Bewerber gegoogelt: Schadenersatz

Sind Internetrecherchen im Bewerbungsverfahren ein Datenschutzverstoß? Und wie kann man sich gegen Schadenersatzforderungen gemäß DSGVO von (abgewiesenen) Bewerbern rüsten?

Das Landesarbeitsgericht Düsseldorf befasste sich jüngst mit dieser Frage der Zulässigkeit von Internetrecherchen (im konkreten Fall: einer Google-Recherche) im Rahmen eines Bewerbungsverfahrens und der dazugehörigen Datenschutz-Compliance. Im Ergebnis sprach es dem Kläger EUR 1.000 immateriellen Schadenersatz zu.

Wie es dazu kam und wie Sie sich davor schützen können, wollen wir im Weiteren betrachten.

Wer den gesamten Sachverhalt genau nachvollziehen möchte, dem sei die Lektüre des umfangreichen Urteils angeraten (Urteil vom 10.04.2024 – 12 Sa 1007/23). Nicht zuletzt für Personaler interessant, da es sich beim Kläger um einen der unrühmlich bekannten, vom Der Spiegel seinerzeit so genannten „AGG-Hopper“ handelt.

Von diesem Kontext jedoch gelöst, ging es zusammengefasst um Folgendes:

Was war passiert?

Eine Arbeitgeberin hatte im Bewerbungsverfahren per Google-Recherche von einer (nicht rechtskräftigen) für die ausgeschriebene Stelle relevanten Vorstrafe des Bewerbers erfahren und diese zumindest teilweise zur Grundlage seiner Ablehnung gemacht. Von beidem hatte der Bewerber zunächst keine Kenntnis. Auch im Vorhinein war der Bewerber nicht von der Arbeitgeberin darauf hingewiesen worden, dass eine Verarbeitung von (strafrechtlichen) Verurteilungen erfolgen würde.

Erst durch ein Auskunftsersuchen gemäß Art. 15 DSGVO erfuhr der Bewerber einerseits von der durchgeführten Online-Recherche und andererseits von der darauf fußenden Ablehnungsentscheidung. Er fand, dies sei eine unzulässige Datenverarbeitung, über er die er – ebenso unzulässigerweise – auch nicht aufgeklärt worden sei und klagte unter anderem auf immateriellen Schadenersatz gemäß Art. 82 DSGVO.

Das Gericht gab ihm insoweit recht, als es die mangelhafte Datenschutzinformation als einen Verstoß gegen die Bestimmungen der DSGVO ansah. Wer die Diskussionen um immateriellen Schadenersatz verfolgt, wird wissen: Ein Verstoß allein begründet nicht eine Schadenersatzpflicht. Der Verstoß muss zudem zu negativen Folgen geführt haben. Diese wiederum müssen sich in mehr als einem Gefühl oder einer Besorgnis äußern, sondern vom Kläger nachvollziehbar dargelegt werden (wir empfehlen dazu unseren Artikel in der die Corporate Compliance Zeitschrift (CCZ) 2024, S. 50).

Im vorliegenden Fall sah das Gericht die plausible Darlegung des immateriellen Schadens (kreativ dazu der Vortrag des Klägers, vgl. o. g. G. Urteil Rz. 70) durch die nicht erfolgte Information als erfüllt an. „Damit ist der Kläger zum bloßen Objekt der Datenverarbeitung geworden und hat einen erheblichen Kontrollverlust mit negativen Auswirkungen auf die Auswahlentscheidung erlitten. … Dies beeinträchtigt den Kläger auch in seinem allgemeinen Persönlichkeitsrecht. Es handelt sich außerdem um eine erheblich negative Tatsache, nämlich eine strafrechtliche Verurteilung.“

Die Datenerhebung im Rahmen der Internetrecherche sah das Gericht jedoch als zulässig an. Achtung, das Gericht bestätigte die Zulässigkeit von Internetrecherchen im Bewerbungsverfahren nicht pauschal. Vielmehr war diese im vorliegenden Fall spezifisch begründet und erforderlich. Konkret waren den Personalern bereits Hinweise zum Bewerber aus den Medien und der Vergangenheit bekannt, denen sie im Rahmen der Google-Recherche anlassbezogen zur Validierung der ihnen vorliegenden Kenntnisse nachgingen.

Was folgt daraus für Ihr Unternehmen?

Neben vielen arbeitsrechtlichen Fallstricken kann auch der mangelhafte Datenschutz im Bewerbungsverfahren zum Problem werden. Prozessdefinition und Transparenz sind dabei die Schlüssel, um dieses Risiko zu minimieren. Das heißt:

• Standardisieren Sie den Bewerbungsprozess. Dazu gehört auch, dass er aufgezeichnet und datenschutzrechtlich geprüft wird (es grüßt das Verzeichnis der Verarbeitungstätigkeiten).
• Definieren Sie hierbei idealerweise Anlassfälle, bei welchen die Prüfung von Bewerbungsinformationen auf ihre Richtigkeit unter Zuhilfenahme anderer Quellen als die Bewerber selbst zweckmäßig sind. Dies könnte beispielsweise risikosensitive Positionen betreffen, die mit der Wahrnehmung von besonders vertraulichen Aufgaben oder einer personellen oder finanziellen Verantwortung einhergehen.
• Prüfen und dokumentieren Sie insbesondere die oft auch unterschiedlichen Rechtsgrundlagen für die im Bewerbungsverfahren beabsichtigten Datenverarbeitungen. Die Internetrecherche wäre bspw. nicht zwingend für die Anbahnung des Arbeitsvertrages (Art. 6 Abs. 1 lit. b) DSGVO) erforderlich. Sie sollte vielmehr auf eine Interessensabwägung (Art. 6 Abs. 1 lit. d) DSGVO) gestützt werden.
• Regeln Sie Internetrecherchen im Bewerbungsverfahren oder darüber hinausgehende Hintergrundrecherchen bzw. Pre-Employment Screening ganz spezifisch und klären Sie diese mit den Datenschutzbeauftragten oder anderweitig im Vorhinein rechtlich ab. Das betrifft auch die etwaige Einbindung von Recherchediensten. Als Faustregel gilt: Fragen, die aus arbeitsrechtlichen Gründen im Bewerbungsgespräch unzulässig sind, dürfen Sie sich auch nicht durch eigene Recherchen beantworten. Daraus folgt auch, dass Recherchen in privatorientierten Social-Media-Plattformen tabu sind.
• Informieren Sie die Bewerber umfassend und transparent über die beabsichtigten Datenverarbeitungen im Rahmen des Bewerbungsverfahrens. Hierfür bieten sich separate Datenschutzhinweise an. Nehmen Sie dafür einfach die bei Ihnen vorliegenden Möglichkeiten der Informationsgabe wahr, z. B. per Hinweis und Link auf der Startseite Ihres Karriereportals oder im „Abspann“ Ihrer Stellenausschreibungen, spätestens per Hinweis und Link bzw. Dokument bei Ihrem ersten schriftlichen Kontakt mit der Bewerberin.

Fazit

Bewerber sind ein hohes Gut für Unternehmen, können jedoch im Einzelfall zum Datenschutzrisiko werden. Insbesondere dann, wenn die eigenen Prozesse einer Überprüfung nicht ganz standhalten. Runden Sie daher Ihre bestehenden Bewerbungsverfahren in Abstimmung mit Ihren Datenschutzbeauftragten ab und geben Sie Ihren Bewerbern die Chance, zu verstehen, was mit ihren Daten passiert. Das schafft Vertrauen und spart Ärger.

Kontaktieren Sie uns gern, wenn wir Sie mit einer Muster-Checkliste zur Datenschutz-Compliance im Recruitment dabei unterstützen können.

Möchten Sie über die neusten Entwicklungen im Datenschutz auf dem Laufenden bleiben? Dann abonnieren Sie einfach unseren Newsletter.