Kurzbeitrag : Praxisfälle zum Datenschutzrecht XXVI: Bewerberscoring : aus der RDV 1/2024, Seite 32-35
I. Sachverhalt
Unternehmen U ist ein attraktiver Arbeitgeber und erhält zahlreiche Bewerbungen. Um die Bewerberauswahl möglichst effektiv zu gestalten, hat U auf seiner Website ein Bewerberportal eingerichtet. Bewerber/-innen können sich dort durch Ausfüllen eines auf die konkrete Stelle zugeschnittenen Onlinefragebogens auf ausgeschriebene Stellen bewerben.
Automatisiert aussortiert und mit einer sofortigen Absage bedacht werden durch das System in einem ersten Schritt Bewerber/-innen, die konkrete Grundanforderungen nicht erfüllen, die Voraussetzung für die auszuübende Stelle sind. Beispiele: Bewerber/-innen bringen nicht den in der Ausschreibung geforderten Schul- oder Berufsabschluss mit oder erfüllen nicht die angegebenen Anforderungen an Berufserfahrung, Sprachkenntnisse o.Ä.
Sodann erstellt das eingesetzte System in einem zweiten Schritt automatisiert ein Ranking im Hinblick auf die eingegangenen Bewerbungen. Dazu kommt ein Algorithmus zum Einsatz, der den Bewerbern/Bewerberinnen aufgrund ihrer Angaben im Bewerberfragebogen jeweils einen bestimmten Wert („Bewerberscore“) zuordnet. Der Bewerberscore wird gebildet, indem die vorliegenden Informationen, wie z.B. Abschlussnote i.R. der Ausbildung, Zeugnisnoten vorheriger Arbeitgeber, Berufserfahrung in Jahren, einschlägige Zusatzqualifikationen, jeweils mit einem bestimmten im Vorfeld festgelegten Anteil am Gesamtwert berücksichtigt werden.
Um weniger Aufwand zu haben, sind die HR-Mitarbeiter/-innen angewiesen, sich zunächst nur mit solchen Bewerbungen im Detail zu befassen, die es beim automatisierten Ranking in die obersten zehn Positionen geschafft haben. Nur wenn nach Befassung mit den ersten zehn Bewerbern/Bewerberinnen kein Arbeitsvertrag zustande kommt, sollen die nächsten zehn Bewerber/-innen näher betrachtet werden usw.
Ist das Verfahren in der bestehenden Form datenschutzkonform? Wenn nein, welche Änderungen sind vorzunehmen?
II. Musterlösung
- Zulässigkeit stattfindender Datenverarbeitungen
Gegen die Zulässigkeit der stattfindenden personenbezogenen Datenverarbeitung an sich bestehen vorliegend im Ergebnis keine Bedenken.
Klar ist, dass personenbezogene Informationen über Bewerber/-innen verarbeitet werden dürfen, sofern dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Selbst wenn einiges dafür spricht, dass die dies explizit regelnde nationale Bestimmung in § 26 Abs. 1 S. 1 BDSG[1] wegen Verstoß gegen das Wiederholungsverbot europarechtswidrig ist,[2] ergibt sich dies auch unmittelbar aus der DS-GVO.
Art. 6 Abs. 1 S. 1 lit. b DS-GVO gestattet Datenverarbeitungen, welche für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (Alt. 1), oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen (Alt. 2), erforderlich sind. In der Bewerbungssituation besteht noch kein Vertragsverhältnis mit der betroffenen Person i.S.v. Alt. 1, es sind aber die Voraussetzungen von Alt. 2 erfüllt: Zwar ist mit der bloßen Einreichung der Bewerbungsunterlagen noch keine „Aufnahme von Vertragsverhandlungen“ i.S.v. § 311 Abs. 2 Nr. 1 Bürgerliches Gesetzbuch (BGB) verbunden, denn eine Vielzahl von Bewerbungsunterlagen wird vom potenziellen Arbeitgeber typischerweise aussortiert, ohne dass konkrete Gespräche mit dem/der Bewerber/-in stattfinden. Nach § 311 Abs. 2 Nr. 1 BGB entsteht ein vorvertragliches Schuldverhältnis aber durch die Anbahnung eines Vertrags, bei welcher der eine Teil im Hinblick auf eine etwaige rechtsgeschäftliche Beziehung dem anderen Teil die Möglichkeit zur Einwirkung auf seine Rechte, Rechtsgüter und Interessen gewährt oder ihm diese anvertraut.[3] Letzteres trifft auch auf das Bewerbungsver hältnis zu, bei dem Bewerber/-innen weitreichende Informationen über sich zur Verfügung stellen. Da die Bewerbung auf Entscheidung des Bewerbers/der Bewerberin erfolgt, ist auch die zweite Voraussetzung von Art. 6 Abs. 1 S. 1 lit. b Alt. 2 DS-GVO erfüllt, wonach die Durchführung vorvertraglicher Maßnahmen „auf Anfrage der betroffenen Person“ erfolgen muss.
Vorliegend besteht kein Zweifel, dass die mittels des Fragebogens erhobenen Informationen prinzipiell abgefragt werden dürfen, um über die Besetzung der Stelle zu entscheiden. Maßgabe ist insofern, dass nur Fragen gestellt werden dürfen, die im Hinblick auf die konkret zu besetzende Stelle relevant sind. Daraus ergibt sich die datenschutzrechtliche Unzulässigkeit von pauschalen Bewerberfragebögen, die Informationen ohne Rücksicht auf die konkret zu besetzende Position abfragen, z.B. nach Führerschein, Fremdsprachenkenntnissen o.Ä. fragen, ohne dass es dieser für die jeweilige Stelle bedürfte.
Die Datenverarbeitung ist also nach Art. 6 Abs. 1 S. 1 lit. b Alt. 2 DS-GVO zulässig.
- Verbot automatisierter Einzelentscheidungen (Art. 22 DS‑GVO)
a) Allgemeines
Neben der Frage nach der Zulässigkeit stattfindender Datenverarbeitungen stellt sich die Frage nach der Vereinbarkeit des Bewerbungsverfahrens mit dem grundsätzlichen Verbot automatisierter Einzelentscheidungen gemäß Art. 22 DS-GVO. Die genannte Regelung soll die betroffene Person vor sie beschwerenden Entscheidungen schützen, die ausschließlich auf einer automatisierten Verarbeitung beruhen.[4] Hintergrund ist der Gedanke, dass niemand zum bloßen Objekt einer allein auf Algorithmen basierenden Bewertung persönlicher Daten werden soll.[5] Vielmehr sollen belastende Entscheidungen immer auch von einer natürlichen Person inhaltlich verantwortet werden.[6]
Wichtig ist, dass durch Art. 22 DS-GVO nicht die Zulässigkeit der Datenverarbeitung reglementiert wird und die Norm keinen Erlaubnistatbestand für die Verarbeitung personenbezogener Daten darstellt.[7] Es handelt sich vielmehr um eine organisatorische (Verfahrens-)Vorschrift, welche die weiterhin nach Art. 6 Abs. 1 DS-GVO zu bestimmende Rechtmäßigkeit einer automatisierten Verarbeitung personenbezogener Daten dann flankiert, wenn sich daran automatisch eine für die betroffene Person beschwerende Entscheidung anschließt.[8]
b) Regelungsstruktur
Gemäß Art. 22 Abs. 1 DS-GVO hat die betroffene Person das Recht, dass Entscheidungen, die entweder eine rechtliche Wirkung für sie entfalten (Alt. 1) oder sie auf ähnliche Weise erheblich beeinträchtigen (Alt. 2), nicht ausschließlich aufgrund automatisierter Datenverarbeitung getroffen werden. Entscheidungen, die weder eine rechtliche Wirkung entfalten noch auf andere Weise erheblich beeinträchtigend sind für die betroffenen Personen, werden von der Bestimmung nicht erfasst und dürfen damit auch rein automatisiert erfolgen. Hierzu gehört z.B. die rein automatisierte Entscheidung, wer bestimmtes Werbematerial zugesandt bekommen soll, also das sog. Werbescoring.
Werbescoring stellt zwar Profiling i.S.v. Art. 4 Nr. 4 DS-GVO[9]dar, entsprechende Maßnahmen müssen aber Art. 22 DS-GVO nach herrschender Ansicht nicht beachten.[10]
Selbst wenn eine Datenverarbeitung die Anforderungen gemäß Art. 22 Abs. 1 DS-GVO erfüllt, also eine rechtliche oder auf ähnliche Weise erheblich beeinträchtigende Wirkung hat, gilt das grundsätzliche Verbot nach Art. 22 Abs. 2 DS-GVO im Übrigen nicht, sofern eine der nachfolgend genannten Konstellationen vorliegt, nämlich die Entscheidung
- für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist (lit. a),
- aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten (lit. b) oder
- mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (lit. c).
In den Fällen lit. a und c ist Voraussetzung für die Zulässigkeit der rein automatisierten Entscheidung, dass der Verantwortliche angemessene Maßnahmen trifft, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört, vgl. Art. 22 Abs. 3 DS-GVO.
Werden i.R. der automatisierten Entscheidungsfindung besondere Arten personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO, z.B. Gesundheitsdaten, berücksichtigt, sind die zusätzlichen Anforderungen nach Art. 22 Abs. 4 DS-GVO zu beachten.
c) Vorliegen einer ausschließlich auf einer automatisier‑ ten Verarbeitung beruhenden Entscheidung
Eindeutig ist, dass Art. 22 DS-GVO nach seinem Sinn und Zweck nicht eingreift, wenn mittels automatisierter Datenverarbeitung lediglich eine menschliche Entscheidung vorbereitet werden soll, die Letztentscheidung also bei einer natürlichen Person bleibt, die durch die IT nur in Bezug auf eine fundierte Entscheidungsfindung unterstützt wird. Fraglich war allerdings zunächst, welche Anforderungen an die Qualität einer die Anwendbarkeit von Art. 22 DS-GVO ausschließenden menschlichen Zwischenentscheidung zu stellen sind. Inzwischen hat der EuGH festgestellt, dass nicht jede Zwischenschaltung eines Menschen vor die Entscheidung gegenüber der betroffenen Person genügt, um die Anwendbarkeit von Art. 22 DS-GVO auszuschließen. Es bleibe beim Vorliegen einer rein automatisierten Entscheidung, wenn trotz formaler Zwischenschaltung eines Menschen die Entscheidung gegenüber der betroffenen Person von der automatisierten Bewertung „maßgeblich abhängt“, so der EuGH.[11]Die Zwischenschaltung einer menschlichen Instanz hindert die Anwendbarkeit von Art. 22 DS-GVO also nur, wenn diese nicht nur Feigenblattfunktion hat. Es darf sich also nicht nur um eine theoretische Möglichkeit handeln, dass der zuständige Sachbearbeiter von der automatisierten Entscheidung abweicht, sondern es muss intendiert sein, dass abweichende Entscheidungen in der Praxis tatsächlich stattfinden.
aa) Scoring und Listung der ersten zehn Bewerbungen
Nach diesen Maßstäben erfolgt vorliegend eine automatisierte Einzelentscheidung im Hinblick auf alle Bewerber/-innen, die nicht unter die ersten zehn Kandidaten bzw. Kandidatinnen im Rahmen des Scorings fallen. Denn die Beschäftigten im HR-Bereich sind angehalten, sich mit diesen zunächst nicht näher zu befassen. Als Ausnahmetatbestand nach Art. 22 Abs. 2 DS-GVO, der eine automatisierte Einzelentscheidung ausnahmsweise rechtfertigen könnte, kommt vorliegend nur lit. a in Betracht. Dazu müsste die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sein. Die genannte Ausnahmeregelung dient v.a. dazu, den praktischen Anforderungen von Massengeschäften Rechnung tragen. Typischer Beispielsfall ist die automatisierte Ablehnung eines Onlinekreditantrags.[12]
Ob die Ausnahme nach lit. a auch auf Einstellungsverfahren Anwendung finden kann, soweit diese ohne jegliches Eingreifen stattfinden, erscheint infolge der fehlenden Erforderlichkeit zweifelhaft.[13] Insbesondere bestehen hier nicht die gleichen Anforderungen an die Geschwindigkeit der Entscheidung wie bei einem Onlinekredit. Letzterer lebt als Geschäftsmodell von der potenziell schnellen Gewährung, während sich Bewerbungsverfahren ohnedies über einen längeren Zeitraum hinziehen können. Eine andere Interpretation würde einer einschränkenden Auslegung von Art. 22 DS-GVO Vorschub leisten, die der EuGH in seiner SCHUFA-Entscheidung gerade abgelehnt hat.[14]
Das Eingreifen der Ausnahme ist damit im Ergebnis abzulehnen. Art. 22 DS-GVO findet Anwendung mit der Folge, dass – das aktuelle Verfahren zugrunde gelegt – eine Verletzung der DS-GVO anzunehmen ist. Vermieden könnte der Verstoß dadurch, dass das Verfahren umgestellt wird und eine dezidierte menschliche Auseinandersetzung mit allen Bewerbungen erfolgt, die es in das Ranking geschafft haben. Der Scorewert dürfte vom Sachbearbeiter nur als ein Parameter berücksichtigt werden, ohne dass dieser sich hiervon maßgeblich leiten lässt.
bb) Unterschiedliche Bewertung im Hinblick auf Grund‑ anforderungen an die Bewerber/-innen
Soweit in einem ersten Schritt automatisiert Bewerbungen aussortiert werden, die bestimmte Grundanforderungen nicht erfüllen, die für die Besetzung der Stelle unabdingbare Voraussetzung sind, wird Art. 22 DS-GVO demgegenüber nicht zum Tragen kommen. Insoweit liegt das Problem nicht im automatisierten Vorgehen des Unternehmens, sondern darin begründet, dass die betroffene Person objektiv nicht die benötigte Qualifikation mitbringt. Hier ist – jedenfalls im Grundsatz – auch kein „Overrulen“ der automatisierten Entscheidung durch den/die Sachbearbeiter/-in möglich.
Allerdings ist zu berücksichtigen, dass die wenigsten der in der Praxis abgefragten Parameter absolute Kriterien in diesem Sinne sein dürften. Meistens handelt es sich um Parameter, die sich im Einzelfall eben doch ausgleichen lassen, z.B. fehlende erste Berufserfahrung durch eine hervorragende akademische Qualifikation oder eine teilweise fehlende Qualifikation durch Fortbildungsmaßnahmen. Mit Ausnahme absoluter Grundanforderungen, z.B. rechtlicher Voraussetzungen für die Wahrnehmung einer Tätigkeit, dürfte daher auch ein erstes Aussortieren wie im Sachverhalt beschrieben eine automatisierte Einzelentscheidung i.S.v. Art. 22 DS-GVO darstellen.
Fazit: Das Bewerbungsverfahren müsste nach den vorstehend beschriebenen Vorgaben (Abschnitt aa) und bb)) angepasst werden, um datenschutzkonform zu sein.
III. Ergänzende Hinweise
- Einholung einer Einwilligung
Eine Ausnahme vom Verbot der automatisierten Einzelentscheidung gilt nach Art. 22 Abs. 2 DS-GVO auch, wenn die Entscheidung mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (lit. c). Vorliegend hilft diese Bestimmung allerdings nicht weiter, weil eine entsprechende Erklärung der Bewerber/-innen nicht als freiwillig anzusehen wäre. Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten, wozu auch Bewerber/-innen zählen (§ 26 Abs. 8 S. 2 BDSG), auf Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Erklärung nach § 26 Abs. 2 BDSG insbesondere deren Abhängigkeit zu berücksichtigen sowie die Umstände, unter denen die Einwilligung erteilt worden ist. Typischerweise will aber kein/e Bewerber/-in maschinell aussortiert werden, sondern möchte, dass sich eine natürliche Person mit ihrer Bewerbung auseinandersetzt. Eine Einwilligung wäre vorliegend also unwirksam.
- Künstliche Intelligenz (KI)
Gegenstand der Betrachtung war vorliegend ein IT-gestütztes Bewerbungsverfahren, das auf einem klassischen Algorithmus basiert. Algorithmen beschreiben einen definierten Rechenweg, der bei gleichen Eingaben auch zu einem gleichen Ergebnis führt. Es ist allerdings damit zu rechnen, dass auch im Bereich der Personalarbeit und vor allem im Recruiting der Einsatz von KI künftig eine immer größere Rolle einnehmen wird, bieten doch KI-basierte Anwendungen großes Potenzial für einen schnellen, diskriminierungsfreien und zielorientierten Einstellungsprozess.[15] Anders als herkömmliche Algorithmen lernen in KI-Systemen verwendete Algorithmen laufend dazu, wobei Grundlage hierfür eine große Menge an Daten ist. Im Hinblick auf den KI-Einsatz ergeben sich im Vergleich zum Einsatz herkömmlicher Algorithmen zusätzliche datenschutzrechtliche Herausforderungen, etwa im Hinblick auf die Transparenz der Verfahren, das datenbasierte Training entsprechender Systeme und die Haftung für die mittels KI erzeugten Ergebnisse.
EU-Parlament und Rat haben sich inzwischen auf europäische Regelungen zur KI verständigt, die wie die DS-GVO in allen EU-Mitgliedstaaten unmittelbar und in gleicher Weise angewandt werden sollen und einem risikobasierten Ansatz folgen.[16] In Vorbereitung ist zudem eine weitere KI-Regulierung durch die EU, nämlich eine Richtlinie zur Haftung von Entwicklern und Anwendern von KI bei Schäden.
* RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.
[1] Auch Bewerber/-innen für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte i.S.v. § 26 BDSG, vgl. Abs. 8 S. 2 der Regelung.
[2] Vgl. EuGH, Urt. v. 30.03.2023 – C 34/21. § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) entspricht fast inhaltsgleich § 26 Abs. 1 S. 1 BDSG, vgl. dazu z.B. auch BayLDA, 12. TB (2022), S. 55, Fn. 1: „Im Lichte der EuGH-Rechtsprechung in der Rechtssache C-34/21 sehen wir § 26 Abs. 1 S. 1 BDSG nicht für anwendbar an.“
[3] Gola, NZA 2019, 654.
[4] Gola/Heckmann/Schulz, DS-GVO Art. 22 Rn. 1.
[5] Simitis/Hornung/Spiecker gen. Döhmann/Scholz, Datenschutzrecht, DS-GVO Art. 22 Rn. 3.
[6] Simitis/Hornung/Spiecker gen. Döhmann/Scholz, Datenschutzrecht, DS-GVO Art. 22 Rn. 3.
[7] Gola/Heckmann/Schulz, DS-GVO Art. 22 Rn. 3.
[8] Gola/Heckmann/Schulz, DS-GVO Art. 22 Rn. 3.
[9] Art. 4 Nr. 4 DS-GVO: „[Im Sinne dieser Verordnung bezeichnet der Ausdruck] „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
[10] Gola/Heckmann/Schulz, DS-GVO Art. 22 Rn. 27 m.w.N.
[11] EuGH, Urt. v. 07.12.2023 – C-634/21.
[12] Gola/Heckmann/Schulz, DS-GVO Art. 22 Rn. 29.
[13] Ebenso Gola/Heckmann/Schulz, DS-GVO Art. 22 Rn. 29.
[14] EuGH, Urt. v. 07.12.2023 – C-634/21 Rn. 61.
[15] Hoffmann, NZA 2022, 19 (24).
[16] Website der EU-Kommission, Pressemitteilung vom 09.12.023, https://germany.representation.ec.europa.eu/news/historischer-moment-politischeeinigung-zwischen-eu-parlament-und-rat-auf-ki-gesetz-2023-12-09_de.