Gastbeitrag von Dr. Walter Demmelhuber und Dr. Christoph Knapp

Organübergreifende Datenweitergabe verursacht sofortige Konflikte mit dem Datenschutz

Noch mehr als der übliche Bewerbungsprozess von Mitarbeitern beinhaltet der Mandatsprozess bei Geschäftsführern und Vorständen eine hohe Anzahl von beteiligten Parteien, welche nicht automatisch Teil des firmeninternen, i.d.R. datenschutzrechtlich geprüften Bewerbungsprozesses sind.

Dies geht über den Bewerber, den Aufsichtsrat, Gesellschafter (nicht immer Teil des Aufsichtsrates), eine beauftragte Executive Search Firma, weitere externe Dienstleister (Rechtsanwälte, Psychologen, Assessment Center, Referenzeinholer u.a.), die Personalabteilung des Unternehmens selbst, benannte und verdeckte Referenzgeber, usw. Sollten sich einige der Parteien außerhalb des EU-Raumes befinden, sind hier weitere Prüfungen zur Konformität vorzunehmen. Dies kann auch bereits eintreten, wenn sich Tochterfirmen außerhalb der EU befinden und personenbezogene Daten dahin übermittelt werden.

Um bereits das Offensichtliche vorwegzunehmen; Bewerberunterlagen auf privaten eMail-Konten von Aufsichtsräten oder weitergeleitet an Gesellschafter (die nicht formal Teil des Bewerbungsprozesses sind) sind bereits die ersten Stolpersteine im Prozess. Das Einholen von Referenzen erhöht nochmals deutlich die Herausforderungen im Datenschutz.

Mitteilung von Zweck und Rechtsgrundlage der Datenverarbeitung

Bei Daten von Bewerbern ist grundsätzlich die Generalklausel von Art. 6 Abs. 1 S. 1 lit. f) DSGVO zu beachten, wonach die Verarbeitung von Daten dann zulässig ist, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Zusätzlich kann § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) als Leitfaden genutzt werden. Obwohl Organe im arbeitsrechtlichen Sinne keine ‚Beschäftigten‘ sind, haben Gerichte bereits in der Vergangenheit Tendenzen erkennen lassen, bei nicht-arbeitsrechtlichen Sachverhalten die Definition eines ‚Beschäftigten‘ weiter zu ziehen, gerade auch vor dem Hintergrund der Rechtsprechung des EuGH zu Fremdgeschäftsführern bei der GmbH.

Im Bewerbungsprozess sind Bewerber bei Erhebung der Daten über Zweck, Umfang und Rechtsgrundlage zu informieren. Dies ist in einer Datenschutzerklärung gemäß Art. 13 DSGVO mitzuteilen. Inhalt der Informationspflicht ist unter anderem:

–        Kontaktdaten des potenziellen Arbeitgebers und des Datenschutzbeauftragten (sofern ein solcher bestellt werden muss, oder freiwillig bestellt ist)

–        Rechtsgrundlage und Zweck der Verarbeitung (dies ist in der Regel §26 Abs. 1 S. 1 BDSG)

–        Speicherungsdauer der Bewerbungsunterlagen bzw. die Kriterien für die Aufbewahrungsdauer

–        Mögliche Empfänger der Bewerbung (zum Beispiel andere Niederlassungen oder Tochterfirmen innerhalb der Unternehmensgruppe)

–        Mögliche Drittstaatentransfers (zum Beispiel in die USA) und die hierfür verwendeten Datenschutz-Garantien (zum Beispiel sog. EU-Standardvertragsklauseln oder die Einwilligung des Bewerbers)

–        Beschwerderecht des Betroffenen bei der zuständigen Aufsichtsbehörde

–        Hinweis auf das Widerrufsrecht bei Einwilligung des Betroffenen

–        Belehrung über die Rechte des Betroffenen (zum Beispiel Auskunftsrecht, Art. 15 DSGVO, Recht auf Datenberichtigung, Art. 16 DSGVO, Recht auf Löschung, Art. 17 DSGVO Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO, Widerspruchsrecht, Art. 21 DSGVO, Recht auf Datenübertragbarkeit, Art. 20 DSGVO).

Auch wenn die Bewerbungen i.d.R. über eine Executive Search Firma betreut werden und dort die erste datenschutzkonforme Behandlung der Dokumente stattfindet, so ist die Weitergabe an die interessierten Parteien wie z.B. der Aufsichtsrat dennoch in der Verantwortung dieser Personen zu sehen. Verstöße wie die nicht-datenschutzkonforme Behandlung von Dokumenten oder Verstöße beim Einholen von Referenzen liegen dann in jedem Falle bei der durchführenden Einzelperson.

 

Benannte und verdeckte Referenzen

Eine höchstrichterliche Entscheidung, ob das Einholen von verdeckten Referenzen zulässig ist oder nicht, gibt es derzeit nicht. Mehrheitlich wird dies allerdings als nicht rechtmäßig beurteilt. Analogien werden zur Schufa-Auskunft gezogen: Die Einholung von SCHUFA-Auskünften von Mitarbeitenden war schon nach altem Recht (§ 32 BDSG a.F.) unzulässig. SCHUFA-Daten gelten für das Beschäftigungsverhältnis als unerheblich. Entsprechend kann auch nicht davon ausgegangen werden, dass die Einholung entsprechender Daten zur Wahrung der berechtigten Interessen im Sinne der Generalklausel in Art. 6 Abs. 1 S. 1 lit. f) DSGVO erforderlich ist. Daher ist vor der Einholung von Referenzen empfehlenswert, die Einwilligung des Bewerbers sicherzustellen oder den Bewerbungsprozess anwaltlich überprüfen und begleiten zu lassen. Hier betrifft der Datenschutz sowohl die einholende als auch die Auskunft gebende Person. Bei nicht benannten Referenzen besteht außerdem das Risiko, dass diese unfundiert zum Nachteil des Bewerbers Auskunft geben (z.B. wurden von ihm bei Gehaltserhöhungen nicht berücksichtigt, wurden abgemahnt oder entlassen) und dies zu einer Rufschädigung des Bewerbers führen kann, welche dann im Bewerbungsprozess durch Protokollierung formal, aber unrechtmäßig niedergeschrieben wird.

In jedem Falle sind die eingeholten Daten von den datenschutzrechtlichen Vorschriften erfasst, auch wenn das Einholen von verdeckten Referenzen als rechtmäßig angesehen werden würde. Der Bewerber hat darüber ein Auskunftsrecht und zusätzlich ist zwischen dem Einholer der Referenzen und dem Referenzgeber der datenschutzrechtliche Prozess abzusichern. Wenn (verdeckte) Referenzen telefonisch eingeholt werden, sollten diese schriftlich protokolliert und zusammen mit dem Referenzgeber redigiert werden, damit der Anspruch an Korrektheit und Nachvollziehbarkeit gewährleistet ist.

Eine weitere Herausforderung bezüglich der Rechtmäßigkeit von Referenzen besteht darin, dass der Referenzgeber als Sprecher der Erfahrungen des jeweiligen Unternehmens agiert. Da Arbeits- und Dienstverträge i.d.R. aber Vertraulichkeitsklausen beinhalten, die über die Beendigung von Arbeitsverträgen hinausgehen, macht sich ebenfalls der Referenzgeber anfällig sowohl im Sinne von Vertraulichkeitsvereinbarungen als auch des Datenschutzes.

Eine korrektere Herangehensweise könnte sein, mit dem Bewerber das Einholen von verdeckten Referenzen offen und datenschutzkonform zu besprechen, ihm nach Erhebung eine Liste von verdeckten Referenzen zu stellen und ihm die Möglichkeit zu geben, (begründet) Referenzen von dieser Liste zu eliminieren.

Andererseits sollte sich ein benannter oder verdeckter Referenzgeber immer schriftlich bestätigen lassen, dass die Zustimmung des Bewerbers vorliegt und er nicht in Konflikt mit Bestimmungen seines eigenen Arbeitsvertrages kommt.

 

Konsequenzen bei Verletzung des Datenschutzes

Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Aber auch der Katalog von weniger gewichtigen Verstößen (Art. 83 Abs. 4) führt Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an, je nachdem, welcher der Beträge höher ist.

Insbesondere ist hier bei einzelnen Mandatsträgern wie Aufsichtsräten zu beachten, dass Strafen auch gegen einzelne Personen ausgesprochen werden. Die Abdeckung durch die D&O-Versicherung ist voraussichtlich nicht gegeben, da zum einen Vorsatz unterstellt werden wird (was durch die D&O-Versicherung nicht abgedeckt ist) und i.d.R. D&O-Versicherungen auch keine Strafen und Bußgelder übernehmen. Nach Art. 82 Abs. 1 DSGVO haben auch Stellenbewerber, die wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten haben, zusätzlich Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Der Vollständigkeit halber sei noch auf die Strafvorschrift des § 42 Abs. 2 BDSG hingewiesen, wonach mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden kann, wer personenbezogene Daten, die nicht allgemein zugänglich sind, entweder (i) ohne hierzu berechtigt zu sein, verarbeitet oder (ii) durch unrichtige Angaben erschleicht, und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Dabei handelt es sich um ein sog. Antragsdelikt, welches nur auf Antrag der betroffenen Person, des Verantwortlichen, der oder des Bundesbeauftragten und der Aufsichtsbehörde verfolgt wird. In den hier geschilderten Fällen der Referenzeinholung im Mandatsprozess dürfte es freilich regelmäßig an der Bereicherungs- oder Schädigungsabsicht fehlen. 

 

Empfehlung

Vor dem Start des Mandatsprozesses sind alle beteiligten Parteien zu den Anforderungen des Datenschutzes zu sensibilisieren; insbesondere diejenigen, welche sich außerhalb der betrieblichen HR-Prozesse befinden.

Das Einholen von benannten und verdeckten Referenzen unterliegt höchsten Ansprüchen des Datenschutzes und sollte durch eine spezialisierte Rechtsanwaltskanzlei begleitet werden.

Nach Beendigung des Mandatsprozesses sollen insbesondere (aber nicht ausschließlich) die Aufsichtsratsmitglieder (welche sich üblicherweise außerhalb der Firmenprozesse befinden), abgefragt werden, ob alle ihnen zugestellten oder selbst erstellten Dokumente und Schriftverkehre entweder datenschutzkonform vernichtet oder den formalen Bewerbungs- und Archivprozessen der Firma zugeführt wurden.

Dr. Walter Demmelhuber, Aufsichtsratsvorsitzender der Hosokawa Alpine AG

Dr. Christoph Knapp, Rechtsanwalt, Fachanwalt für Handels- & Gesellschaftsrecht der Seitz Weckbach Fackler & Partner mbB

Quellen

Haufe: Verletzung des Datenschutzes durch den Arbeitgeber bei einem Bewerber Screening. Erhalten von: https://www.haufe.de/compliance/recht-politik/verletzung-des-datenschutzes-durch-den-arbeitgeber_230132_458932.html

IHK Stuttgart: Datenschutz im Bewerbungsverfahren. Erhalten von: https://www.ihk.de/stuttgart/fuer-unternehmen/recht-und-steuern/datenschutzrecht/mitarbeiterdatenschutz-bewerbungen-4863658

Kühling/Buchner/Maschmann, DS-GVO / BDSG, 3. Aufl. 2020, § 26 BDSG Rn. 7.

BeckOK Datenschutzrecht, 44. Edition, Stand: 1.5.2023, § 26 BDSG Rn. 22 und 97 ff.