Einsatz von Xing, Facebook & Co für Backgroundchecks bei Bewerbern aus datenschutzrechtlicher Sicht

Durch das Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) sowie des dazu erlassenen Umsetzungsgesetzes mit 25.05.2018 in Österreich ist das Augenmerk vermehrt auf den Datenschutz gelenkt. Damit rücken auch Bestimmungen, die sich allenfalls inhaltlich nicht allzu sehr ändern, aber durchaus brisante Folgen haben können, wieder stärker in den Mittelpunkt.

Das Nutzen von Internetrecherchen über Facebook, Xing, Google oder sonstige Quellen ist inzwischen fast ebenso selbstverständlich wie das Einholen von Arbeitszeugnissen oder einer Strafregisterbescheinigung. Informationen über eine/n Bewerber/in, ob nun aus dem Bewerbungsschreiben selbst oder über Social-Media- und sonstige Kanäle sind naturgemäß personenbezogene Daten. Bei deren Erhebung und nachfolgenden Nutzung (inkl. Speicherung) sind daher auch die Grundsätze der Datenverarbeitung im Sinne der DSGVO bzw. des Datenschutzgesetzes zu beachten.

Eine solche Datenverarbeitung ist gemäß Art 5 DSGVO nur dann zulässig, wenn sie auf rechtmäßige Weise, nach Treu und Glauben und für festgelegte, eindeutige und legitime Zwecke erfolgt. Entsprechend dem Zweckbindungsgrundsatz dürfen Daten über eine/n Bewerber/in daher nur insoweit erhoben und verwendet werden, als sie für die Entscheidung über die Begründung und Durchführung eines Arbeitsverhältnisses erforderlich und angemessen sind.

„Erforderlich“ heißt dabei einerseits, dass die Daten für das Auswahlverfahren benötigt werden, andererseits nicht anderweitig, beispielsweise durch ein Vorstellungsgespräch, beschafft werden können. Bereits daraus ist erkennbar, wie dehnbar einerseits und wenig belastbar andererseits diese Anforderung ist. So ist ein Nachfragen beim ehemaligen Arbeitgeber oder die Einholung einer Strafregisterbescheinigung nur dann zulässig, wenn beispielsweise Hinweise auf die Unrichtigkeit der Angaben des/r Bewerbers/in im Bewerbungsgespräch oder in der Bewerbung zu Tage kommen, oder ein einwandfreier Leumund aufgrund der geplanten Tätigkeit des Bewerbers/der Bewerberin zwingend erforderlich ist.

Bei Internetrecherchen ist besondere Vorsicht geboten. Auch hier können (aufgrund des Zweckbindungsgrundsatzes) nur solche Informationen im Rahmen des Bewerbungsverfahrens verwendet werden, die für die Eignung des Bewerbers/der Bewerberin für die in Aussicht stehende Stelle erforderlich sind. Informationen aus berufsorientierten Netzwerken, wie Xing oder LinkedIn, können daher wohl eher zulässig verwertet werden als Informationen aus privat- bzw. freizeitorientierten sozialen Netzwerken wie beispielsweise Facebook. Dort veröffentlichte Daten, die Informationen über Hobbies oder Ähnliches beinhalten und daher grundsätzlich mit dem Bewerbungsvorgang nichts zu tun haben, können also vom potentiellen Arbeitgeber – selbst bei digitaler „Freizügigkeit“ des/der Betroffenen auf verschiedenen Plattformen im Internet – nicht uneingeschränkt herangezogen und verarbeitet werden.

Über die genannten (eingeschränkten) Möglichkeiten der Recherche hinaus ist ein Backgroundcheck nur mit Einwilligung des Bewerbers/der Bewerberin zulässig. Hier sind allerdings die sehr strengen Anforderungen an eine gültige Einwilligung zu beachten, die insbesondere die Freiwilligkeit der Zustimmung beinhalten. Im Zusammenhang mit Anbahnung und Durchführung von Dienstverhältnissen hat die Rechtsprechung diese Freiwilligkeit bereits öfter verneint, weil vermutet wird, dass das (wenn auch nur potentielle) Abhängigkeitsverhältnis die Entscheidung zur Einwilligung beeinflusst.

Kurz gesagt:

Das „freie Recherchieren“ über zukünftige oder bestehende MitarbeiterInnen im Internet durch den Arbeitgeber ist jedenfalls immer an den Grundsätzen des Datenschutzgesetzes, insbesondere der Erforderlichkeit und der Zweckgebundenheit zu orientieren. „Heimliche“ Backgroundchecks, ohne Zustimmung des Bewerbers/der Bewerberin, sind nur bei Verdacht von unrichtigen Angaben zulässig. Diese Grundsätze liegen sowohl derzeit als auch im zukünftigen Datenschutzregime dem Umgang mit personenbezogenen Daten zugrunde, wobei allerdings künftig – gerade im Hinblick auf die drohenden Sanktionen – hier allenfalls ein größeres Augenmerk erforderlich ist.