Keine Initiativbewerbungen möglich wegen „Datenschutzbedenken“?
Es kommt nicht selten vor, dass in Unternehmen bestimmte Vorhaben abgeblockt werden und dies lapidar mit dem Hinweis auf „den Datenschutz“ begründet wird. Manchmal sind die Datenschutzbedenken vorgeschoben, aber manchmal sprechen im Kern tatsächlich datenschutzrechtliche Erwägungen dagegen – jedoch sind diese Argumente leider nicht immer nachvollziehbar und verständlich vorgetragen.
So auch in einem weiteren Fall des TLfDI (Tätigkeitsbericht für das Jahr 2021, Ziffer 3.2). Anlass für die Beschäftigung mit dem Thema war die Eingabe eines Petenten, dessen Initiativbewerbung mit dem wortkarten Hinweis auf „Datenschutzgründe“ abgelehnt worden war. Diese sehr verkürzte „Begründung“ konnte von dem Bewerber verständlicherweise nicht nachvollzogen werden.
Bei einer näheren Betrachtung durch die Aufsichtsbehörde stellte sich das Verhalten des Verantwortlichen jedoch durchaus als legitim dar:
1. Vertraulichkeit von Bewerberdaten
Unternehmen müssen Bewerberdaten nach Art. 88 DS-GVO in Verbindung mit § 26 BDSG vertraulich behandeln und auch intern gegen Zugriff Unbefugter schützen. Dies zu gewährleisten ist jedoch schwierig, wenn der Verantwortliche keine Kontrolle darüber hat, über welchen Kanal und welche E-Mail-Adressen eine Bewerbung eingehen kann.
2. Rollen- und Zugriffsberechtigungen
Personenbezogene Daten in Initiativbewerbungen, die über einen allgemeinen Firmen-E-Mailaccount eingehen, könnten von einer Vielzahl von Personen zur Kenntnis genommen werden, die letztendlich weder mit der Bewerberauswahl noch mit Aufgaben der Personalverwaltung beauftragt sind.
3. Technische- und organisatorische Maßnahmen
Sofern sich das Unternehmen für individuelle technische und organisatorische Maßnahmen im Rahmen des Bewerbungsmanagements entschieden hat, um bspw. insbesondere personenbezogenen Daten im Sinne von Art. 9 DS-GVO zu schützen, könnten diese ins Leere laufen, wenn die Bewerberdaten nicht über die Kommunikationskanäle ins Unternehmen gelangen, die dafür vorgesehen sind.
4.Transparenzanforderungen
Es ist für den Verantwortlichen eine größere Herausforderungen seinen gesetzlichen Informationspflichten nach den Artt. 12 ff. DS-GVO nachzukommen, wenn er ggf. gar nicht erst erfährt über welche Kanäle Bewerberdaten in seine Datenverarbeitungssysteme gelangen.
5. Löschkonzepte
Nicht von der Hand zu weisen ist, dass bei Initiativbewerbungen auch die Umsetzung von Löschkonzepten erschwert werden können, da erstellte Löschkonzepte diese E-Mails gar nicht inkludieren.
6. IT-Sicherheitskonzepte
Bei Bewerbungen per E-Mail besteht für den Empfänger darüber hinaus generell ein Risiko, dass mit umfangreichen Dateien auch Schadware auf die IT gelangen kann. Insoweit kann ein Bewerber auch nicht verlangen, dass Initiativbewerbungen ohne Bezug auf konkrete Stellenangebote vom Unternehmen geöffnet werden.
Fazit der Aufsichtsbehörde:
Bei einer Initiativbewerbung liegt es im Risikobereich des Bewerbers, dass damit auch unbefugte Kenntnis über die mit einer Bewerbung verbundenen personenbezogenen Daten erfolgen kann. Aus dem datenschutzrechtlichen Blickwinkel wird daher regelmäßig gefordert, dass ein Unternehmen von Bewerbern nicht verlangen darf, sich über die allgemeine E-Mail-Adresse zu bewerben, auf deren Account nicht nur diejenigen Personen Zugriff haben, die aufgabenbezogen Zugriff auf Bewerberdaten nehmen dürfen. Daher ist – sofern Bewerbungen über E-Mail erwünscht sind – grundsätzlich ein gesonderter Account einzurichten, über den sich Bewerber auf bestimmte Stellen bewerben können und auf den intern auch nur die Personen zugreifen können, die mit dem Auswahlverfahren betraut sind.
Insoweit sah die Aufsichtsbehörde auch kein Anlass, an das Unternehmen als Datenschutzaufsicht heranzutreten.
(Foto: Rawpixel.com – stock.adobe.com)
Letztes Update:30.10.22
Das könnte Sie auch interessieren
-
Folge 95: Ein „KI-Seepferdchen“ für alle – Befähigung und Schutz in der digitalen Welt
Das „KI-Seepferdchen“ wurde von der unabhängigen Expertenkommission „Kinder und Jugendschutz in der digitalen Welt“ im Juni 2026 als Maßnahme vorgeschlagen. Es geht darum, Kinder schon im Grundschulalter mit den Möglichkeiten und Risiken von KI in Form von Chatbots vertraut zu machen. Die Vermittlung von KI-Kompetenz ist eine Rechtspflicht auch für Schulen und Schulträger. Die Expertenkommission
Mehr erfahren -
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren

