich erfolgen kann, wenn der Arbeitgeber ein berechtigtes Interesse vorweisen kann und kein entgegenstehendes, überwiegendes Interesse des Arbeitnehmers besteht. Art. 9 Abs. 2e) DSGVO stellt dabei auf die geringere Schutzwürdigkeit allgemein zugänglicher Daten ab und hebt das Verbot mit Erlaubnisvorbehalt bezüglich der Daten auf, die die betreffende Person selbst öffentlich gemacht hat.
Die Erhebung der Daten im Anbahnungsverhältnis, d.h. nach einer Bewerbung des Arbeitnehmers, ist ohne Einwilligung des Betroffenen nach Art. 6 Abs. 1b) i.V.m. § 26 Abs. 1 S. 1 BDSG nur zulässig, wenn sie eine erforderliche Informationsgewinnung für den Arbeitgeber darstellen. Auch hier ist eine Abwägung der Interessen vorzunehmen und eine geringere Schutzwürdigkeit allgemein zugänglicher Daten nach Art. 9 Abs. 2e) DSGVO zu berücksichtigen.
Sowohl in Fällen des "Active Sourcing" durch den Arbeitgeber als auch bei Anbahnungsverhältnissen ist die Zweckbestimmung der Datenveröffentlichung für die Interessenabwägung zu beachten. Stellt der Betroffene die Daten ausschließlich zur privaten Nutzung der Kommunikation online, kann durch einen Zugriff sein allgemeines Persönlichkeitsrecht verletzt sein. Bei berufsorientierten Medien kann zwar aufgrund des Erfordernisses der Ausdrücklichkeit der Einwilligung nach Art. 7 DSGVO keine Einwilligung des Bewerbers unterstellt werden, eine Datenerhebung ist gleichwohl im Regelfall nach der vorzunehmenden Abwägung der Interessen zulässig.
Rz. 122
Vor der Datenrecherche hat der Arbeitgeber den betrieblichen Datenschutzbeauftragten zu unterrichten (§ 38 DSGVO) und – in Betrieben mit mehr als 20 Arbeitnehmern – dem Betriebsrat die Bewerbungsunterlagen einschließlich der Ergebnisse der Internetrecherche zugänglich zu machen (§§ 80 Abs. 2 S. 2, 99 Abs. 2 Nr. 1 BetrVG). Dabei ist der Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 BetrVG jedoch durch das Erforderlichkeitsprinzip i.S.d. § 26 Abs. 1 S. 1 BDSG beschränkt. Ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG besteht dagegen nicht, da Bewerber keine Arbeitnehmer i.S.d. BetrVG sind (§ 5 BetrVG).
Rz. 123
Missachtet der Arbeitgeber die gesetzlichen Grenzen der DSGVO und des BDSG kann dies Bußgelder von bis zu 4 % des globalen Umsatzes oder bis zu 20 Mio. EUR (Art. 83 DSGVO), als auch Schadensersatzforderungen materieller und immaterieller Art (Art. 82 DSGVO) auslösen. Die wissentliche, gewerbsmäßige und unberechtigte Weitergabe zahlreicher personenbezogener Daten kann sogar strafrechtliche Konsequenzen mit einer Freiheitsstrafe bis zu drei Jahre nach sich ziehen.
Ein Anspruch auf Schadensersatz steht im Vergleich zur bisherigen Rechtslage, jeder Person, die durch einen DSGVO Verstoß einen Schaden erleidet gegen den Verantwortlichen zu. Dabei muss der Verantwortliche gemäß Art. 82 Abs. 3 DSGVO den Nachweis erbringen, dass er für den Verstoß und den daraus resultierenden Schaden nicht verantwortlich ist. Ähnlich der Beweislastumkehr aus dem AGG wird den Unternehmen erschwert, sich gegen Schmerzensgeldzahlungen zur Wehr zu setzen.
Jüngst stellte der EuGH hierzu konkretisierend fest, dass nationalrechtliche Erheblichkeitsschwellen für die Entstehung von DSGVO-Schadensersatzansprüchen unbeachtlich seien. Einschränkend stellt er allerdings auch fest, dass dem Anspruchsteller auch tatsächlich ein (immaterieller) Schaden entstanden sein muss, ein bloßer Verstoß gegen die DSGVO reicht dazu nicht aus. Ein Schadensersatzanspruch ohne Schaden ist damit nicht durchsetzbar.