Free

Der Kompetenzfalle ausweichen : Digitales Recruiting

Offene Stellen und wenige Bewerber, um diese zu besetzen, das ist die prägende Erfahrung von vielen Personalverantwortlichen im Moment. Werbeagenturen versprechen schnelle Abhilfe bspw. mittels auf potenzielle Bewerber zielender Onlinewerbung, vereinfachter Bewerbungsabläufe, Chatroboter und anderer Werkzeuge aus dem Marketingarsenal.

Lesezeit 6 Min.

HR-Mitarbeiter sehen sich plötzlich mit Vorschlägen konfrontiert, deren technische Funktionsweise ihnen unbekannt ist. Dabei wird nicht nur Geld für Funktionen oder Werbung ausgegeben, die nicht zu mehr Bewerbern führen, sondern es werden schnell auch Datenschutzverstöße begangen. Sind solche Datenschutzverstöße für Bewerber erkennbar, erhalten sie einen Eindruck, welchen Stellenwert Professionalität, Respekt vor der Privatsphäre und Compliance im Unternehmen haben.

Dieser Beitrag führt – vereinfacht – in die grundlegende Funktionsweise einer Webseite ein. Er hilft, die Grundlagen zu verstehen und zu erfassen, welche Datenflüsse typischerweise stattfinden. Wer die Grundlagen kennt, weiß, welche Fragen gestellt werden sollten. Aus Platzgründen kann nicht auf jede Fallkonstellation eingegangen werden. Der Bereich der Onlinewerbung bspw. bedarf einer gesonderten Betrachtung.

Am Beispiel von drei im Alltag häufig zu beachtenden Funktionen werden Datenflüsse sowie die daraus erwachsende datenschutzrechtliche Beurteilung exemplarisch erläutert.

Häufige Funktionen einer Webseite

Die Schriftart beeinflusst, wie die Webseite aussieht und auch, wie der Text „läuft“. Deshalb sollte immer dieselbe Schriftart verwendet werden, unabhängig davon, welchen Browser oder welches Endgerät der Besucher verwendet. In der Praxis wird regelmäßig der einfachste Weg beschritten und eine kostenlose Schriftart eines bekannten Werbekonzerns eingebunden.

Eine „einfache“ Webseite mit etwas Text über das Unternehmen und die Stelle reicht nicht mehr aus, um Bewerber anzulocken.

Häufig werden Imagevideos in die Webseite eingebunden. Um Videos abzuspielen, muss

  • in die Webseite ein „Videospieler“ eingebettet werden und
  • das Video auf einem schnellen Server mit genügender Bandbreite sowie Transfervolumen gehostet werden.

Ein „Videospieler“ ist ein Stück Programmcode, der in der Webseite eingebaut wird. Dieser Code lädt das Video herunter und zeigt es an. Auch wenn ein solcher Code im Grunde einfach einzubauen ist, gehen viele Unternehmen und Werbeagenturen einen anderen Weg. Sie legen das Video auf einem bekannten Videoportal oder einem vergleichbaren Dienst ab und binden den Videospieler des Portals ein. Damit ersparen sich das Unternehmen und die Agentur die Prüfung, ob der eigene Webserver das Video hosten könnte.

Wie viele Besucher hatte unsere Karriereseite? Wie hoch ist der Anteil der Besucher, die sich auch beworben haben? Um diese Fragen beantworten zu können, müssen die Besucher gezählt werden. Bewährte Praxis ist es, einen externen Dienstleister mit der Zählung und Messung der Besucheraktivitäten zu beauftragen (Dienstleister für Webstatistiken).

Aufruf der Webseite – Daten fließen

Für den Betrachter sieht eine Webseite aus wie aus einem Guss. Technisch gesehen besteht eine Webseite aus einer Menge von Dateien, die der Browser des Besuchers nacheinander lädt. Diese Dateien können u. a.

  • Anweisung zum Layout inkl. der zu nutzenden Schriftarten,
  • Skripte (Software-Programme), die Funktionen wie z. B. das Messen der Besucheraktivitäten bereitstellen,
  • Bilder oder
  • Videos

enthalten (Abbildung 1). Diese Dateien, auch „Ressourcen“ genannt, können auf dem gleichen Server wie die Webseite gespeichert sein oder auf Servern verschiedener Dienstleister irgendwo in der Welt.

Eine Darstellung der technischen Struktur einer Webseite, die die Integration verschiedener Ressourcen wie Schriftarten, Bilder, Skripte, Videos und Humanressourcen hervorhebt.

Immer wenn eine Datei von einem Server zum Aufbau einer Webseite abgerufen wird, werden personenbezogene Daten des Besuchers an deren Server übertragen. In dem obigen Szenario erhalten vier verschiedene Stellen personenbezogene Daten des Besuchers:

  • das Unternehmen, dem die Webseite gehört,
  • der Dienstleister für die Schriftart,
  • das Videoportal und
  • der Dienstleister für die Besuchermessung.

Dabei werden insbesondere die folgenden Daten über den Besucher und die von ihm genutzte Hard- und Software übertragen:

  • IP-Nummer,
  • Datum und Uhrzeit des Zugriffs,
  • verwendetes Betriebssystem, Bildschirmformat, -auflösung,
  • Browsertyp,
  • Browserversion,
  • installierte Plugins,
  • Referrer URL (die zuvor besuchte Webseite),
  • Inhalte von Cookies und
  • die URL der angesehenen Seite.

Die Dienstleister können – aus technischer Sicht – zusätzlich weitere Daten erheben. Dazu zählen bspw.

  • ID für das Werbeprofil (Videoportal, Webstatistik),
  • angezeigte Werbung (Videoportal),
  • Mouse-Bewegungen (Webstatistik),
  • Klickpfade (Webstatistik) und
  • weitere Daten über die Hard- und Software (Webstatistik).

Datenflüsse: rechtmäßig oder unzulässig

Diese Datenübertragung lässt sich technisch nicht abschalten, da andernfalls die Ressourcen nicht abgerufen und an den Nutzer gesendet werden können. Das bedeutet jedoch nicht, dass diese Datenflüsse datenschutzrechtlich erlaubt sind.

Der bekannte Grundsatz, dass die elektronische Verarbeitung personenbezogener Daten verboten ist, gilt auch bei Webseiten. Für jeden Datenfluss an einen Dienstleister muss der Betreiber der Webseite, das Unternehmen, eine Rechtsgrundlage vorweisen, die den Datenfluss ausnahmsweise erlaubt. Die Verantwortung liegt beim Unternehmen und nicht bei den Dienstleistern.

In der Praxis kommen zwei Rechtsgrundlagen in Betracht: Interessenabwägung (Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung (DS-GVO)) und Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO). Sobald der beauftragter Dienstleister Werbeprofile bildet oder bilden kann, scheitert die Interessenabwägung regelmäßig. Aus diesem Grund bedarf die Einbindung von Diensten (hier: Videoportal und Webstatistik) eines bekannten Werbekonzerns einer Einwilligung. Wenn der Dienstleister Cookies setzt, scheidet die Interessenabwägung regelmäßig als Rechtsgrundlage aus. Auch hier ist dann eine Einwilligung für die Verarbeitung und zum Setzen der Cookies einzuholen.

Einwilligungen werden über sogenannte Consent-Management-Systeme, auch als „Cookie-Banner“ bekannt, eingeholt und verwaltet. Wer seinen Bewerbern möglichst wenige Hürden in den Weg legen will, sollte kritisch auf Consent-Management-Systeme schauen. Ein Consent-Management-System stellt eine zusätzliche Hürde dar, die der Bewerber nehmen muss. Wer auf Cookies und Dienstleister verzichtet, die einwilligungspflichtig sind, kann auf ein Consent-Management-System verzichten. Wie müssten Webstatistiken und Videospieler gestaltet sein, um auf eine Einwilligung im Consent-Management-System verzichten zu können?

Für Webstatistiken gibt es kostenpflichtige Dienste, die ohne Cookies auskommen und die Besucherdaten nicht für Werbeprofile nutzen. Diese Dienste lassen sich grundsätzlich auf Basis einer Interessenabwägung als Auftragsverarbeitung gemäß Art. 28 DS-GVO nutzen.

Die Einwilligung zur Anzeige des Videospielers muss nicht zwingend über ein Consent-Management-System erfolgen. Sie kann auch als „Zwei-Klick-Lösung“ umgesetzt werden. Der Nutzer sieht beim Aufruf der Webseite ein Bild mit einem Einwilligungstext. Erst nachdem er auf das Bild geklickt hat, wird der Videospieler vom Server des Dienstleisters geladen. Ein weiterer Klick startet das Video.

Die Einbindung einer Schriftart von Google („Google Fonts“) ohne Einwilligung ist unzulässig und löst einen immateriellen Schadensersatzanspruch aus, hat das Landgericht München I (Urteil vom 20.01.2022 – 3 O 17493/20) geurteilt. Das Einholen einer Einwilligung zur Nutzung einer Schriftart macht aus Sicht des Layouts wenig Sinn. Für Nutzer, die nicht einwilligen, muss eine andere – meistens eine im Browser installierte – Schriftart verwendet werden. Die Webseite sieht nun nicht mehr einheitlich aus. Die lokale Ablage auf dem eigenen Webserver bietet sich als Lösung an.

Datentransfer außerhalb der EU

Die hier vorgestellten Datenflüsse überqueren regelmäßig die EU-Grenze. Sobald personenbezogene Daten außerhalb der EU übertragen werden, muss der Exporteur, also das Unternehmen, zusätzliche Pflichten erfüllen. Dazu zählen

  • der Abschluss sogenannter EU-Standardvertragsklauseln und
  • eine Prüfung, ob das Rechtssystem im Empfängerland den Dienstleister daran hindert, die EU-Standardvertragsklauseln einzuhalten.

Gerade bei kostenfreien Diensten will deren Anbieter keine Vertragsbeziehung eingehen, d. h. ein Abschluss von EU-Standardvertragsklauseln ist nicht möglich. Ob im Einzelfall stattdessen eine Einwilligung zur Datenübermittlung eine Alternative darstellt, wäre zu prüfen. Grundsätzlich kann eine Datenübermittlung außerhalb der EU auch auf eine Einwilligung gestützt werden.

Eine Prüfung des Rechtssystems ist aufwendig und ggf. auch teuer. Auch wenn der Dienst selbst kostenfrei sein sollte, belaufen sich die Kosten für die Prüfung und Dokumentation schnell auf hunderte bis tausende von Euros. Die Prüfung und das Ergebnis sind mit Blick auf die Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) aufzubewahren, um jederzeit die Rechtmäßigkeit der Datenübermittlung nachweisen zu können.

Fazit

Bewerbermangel lässt Personalabteilungen aktiver im Internet werden. Vermehrt werden klassische Marketingwerkzeuge eingesetzt. Teilweise übernehmen Personalabteilungen auch den Betrieb von Webseiten. Weil Webseiten immer personenbezogene Daten verarbeiten, ist das Datenschutzrecht zu beachten. Um die richtigen Fragen zu stellen und erfassen zu können, welche Vorgaben einzuhalten sind und welche technischen Möglichkeiten es gibt, bedarf es eines Verständnisses der technischen Abläufe. Um die Hürden für Bewerber kleinzuhalten, sollten Dienste und Dienstleister vermieden werden, die eine Einwilligung in Form eines Consent-Management-Systems erfordern.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

Digitales Recruiting
Digitales Recruiting

Diesen Beitrag teilen: