Datenschutz bei Online-Test und Online-Assessment

24
Jan

Datenschutz bei Online-Test und Online-Assessment

Seit dem 25.05.2018 gilt die DSGVO und damit sehr strikte Anforderungen an den Umgang mit personenbezogenen Daten. Dies betrifft selbstverständlich auch den Bewerbungsprozess und damit das Assessment Center. Aus Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG folgt, dass es jedem untersagt ist, in die Intimsphäre einer Persönlichkeit einzugreifen. Nach Klein (1982, S. 2) besteht die Möglichkeit, dass durch eine psychologische Erhebung von Informationen bezüglich der Eignung für eine bestimmte Tätigkeit in die „psychische Integrität des Arbeitnehmers“ eingegriffen wird. Dieses Rechtsgut ist durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG geschützt. Das informationelle Selbstbestimmungsrecht ist Bestandteil des allgemeinen Persönlichkeitsrechts. Es besagt, dass „der einzelne Staatsbürger die eigenständige Befugnis besitzt, Inhalt und Umfang zu bestimmen, was an Daten – an Dritte – gelangt“ (Gaul 1990, S. 37). Durch das sogenannte Volkszählungsurteil vom 15.12.1983 (NJW 1984, S. 419) ist dieses Recht wesentlich enger gefasst. Wottawa und Thierau (1990, S. 154) stellen klar: „Das Eindringen in den persönlichkeitsrechtlichen Bereich ist immer dann unproblematisch, wenn es durch die freie Selbstbestimmung des Probanden ermöglicht wird.“ Geschützt werden im Ergebnis nicht die Daten, sondern die Freiheit von – in diesem Fall – Bewerbern oder Mitarbeitern, selbst zu entscheiden, wer, was, wann und bei welcher Gelegenheit über sie erfährt.

Erforderlichkeit und Einwilligung

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es gibt eine gesetzliche Vorschrift oder es liegt eine Einwilligung vor. Es handelt sich hier um ein sogenanntes Verbot mit Erlaubnisvorbehalt. Bezogen auf den Bewerbungsprozess bedeutet dies folgendes: „Nach ständiger Rechtsprechung des BAG darf der Arbeitgeber beim Stellenbewerber nur solche Informationen erheben, an denen er ein berechtigtes, billigenswertes und schutzwürdiges Interesse für das Arbeitsverhältnis und den konkret zu besetzenden Arbeitsplatz hat. Dieses Interesse des Arbeitgebers muss so stark sein, dass dahinter das Interesse des Arbeitnehmers am Schutz seines Persönlichkeitsrechts und an der Unverletzbarkeit seiner Individualsphäre zurücktreten muss“ (Franzen, 2013).

Im bisherigen Bundesdatenschutzgesetz (BDSG) wurde die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses in § 32 BDSG geregelt. Danach durften personenbezogene Daten, die für das Beschäftigungsverhältnis benötigt werden, vom Arbeitgeber verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Die DSGVO enthält eine solche Regelung nicht. Vielmehr verfügt sie mit Art. 88 DSGVO über eine Öffnungsklausel. Danach kann die Datenverarbeitung im Beschäftigungskontext durch nationales Recht oder Kollektivvereinbarungen geregelt werden. Aufgrund dieser Öffnungsklausel hat der Gesetzgeber nach dem Vorbild des alten § 32 BDSG den § 26 BDSG-neu als nationale Vorschrift zum Beschäftigtendatenschutz geschaffen. Hierin hat der Gesetzgeber die bisherigen Regelungen des § 32 BDSG inhaltlich sehr ähnlich übernommen. Erfreulich ist Abs. 2 der neuen Vorschrift. Nachdem das Bundesarbeitsgericht mit seiner Entscheidung (BAG, Urteil vom 11. Dezember 2014, 8 AZR 1010/13) klargestellt hat, dass eine (freiwillige) Einwilligung in die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis möglich ist, wurde dies nun auch in § 26 Abs. 2 BDSG-neu geregelt. Dabei sind jeweils die Umstände der Einwilligung zu berücksichtigen. Eine Freiwilligkeit kann demnach durchaus gegeben sein, wenn beispielsweise der Beschäftigte durch die Einwilligung einen Vorteil erlangt oder wenn sowohl Beschäftigter als auch Arbeitgeber gleichgelagerte Interessen verfolgen.

Willigt der Kandidat bzw. Mitarbeiter ein und ergeben die Umstände, dass eine Freiwilligkeit vorliegt, dürfen die personenbezogenen Daten erhoben und verarbeitet werden. Ist dies nicht der Fall, ist nach wie vor die Erforderlichkeit der Verarbeitung das maßgebliche Kriterium. Zwar definiert § 26 BDSG-neu den Begriff der Erforderlichkeit nicht näher, jedoch enthält die Gesetzesbegründung hierzu einen wichtigen Hinweis: “Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.” Der Verweis auf einen Interessenausgleich verdeutlicht, dass auch der Gesetzgeber die Erforderlichkeit anhand einer am Verhältnismäßigkeitsgrundsatz orientierten Interessenabwägung bestimmt. Die Verarbeitung ist im Sinne von § 26 Abs. 1 BDSG-neu dann erforderlich, wenn sie zum Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.

Aufgrund der hohen sogenannten Eingriffsintensität „muss das AC und der Prozess erforderlich sein für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses“ (Kamp & Uhle, 2016). Dazu gehört auch, dass ganz grundsätzlich nachzuweisen ist, dass das AC erforderlich ist. Weiter gehören dazu auch Regeln für die Mitschriften der Beobachter und ein konzeptioneller Schutz der Bewerber, z.B. im Interview mehr auszuplaudern, als was streng erforderlich ist für die Einstellungsentscheidung (Kamp & Uhle, 2016).

Allerdings gibt es unter Juristen unterschiedliche Positionen, inwieweit das AC grundsätzlich die Erwartung dieser „Erforderlichkeit“ erfüllen kann. Speziell zu psychologischen Tests schreibt Franzen (2013): „Psychologische Eignungstests sind im Grundsatz zulässig, wenn der Arbeitgeber die Informationen benötigt, um die Eignung des Arbeitnehmers für den konkret zu besetzenden Arbeitsplatz beurteilen zu können. Es ist also erforderlich, dass das Testverfahren und damit zu generierende Erkenntnisse einen Bezug aufweisen zum Anforderungsprofil des konkreten Arbeitsplatzes“. Bei enger Auslegung kann der Datenschützer sogar noch weiter gehen und fordern, dass die Erforderlichkeit aller Verfahrenselemente im AC nachgewiesen werden muss. Daher sind für die Diskussion zum Datenschutz die Informationen zur Validität relevant, die den Zusammenhang der einzelnen Verfahrenselemente zum Joberfolg nachweisen.

Enger Jobbezug der Fragen und Inhalte notwendig

Der Rechtsgrundsatz der Erforderlichkeit führt zu Konsequenzen in einzelnen AC-Bestandteilen. So werden Vorträge mit persönlichem Schwerpunkt („Warum ich wurde, wer ich heute bin“) als problematisch angesehen, weil hier der enge Berufsbezug fehlt. Dies gilt genauso für Gruppendiskussionen, in denen die Teilnehmer gezwungen sind, persönliche Themen preiszugeben (z. B. Frauenquote, Auslandserfahrungen). Aus Sicht des Datenschutzes sind besonders psychologische Fragebögen problematisch: „Aus datenschutzrechtlicher Sicht sind allgemeine IQ-Tests in der Regel nicht zulässig und Persönlichkeitstests nur dann erlaubt, wenn keine andere Möglichkeit besteht, die so gewonnenen Erkenntnisse zu erhalten. Problematisch ist, dass diese weitreichende Informationen über die Bewerber transportieren“. Hier haben wir einen Zielkonflikt, weil auch allgemeine Intelligenztests oder auch einzelne Items aus Persönlichkeitsfragebögen einen hohen Beitrag zur Vorhersage des Joberfolgs haben. Damit erfüllen sie das Prinzip der Erforderlichkeit.

Bisher kaum Rechtsprechung zum Datenschutz bei Personalauswahlverfahren

Das Prinzip der Erforderlichkeit führt dazu, dass solche Fragebögen und Tests mit strengem Bezug zum Jobkontext zu bevorzugen sind. Dennoch ist der Aspekt der Erforderlichkeit „… im Grundsatz noch sehr abstrakt. Leider gibt es kaum eine höchstrichterliche Rechtsprechung zum Thema „Zulässigkeit psychologischer Eignungstests“, die diesen Grundsatz konkretisieren könnte“ (Franzen, 2013). Auch speziell zum AC ist uns keine Rechtsprechung bekannt, in der z. B. Verletzungen des so definierten Datenschutzes geahndet wurden. Allerdings gilt wie bei Alkohol im Straßenverkehr: Auch wenn es selten kontrolliert oder geahndet wird, sollten wir uns dennoch an den rechtlichen Rahmen halten. Eine weitere Herausforderung aus Sicht des Datenschutzes bietet der Einsatz von externen Beratern. In der Bewertung des Datenschützers werden damit Bewerbungsunterlagen an Dritte weitergeleitet, die juristisch mit dem Arbeitgeber nichts zu tun haben. Daher fordert der Datenschutz, dass die Beteiligung Dritter sogar bereits in der Stellenausschreibung bekannt gegeben werden müsste und eine Schweigepflichtbindung des Beraters organisiert werden müsste.
Aufgrund der Machtsymmetrie zwischen AC-Teilnehmer und der Organisation gibt es weiterhin hohe Anforderungen an die Transparenz. Dazu gehört die Information, welche Daten wo und wie gespeichert und wann gelöscht werden. Bei Online-Assessments muss die Zustimmung dokumentiert werden und es muss eine Möglichkeit des Widerrufs geben.

Quellen:
• Klein, FJ. (1982): Die Rechtmäßigkeit psychologischer Tests im Personalbereich. Mannhold, Gelsenkirchen.
• Gaul, D. (1990): Rechtsprobleme psychologischer Eignungsdiagnostik. Deutscher Psychologen Verlag, Bonn.
• Wottawa, H., Thierau, H. (1990): Evaluation. Hogrefe, Göttingen.
• Franzen, M. (2013): Rechtliche Rahmenbedingungen psychologischer Eignungstests. Neue Zeitschrift für Arbeitsrecht 1:1–56.
• Kamp, M., Uhle, T. (2016): Streng vertraulich! Datenschutz im Rahmen von AC-Prozessen. Präsentation beim 9. Deutschen Assessment-Center-Kongress.

 

Weitere Artikel dieser Newsletterausgabe: