Transcript
TOP-THEMA DATENSCHUTZ: SCREENING VON BEWERBERN
Die Verlockungen von Google & Co Der Bewerbungsprozess bringt einige datenschutzrechtliche Tücken mit sich. Wo dürfen Informationen über Kandidaten eingeholt werden und wo nicht? Einige Tipps, damit Sie beim Screening Ihrer Kandidaten nicht im Netz hängen bleiben. Bettina Hübscher, MLaw und MRisk
Soziale Netzwerke verändern das Kommunikationsverhalten und verschieben die Grenzen von Privatsphäre und Öffentlichkeit. Von dieser Entwicklung sind unter anderem arbeits- und datenschutzrechtliche Bereiche betroffen – und damit auch die Personalabteilung. Zwar bieten soziale Netzwerke HR-Verantwortlichen neue Möglichkeiten, wie etwa bei der betriebsinternen Kommunikation oder beim Bewerbungsprozess, doch im Hinblick auf den Datenschutz gilt es verschiedenste Risiken zu beachten. Einige kontrovers diskutierte Fragen werden im Folgenden beleuchtet und mit Lösungsansätzen umrahmt. Datenschutz ist oberstes Gebot Die Pflicht des Arbeitgebers, die Persönlichkeit des Arbeitnehmers zu schützen, beinhaltet auch die Datenschutzpflicht. Sowohl im Bewerbungsprozess als auch während des Arbeitsverhältnisses werden in grossem Umfang personenbezogene Daten erhoben und in der Regel über längere Zeit bearbeitet. Art. 328b OR legt explizit fest, dass der Arbeitgeber Daten über den Arbeitnehmer nur bearbeiten darf, wenn sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Was sind Personendaten? Als Personendaten gemäss dem Datenschutzgesetz (DSG) gelten alle Daten, die
sich auf eine bestimmte Person beziehen (Alter, Ausbildung sowie auch Werturteile bezüglich der Arbeitsleistung). Zudem spezifiziert das DSG die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten sowie die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit als besonders schützenswerte Daten. Darunter fallen auch Zusammenstellungen von Daten, wie sie im Personaldossier oder in einem Arbeitszeugnis typisch sind. Diese Sammlungen werden als Persönlichkeitsprofile qualifiziert. Anhand dieser gesetzlichen Vorschriften müssen wir uns also im Arbeitsprozess verhalten und darauf sensibilisiert sein, dass im HR-Prozess hochsensible Daten bearbeitet werden. Und Vorsicht: dieser Prozess beginnt bereits beim Bewerbungsverfahren. Umgang mit Bewerbungsunterlagen Bewerbungsunterlagen sind mit höchster Diskretion zu behandeln und dürfen nur von den zuständigen Personen eingesehen werden. Prüfen Sie genau, auf welchem Weg Sie die elektronischen Bewerbungsunterlagen einfordern. Die häufig angegebene info@Adresse bringt das Risiko mit sich, dass mehrere Personen auf die Unterlagen Zugriff haben. Schränken Sie deshalb den Kreis der Personen ein oder verwenden Sie die eigene E-Mail-Adresse.
Was gilt es bei Referenzauskünften zu beachten? • Einfache Auskünfte sind direkt beim Bewerber einzuholen. • Bevor eine Referenzauskunft eingeholt wird, muss der Bewerber darüber informiert werden und es ist seine Einwilligung einzuholen. Es gilt zu definieren, bei welchen ehemaligen Arbeitgebern Referenzauskünfte eingeholt werden. • Die Einwilligung muss freiwillig erfolgen. Der Bewerber darf nicht unnötig unter Druck gesetzt werden, indem man ihm in Aussicht stellt, dass die Referenzauskünfte «sowieso» eingeholt werden. Es gilt auch nicht als Einwilligung, wenn der Bewerber im Rahmen des Bewerbungsgesprächs die Namen seiner ehemaligen Arbeitgeber bekannt gibt. • Wenn der Bewerber das Einholen von Referenzauskünften untersagt, muss auf das Einholen von Referenzauskünften verzichtet werden. Eine Ausnahme gilt bei Tendenzbetrieben. • Wenn sich ein Bewerber in einem ungekündigten Arbeitsverhältnis befindet, dürfen beim aktuellen Arbeitgeber ohne Einwilligung auf keinen Fall Referenzauskünfte eingeholt werden.
6
ARBEITSRECHT
NEWSLETTER 04
Am Ende der Evaluation ist klar, welche der Bewerber nicht berücksichtigt werden. Diese Daten sind zu vernichten bzw. dem Bewerber zurückzugeben. Stellen Sie sicher, dass, wenn mehrere Personen die Unterlagen zur Prüfung erhalten haben, jede von ihnen den Papierausdruck vernichtet oder das abgespeicherte Dossier im persönlichen Ordner löscht. Um hier den Überblick zu bewahren, ist es ratsam, eine Plattform einzurichten, auf der definierte Personen Zugriff auf die Bewerbungsdossiers haben. So schränken Sie den Weiterversand per E-Mail ein und stellen sicher, dass die Daten am Ende des Bewerbungsprozesses gelöscht werden. Eine noch offene Frage ist, ob das Löschen auf dem Server reicht oder ob sogar das Backup – sprich, die Sicherungskopie – auf dem Server vernichtet werden muss. Fragen im Vorstellungsgespräch Im Rahmen des Vorstellungsgesprächs dürfen nur Fragen thematisiert werden, die für die betreffende Arbeitsstelle geeignet und zur Durchführung des Arbeitsvertrages erforderlich sind. Die Fragen dürfen sich also nur auf die berufliche Ausbildung und Erfahrung beziehen. Bei Stellen mit grösserer Verantwortung und Kompetenz oder bei Tendenzbetrieben (z.B. Vorstrafen bei einem Securitas) ist es zulässig, weitere Informationen, wie Strafregisterauszüge, einzuholen. Diese Einschränkung gilt ebenfalls bei der Durchführung von Eignungstests und Assessments (psychologische oder grafologische Gutachten). Fragen, die über dieses Mass hinausgehen, dürfen vom Bewerber mit einer Notlüge beantwortet werden, weil eine Verweigerung der Antwort wohl die Chance auf den Erhalt der Stelle beträchtlich schmälern würde. Referenzauskünfte Traditionell wird in erster Linie das Arbeitszeugnis konsultiert. Weil Arbeitszeugnisse oft in einer «verschleiernden» Sprache geschrieben werden, haben Arbeitgeber, sobald sich die Ernsthaftigkeit einer Einstellung eines Bewerbers abzeichnet, oft das Bedürfnis, bei ehemaligen (oder aktuellen) Arbeitgebern des Bewerbers Referenzauskünfte einzuholen. Auch beim Einholen von Referenzen muss stets der Datenschutz beachtet werden. APRIL 2016
TOP-THEMA DATENSCHUTZ: SCREENING VON BEWERBERN
Heikle Recherchen: Seriöse Arbeitgeber verzichten darauf, Kandidaten auf gut Glück zu googeln. Nach Art. 328b OR dürfen Daten über einen Stellenbewerber nur bearbeitet werden, «soweit sie dessen Eignung für das Arbeitsverhältnis betreffen». Diese Einschränkung muss auch beim Einholen von Referenzauskünften beachtet werden. Der Arbeitgeber darf keine Referenzauskünfte einholen, um Antworten auf Fragen zu bekommen, die dem Stellenbewerber selber, aus Gründen des Datenschutzes, nicht gestellt werden dürften. So darf z.B. der Arbeitgeber beim ehemaligen Arbeitgeber eines Bewerbers nicht nachfragen, wie hoch der Lohn des Bewerbers war oder ist. Anhand von Referenzauskünften ist es auch möglich, arbeitsrelevante Informationen über den Bewerber ausfindig zu machen, die dieser dem künftigen Arbeitgeber unterschlagen hat (z.B. schwere Krankheitsfälle u.ä.). Generell darf dem Bewerber das Verschweigen von Informationen nicht zur Last gelegt werden, wenn der Arbeitgeber diese Informationen über Referenzeinkünfte hätte einholen können. Xing ja, Facebook nein Wie einleitend geschildert, lassen Social Media die Grenze zwischen Privatleben, Öffentlichkeit und Arbeit verschwimmen. Aber wie weit ist es zulässig, im Bewerbungsverfahren in sozialen Medien über die Stellenbewerbenden Informationen einzuholen? Es lässt sich wohl nicht abstreiten, dass diese Nachforschungen über Google und andere Medien in der Praxis getätigt werden. Hier liegt eine undefinierte Grauzone vor, wie weit das Screening von potenziellen Arbeitnehmern gehen darf. Es gibt keine ausdrückliche gesetzliche Regelung. ARBEITSRECHT
NEWSLETTER 04
Durch die Rechtsprechung definiert ist jedoch, dass bestimmte Fragen nach der Lebensführung, der Gesundheit, nach politischen Haltungen und anderem im Bewerbungsgespräch nicht zulässig sind (Ausnahme Tendenzbetriebe). Dabei gilt die analoge Anwendung, dass ebensolche Dinge auch nicht per Screening in sozialen Netzwerken recherchiert werden dürfen. Weitere Recherchen über Business-Netzwerke wie Xing sind zulässig, denn dort stehen nicht private, sondern geschäftliche Beziehungen im Vordergrund. Das eigene Profil in einem solchen Netzwerk wird sorgfältig mit dem Ziel verfasst, dass künftige Geschäftskontakte von diesem Profil Kenntnis erlangen. Zulässig
Unzulässig
Recherchen auf Business-Netzwerken wie Xing oder LinkedIn
Recherchen auf privaten
Recherchen auf in der Bewerbung vermerkten Social-Media-Profilen, Blogs oder Websites
Recherchen auf
Netzwerken wie Facebook oder Instagram Google und anderen Suchmaschinen
Unzulässig sind hingegen Recherchen auf Google oder die Datensuche auf Facebook. Dies, weil die Art der Datenbeschaffung vom Betroffenen nicht kontrollierbar ist und Angaben auch ohne die Zustimmung des Bewerbers ins Internet gelangt sein können. Klar strafbar sind Vorgehen wie beim Phishing. Dabei werden durch Kontaktaufnahmen mit einer Person unter falscher Identität Informationen gesammelt. Eine andere ebenfalls strafbare Form der Spionage ist das Cy-
bersquatting. Dabei wird mit einem fiktiven Profil dem Bewerber eine Freundschaftsanfrage zugestellt, mit dem Ziel, an Informationen zu gelangen. Im Zweifelsfall nachfragen Natürlich kann der Bewerber in seinen Bewerbungsunterlagen aktiv auf sein Profil in einem sozialen Netzwerk hinweisen. In diesem Fall darf der Arbeitgeber diese Daten prüfen. Wichtig bleibt so oder so, dass sämtliche getätigte Recherchen im Bewerbungsprozess dokumentiert und im Falle einer Anstelllung im Personaldossier abgelegt werden. Hier kann sich der Arbeitgeber auch nicht aus der Pflicht nehmen, indem postuliert wird, dass Mitarbeitende selber Daten ins Netz stellen und sie damit rechnen müssen, dass auch ihr Vorgesetzter oder die Personalabteilung davon Kenntnis erlangen. Der Arbeitgeber hat seinen Fürsorge- und Treuepflichten nachzukommen, indem er die datenschutzrechtlichen Vorschriften einhält. Fragen Sie also lieber beim Bewerbenden nach, ob Sie sein Profil in den sozialen Netzwerken prüfen dürfen, und lassen Sie sich beim Screening nicht auf Risiken ein, die zu Reputationsschäden für Ihre Unternehmung führen können. AUTORIN Bettina Hübscher, MLaw und MRisk, studierte Rechtswissenschaften und absolvierte das Masterstudium in Risikomanagement. Sie ist an der Hochschule Luzern im Competence Center Management & Law als Dozentin sowie als Juristin im Bereich Datenschutzmanagement und Compliance Risk bei der Advokatur Sury AG tätig.
APRIL 2016
7
