§ 28 Abs. 1 Satz 1 Nr. 3 BDSG würde ein Erheben personenbezogener Daten für eigene Geschäftszwecke als zulässig erachten, wenn die Daten allgemein zugänglich sind und schutzwürdige Interessen des Betroffenen nicht überwiegen. Allerdings ist durch die Einführung des § 32 BDSG eine speziellere Norm geschaffen worden, der gerade den Umgang personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses regelt.
Grundsätzlich gilt das Recherchieren von Arbeitnehmer-Daten als Erheben personenbezogener Daten im Sinne des § 32 Abs. 1 Satz 1 BDSG. Das wäre allerdings nur dann von dieser Norm gedeckt, wenn das Erheben für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.
Soziale Netzwerke beinhalten unter anderem auch solche Informationen, die das Privatleben der Bewerber betreffen. Da der Persönlichkeitsschutz auch im Arbeitsverhältnis garantiert ist, bedarf es im Einzelfall immer einer Güter- und Interessenabwägung (Bergamnn/ Möhrle/ Herb, Datenschutzrecht, 40. Ergänzungslieferung, November 2009, § 32, Rdnr. 39). Denn greift der Arbeitgeber in das Persönlichkeitsrecht der Bewerber ein, liegt zugleich ein Verstoß gegen arbeitsvertragliche Pflichten aufseiten des Arbeitgebers vor. Gleiches muss auch für das Stadium vor Abschluss eines Arbeitsvertrages gelten; in einem solchen Fall würde der potenzielle Arbeitgeber vorvertragliche Pflichten verletzen (culpa in contrahendo).
Hier besteht Rechtsunsicherheit, welche Recherchen über welche Informationen als erforderlich gelten oder nicht. Dies richtet sich nach objektiven Maßstäben. Der potenzielle Arbeitgeber kann sich nicht darauf berufen, dass ein etwaiges „unternehmerisches Konzept“ allein die Erforderlichkeit bestimmen kann (Ebenda, Rdnr. 41). So kann auch die Begründung, ein „Background-Screening“ durchführen zu müssen, um Compliance-Richtlinien einzuhalten, nicht überzeugen. Unter Compliance-Gesichtspunkten kann gerade ein Datenschutzverstoß nicht als rechtmäßig angesehen werden.
Was ist privat und was beruflich?
Schwierig bei sozialen Netzwerken ist die oft untrennbare Vermischung zwischen privaten und beruflichen Informationen.
Eine Recherche in sozialen Netzwerken würde dem in § 4 Abs. 2 Satz 1 BDSG normierten Grundsatz der Direkterhebung zuwiderlaufen. Danach sind personenbezogene Daten grundsätzlich beim Betroffenen zu erheben.
In diesem Zusammenhang könnte man an eine Einwilligung (§ 4a BDSG) der Beschäftigten denken. Zum einen muss jedem, der seine privaten Urlaubsbilder o.ä. ins Netz stellt, bewusst sein, dass in einem Netz, das nichts vergisst, auch solche Informationen von Außenstehenden gesucht und gefunden werden können, auf welche nicht unbedingt jeder Zugriff haben sollte; zum anderen könnte der Beschäftigte sein Profil dahin gehend bearbeiten, dass es nur für von ihm als berechtigt eingestufte Personen sichtbar ist (sog. „Freunde“) und damit den Benutzerkreis definieren. Tut er das nicht, könne man darin eine Art Einwilligung sehen, dass die Informationen (durch Außenstehende) genutzt werden dürfen. Zumindest könnte man die Ansicht vertreten, dass jeder, der seine Daten in sozialen Netzwerken veröffentlicht und bewusst nicht mit oben genannten Einstellungen sein Profil sichert, wenig schutzbedürftig ist.
Jedenfalls spricht der schon im Datenschutz verankerte Grundsatz der Zweckbestimmung dagegen, in offensichtlich privaten Netzwerken für betriebliche Zwecke zu recherchieren, insbesondere Bewerber zu screenen.
Beschäftigungsdatenschutzgesetz geplant
Unter dem Gesichtspunkt des geplanten Entwurfs des Beschäftigtendatenschutzgesetzes (bei dem für private und öffentliche Arbeitgeber 18 Informationspflichten gegenüber ihren Beschäftigten neu eingeführt werden sollen) ist auszuführen, dass nach dem geplanten § 32 Abs. 6 Satz 1 BDSG-E der Grundsatz der Direkterhebung unmittelbar bei der Regelung der Beschäftigten Einzug finden soll. Für Arbeitgeber besteht aber die Möglichkeit, allgemein zugängliche Daten ohne Mitwirkung des Beschäftigten zu erheben, wenn keine schutzwürdigen Interessen des Beschäftigten überwiegen und der Arbeitgeber den Beschäftigten vor Erhebung auf die Möglichkeit hingewiesen hat. Ein solches „Hinweisen“ wäre beispielsweise durch eine Angabe in der Stellenausschreibung möglich. Das geplante Beschäftigtendatenschutzgesetz sieht eine Differenzierung zwischen den jeweiligen Netzwerken vor: Danach würde das schutzwürdige Interesse des Beschäftigten bei sozialen Netzwerken grundsätzlich überwiegen, wenn es sich nicht um ein Netzwerk handelt, das zur Darstellung der beruflichen Qualifikation bestimmt ist. Zusammengefasst bedeutet das: Eine Recherche des Arbeitgebers auf Facebook wäre nicht zulässig. Eine Recherche auf Xing hingegen schon. Fraglich ist dann, inwieweit Foreneinträge oder Gruppenmitgliedschaften von den potenziellen Arbeitgebern ausgewertet werden dürften.
Fazit
Alles in allem sind Informationen aus dem Internet nicht unbedingt zuverlässige Quellen. Man muss nicht zwangsläufig unter seiner tatsächlichen Identität auftreten. Es ist ein Einfaches, mit der Identität eines anderen aufzutreten. Aufgrund der Tatsache, dass es mehrere Personen mit gleichem Namen geben kann, ist eine eindeutige Zuordnung des potentiellen Beschäftigten nicht zwingend möglich. Allein aus diesen Gründen sollte den Arbeitgebern der Weg über eine Recherche in nicht berufsbedingten sozialen Netzwerken untersagt werden. Auch aus datenschutzrechtlicher Sicht ist der Regelung im Entwurf des Beschäftigtendatenschutzgesetzes zuzustimmen und hat eine Bewerber-Recherche in nicht berufsbedingten sozialen Netzwerken zu unterbleiben.
Doris Brandl
Doris Brandl ist Rechtsanwältin und zertifizierte Datenschutzbeauftragte (IHK). Sie arbeitet auf den Gebieten Compliance, Datenschutz und Steuerstrafsachen bei der BDO AWT GmbH in München. Hierbei berät sie v.a. mittelständische Unternehmen u.a. als externe (stellvertretende) Datenschutzbeauftragte und Compliance-Verantwortliche.Sie veröffentlicht Fachaufsätze und referiert zu aktuellen Themen ihrer Tätigkeitsschwerpunkte.