Bei vielen Arbeitgebern ist es mittlerweile gängige Praxis geworden, im Bewerbungsverfahren Informationen über mögliche Kandidaten im Internet zu recherchieren. Insbesondere über die sozialen Netzwerke lassen sich so vielfältige Informationen generieren, die in den offiziellen Bewerbungsunterlagen nicht zu finden sein werden. Häufig werden dabei allerdings nicht nur personenbezogene Daten mit beruflichem Bezug verarbeitet, sondern auch Daten, die der Privatsphäre des Bewerbers zuzuordnen sind. Dies wirft die Frage der datenschutzrechtlichen Zulässigkeit solcher „Backgroundchecks“ auf.
Für den Bewerber kann sich ein „Backgroundcheck“ äußerst nachteilig auswirken, da der potenzielle Arbeitgeber so ungünstige Informationen erlangen kann. Betroffen hiervon sind oft auch besonders sensible Daten, die Aufschluss über politische oder religiöse Aktivitäten, private Vorlieben sowie die sexuelle Orientierung des Bewerbers geben können. Schon aus diesen Gründen ist eine Internetrecherche über Bewerber datenschutzrechtlich nur unter engen Voraussetzungen zulässig.
Allgemeines
Bei der Durchführung von Backgroundchecks werden regelmäßig personenbezogene Daten des Bewerbers (vgl. Art. 4 Nr. 1 DSGVO) verarbeitet. Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten untersagt ist, solange kein datenschutzrechtlicher Erlaubnistatbestand in Betracht kommt. Da ein Backgroundcheck regelmäßig stark in das Persönlichkeitsrecht des Bewerbers eingreift, darf eine solche Datenverarbeitung schon aus Gründen der Verhältnismäßigkeit nur ausnahmsweise und nur unter strengen Zulässigkeitsvoraussetzungen durchgeführt werden.
Erforderlichkeit für die Begründung eines Arbeitsverhältnisses
In der Regel werden Backgroundchecks im Internet mittels Recherche bei „google“ oder in sozialen Netzwerken erfolgen, um dadurch Informationen über die Eignung des Bewerbers für die zu besetzende Stelle zu erlangen. Die zentrale datenschutzrechtliche Erlaubnisnorm hierbei ist regelmäßig Art. 6 Abs. 1 S. 1 lit. (f) DSGVO bzw. § 26 Abs. 1 BDSG. Diese Normen erlauben die Verarbeitung personenbezogener Daten, wenn dies für die Begründung eines Arbeitsverhältnisses erforderlich ist.
„Google-Recherchen“
Potenzielle Arbeitgeber werden Backgroundchecks häufig durchführen, indem sie den Namen des Bewerbers in Suchmaschinen – wie z. B. Google – eingeben. Eine solche Recherche liefert in den meisten Fällen weiterführende Links auf andere Webseiten, die dann Informationen über den Bewerber enthalten. Hierbei handelt es sich nach h. M. um allgemein zugängliche Daten. Nach zutreffender Ansicht ist der Zugriff auf allgemein zugängliche Daten des Bewerbers datenschutzrechtlich grundsätzlich zulässig, wenn dadurch keine überwiegenden schutzwürdigen Interessen des Bewerbers beeinträchtigt sind und der Arbeitgeber an der Datenerhebung ein berechtigtes Interesse hat. Daraus folgt, dass der Arbeitgeber nur Informationen verarbeiten darf, die einen Bezug zu der zu besetzenden Stelle aufweisen und geeignet sind, eine konkrete Aussage über die Eignung des Bewerbers zu treffen. Dies ist bei rein privaten Daten, wie z. B. politische Haltung, Präferenzen für eine bestimmte Sportart, usw., in der Regel nicht der Fall. Ausnahmen hiervon sind nur möglich, wenn eine private Haltung ausnahmsweise für die persönliche Eignung für die zu vergebende Stelle relevant ist. Zu beachten ist aber stets, dass durch eine Internetrecherche mittels Suchmaschinen keine weitergehenden Informationen gewonnen werden, die über das Fragerecht des Arbeitgebers in einem Vorstellungsgespräch hinausgehen. Nicht verwertet werden dürfen daher in jedem Fall Informationen, die Rückschlüsse über die weltanschauliche Haltung, sexuelle Orientierung oder sonstige Informationen über Diskriminierungsmerkmale zulassen.
Soziale Netzwerke
Die vorgenannten rechtlichen Grundsätze gelten auch bei der Datenerhebung in sozialen Netzwerken wie Facebook, Xing, LinkedIn oder Instagram. Diese ist häufig besonders „ergiebig“, sodass Arbeitgeber hiervon in der Praxis gerne Gebrauch machen, ohne sich der rechtlichen Risiken bewusst zu sein. Nicht selten werden von den Arbeitgebern dabei auch besondere Kategorien personenbezogener Daten (vgl. Art. 9 Abs. 1 DSGVO) verarbeitet. So werden auf sozialen Netzwerken regelmäßig (unbedarft) hoch sensible Informationen preisgegeben, die die politische Meinung, die religiöse bzw. weltanschaulichen Überzeugungen oder auch die sexuelle Orientierung zum Ausdruck bringen. Durch eine Recherche in sozialen Netzwerken kann der Arbeitgeber daher in vielen Fällen ein regelrechtes „Persönlichkeitsprofil“ des Bewerbers erstellen. Der Spielraum des dem Arbeitergeber zugebilligten Fragerechts im Bewerbungsverfahren – welches auch Maßstab bei Backgroundchecks ist – ist dann deutlich überschritten. Von einem grundsätzlichen Verbot der Datenerhebung in sozialen Netzwerken kann aber – trotz erhöhtem Risiko – nicht ausgegangen werden. Sofern sich die Datenverarbeitung des Arbeitgebers in sozialen Netzwerken auf Daten des Bewerbers beschränkt, die im Zusammenhang mit der Eignung des Bewerbers für die Stelle stehen und nicht der Privatsphäre zuzurechnen sind, kann bei der Datenerhebung in sozialen Netzwerken zusätzlich auch auf den Rechtsgedanken von Art. 9 Abs. 2 lit. e) DSGVO abgestellt werden, wonach im Rahmen von Backgroundchecks der Zugriff auf personenbezogene Daten möglich ist, wenn der Betroffene diese offensichtlich öffentlich gemacht hat. Stellt ein Betroffener seine Daten der Öffentlichkeit zur Verfügung, verzichtet er insoweit auf den Schutz seiner Daten. Hiervon ist bereits auszugehen, wenn die fraglichen Inhalte für alle Mitglieder des jeweiligen sozialen Netzwerkes frei zugänglich gemacht wurden. Sobald der Bewerber aber durch die Freischaltung seines Profils an einen nur begrenzten Personenkreis zu erkennen gibt, dass die dort enthaltenen Daten nicht für die Allgemeinheit bestimmt sind und damit seine Privatsphäre berühren, fehlt nach h. M. im Regelfall jeglicher berufliche Bezug.
Einwilligung des Bewerbers
Darüber hinaus kann die Durchführung eines Backgroundchecks (theoretisch) auch mittels datenschutzrechtlicher Einwilligung (Art. 4 Nr. 11, 6 Abs. 1 S. 1 lit. a) DSGVO i. V. m. Art. 7 DSGVO bzw. § 26 Abs. 2 BDSG) des Bewerbers legitimiert werden. Hiervon muss allerdings in der Praxis abgeraten werden. Die Wirksamkeit einer solchen datenschutzrechtlichen Einwilligung ist an verschiedene rechtliche Voraussetzungen gebunden. In der Mehrheit der Fälle wird es bereits an der erforderlichen „Freiwilligkeit“ der Einwilligung fehlen, da bei der Beurteilung, ob Freiwilligkeit vorliegt, stets das Machtgefälle zu Lasten des Bewerbers zu berücksichtigen ist. Weitere Risiken der Einwilligung ergeben sich für den Arbeitgeber zudem daraus, dass diese frei widerruflich ist und im Fall ihrer Unwirksamkeit – nach einer häufig vertretenen Auffassung – keine weitere Rechtsgrundlage zur Legitimierung der Datenverarbeitung herangezogen werden kann.
Fazit
Arbeitgeber sind gut beraten, bei der Durchführung von Backgroundchecks im Bewerbungsverfahren Vorsicht walten zu lassen. Datenschutzrechtliche Verstöße in diesem Bereich können erhebliche nachteilige Konsequenzen, wie z.B. Bußgelder oder Schadensersatzansprüche, nach sich ziehen. Es ist daher streng darauf zu achten, dass die Internet-Recherche auf allgemein zugängliche Daten beschränkt wird und ausschließlich Daten verarbeitet werden, die einen eindeutigen sachlichen Bezug zur freien Stelle haben. Profildaten von sozialen Netzwerken dürfen in der Praxis daher nur in Ausnahmefällen verarbeitet werden, da dort vornehmlich private Informationen über den Bewerber zu finden sein werden. Anders kann dies im Einzelfall zu beurteilen sein, wenn die entsprechenden Informationen Aufschluss über die persönliche und fachliche Eignung des Bewerbers für die Stelle geben und dieser sein Profil – zumindest für alle Mitglieder des entsprechenden sozialen Netzwerkes – frei zugänglich macht.
