05.11.2020

Die Tücken bei Bewerbungen per E-Mail

Sollen Bewerbungen auf ausgeschriebene Stellen per E-Mail erfolgen, sind die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Bewerberdaten gegen unbefugte Kenntnis zu treffen. Dies gilt auch für Eingangsbestätigungen per E-Mail.

Ein Bewerber um eine Anstellung bei einer Landeseinrichtung beschwerte sich bei der Aufsichtsbehörde für den Datenschutz, weil dort offenbar noch Daten aus früheren erfolglosen Bewerbungen vorhanden waren, die aus seiner Sicht längst hätten gelöscht sein müssen. Seine aktuelle Bewerbung per E-Mail hatte er unter Nutzung einer erst seit Kurzem eingerichteten E-Mail-Adresse übersandt. Die Eingangsbestätigung ging allerdings an eine alte E-Mail-Adresse. Daraus zog die betroffene Person den Schluss, dass man in der Stelle offenbar alte Bewerbungen vorhielt.

Auf Anfrage beim Verantwortlichen, wie es dazu kommen konnte und wie die aus datenschutzrechtlicher Sicht nicht unproblematische Bewerbung generell geregelt sei, teilte dieser der Behörde mit, man lösche Bewerberdaten selbstverständlich entsprechend der definierten Löschfristen zeitnah. Der konkrete Sachverhalt zu der in Rede stehenden Bewerbung könne aus diesem Grund nicht rekonstruiert werden. Zur Reglementierung datenschutzrechtlicher Fragestellungen sei ein Datenschutzhandbuch im Einsatz, das auch die Anforderungen an die Datenverarbeitung im Rahmen von Bewerbungsverfahren regele. Die Bewerber könnten die Bewerbung verschlüsselt übersenden. Durch ein mehrstufiges System von Zugriffsrechten sei ein unbefugter Zugriff intern ausgeschlossen. Die Aufnahme in das interne Bewerbermanagementsystem und der Zugriff auf dieses System sei nur für autorisierte Personen zugelassen. Bewerbungsunterlagen dürften nur den Personen zur Verfügung gestellt werden, die an der Personalauswahl beteiligt sind.

Eine Rückantwort an eine „alte“ E-Mail-Adresse konnte sich die verantwortliche Stelle nur vor dem Hintergrund der Autofill-Funktion des Posteingangs-Programms erklären, indem das Programm zumindest Teile der eingegebenen Adresse erkannte und sofort automatisch vervollständigte, und nahm die Anfrage zum Anlass, Strategien zur Vermeidung eben dieser Funktion zu entwickeln. Die Aufsichtsbehörde hatte keine Bedenken zum geschilderten Umgang mit den Bewerberunterlagen und wies darauf hin, dass bis zu einem Ausschluss der Autofill-Funktion bei der Versendung von Nachrichten an die Bewerber besonderes Augenmerk auf die Aktualität beziehungsweise Richtigkeit der übernommenen E-Mail-Adresse zu richten ist.

Die Aufsichtsbehörde unterrichtete die betroffene Person über die Feststellungen und dass im Hinblick auf die Autofill-Funktion geeignete Maßnahmen seitens des Verantwortlichen eingeleitet wurden. Eine weitergehende Prüfung des Einzelfalls durch den TLfDI konnte allerdings nicht erfolgen, da die betroffene Person Anonymität wünschte.

Die Problematik von Bewerbungen per E-Mail war bereits mehrfach Gegenstand datenschutzrechtlicher Prüfungen.

Ein Verantwortlicher darf nur dann zur Bewerbung per E-Mail auffordern, wenn die technischen und organisatorischen Maßnahmen zum Schutz der Bewerberdaten gegen unbefugte Kenntnis getroffen sind.

Wird den Bewerbern die Übersendung der Bewerbung in verschlüsselter Form ermöglicht, was aufgrund der Sensibilität der Bewerbungsdaten angemessen ist, sind umgekehrt auch Reaktionen der verantwortlichen Stelle auf Bewerbungen gegen unbefugte Kenntnis auf dem Transport besonders zu sichern. Dies bedeutet, dass, wenn eine Eingangsbestätigung nicht verschlüsselt wird, weder aus dem Header noch aus dem Inhalt für Unbefugte erkennbar sein darf, dass es sich um die Bestätigung einer Bewerbung handelt. In einem solchen Fall dürfte nur neutral der „Eingang eines Schreibens vom …(Datum)“ bestätigt werden. Hierauf wurde der Verantwortliche nochmals hingewiesen.

Quelle: TLfDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks