Ist eine Datenschutz-Folgenabschätzung bei einem „Headhunter“ erforderlich?

Fragen & Antworten

Ein Datenschutz-Coaching-Mitglied hat folgende Frage gestellt:

Ein Headhunter hat eine Datenbank mit ca. 10.000 Bewerbungen. Das Vermitteln von Bewerbern ist natürlich sein Hauptgeschäft.
Ist das umfangreiche Datenverarbeitung, so dass er eine DSFA machen muss und demnach auch einen DSB braucht?

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO immer dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen resultieren kann.

In Art. 35 Abs. 3 DSGVO sind dann ferner noch Fälle genannt, in denen insbesondere eine DSFA durchzuführen ist. Und zwar in diesen Fällen:

  1. Bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen oder
  2. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO oder Daten über Straftaten gemäß Art. 10 DSGVO oder
  3. bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Letzteres (Ziff. 3) fällt im Falle des Headhunters schon einmal weg.

Ich kann generell empfehlen, bei einer Entscheidung über die Frage, ob eine DSFA durchzuführen ist, einen Blick in die sog. „DSFA Liste Deutschland – Nicht-öffentlicher Bereich“ der Datenschutzkonferenz (DSK) zu werfen. Das Dokument findet sich hier (PDF).

Wenn eine Verarbeitung bzgl. der Durchführung einer DSFA beurteilt werden soll und sich diese in der o.g. „Positivliste“ der DSK (wir Anwälte nennen sie eher „Blacklist“) findet, dann führt kein Weg an der Durchführung einer DSFA vorbei. Sie ist dann schlichtweg zu machen.

Wenn eine Verarbeitung sich jedoch nicht in der Liste wiederfindet, dann heißt dies nicht automatisch im Umkehrschluss, dass eine DSFA entbehrlich wäre. Genau hier müssen wir uns dann wieder die o.g. Ziff. 1-3 ansehen – hier nur die Ziff. 1-2.

Und da tritt dann auch schon das erste Sorgenfältchen in der Beantwortung der Frage zum Headhunter auf. Denn auch wenn weder Ziff. 1 noch Ziff. 2 klar bejaht werden können, können sie in gleicher Weise auch nicht klar verneint werden.

Schauen wir uns z.B. einmal die Ziff. 2 mit ihren besonderen Kategorien von personenbezogenen Daten an. Hier kann eine DSFA erforderlich werden, weil eine Verarbeitung von besonders schutzbedürftigen Daten leicht ein Risiko für den Betroffenen darstellen kann. Insbesondere dann, wenn die Daten unbefugt in dritte Hände gelangen.

Ein Headhunter hat regelmäßig wohl Daten, die sich z.B. aus einem Lebenslauf und der beruflichen Qualifizierung ergeben. Viele dieser Daten können auch besondere Kategorien personenbezogener Daten darstellen. Wenn jetzt 10.000 oder mehr Personen betroffen sind, wird man schon begründen können, dass hier eine „umfangreiche“ Verarbeitung von besonderen Kategorien personenbezogener Daten vorliegt. Und dann wäre eine DSFA erforderlich.

Und auch bei Ziff. 1 ist die Situation beim Headhunter nicht klar zu verneinen. Art. 35 Abs. 3 Nr. 1 DSGVO ist allerdings sprachlich sehr unbestimmt und schwer auszulegen. Liegt im Falle eines Headhunters eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen vor? Und das auf Basis einer automatisierten Verarbeitung?

Die Frage ist nicht eindeutig zu beantworten. Ein guter Headhunter wird allerdings aus den Daten, die ihm zu einer Kandidatin oder einem Kandidaten vorliegen, eine bestmögliche Auswahl und ein „Matching“ mit den Anforderungskriterien des künftigen potentiellen Arbeitgebers treffen wollen. Und das wird sehr häufig auch durch Anwendung von Filterkriterien oder Abfragen durchgeführt werden.

Auch hier spricht also einiges (aber auch nicht alles) für die Durchführung einer DSFA.

Meine Empfehlung wäre hier aber, dass in den Fällen in denen wie hier kumulativ sogar in zwei Fallvarianten des Art. 35 Abs. 3 DSGVO eine DSFA im Raum steht, auch tatsächlich eine DSFA durchgeführt wird.

Konsequenz hieraus ist dann allerdings, dass nach § 38 Abs. 1 Satz 2 BDSG auch ein Datenschutzbeauftragter vom Headhunter zu benennen wäre.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.