Keine Initiativbewerbungen möglich wegen „Datenschutzbedenken“?

Initiativbewerbung

Es kommt nicht selten vor, dass in Unternehmen bestimmte Vorhaben abgeblockt werden und dies lapidar mit dem Hinweis auf „den Datenschutz“ begründet wird. Manchmal sind die Datenschutzbedenken vorgeschoben, aber manchmal sprechen im Kern tatsächlich datenschutzrechtliche Erwägungen dagegen – jedoch sind diese Argumente leider nicht immer nachvollziehbar und verständlich vorgetragen.

So auch in einem weiteren Fall des TLfDI (Tätigkeitsbericht für das Jahr 2021, Ziffer 3.2). Anlass für die Beschäftigung mit dem Thema war die Eingabe eines Petenten, dessen Initiativbewerbung mit dem wortkarten Hinweis auf „Datenschutzgründe“ abgelehnt worden war. Diese sehr verkürzte „Begründung“ konnte von dem Bewerber verständlicherweise nicht nachvollzogen werden.

Bei einer näheren Betrachtung durch die Aufsichtsbehörde stellte sich das Verhalten des Verantwortlichen jedoch durchaus als legitim dar:

1. Vertraulichkeit von Bewerberdaten
Unternehmen müssen Bewerberdaten nach Art. 88 DS-GVO in Verbindung mit § 26 BDSG vertraulich behandeln und auch intern gegen Zugriff Unbefugter schützen. Dies zu gewährleisten ist jedoch schwierig, wenn der Verantwortliche keine Kontrolle darüber hat, über welchen Kanal und welche E-Mail-Adressen eine Bewerbung eingehen kann.
2. Rollen- und Zugriffsberechtigungen
Personenbezogene Daten in Initiativbewerbungen, die über einen allgemeinen Firmen-E-Mailaccount eingehen, könnten von einer Vielzahl von Personen zur Kenntnis genommen werden, die letztendlich weder mit der Bewerberauswahl noch mit Aufgaben der Personalverwaltung beauftragt sind.
3. Technische- und organisatorische Maßnahmen
Sofern sich das Unternehmen für individuelle technische und organisatorische Maßnahmen im Rahmen des Bewerbungsmanagements entschieden hat, um bspw. insbesondere personenbezogenen Daten im Sinne von Art. 9 DS-GVO zu schützen, könnten diese ins Leere laufen, wenn die Bewerberdaten nicht über die Kommunikationskanäle ins Unternehmen gelangen, die dafür vorgesehen sind.
4.Transparenzanforderungen
Es ist für den Verantwortlichen eine größere Herausforderungen seinen gesetzlichen Informationspflichten nach den Artt. 12 ff. DS-GVO nachzukommen, wenn er ggf. gar nicht erst erfährt über welche Kanäle Bewerberdaten in seine Datenverarbeitungssysteme gelangen.
5. Löschkonzepte
Nicht von der Hand zu weisen ist, dass bei Initiativbewerbungen auch die Umsetzung von Löschkonzepten erschwert werden können, da erstellte Löschkonzepte diese E-Mails gar nicht inkludieren.
6. IT-Sicherheitskonzepte
Bei Bewerbungen per E-Mail besteht für den Empfänger darüber hinaus generell ein Risiko, dass mit umfangreichen Dateien auch Schadware auf die IT gelangen kann. Insoweit kann ein Bewerber auch nicht verlangen, dass Initiativbewerbungen ohne Bezug auf konkrete Stellenangebote vom Unternehmen geöffnet werden.

Fazit der Aufsichtsbehörde:
Bei einer Initiativbewerbung liegt es im Risikobereich des Bewerbers, dass damit auch unbefugte Kenntnis über die mit einer Bewerbung verbundenen personenbezogenen Daten erfolgen kann. Aus dem datenschutzrechtlichen Blickwinkel wird daher regelmäßig gefordert, dass ein Unternehmen von Bewerbern nicht verlangen darf, sich über die allgemeine E-Mail-Adresse zu bewerben, auf deren Account nicht nur diejenigen Personen Zugriff haben, die aufgabenbezogen Zugriff auf Bewerberdaten nehmen dürfen. Daher ist – sofern Bewerbungen über E-Mail erwünscht sind – grundsätzlich ein gesonderter Account einzurichten, über den sich Bewerber auf bestimmte Stellen bewerben können und auf den intern auch nur die Personen zugreifen können, die mit dem Auswahlverfahren betraut sind.
Insoweit sah die Aufsichtsbehörde auch kein Anlass, an das Unternehmen als Datenschutzaufsicht heranzutreten.

(Foto: Rawpixel.com – stock.adobe.com)

Letztes Update:30.10.22

  • Facebook Fanpages DSFA

    Datenschutz-Folgenabschätzung für Facebook-Fanpages

    Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte. Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen,

    Mehr erfahren
  • Interne Untersuchungen? – Bitte nur mit Datenschutz!

    Viele Unternehmen bekennen sich zur weltweiten Bekämpfung von Korruption in all ihren Erscheinungsformen, unterstützen nationale und internationale Anstrengungen und lehnen jegliches korruptes Verhalten ab.Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und den Betrieb eines Compliance-Management-Systems delegieren. In der Regel übernimmt diese Aufgabe ein Compliance-Officer oder je nach Ausgestaltung und

    Mehr erfahren
  • MS 365

    Microsoft 365: Datenschutzkonform nutzbar oder nicht?

    Die Frage wird, möglicherweise nicht so verwunderlich, momentan sehr unterschiedlich beantwortet. Dabei geht es leider nicht nur um Nuancen.Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder sagt in ihrer neuesten Veröffentlichung relativ deutlich und klar: “ Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der

    Mehr erfahren