Zurück zur Übersicht
11.05.2021

Datenpanne oder Taktik?

Eine Personalvermittlung versendete im Laufe eines Jahres Daten von Arbeitsuchenden durch unverschlüsselte E-Mails an Dritte und erklärte, dies sei geschehen, weil man die Kontrolle über die Technik verloren habe.

Die Datenschutzaufsicht hat eine größere Anzahl von Hinweisen erreicht, wonach Unternehmen ungebeten von einer Personalvermittlung Lebensläufe von Bewerber*innen per E-Mail zugesandt bekommen haben – oft mit Bild, Alter und einer Vielzahl weiterer persönlicher Angaben. Die Empfängerinnen und Empfänger der E-Mails haben die Personalvermittler*innen teilweise mehrfach aufgefordert, keine weiteren E-Mails mehr zu senden, dies hatte jedoch keinen Erfolg. Auf Nachfrage hin konnte die Personalvermittlung diese Datenübermittlungen nicht erklären.

Es stellte sich heraus, dass das Unternehmen die Bewerbungsdaten in einer veralteten Datenbank auf kaum gesicherten Servern gespeichert hatte. Eine aktuelle Dokumentation des Systems konnte nicht vorgelegt werden. Es ließ sich nicht feststellen, ob einzelne Beschäftigte oder Außenstehende dem Unternehmen schaden wollten oder ob das wahllose Versenden dieser E-Mails sogar vom Unternehmen selbst erwünscht war, um einen möglichst großen Kreis an Empfängerinnen und Empfängern auf die Arbeitssuchenden aufmerksam zu machen. Selbst wenn ein technischer Fehler vorgelegen haben sollte, wäre es jedenfalls sehr bedenklich gewesen, dass die Personalvermittlung trotz Kenntnis der Probleme über Monate hinweg ihrer Tätigkeit weiter nachgegangen ist, ohne etwas zu unternehmen.

Bewerbungsunterlagen dürfen von Personalvermittlungen nur unter engen Voraussetzungen an Dritte übermittelt werden. Meist ist die Grundlage eine Einwilligung der Bewerber*innen. Solche Einwilligungserklärungen müssen jedoch genau formulieren, wofür sie abgegeben werden, etwa für die Übermittlung von Unterlagen an ein einzelnes Unternehmen oder an verschiedene Unternehmen einer einzelnen Branche. Da Einwilligungen nur wirksam erteilt werden können, wenn die Betroffenen verstehen, worum es dabei geht, müssen sie immer möglichst konkret gefasst werden. Wer nicht weiß, an wen ihre oder seine Daten übermittelt werden, kann dieser Übermittlung auch nicht wirksam zustimmen.

Es ist empfehlenswert, wenn Personalvermittlungen Bewerbungen in einem zweistufigen Verfahren übermitteln: Zunächst werden an interessierte Unternehmen nur allgemeine und möglichst anonymisierte Informationen zu der Kandidatin oder dem Kandidaten übermittelt. Dies können etwa Angaben zu den Fähigkeiten, zur Berufserfahrung o. Ä. sein. Ist das Unternehmen aufgrund dieser allgemeinen Angaben an einer bestimmten Person interessiert, können in einer zweiten Stufe – i. d. R. auf Basis einer Einwilligung der Betroffenen – die vollständigen Bewerbungsunterlagen übermittelt werden. So kann verhindert werden, dass unnötig viele personenbezogene Daten an Unternehmen verschickt werden, die hieran überhaupt kein Interesse haben.

In diesem Fall bestand darüber hinaus das Problem, dass die Personalvermittlung personenbezogene Daten an Unternehmen verschickt hat, die schon mehrfach mitgeteilt hatten, diese Information nicht erhalten zu wollen. Darüber hinaus ist es problematisch, derartige Unterlagen unverschlüsselt per E-Mail zu versenden. Eine Personalvermittlung muss sich sicherer Übermittlungswege für diese Unterlagen bedienen. Der Vorgang wurde zur Prüfung eines Bußgeldverfahrens an die Sanktionsstelle abgegeben.


Fazit: Personalvermittlungen sind in besonderem Maße dazu verpflichtet, sorgfältig mit den Daten von den Personen umzugehen, die sie vermitteln wollen.


Quelle: BInBDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks