Bewerberdatenschutz im Recruiting: Ein Leitfaden des HmbBfDI

Der Hamburgische Beauftragte für Datenschutz und Informationssicherheit hat (HmbBfDI) hat einen Leitfaden für Bewerberdatenschutz vorgelegt.

Der HmbBfDT benennt die aktuellen Problemstellungen im Personalwesen: Bewerbende werden oft nicht oder nur unzureichend über die Verarbeitung ihrer Daten im Bewerbungsprozess informiert. Auch hat KI Einzug in das Recruiting gefunden. Anglizismen wie Headhunter, Talent Pool, Active Sourcing, Background-Checks, CV Parsing oder eben Recruiting können unterschiedlich interpretiert werden.

Der Leitfaden des HmbBfDI definiert daher die gängigen Anglizismen im Personalwesen. CV Parsing ist beispielsweise das automatisierte Auslesen von Bewerbungen und die anschließende automatische Überführung der ausgelesenen Daten in ein Bewerbungsmanagementsystem (BMS).

Der HmbBfDI geht auf einzelne Phasen des Recruiting Prozesses ein und stellt klar, dass die Erhebung der Daten vor allem nach Art. 6 Abs. 1 lit. b DSGVO erforderlich sein muss. So ist beispielsweise die Aufnahme von Bewerberdaten in einen Talentpool nur mit einer ausdrücklichen Einwilligung möglich, dies nach einer umfassenden Information über die Verwendung der Daten nach Art. 13 DSGVO, außerdem sind Löschfristen zu definieren.

Typische KI Anwendungen im Bewerbungsprozess sind zB Lebenslaufparser, Emotionsanalysen und LLM-Chatbots. 

  • Lebenslaufparser sind grundsätzlich zulässig, um Daten aus Bewerbungen auszulesen und in strukturiert in Systeme zu übertragen. Soweit Analysen darüber hinaus erfolgen, sollte der Prozess datenschutzrechtlich betrachtet werden, da Entscheidungen mit Rechtswirkung nur von Menschen getroffen werden müssen. 
  • Emotionsanalysen sind im Bewerbungsprozess hingegen meist unzulässig, da sie zumeist schon nicht erforderlich sind und die Freiwilligkeit ebenfalls fraglich ist, des Weiteren könnte es sich bei den Emotionsanalysen um biometrische Daten handeln, was zusätzliche Anforderungen mit sich bringt. 
  • LLM-Chatbots können zum Einsatz kommen, soweit sie zum Versand von Absagen oder zur Beantwortung von FAQ verwendet werden. Eine vollständige Auswahlentscheidung darf nach Art. 22 DSGVO nicht erfolgen.

Quellen: