Ein Gastbeitrag von Nina Diercks

tuthelens/shutterstock.com
Das Lied des Fach- und Führungskräftemangels ist schon lange nicht mehr nur den Spatzen auf den Dächern vorbehalten. Es wird darüber längst auch virtuell gezwitschert - und immer mehr Personaler nutzen gerade auch die Chancen der Social Media und des digitalen Employer Brandings, um geeignete Kandidaten zu finden. Nicht wenige greifen bei der Personalauswahl auf Informationen in sozialen Netzwerken wie Xing, Facebook, Twitter oder Blogs zurück. Die entscheidende Frage dabei lautet jedoch: Dürfen die das? Oder anders gefragt: Welche Daten dürfen Personaler überhaupt nutzen?

Das ist die derzeitige Rechtslage

Nach dem Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten nur erhoben, verarbeitet oder genutzt werden, wenn es hierfür eine ausdrückliche gesetzliche Grundlage gibt (der sogenannte Erlaubnistatbestand) oder der Betroffene eingewilligt hat. Gemäß § 28 Abs. 1 S. 1 Nr. 3 BDSG wäre demnach zulässig, Daten zu sammeln, wenn diese "allgemein zugänglich ... sind". Bleibt jedoch die Frage, ob Daten, die auf Xing oder Facebook hinterlegt werden, tatsächlich allgemein zugänglich sind?

Zunächst einmal ist dies von den jeweiligen Privatsphären-Einstellung des Einzelnen abhängig. Was von Suchmaschinen erfasst werden kann, gilt als allgemein zugänglich. Anders sieht es jedoch schon aus, wenn sich der interessierte Personaler erst auf einem solchen Netzwerk anmelden muss, um die vollständigen Daten einzusehen.

Das geht bei Xing beispielsweise schon mit dem Profilfoto los. Leider ist diese Frage unter Juristen nicht eindeutig geklärt. So argumentieren einige, dass das Anmelden auf einer solchen Plattform in etwa so komplex sei, wie ein Telefonbuch aufzuschlagen. Deshalb seien die Daten im Sinne des § 28 BDSG auch nach wie vor als allgemein zugänglich zu betrachten.

Und als wäre das nicht schon kompliziert genug, kommt auch noch § 32 BDSG ins Spiel. Darin heißt es, dass personenbezogene Daten eines Beschäftigten "für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden" dürfen, wenn dies "für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses ... erforderlich ist".

Dazu muss man wissen, dass im Sinne des § 32 BDSG auch Bewerber Beschäftigte sind. Allerdings - und das ist die Kehrseite - ist kaum ein Fall denkbar, in dem etwa das Auswerten eines Facebook-Profils zur Begründung des Beschäftigungsverhältnisses "erforderlich" wäre. Auch von den wildesten Party-Fotos kann man nicht darauf schließen, dass ein Kandidat nicht die nötige Zuverlässigkeit oder persönliche Eignung für irgendeinen Job hat.

Bleibt noch die sogenannte Einwilligung des Kandidaten. Würde ein Personaler zum Beispiel von mir eine Bewerbung bekommen, so würde er darin den Hinweis auf mein Blog, meine dazugehörige Facebook-Fanpage sowie meinen Twitter-Account finden. Eine ganz offensichtlichte Einladung, sich diese Seiten anzusehen.

Das liegt in diesem Fall auch ganz offensichtlich im Interesse des Bewerbers. Stichwort Personal Branding beziehungsweise Reputationsmanagement. In solch einem Fall ließe sich also durchaus argumentieren, dass der Bewerber einer Auswertung seiner Daten zugestimmt hat. Aber, und das ist ein großes ABER: Ich hätte in diesem Fall nur zugestimmt, meine zum Blog gehörige Fanseite einzusehen - nicht auch noch mein privates Facebook-Profil. Das bliebe auch weiterhin tabu.

Sonderfall Xing

Nun wird Facebook von den meisten ohnehin als überwiegend privates Netzwerk genutzt und angesehen. Was aber ist dann mit sogenannten Business-Netzwerken wie Xing oder Linkedin?

Gerade hier gibt es für Personaler zahlreiche Optionen durch beispielsweise von Xing selbst angebotene Tools, das Netzwerk nach potenziellen Kandidaten zu durchsuchen. Streng genommen sind diese Daten jedoch weder allgemein zugänglich, noch ist eine solche Suche für die Begründung des Beschäftigungsverhältnisses erforderlich (Man weiß schließlich gar nicht, ob die Suche überhaupt zu einem Beschäftigungsverhältnis führt!), und eine Einwilligung liegt dem suchenden Personaler in der Regel auch nicht vor. Zwar kann der Xing-Nutzer Personalentscheidern via Knopfdruck deutlich machen, dass er an Karrierechancen interessiert ist. Das aber sieht der Headhunter erst, wenn er auf das Profil gelangt ist. Zu spät also. Deshalb wäre eine solche Suche nach Kandidaten via Xing aus datenschutzrechtlicher Sicht eher unzulässig.

Ist das eine weltfremde Sicht von Datenschützern?

Meines Erachtens ja. Gerade Xing-Profile werden doch in der Regel aus beruflichen und Karriere-Gründen angelegt - also auch, um mit seinem Profil gesucht und gefunden zu werden. Sei es nun von potenziellen Geschäftspartnern oder Arbeitgebern. Meines Erachtens sollte bei solchen Business-Netzwerken deshalb von einer grundsätzlichen Einwilligung ausgegangen werden können (Wobei es freilich auch Personen gibt, die Xing ausschließlich zu privaten Zwecken nutzen). Aber eindeutige Antworten gibt dazu sowieso nie.

Wie sich die Rechtslage 2011 ändern wird

Das oben geschilderte Problem hat der Gesetzgeber bereits erkannt und daher schon im letzten Jahr den "Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes" (BDSG-E) vorgelegt, der gerade das Gesetzgebungsverfahren durchläuft und vermutlich noch 2011 geltendes Gesetz wird. Danach soll etwa der bisherige § 32 BDSG aufgehoben und durch zwölf Einzelnormen ersetzt werden. Darunter finden sich dann Regelungen "zur Datenerhebung ohne Kenntnis des Beschäftigten zur Aufdeckung und Verhinderung von Straftaten und anderen schwerwiegenden Pflichtverletzungen" (§ 32 e BDSG-E), zu ärztlichen "Untersuchungen und Eignungstests" (§ 32 a BDSG-E), zur "Videoüberwachung" oder zur "Ortung" von Beschäftigten (§ 32 f und g BDSG-E). Kurz: Hier werden die in den vergangenen Jahren öffentlich gewordenen Sünden deutscher Konzerne in Gesetz gegossen.

Auch das Bewerberscreening in Social Media ist Thema des neuen § 32. Konkret heißt es darin:

Der Arbeitgeber darf den Namen, die Anschrift, die Telefonnummer und die Adresse der elektronischen Post eines Beschäftigten [...] vor Begründung eines Beschäftigungsverhältnisses erheben. Weitere personenbezogene Daten darf er erheben, soweit die Kenntnis dieser Daten erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten festzustellen. Er darf zu diesem Zweck insbesondere Daten über die fachlichen und persönlichen Fähigkeiten, Kenntnisse und Erfahrungen sowie über die Ausbildung und den bisherigen beruflichen Werdegang des Beschäftigten erheben.

Soweit so gut. Insbesondere scheint damit die oben genannte Problematik des Headhunting lösbar. Jedoch verfügt § 32 BDSG-E über mehrere Absätze und so heiß es weiter in Abs. 6:

Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten; dies gilt nicht für soziale Netzwerke, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind. Mit Einwilligung des Beschäftigten darf der Arbeitgeber auch bei sonstigen Dritten personenbezogene Daten des Beschäftigten erheben; dem Beschäftigten ist auf Verlangen über den Inhalt der erhobenen Daten Auskunft zu erteilen.

Im Klartext bedeutet dies, dass personenbezogene Daten nur direkt bei dem Bewerber erhoben werden dürfen. Selbst die oben genannten "allgemein zugänglichen Daten" können nur dann genutzt werden, wenn der Arbeitgeber hierauf zuvor – beispielsweise in einer Stellenausschreibung – hingewiesen hat.

Demnach dürfte ein an meiner Person interessierter Arbeitgeber ohne vorherigen Hinweis keinen Google-Check (etwa in meinem Blog) durchführen. Und sollte ich als Bewerber keinen Social Media Recht Blog, sondern stattdessen ein Blog über Monchichis (Sie erinnern sich? Die Kuscheltiere mit dem Lutschedaumen) betreiben, dürfte der Arbeitgeber diese Information schon gar nicht erheben, da ich ein "berechtigtes schutzwürdiges Interesse" haben könnte, mein Privatleben mit den Monchichis auch privat halten zu dürfen.

Wobei sich hierbei zugegebenermaßen schon die Katze in den Schwanz beißt: "Erheben" heißt "Beschaffen von Daten", der Personaler hat von dem Monchichi-Blog jedoch schlicht erst in dem Moment Kenntnis, in dem er die Seite aufruft. Ob diese Information anschließend nur in seinem Kopf oder in einer Datenbank gespeichert wird, wird für die Personalentscheidung wohl keinen Unterschied machen.

Facebook: nein – Xing: ja

Und was ist dann mit Social Media Netzwerken wie Facebook, Twitter & Co.? Kurz: Diese "allgemein zugänglichen Daten" darf der Arbeitgeber gar nicht nutzen - selbst nicht bei einem entsprechenden Hinweis. Denn hier legt das Gesetz fest, dass das "schutzwürdige Interesse" des Bewerbers überwiegt. Folglich ist es irrelevant, ob der Bewerber seine Daten der Allgemeinheit selbst zur Verfügung stellt, indem er beispielsweise seine Privatsphären-Einstellungen weit öffnet.

Allerdings werden von dieser engen Regel im zweiten Satz jedoch wieder diejenigen Netzwerke ausgenommen, die "zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind". Dem Grunde nach sind das Xing und LinkedIn.

Das ursprüngliche Problem bleibt jedoch bestehen. Denn wie oben erwähnt werden auch diese Netzwerke von einigen rein privat genutzt, während etliche andere Facebook & Co. ebenso beruflich nutzen – denken Sie nur an den Facebook-Dienst "BranchOut"! Die Grenzen sind also kaum bestimmbar. Headhunting via Social Media wäre damit verboten. Wie sollte ein Headhunter einer ihm (noch) nicht bekannten Person auch mitteilen, dass er nun gedenkt, über Mr. Unbekannt Informationen einzuholen, um ihm später eventuell einen passenden Job vorzuschlagen?

Bleibt am Ende die Frage: Wer kontrolliert das überhaupt?

Ich zumindest weiß weder, wer hinter den Suchabfragen steht, mit denen mein Blog gefunden wird, noch wer bei Facebook auf meiner Seite war. Lediglich Xing zeigt mir anonymisierte Besucher meines Profils an. Aber was heißt das schon?

Da Bewerber voraussichtlich gar nicht nachweisen können, dass ihr "schutzwürdiges Interesse" auf Privatsphäre verletzt wurde, wird diese "praxisgerechte Lösung" (wie es in der Einleitung des Gesetzesentwurfes heißt) wohl kaum je praktische Relevanz besitzen. Schließlich gilt auch hier:

Wo kein Kläger, da kein Richter!

Auch wenn der Schutz der Daten jedes Einzelnen durch Gesetze wichtig und richtig ist, hat jeder Internetteilnehmer jedoch nicht nur das Recht auf informationelle Selbstbestimmung, sondern auch die Pflicht zu einer informationellen Selbstverantwortung. Und so muss jeder lernen, verantwortlich mit seinen eigenen Daten im Internet im Allgemeinen und jenen in Sozialen Netzwerken im Besonderen umzugehen.

Über die Autorin

Nina Diercks ist als Rechtsanwältin (M.Litt, University of Aberdeen) bei der Hamburger Kanzlei Rasch tätig und dort verantwortlich für Mandate aus dem Bereich des Social Media Rechts. Zudem betreibt Sie das Social Media Recht Blog und wird regelmäßig als Referentin zu Ihrem Top-Thema eingeladen.

[Bildnachweis: tuthelens by Shutterstock.com]