Die datenschutzrechtliche Stellung von Headhuntern

Bis vor einigen Jahren war es fast schon ein Privileg, von einem Headhunter kontaktiert zu werden. Mittlerweile ist der Headhunter- bzw. Recruiting-Markt enorm gewachsen. Job-Suchende erhalten regelmäßig Angebote und werden manchmal sogar „überhäuft“. Aus diesem Grund kann es sein, dass betroffene Personen verstärkt von ihrem Auskunftsrecht Gebrauch machen. Oftmals steht dann auch das Unternehmen, das den Headhunter beauftragt hat, Personal zu suchen, im Fokus.

Headhunter: Auftragsverarbeitung?

Genau beim Wort „beauftragen“ scheiden sich in der Praxis die Geister: Ist ein Vertrag zur Auftragsverarbeitung (AV) notwendig?

Das suchende Unternehmen hat meist recht genaue Anforderungen an die zu besetzende Stelle. So dokumentiert in der Regel eine Stellenanzeige oder Job-Beschreibung die Qualifikationen, die der neue Mitarbeiter aufweisen sollte, sehr detailliert. Auch in bezug auf Gehalt, Startdatum und Ausgestaltung des Arbeitsverhältnisses werden die meisten Unternehmen genaue Anforderungen an den Headhunter weitergeben.

Mit diesen Informationen soll der Headhunter dann geeignete Kandidaten finden – oftmals sowohl aus dem eigenen Repertoire, das sich der Headhunter in der Vergangenheit aufgebaut hat, als auch durch direkte Ansprache von neuen potenziell geeigneten Kandidaten.

Auf den ersten Blick könnte man vermuten, dass in diesem Fall ein Auftragsverarbeitungsverhältnis im Sinn von Art. 28 Datenschutz-Grundverordnung (DSGVO) gegeben ist. Liest man aber die Definition des „Auftragsverarbeiters“ in Art. 4 Nr. 8 DSGVO, sieht die Sache anders aus. Dort heißt es, ein Auftragsverarbeiter sei „eine natürliche oder juristische Person […], die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Und genau hier stellt sich die Frage, ob es sich bei der Suche nach neuen Mitarbeitern um personenbezogene Daten des Verantwortlichen handelt – insbesondere dann, wenn der Headhunter auf seinen eigenen, bereits aufgebauten Kandidaten-Pool zurückgreift. Diesen Datenpool hat er sich in der Regel vorher angelegt – ohne dass hierfür eine Beauftragung des konkreten Unternehmens vorliegt.

Selbst wenn er sich einen Kandidaten-Pool erst durch die Beauftragung eines konkreten Unternehmens aufbauen sollte, wird es in der Regel so sein, dass die Kandidaten weiterhin in seiner Datenbank verbleiben, selbst wenn sie nicht für die zu besetzende Stelle in Betracht gekommen sind.

Eher Controller-zu-Controller-Verhältnis

Ausschlaggebend für die rechtliche Einordung ist das Über- bzw. Unterordnungsverhältnis, in dem sich ein Auftragsverarbeiter befindet. Er muss die personenbezogenen Daten genau nach Weisung des Verantwortlichen verarbeiten und hat keinen eigenen Spielraum. Zudem darf er die Daten nicht zu eigenen Zwecken verarbeiten.

Das ist bei einem Headhunter nicht der Fall. Daher handelt es sich hierbei um ein Controller-zu-Controller-Verhältnis, also um zwei eigenständige Verantwortliche, die personenbezogene Daten übermitteln. Die Rechtsgrundlage für eine solche Verarbeitung findet sich in Art. 6 Abs. 1 Buchst. f DSGVO. Denn es besteht ein berechtigtes Interesse an der Datenverarbeitung, und eine Interessenabwägung fällt zugunsten der Verantwortlichen aus.

Der Headhunter selbst erhebt die Daten in der Regel auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO. Er muss daher sicherstellen, dass er die Voraussetzungen von Art. 7 DSGVO gegenüber dem Kandidaten erfüllt, inklusive aller Informationspflichten.

Was sagen die Aufsichten für den Datenschutz?

Bereits die Art.-29-Gruppe, das vor der DSGVO als unabhängiges Beratungsgremium der EU-Kommission agiert hat, hat in ihrem Working Paper Nr. 169 das Thema „Personalvermittlung“ sowie die Rollen des Verantwortlichen und des Auftragsverarbeiters genauer unter die Lupe genommen. So führt das Beispiel 6 in dem Papier klar aus, dass ein Headhunter gegenüber den Arbeitssuchenden die Rolle eines Verantwortlichen einnimmt (siehe https://ogy.de/wp169-de, S. 23).

Ganz ähnlich äußert sich der Europäische Datenschutzausschuss in seinen „Leitlinien 07/2020 zu den Begriffen ‚Verantwortlicher‘ und ‚Auftragsverarbeiter‘ in der DSGVO“ (PDF abrufbar unter https://ogy.de/guidelines-controllerprocessor, S. 27).

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in seiner Auslegungshilfe zur Auftragsverarbeitung klargestellt, dass Personalvermittler nach Auftrag von Stellensuchenden oder Arbeitgebern nicht als Auftragsverarbeiter zu werten sind, sondern eigene Verantwortliche darstellen (abrufbar https://ogy.de/abgrenzung-auftragsverarbeitung).

Was tun, wenn es bereits einen AV-Vertrag gibt?

Wie ist der Sachverhalt allerdings zu werten, wenn in der Vergangenheit ein AV-Vertrag mit dem Headhunter abgeschlossen wurde? Auch hier gibt das Working-Paper Nr. 169 eine Antwort: In diesem Fall liegt trotz der vertraglichen Abmachung keine Auftragsverarbeitung vor. Es kommt nicht auf die Vereinbarungen an, sondern auf die tatsächliche Beziehung zwischen den Parteien.

Streng genommen ist aus datenschutzrechtlicher Sicht kein Vertrag erforderlich. In der Praxis hat es sich jedoch bewährt, eine „Vereinbarung über die getrennte Verantwortung“ mit der anderen Partei abzuschließenn. Zudem gehört eine solche Verarbeitung ins Verzeichnis von Verarbeitungstätigkeiten.

Beispielhafte Inhalte einer „Vereinbarung über die getrennte Verantwortung“