Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Search Results

datenschutzrecht

Nicht nur in der täglichen Mandatsarbeit haben wir ständig mit Apps und deren rechtlichen Gegebenheiten zu tun, auch hier auf dem Blog haben wir das zunehmend wichtig werdenden Thema  vermehrt auf die Agenda gehoben. Erst im September hatten wir anhand von Tinder & Co einmal grundlegend den datenschutzrechtlichen  Rahmen von Apps vorgestellt. Und im Juli beschäftigten wir uns mit der „Hot or not“-App für Kollegen namens Knozen befasst.

Letztere ist in der rechtlichen Bewertung nicht so gut weggekommen, insbesondere nicht, wenn man aus der Brille des Personalers auf Knozen guckt (die mehr oder minder ausführliche rechtliche Einschätzung findet sich im Recrutainment Blog, im unteren Abschnitt des Artikels  Knozen: Mitarbeiter bewerten Kollegen per iPhone-App -´Crowdsourced Personality Profile´ oder schlicht ´der Kollege, der mich anschwärzt´?).

Nun gibt es etwas Neues: Truffls. Truffls ist Tinder für Jobs. Als der Name dieser App in meiner Timeline auftauchte, dachte ich zunächst „Ja, ja, schon wieder so ein Murks aus den USA, bei dem wahrscheinlich erstmal die Seele verkauft werden muss….“. Irgendwo hieß es dann aber, dass die App aus Deutschland kommt. Aus Deutschland? So was Innovatives? Na, das musste ich mir trotz aller derzeit vorhandener Arbeitsbelastung dann doch angucken.

Truffls funktioniert wie Tinder. Nur für Jobs.

Den ganzen Artikel lesen.

Willkommen zum zweiten Teil der kleinen Serie über „Social Media Richtlinien“ hier im Blog, mit welcher ich versuche, die Inhalte und Hintergründe meines kürzlich in der Kommunikation & Recht, Ausgabe 2014, 1 erschienenen Fachartikels „Social Media im Unternehmen – Zur „Zweckmäßigkeit“ des Verbots der (privaten) Nutzung unter besonderer Berücksichtigung von § 88 TKG“ zu erläutern.

Im ersten Teil „Social Media Richtlinien“ ging es um eine Hinführung zum Thema, die Erläuterung einiger erster rechtlicher Fragestellungen sowie das Aufzeigen von den tatsächlichen Gegebenheiten digitaler Kommunikation in Unternehmen.

Die letzten Zeilen sahen dabei aus wie folgt:

In der Regel ist aber die private Nutzung ohnehin geduldet und die IT-Infrastruktur, das Internet, die E-Mail-Accounts und natürlich Social Media werden selbstverständlich auch privat von den Mitarbeitern genutzt.

b. Rechtliche Probleme

Und damit sind wir mitten drin in den rechtlichen Problemen.

Denn ganz offensichtlich tritt bei einer nicht geregelten privaten Nutzung ein Grundrechtskonflikt aus den Persönlichkeitsrechten des Arbeitnehmers, wozu auch das Recht auf Datenschutz zählt, und dem Recht am eingerichteten und ausgeübten Gewerbebetrieb auf Seiten des Arbeitgebers zu Tage.

Offensichtlich? Für den Nicht-Juristen vielleicht dann doch nicht. Ich versuche es, einmal so kurz wie möglich aufzudröseln:

Den ganzen Artikel lesen.

Das Oberlandesgericht Hamburg hat Ende Juni eine insbesondere für Agenturen und deren Auftraggeber zwingend zu berücksichtigende Entscheidung (Az. 3 U 26/12) getroffen. Und zwar zum einen hinsichtlich der Frage, ob die Informationspflicht bei Datenerhebungen nach dem Telemediengesetz eine sogenannte Marktverhaltensnorm ist, bei der ein Verstoß eine wettbewerbsrechtliche Abmahnung auslösen kann. Und zum anderen hinsichtlich der Frage, ob neben der ausführenden Agentur auch das beauftragende Unternehmen im wettbewerbsrechtlichen Sinne in Anspruch genommen werden kann.

Doch worum geht es konkret und im Einzelnen?

I. Der Sachverhalt

Das Unternehmen U vertreibt Blutdruckmessgeräte. Der Hersteller H ebenfalls. Der Hersteller beauftragte den Dienstleister D mit der Schaltung von Werbung im Internet. D schaltete Werbung, mittels derer letztlich Diabetiker aufgefordert wurden, sich zu über das Internet zu registrieren, um so dann das Gerät es Herstellers H „unter Alltagsbedingungen zum Kennenlernen“  zu erhalten.  Die vom Dienstleister D betriebene Internetseite, auf der die Registrierung vorzunehmen war, enthielt weder ein Impressum noch Informationen zur Erhebung und Verwendung der für die Registrierung der angesprochenen Kunden erforderlichen personenbezogenen Daten.

U wandte sich nun jeweils mit einer Abmahnung gegen den Dienstleister, der diese Werbung schaltete sowie die Landing-Page betrieb und gegen den Hersteller der Blutdruckgeräte, der auch den Dienstleister beauftragt hatte. U machte mit der Abmahnung

  1. einen Verstoß gegen § 7 Abs. 1 HWG (Heilmittelwerbegesetz),
  2. einen Verstoß gegen die Impressumspflicht nach § 5 TMG (Telemediengesetz),
  3. einen Verstoß gegen Informationspflicht nach § 13 TMG,

jeweils in Verbindung mit §§ 3, 4 Nr. 11 UWG (Gesetz gegen den unlauteren Wettbewerb), wonach der Verstoß gegen gesetzliche Vorschriften eine unlautere und mithin verbotene geschäftliche Handlung darstellt, geltend.

Während der Dienstleister umgehend eine strafbewehrte Unterlassungserklärung abgab, verweigerte sich dem der Hersteller. Folglich machte das Unternehmen U weiter gerichtlich seine Forderung auf Unterlassung und Kostentragung gegen den Hersteller H geltend.

Der Hersteller H suchte sich mit den Argumenten zu verteidigen, die Abmahnung entbehre schon inhaltlich jeder Grundlage und zudem könne er selbst gar nicht angegriffen werden, da schließlich die Agentur alles (falsch) gemacht habe.

II. Die Entscheidung des OLG Hamburg

Das OLG Hamburg stellte unmissverständlich klar, dass der Hersteller vorliegend selbstverständlich für einen Verstoß seines Dienstleisters haftet. Dies ergibt sich auch wörtlich aus § 8 Abs. 2 UWG, in dem es heißt:

„Werden die Zuwiderhandlungen in einem Unternehmen von […] Beauftragten begangen, so sind der Unterlassungsanspruch und der Beseitigungsanspruch auch gegen den Inhaber des Unternehmens begründet“

Beauftragter im Sinne dieser Norm ist wiederum jeder, der, ohne Mitarbeiter zu sein, für das Unternehmen eines anderen auf Grund eines vertraglichen oder anderen Rechtsverhältnisses tätig ist und hierbei in die betriebliche Organisation dergestalt eingliedert ist, dass der Erfolg seiner Handlung zumindest auch dem Unternehmensinhaber zugute kommt und dem Unternehmensinhaber ein bestimmender und durchsetzbarer Einfluss jedenfalls auf die beanstandete Tätigkeit eingeräumt ist (Vgl.: Köhler/Bornkamm, § 8, Rn. 2.41). Tja, und da der Hersteller H den Dienstleister D nun einmal zum Zweck der Bewerbung der Produkte vertraglich eingeschaltet hat und zugleich in die Abwicklung der Werbeaktion eingebunden war (der Hersteller hat natürlich die Daten letztlich erhalten und die Blutdruckgeräte versendet), ist die Haftung des Herstellers neben der des Dienstleisters für die genannten Verstöße eindeutig.

1. Verstoß gegen das Heilmittelwerbegesetz

Hierzu will ich mich an dieser Stelle gar nicht weiter auslassen, wen es interessiert, der mag das Urteil selbst, insbesondere die Randzeichen 33 bis 40 lesen. Das Gericht sah jedoch einen Verstoß gegen das Heilmittelwerbegesetz als gegeben an.

2. Verstoß gegen die Impressumspflicht

Uhaaaa. Die Geschichte hat sooooo’nen Bart und kostet das Gericht folglich auch nur müde sechs Zeilen (man möge die lapidare Ausdrucksweise verzeihen): Ein fehlendes Impressum des die Seite betreibenden Dienstleisters D ist natürlich ein Verstoß gegen die Impressumspflicht, welcher auch wettbewerbsrechtliche Relevanz hat. (Wer mehr wissen will, mag das Urteil des KG Berlin Az. 103 O 34/10 lesen, das sich ausdrücklich mit diesem Thema befasst.)

3. Verstoß gegen die Informationspflichten

Nun wird es aber hochgradig spannend. Nicht nur, weil der Datenschutz dank Edward Snowden sowieso gerade in aller Munde ist und ich mir vor zwei Tagen zum Recht der informationellen Selbstbestimmung in Zeiten von #prism und #tempora die Finger wund geschrieben habe, sondern aus dem folgenden Grund:

Bislang ist umstritten, ob datenschutzrechtliche Normen wettbewerbsrechtlich relevant sind und damit ob ein Verstoß gegen eine solche Norm von einem Mitbewerber mit einer wettbwerbsrechtlichen Abmahnung quittiert werden kann.

Einfallstor für den wettbewerbsrechtlichen Bezug und damit die Abmahnung ist der schon genannte § 4 Nr. 11 UWG, in dem es heißt

„Unlauter handelt insbesondere, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.“

Die Frage ist also, ob die Vorschrift des § 13 Abs. 1 TMG, wonach Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten […] n allgemein verständlicher Form zu unterrichten sind, eben eine solche „Marktverhaltensnorm“ im Sinne des UWG darstellt.

Das KG Berlin hat in seiner Entscheidung vom 29.04.2011 (Az. 5 W 88/11)  eine solche wettbewerbsbezogene Funktion des § 13 Abs. 1 TMG nicht erkannt. Die Norm solle nur gewährleisten, dass der Nutzer sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann. Und weiter: Für die Beurteilung, ob ein Verstoß im Sinne des § 4 Nr. 11 UWG vorliegt, ist es unerheblich, ob sich ein Unternehmen durch die Missachtung einer derart auf den Datenschutz bezogenen Informationspflicht einen Vorsprung im Wettbewerb verschafft.

Verstanden habe ich diese Argumentation schon damals nicht und schrieb bereits im Oktober 2012 Zusammenhang mit einem Artikel von Dr. Thilo Weichert „Datenschutz als Geschäftsmodell – Der Fall Facebook“ das Folgende:

Die bestehende Auffassung von einigen Gerichten (KG Berlin, OLG München), dass Datenschutznormen keine Marktverhaltensregelungen im Sinne des UWG darstellen und der Verstoß dagegen deswegen von Mitbewerbern nicht angegriffen werden kann, mutet vor dem Hintergrund, dass eben heutzutage mit eben jenen (wie auch immer erlangten) Daten ein großes Geschäft gemacht wird (also derjenige, der den Datenschutz mit Füßen tritt im Zweifel einen Wettbewerbsvorteil erlangt), nahezu skurril an.“

Das OLG Hamburg sieht dies nun ebenso, denn es führt aus:

„Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln“

Die Begründung des OLG Hamburg unter Randzeichen 58 zur Marktbezogenenheit der Datenschutznorm ist insgesamt sehr lesenswert.

III. Und nun? Was bedeutet das?

Nun stehen sich zwei oberlandesgerichtliche Rechtsprechungen konträr gegenüber. Die einen sagen hü, die anderen hott. Meines Erachtens handelt es sich bei der Entscheidung des KG Berlin allerdings um eine Fehlentscheidung, die vor dem Hintergrund der schon erwähnten heutigen wirtschaftlichen Bedeutung von Daten nicht aufrechterhalten werden kann.

Da meiner Meinung aber nicht wirklich eine irgendwie geartete Relevanz für die in anderen Fällen zu entscheidenden Richter innewohnt, ist das Folgende anzumerken:

Da zum einen die Linie der Rechtsprechung (noch) nicht klar ist, es zum anderen aber nun eine bejahende oberlandesgerichtliche Entscheidung zum Thema „Datenschutzregelungen als Marktverhaltensnormen“, ist in jedem Fall dazu zu raten, jeweils eine ordnungsgemäße Datenschutzerklärung vorzuhalten und den Datenschutz an dieser Stelle ernst zu nehmen. Das sollten Werbetreibende aus vertrauensbildenden Gründen und zur Vermeidung von genervten Kunden zwar ohnehin tun, aber vielen ist und war das dann doch relativ egal. Die Entscheidung des OLG Hamburg zeigt aber nun die dem Datenschutz innewohnende wettbewerbsrechtliche Relevanz auf und macht deutlich, dass wettbewerbsrechtliche Abmahnung in diesem Bereich zu Recht ergehen können. Folglich steigt das Risiko von Mitbewerbern und/oder den Mitbewerbern der beauftragenden Unternehmen abgemahnt zu werden.

IV. Last but not least: Zum Verhältnis zwischen Agentur und Auftraggeber

Darüber hinaus sollten sich Agenturen bewusst machen, dass zwar nach außen auch der Auftraggeber wettbewerbsrechtlich neben der Agentur in Anspruch genommen werden kann, aber der Auftraggeber aller Wahrscheinlichkeit nach und mit gutem Recht bei der Agentur aufgrund der Schlechtleistung Regress nehmen und sich die Kosten für den Rechtsstreit ersetzen lassen wird.

Schließlich ist die Agentur grundsätzlich für die für den Auftraggeber durchgeführte Kampagne verantwortlich. Die Agentur ist zunächst mal dafür verantwortlich, dass eine für den Kunden konzipierte und durchgeführte Kampagne frei von Mängeln ist. Ein Mangel kann auch eine rechtswidrige Werbemaßnahme sein (vgl. OLG Düsseldorf, Az.: 5 U 39/02), denn in dem Fall ist die Kampagne faktisch nicht erlaubt, damit nicht durchführbar und die Agentur hat Ihre (Dienst-)Leistung nicht ordnungsgemäß gegenüber dem Kunden, also dem Auftraggeber, erbracht. Nun ist es der Agentur zwar möglich, die Verantwortung für eine rechtliche Prüfung einer solchen Kampagne und damit die rechtliche Verantwortung qua vertraglicher Vereinbarung auf den Kunden/Auftraggeber abzuwälzen. Dies ist jedoch zum einen nicht ganz einfach. Zum anderen wird es dann schwierig, wenn die Agentur von vornherein weiß, dass die empfohlene Kampagne zu gerichtlich durchsetzbaren Ansprüchen gegenüber dem Kunden führen wird, bzw. führen kann. Dann kann sich die Agentur kaum damit exculpieren (juristisch für: herausreden), dass die rechtliche Prüfung der Angelegenheit Sache des Kunden/Auftraggebers gewesen wäre. Im Übrigen: In der harten Realität alles Fragen der jeweiligen Darlegungs- und Beweislast.

In diesem Sinne,

am besten einfach immer gleich vernünftig um den Datenschutz kümmern.

tl;dr: Datenschutz wird immer wichtiger, wer als Agentur und/oder Auftraggeber dem durch die Entscheidung des OLG Hamburg gestiegenen Abmahnrisiko entgegentreten möchte, sollte sich um vernünftige Datenschutzerklärungen mühen.

Autor: Nina Diercks

In der letzten Woche habe ich  nahezu täglich Berichte bzw. ganze Sonderbeilagen aus der WELT KOMPAKT zum Thema „Bewerbermangel“ meinem Mann, der sich bekanntermaßen mit dem Thema im Recrutainment-Blog beschäftigt, auf den Schreibtisch gelegt (ich überlege schon Honorar für das Presse-Clipping zu verlangen… ;=) ). Doch nicht nur der Blick in die Presse, sondern auch der auf meine Mandate zeigt: Active Sourcing & TRM ist „der heiße Scheiß“ der Personaler. Und da Personalthemen hier in den letzten Monaten ohnehin zu kurz gekommen sind, nehme ich das doch gerne zum Anlass, mich darüber auszulassen.

Im hier vorliegenden ersten Teil geht es zunächst einmal um die Fragen was Active Sourcing & TRM eigentlich ist (I.), warum sich ein Personaler um die rechtliche Seite den Kopf zerbrechen sollte (II.) und warum § 32 BDSG (Datenerhebung Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) hier gerade nicht weiter hilft (III.)

I. Active Sourcing? TRM? – Was’n das?

(Für diejenigen, denen das total klar ist: Bitte gleich weiter zur nächsten Überschrift)

Auch wenn so mancher es nicht glauben mag, viele Unternehmen in Deutschland haben ein Problem: Sie bekommen ihre Stellen nicht besetzt. Die Zeiten, in denen Personaler sich die besten Kandidaten aussuchen konnten, sind in vielen Regionen und Branchen schlicht passé. Schon 2011 stellte das Institut der deutschen Wirtschaft in Köln fest, dass der Fachkräftemangel für 80% der Unternehmen ein Problem darstellt. Gelöst oder auch nur gebessert hat sich das nicht – im Gegenteil. Und so kämpfen die Unternehmen mit Employer Brand Kampagnen teilweise darum, überhaupt die Aufmerksamkeit der Bewerber und damit eine (die richtige!) Bewerbung zu erhalten.

In manchen Bereichen reicht aber eben das Hinhalten von interessanten, gar schmackhaften, Ködern nicht, um den Fisch zu fangen.  Die Personaler müssen vielmehr zu den Fischen in den Teich steigen und nach ihnen tauchen, um vielleicht einen davon überzeugen zu können, mit hinaus zu kommen. Und manche Fische sagen auch: „Oh wie nett. Aber ich möchte gerne noch ein bisschen was an der Teich-Universität lernen oder mir einen anderen Teich angucken, vielleicht komme ich aber zu einem anderen Zeitpunkt mit.“ Tja, und um einen solchen Fisch nicht zu verlieren, muss man schon einen Peilsender anbringen….

Anders ausgedrückt: Die Unternehmen gehen eben aktiv auf die Suche nach potentiellen Mitarbeitern außerhalb des Unternehmens, neudeutsch „Active Sourcing“ und versuchen, selbst, wenn eine Rekrutierung derzeit nicht in Betracht kommt, den Kontakt zu dem interessanten Kandidaten nicht zu verlieren, neudeutsch „Talent Relationship Management“.

Diese Art der Mitarbeitergewinnung ist natürlich in Zeiten von Social Media wesentlich einfacher geworden: Auf Plattformen wie XING kann gezielt und gefiltert nach Kandidaten gesucht werden, in Spezialisten-Foren kann man sich sicher sein, eben solche auch zu treffen und auf Facebook läuft einem sowieso eine Menge vor diese Nase. Da kann man doch schnell eine Nachricht schreiben oder interessante Kandidaten einfach mal vormerken und Sie regelmäßig kontaktieren. Oder?

II. Warum sollte man (der/die Personaler/in) sich darüber den Kopf zerbrechen? 

An dieser Stelle wird sich so mancher fragen, warum er denn überhaupt in die rechtlichen Tiefen dieser Fragestellungen einsteigen soll. Denn wo kein Kläger, da kein Richter und wer klagt denn schon, wenn ihm ein Unternehmen das Interesse anträgt, ihm (oder ihr) also der Bauch gepinselt wird?

Zunächst kann der Betroffene materielle und/oder immaterielle Schadensersatzansprüche bei einem Datenschutzverstoß geltend machen und schon lange nicht mehr jeder Programmierer oder Verfahrenstechniker fühlt sich beim 38. Anruf oder der 52. Email wegen seiner beruflichen Perspektive noch geschmeichelt – ganz im Gegenteil. Darüber hinaus kann ein Wettbewerber gegebenenfalls wegen des unlauteren Abwerbens eines Mitarbeiters einen Prozess anstrengen. Und schließlich kann das Bekanntwerden von Datenschutzverletzung eine Beeinträchtigung der Reputation eines Unternehmens zur Folge haben. Die Haltung „Ein Shitstorm geht schon vorüber“ hilft dabei einem an der Börse notierten Unternehmen, bei dem in diesem Fall ein Verstoß gegen die eigenen Compliance-Richtlinien vorliegt, im Zweifel wenig.

Bislang gibt es in der Praxis zwar recht wenige Prozesse, die sich überhaupt mit Schadensersatzansprüchen in Folge von Datenschutzverletzungen befassen (bspw. LG Stuttgart, Az. 21 O 97/01), es ist aber abzusehen, dass diese aufgrund der vermehrt aufkommenden Datenschutzproblematik und Sensibilisierung zunehmen werden. Schließlich gab es bis Anfang letzten Jahres auch keinen einzigen arbeitsgerichtlichen Prozess wegen der Äußerungen von Mitarbeitern in sozialen Netzwerken. Doch seitdem sind eine handvoll Prozesse geführt worden. Und hinsichtlich des unlauteren Abwerbens eines Mitarbeiters via XING ist die erste Entscheidung bereits ergangen (LG Heidelberg, Az. 1 S 58/11).

Vor dieser unübersichtlichen Gemengelage steht dann einerseits der Personaler, der dringend seine Stellen besetzen möchte und muss. Und auf der anderen Seite die Rechtsabteilung, die unter Verweis auf die Compliance-Regelungen des Unternehmens und der nahezu gänzlich fehlenden konkreten Rechtsprechung (sowie vor dem Hintergrund der mangelnden eigenen Zeit, tiefer in die Materie einzusteigen) aus Sicherheitsgründen die dringende Empfehlung, wenn nicht gar Vorgabe, abgibt, es mit dem Active Sourcing und TRM sein zu lassen. Und das ist – für den Personaler – ein ganz handfestes Praxisproblem.

Dabei ist diese Empfehlung gar nicht ausgemacht. Ganz im Gegenteil. Die gute Nachricht lautet bereits jetzt: Active Sourcing & TRM ist nach bestehender Rechtslage durchaus gesetzeskonform möglich.

III. Rechtliche Probleme von Active Sourcing & Talent Relationship Management

Tatsächlich geht das Suchen, Finden und Kontaktieren von potentiellen Kandidaten dank der verschiedenen sozialen Netze relativ leicht. Rechtlich sind jedoch Fragen des Datenschutzes und damit die Persönlichkeitsrechte der Kandidaten betroffen. In Folge dessen sind Active Sourcing und TRM keine Selbstgänger. (Der Gesetzgeber hatte zwar bereits im Jahr 2010 versucht, mit einem mit einem Gesetzesentwurf auf diese Problematik zu reagieren (siehe dazu hier und hier). Das Gesetz ist jedoch bis heute nicht in Kraft getreten, Näheres dazu findet sich hier.)

1. Research & Anlegen von Kandidatenprofilen sind datenschutzrechtlich relevante Handlungen

Beabsichtigt ein Unternehmen die Suche nach potentiellen Kandidaten, so sollte es aber den letzten Wortteil, eben die DATEN und damit den Datenschutz auf der Agenda haben. Denn nach dem Bundesdatenschutzgesetz (§ 3 BDSG) ist die Suche von Kandidaten, das Anlegen von Kandidatenprofilen sowie die Ansprache und Beziehungspflege als das Erheben (Beschaffen), das Verarbeiten und das Nutzen von Daten zu qualifizieren.

2. Eigentlich ist es verboten – es sei denn, es ist erlaubt 

Eine solche Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist jedoch nach § 4 Abs. 1 BDSG nur zulässig, wenn der Betroffene (also der Kandidat) eingewilligt hat oder aber eine Rechtsvorschrift dies erlaubt. (Der hübsche juristische Fachbegriff für eine Regelung wie diese lautet übrigens: „Verbot mit Erlaubnisvorbehalt„. Toll. Können Sie sich jetzt merken. Zum Angeben. Für das nächste Gespräch mit der Rechtsabteilung. Oder so. ;=) )

Tja. Da das Unternehmen den Betroffenen selbst noch gar nicht kennt – schließlich will es diesen ja gerade suchen und kontaktieren – kann eine Einwilligung schon nicht vorliegen. Demnach bedarf es also einer gesetzlichen Regelung, die die Datenerhebung in solchen Fällen erlaubt.

a. Erlaubnis nach § 32 BDSG – Datenerhebung zu Zwecken des Beschäftigtenverhältnisses

Dem geneigten Personaler mag nun sofort § 32 BDSG in den Sinn kommen, wonach „Personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden [dürfen], wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Klingt gut. Schließlich dreht es sich hier auf den ersten Blick um den allerersten Baustein eines möglichen Rekrutierungsprozesses und damit um ein Beschäftigungsverhältnis. Und bei Beschäftigungsverhältnissen ist § 32 BDSG ein andere Normen verdrängendes lex specialis. Dieses Ergebnis wäre jedoch vorschnell getroffen. Denn zunächst ist zu fragen, ob es sich bei einem potentiellen Kandidaten überhaupt um einen Beschäftigten im Sinne des § 32 BDSG handelt.

Klar ist, dass Bewerber Beschäftigte im Sinne von § 32 BDSG sind. Das ergibt sich zum einen aus der Legaldefinition des § 3 Abs. 11 Nr. 7 BDSG und zum anderen aus § 32 BDSG selbst, der von der „Begründung des Beschäftigungsverhältnisses“ spricht. Der Bewerber soll dadurch vor einer Ausforschung durch den Arbeitgeber in der vorvertraglichen (Vertrauens-)Phase des Rekrutierungsprozesses geschützt werden.

Fraglich ist jedoch, ob sich die Norm auch auf potentielle Kandidaten bezieht. Denn zum Zeitpunkt der Datenerhebung (Search) wissen weder Unternehmen noch Kandidat, ob jemals ein konkreter Rekrutierungsprozess (= entsprechend einer Bewerbungsphase) geschweige denn ein Beschäftigungsverhältnis entsteht. Während sich zwischen einem Bewerber und dem potentiellen Arbeitgeber schon eine (vorvertragliche) Beziehung manifestiert hat, an dessen Ende womöglich ein Beschäftigungsverhältnis steht, mangelt es zu Beginn des Active Sourcing Prozesses an eben einer solchen Beziehung. Die vorvertragliche Vertrauensphase zwischen Bewerber und Unternehmen, bei der der Gesetzgeber dem Bewerber/Arbeitnehmer besonderen Schutz zubilligt, ist im Fall der Suche nach nur potentiellen, erst noch zu identifizierenden Kandidaten schlicht nicht vorhanden. Die Subsumtion von diesen erst überhaupt noch zu  identifizierenden Kandidaten unter den Beschäftigtenbegriff  wäre eine schlichte Überdehnung des Erlaubnistatbestands.

Dies auch deswegen, da bei § 32 BDSG davon ausgegangen wird, dass die Daten grundsätzlich beim Betroffenen und nur in Ausnahmefällen bei Dritten (z.B. dem vorhergehenden Arbeitgeber) erhoben werden dürfen. Gänzlich fikeliensch (wie man hier im Norden sagt) wird es bei der Erhebung von Daten aus allgemein zugänglich Daten. Das ist in einem sehr engen Rahmen auch über § 32 BDSG möglich, doch die ausufernde Erhebung und Speicherung von Daten sollte mit dieser Norm gerade zum Schutz des Bewerbers eingegrenzt werden.

Das Vorgehende spricht dafür, dass § 32 BDSG als Erlaubnistatbestand für das Active Sourcing nicht trägt. Nach hiesiger Auffassung kann § 32 BDSG überhaupt erst Anwendung finden, wenn und soweit vom Bewerber eine irgendwie geartete Bewerbung beim Arbeitgeber eingereicht wurde, die die vom Gesetzgeber zu Gunsten des Bewerbers als schützenswert geachtete Beziehung manifestiert.

Ich will jedoch nicht verhehlen, dass es auch Stimmen gibt, die ungeachtet der vorstehenden Argumentation § 32 BDSG als lex specialis für die stets vorgehende Norm im Zusammenhang mit Beschäftigungsverhältnisses erachten (Juristenkauderwelsch zum Angeben 2. Teil ;=) : lex specialis meint einfach nur, dass es sich um eine spezielle Norm für einen speziellen Sachverhalt handelt, die immer vorrangig zu sonstigen allgemeinen Normen ist. Voraussetzung zur vorrangigen Anwendung einer solchen speziellen Norm ist aber, dass es sich auch eben um diesen speziellen Sachverhalt handelt… so, dazu siehe nun siehe wieder oben.)

Wenn man der Auffassung wäre, dass § 32 BDSG auf den vorliegenden Fall anzuwendendes lex specialis ist, dann müsste man sich an dieser Stelle weiter damit auseinandersetzen, ob  die Erhebung auch für Zwecke des Beschäftigungsverhältnisses (Frage: Wie konkret muss hier die Zweckbindung sein?) erfolgt und ob diese erforderlich, also verhältnismäßig zum angestrebten Zweck, ist. Und schließlich kann die interessante Frage gestellt werden, ob es ein Unterschied macht, ob das Unternehmen selbst oder aber ein Headhunter auf die Jagd geht (mE ja!).

b. Erlaubnis nach § 28 Abs. 1 Nr. 3 BDSG – Erheben von Daten für eigene Geschäftszwecke

Eine Lösung für das oben aufgezeigte Dilemma bietet § 28 Abs. 1 Nr. 3 BDSG. Dieser greift gerade die Fälle auf, in denen die Daten nicht direkt bei dem bzw. von dem Betroffenen durch eine Bewerbung erhoben werden und bleibt in so weit neben dem § 32 BDSG bestehen. Nach § 28 Abs. 1 Nr. 3 BDSG ist das

„Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke […] zulässig, […] wenn die Daten allgemein zugänglich sind […], es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.“

Vereinfacht und weniger verklauselt ausgedrückt: Das Anlegen von Kandidatenprofilen zu eigenen Zwecken wie der Personalbeschaffung ist zulässig, wenn die Daten aus allgemein zugänglichen Quellen stammen und auf Seiten des Kandidaten keine schutzwürdigen Interessen entgegenstehen.

Dabei ist natürlich die Frage, was eine allgemein zugängliche Quelle ist. Nach dem BVerfG (E 33, 52, 65) ist eine Quelle dann allgemein zugänglich, wenn, wenn die Informationsquelle technisch dazu bestimmt und geeignet ist, der Allgemeinheit, d.h. einem individuell nicht mehr bestimmbaren Personenkreis, Informationen zu beschaffen. Damit ist das Internet ganz klar eine allgemein zugängliche Quelle und Daten, die frei mit einer Suchmaschine auffindbar sind, müssen als allgemein zugängliche Daten im Sinne des BDSG gelten.

Die große Frage ist aber eigentlich, ob damit auch Daten aus geschlossenen Netzwerken wie Fachforen, Facebook, GooglePlus und XING öffentlich zugängliche Daten im Sinne des § 28 BDSG sind.

Zum Teil wird dabei argumentiert, dass diese Daten keine öffentlich zugänglichen Daten sein können, da eine Einsicht erst nach einer vorherigen Anmeldung und der Registration als Mitglied möglich seien. Diese Argumentation entspringt jedoch der Offline-Welt, in der der Zugang zu Vereinen und deren Mitgliederverzeichnissen erst nach einer Anmeldung und/oder sonstigem Briefverkehr möglich war. Die Hürde, um Einsicht zu erlangen, war tatsächlich relativ hoch.

Anders verhält es sich jedoch mit dem Beitritt in ein digitales Netzwerk. Dies ist mit wenigen Klicks und kaum einem Zeitaufwand verbunden, kaum mehr als mit dem Aufschlagen eines Telefonbuches. Insoweit müssen auch die innerhalb eines Netzwerkes frei zugänglichen Daten als allgemein zugängliche Daten im Sinne des § 28 BDSG bewertet werden.

Nicht verwechselt werden dürfen diese Daten mit solchen, die durch die Privateinstellungen vor Zugriffen beliebiger Mitglieder geschützt sind. So kann nicht der Werkstudent, der Verfahrenstechnik studiert, mit der Aufgabe betraut werden, seine Freunde und deren darüber zugängliche Freunde in Netzwerken nach ihrer Eignung als potentielle Kandidaten abzuklopfen und dem Unternehmen diese „zu übergeben“.

Ein schutzwürdiges Interesse des Kandidaten, das der Erhebung der Daten entgegenstehen könnte, wird in der Regel nicht bestehen. Schließlich werden die Daten aus allgemein zugänglichen Quellen, also der Geschäftssphäre des Kandidaten erhoben. Eine Verletzung des Rechts auf informationelle Selbstbestimmung liegt damit nicht vor.

3. So weit so gut – Und weiter?

Es gibt eine gute und eine schlechte Nachricht.

Die gute Nachricht lautet: Es gibt eine gesetzliche Erlaubnisnorm auf die Active Sourcing gestützt werden kann. Die Gelehrten streiten sich zwar wie aufgezeigt im Detail.  Diesen Streit in eben diesen Details hier auszubreiten, würde jedoch den Rahmen sprengen – und die meisten Leser herzlich wenig interessieren. :=).

Die schlechte Nachricht lautet: Mit dem Wissen um die Erlaubnisnorm ist es für die Handelnden nicht getan. Der sogenannte Zweckbindungsgrundsatz des § 28 Abs. 1 S. 2 BDSG verlangt ebenso Beachtung wie Benachrichtigungspflichten, denen möglicherweise nachzukommen sind, und Protokollierungspflichten, die in diesen Fällen sicher auf die Unternehmen zukommen. Da sitzt der Hase im Pfeffer. Aber bitte nicht zuviel Angst, das ist alles ebenfalls machbar.

4. Kandidatenansprache & Talent Relationship Management

Während aus juristischer Sicht nun schon eine Menge auseinander genommen wurde, haben wir aus Sicht des geplagten Personales gerade einmal einen Kandidaten identifiziert und in den Datenpool auf genommen. Welche rechtlichen Stolpersteine in der Ansprache liegen und wie Peilsender zum weiteren Beziehungsmangagement angebracht werden dürfen, das wird  im zweiten Teil ausgebreitet werden.

In diesem Sinne,

nicht Verzweifeln beim Active Sourcing – außer vielleicht an leeren Teichen…

tl;dr: Active Sourcing ist nach geltender Gesetzeslage grundsätzlich rechtskonform möglich. Mehr zu Kandidatenansprache und TRM beim nächsten Mal.

In letzter Zeit sind diverse Flirt-Apps wie Tinder, happn oder Badoo zum echten Renner auf den Smartphones geworden, wie auch diverse Medienberichte beweisen. Immer mehr Jugendliche nutzen solche Apps für die schnelle Kontaktaufnahme oder einfach nur aus Spaß oder zum Ego-Pushing.  Doch irgendwie geht die Diskussion um den Datenschutz ein wenig unter, was vielleicht auch daran liegen mag, dass diese Apps nicht aus dem Hause von Facebook oder Google stammen und die Nutzer (und Journalisten?) von den vielen Urlaubs-Selfies im Bikini geblendet sind.

Den ganzen Artikel lesen.

1 13 14 15

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.