WIR SUCHEN DICH! – ABER NUR MIT EINEM PSYCHOLOGISCHEN TEST (2)

Zahlreiche Unternehmen setzen bei der Suche nach neuen Mitarbeitern auf die Ergebnisse von psychologischen Testverfahren. Aus gutem Grund, denn Ergebnisse aus psychologischen Einschätzungen können bei der Wahl des Interessenten das Risiko minimieren, sich für die falsche Person zu entscheiden. In Teil I haben wir ausführlich die Frage diskutiert, ob die Durchführung von psychologischen Testverfahren datenschutzrechtlich in den Definitionsbereich des Profilings fällt. Nach eingehender Analyse sind wir auf das Ergebnis gekommen, dass die Voraussetzungen des Profilingbegriffs zutreffen.

Allerdings werfen solche Testverfahren bei näherer Betrachtung weitere Fragen auf, beispielsweise wie die hierbei entstehenden Informationen zu kategorisieren sind. Diese Frage gewinnt weiter an Brisanz, wenn klar wird, dass es sich um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO handeln könnte. Sollten diese Informationen tatsächlich besondere Kategorien von Daten darstellen, entstehen Unternehmen während und nach der Bewerbungsphase besonders strenge Pflichten beim Umgang mit den Daten der Bewerber:innen.


BESONDERE KATEGORIEN VON DATEN?

Psychologische Testverfahren analysieren teilnehmende Personen in verschieden Aspekten ihrer Persönlichkeit und erstellen daraus Persönlichkeitsprofile. Es gibt einige verbreitete und anerkannte psychologische Testverfahren, die jeweils verschiedene Werkzeuge nutzen, um die Persönlichkeit von Teilnehmern darzustellen. In den meisten Fällen nutzen sie Fragebögen, welche von den Teilnehmer:innen beantwortet werden müssen. Anhand der Art und Weise, wie die Teilnehmer:innen diese Fragen beantworten, kann die Persönlichkeit zumindest in einigen relevanten Aspekten ermittelt und in für Dritte verständliche Profile dargestellt werden. In solchen Testverfahren werden zumeist Fragen zur Motivation, psychischen Stärke, Teamfähigkeit, Belastbarkeit und Verhalten etc. gestellt.

Es besteht Grund zur Annahme, dass psychologische Gutachten als besondere Kategorien von Daten einzustufen sind. Um das herauszufinden, muss zunächst geklärt werden, ob Daten, welche mithilfe von psychologischen Testverfahren und deren Auswertung Informationen über die Gesundheit und „Arbeitsfähigkeit“ einer Person preisgeben und somit unter das Schutzregime des Art. 9 Abs. 1 DS-GVO fallen. Es stellt sich somit die Frage, ob ein psychologisches Gutachten als Gesundheitsdatum zu werten ist. Über die ausdrücklich im Katalog des Abs. 1 genannten Daten hinaus werden auch mittelbare Hinweise auf diese Merkmale besonders geschützt. Hieraus wird ersichtlich, dass es bei der Einstufung als besondere Kategorien von Daten auf den vermittelten Informationsgehalt ankommt, nicht auf die Art- und Weise der Darstellung und Bezeichnung.

Der in Art. 9 Abs. 1 DS-GVO enthaltene Katalog von besonderen Kategorien personenbezogener Daten ist zwar abschließend, aber teils sehr weit gefasst. Die genaue Definition von Gesundheitsdaten ist in Art. 4 Nr. 15 DS-GVO geregelt. Demnach umfasst der Begriff Informationen über die körperliche und physische Gesundheit von (natürlichen) Personen. Hierzu gehören auch Daten, die durch Erbringung von Gesundheitsdienstleistungen entstehen, und Informationen, aus denen der Gesundheitszustand von Personen hervorgeht. Erwägungsgrund 35 Satz 1 DS-GVO geht noch einen Schritt weiter und schließt darüber hinaus sämtliche Daten aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen, können in den Definitionsbereich mit ein. Dabei spielt die Herkunft der Daten zur Einordnung als Gesundheitsdatum gemäß Erwägungsgrund 35 Satz 1 keine Rolle. So macht es keinen Unterschied, ob die Datei von einem Arzt, oder sonstigen im Gesundheitswesen beschäftigten Person oder Einrichtung stammt. Hierzu gehören folglich auch Gesundheitsdaten, die von einem Medizinprodukt generiert wurden. Selbst aus Fotografien können Gesundheitsdaten entstehen, etwa wenn eine fotografierte Person eine Brille trägt. Zudem können verschiedene Daten, die keine Gesundheitsdaten darstellen, wie zum Beispiel Größe, Gewicht und Alter, durch ihre Verknüpfung zu Gesundheitsdaten zusammengeführt werden. In diesem Sinne sind selbst Sportuhren und Fitnesstracker dazu geeignet, Gesundheitsdaten zu verarbeiten und wahrscheinlich sogar zu generieren.


ERGEBNIS

Nach den oben genannten Überlegungen steht fest, dass nicht nur ausgewiesene Medizinprodukte und im Gesundheitswesen agierende Personen im Stande sind Gesundheitsdaten herzustellen. In anderen Worten: Solche Informationen können nicht nur durch einen Arzt oder einer Ärztin entstehen und es bedarf auch keines medizinischen Produkts, welches von ihnen verschrieben wurde. Sie lassen ferner den Schluss zu, dass auch Informationen aus psychologischen Testverfahren als besondere Kategorien von personenbezogenen Daten einzustufen sind. Die DS-GVO definiert Gesundheitsdaten sehr weitläufig und lässt in ihrer Anwendung sehr viel Auslegungsspielraum. Der Gesetzgeber hat dadurch, wie an den vorangegangenen Beispielen deutlich gemacht wurde, den Maßstab zur Einstufung personenbezogener Daten als Gesundheitsdaten offenbar eher niedrig angesetzt hat. Frei nach dem Motto: Lieber zu viel als zu wenig. Haben Sie sich in Ihrem Betrieb dazu entschieden, Ergebnisse psychologischer Testverfahren für die Auswahl Ihrer Bewerber einzubeziehen, raten wir diese Daten zur Sicherheit nach den Regelungen des Art. 9 DS-GVO zu behandeln. In der Praxis kann dies allerdings mit großem Aufwand verbunden sein, da sie weitere, strengere Maßnahmen zum Umgang mit diesen Daten umsetzen müssen.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 05. April 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Beschäftigtendatenschutz
  • besondere Kategorien von personenbezogenen Daten
  • Bewerbermanagement
  • Gesundheitsdaten
  • Gutachten
Lesen

WIR SUCHEN DICH! – ABER NUR MIT EINEM PSYCHOLOGISCHEN TEST (1)

Unternehmen stehen im betrieblichen Alltag vor einer zunehmenden Anzahl an Einzelentscheidungen. Jede dieser Entscheidung ist wichtig und muss getroffen werden, um den Betrieb aufrecht zu erhalten. Ein Bereich, welcher Unternehmen sehr viel Zeit, Personal und damit Ressourcen kostet, ist die Suche nach geeigneten Mitarbeiter:innen. Auf eine Stellenanzeige treffen teilweise Tausende Bewerbungen ein. In solchen Fällen ist es wohl keinem Unternehmen möglich, sämtliche Bewerbungen einzeln und individuell gründlich zu sichten. Selbst wenn die Auswahl geeigneter Bewerber:innen getroffen ist, bleiben sogar bei den aussagekräftigsten Bewerbungsunterlagen viele Fragen offen: Ist die Person wirklich stressresistent? Stimmen die Angaben bezüglich der Zuverlässigkeit? Passt die Person charakterlich ins Team? Um diese Ungewissheiten zumindest teilweise zu eliminieren, gibt es psychologische Testverfahren, die berufsrelevante Persönlichkeitsmerkmale systematisch und automatisiert erfassen.

Die Nutzung dieser Dienste ist für Unternehmen heute gängig und Jobsuchende nehmen diese regelmäßig unkritisch in Anspruch, um keinen negativen Eindruck im Bewerbungsgeschehen zu hinterlassen. Dennoch gibt es in der Praxis einige datenschutzrechtliche Stolpersteine, über die Unternehmen im Rahmen der Nutzung fallen können. Dieser Beitrag widmet sich der Frage, ob das automatisierte psychologische Testverfahren als Profiling bzw. als automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling zu werten ist.


PROFILING UND AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG?

Eine weitere Fragestellung ergibt sich aus Art. 22 DS-GVO. Dieser regelt das Recht des Betroffenen, keiner ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Gemäß Art. 4 Nr. 4 DS-GVO fällt unter den Begriff des Profilings jede automatisierte Verarbeitung personenbezogener Daten zur Bewertung bestimmter persönlicher Aspekte natürlicher Personen. Hierzu gehören Faktoren wie Arbeitsleistung, Gesundheit, Interessen, Zuverlässigkeit, Verhalten usw.

Per Definition umfasst das Profiling lediglich die Datenanalyse einer individuellen Verhaltensbewertung. Als Profiling werden Techniken erfasst, mit deren Hilfe auf Grundlage des analytischen Verhaltens unter Zugrundelegung statistisch-mathematischer Verfahren, Prognosen über das mögliche künftige Verhalten einer Person erstellt werden können. Dies kann eine Vielzahl verschiedener Prognosen sein, wie beispielsweise und in diesem Kontext besonders relevant, Einschätzungen von Fehler- und Ermüdungsrisiken im Zusammenhang mit der Bedienung komplexer Maschinen. Die Funktionsweise psychologischer Testverfahren entspricht somit der Definition des Profilings. Das bedeutet jedoch nur, dass keine automatische Entscheidung ausschließlich auf Basis der Ergebnisse automatisierter psychologischer Testverfahren gefällt werden darf. In der Praxis bedeutet das, dass wenn Sie eine Software für psychologische Gutachten im Bewerbungsmanagement einsetzen, Sie den Prozess insgesamt so gestalten sollten, dass Sie Bewerber:innen nicht allein aufgrund des psychologischen Gutachtens „herausfiltern“.

Art. 22 Abs. 2 kennt drei Ausnahmetatbestände. Relevant könnte zum einen Abs. 2 lit. a sein, wenn die Entscheidung für den Abschluss oder Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Ob dieser Ausnahmetatbestand greift, ist hinsichtlich der Vielzahl an Stadien eines Bewerbungsprozesses fraglich. Unklar bleibt, ob die Ausnahme des Abs. 2 lit. a einschlägig ist, wenn ein derart generiertes psychologisches Gutachten in die Entscheidung einbezogen wird, einen Bewerber lediglich zu einem Bewerbungsgespräch einzuladen. Es handelt sich nur um eine Einladung zum Gespräch, auf dessen Basis die finale Entscheidung getroffen werden soll. Demnach könnte man argumentieren, dass der Bewerber keiner auf einer automatischen Verarbeitung beruhenden Entscheidung unterworfen war, sondern auf eine von Menschen getroffene Einzelentscheidung, beruhend auf das Bewerbungsgespräch. Dem steht jedoch das im Schrifttum häufig aufgeführte Argument entgegen, dass eine (negative) rechtliche Wirkung oder sonstige ähnliche, erhebliche Beeinträchtigung ausreicht, um den Tatbestand des Art. 22 Abs. 1 DS-GVO auszulösen. Demzufolge, so die Argumentation, reicht es aus Bewerber nicht zum Bewerbungsgespräch einzuladen, um eine rechtliche Wirkung zu entfalten. Der Bewerber hätte im persönlichen Gespräch vielleicht doch überzeugen können.

Einzige weitere Ausnahme findet sich in lit. c. Demnach wäre die automatische Entscheidung basierend auf den Ergebnissen des psychologischen Testverfahrens mit einer ausdrücklichen Einwilligung der betroffenen Person zulässig. Doch auch diese Variante ist problematisch, da die Einwilligung gemäß § 26 Abs. 2 S. 1 BDSG freiwillig erfolgen muss. Eine rechtsgültige Einwilligung der Bewerber:innen wäre allerdings kaum durchsetzbar, denn es gibt keine „echte Wahl“. Bei Widerruf oder Verweigerung wäre die logische Konsequenz, dass die Bewerber:innen aus dem Verfahren ausgeschlossen werden. Das führte das Bewerbungsverfahren ad absurdum.

Die Art. 29 Datenschutzgruppe sieht eine rein maschinelle Entscheidung als erforderlich an, wenn auf eine Stellenanzeige derartig viele Bewerbungen eingeschickt werden, dass die manuelle Sichtung und die darauf basierende Entscheidung für das Unternehmen nicht tragbar ist. Da die Durchsicht der Bewerbungen für Unternehmen bei einer derart hohen Zahl nicht zumutbar ist, muss die Auslese folglich durch automatisierte Prozesse erfolgen, um einen Überblick über die am meisten infrage kommenden Bewerber zu erlangen.


ERGEBNIS

Unternehmen haben ein Interesse daran, den Bewerbungsprozess so zu gestalten, dass die finale Entscheidung, wen sie einstellen, einerseits mit einem möglichst geringen Risiko behaftet ist, andererseits sollte die Entscheidungsphase schnell und kostengünstig vonstattengehen. Psychologische Gutachten minimieren das Risiko eines „Fehlgriffs“ bei der Auswahl. Automatische Entscheidungsprozesse, die die Ergebnisse solcher Gutachten mit einbeziehen, können das Verfahren enorm beschleunigen.

Für die Praxis können wir in diesem Kontext folgenden Raten geben: Nutzen Sie die Gutachten solcher Testverfahren grundsätzlich nur bei einer eher überschaubaren Anzahl von Bewerber:innen und allein zur Risikominimierung. So ist es im Notfall einfacher nachzuweisen, dass Ihre Entscheidung ausschließlich von Menschen getroffen wurde und das Gutachten hierbei eine rein unterstützende Funktion hatte. Die rechtssichere Einbeziehung solcher Testverfahren ist schwierig, da die Ausnahmen des Art. 22 Abs. 2 lit. a und c möglicherweise nicht einschlägig sind. Insbesondere wird es, aufgrund der wahrscheinlichen Konsequenzen bei Widerspruch, kaum möglich sein, Bewerber:innen freiwillig einwilligen zu lassen.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • automatisierte Entscheidung
  • Beschäftigtendatenschutz
  • Bewerbermanagement
  • Gutachten
  • Profiling
Lesen