Keine Initiativbewerbungen möglich wegen „Datenschutzbedenken“?

Es kommt nicht selten vor, dass in Unternehmen bestimmte Vorhaben abgeblockt werden und dies lapidar mit dem Hinweis auf „den Datenschutz“ begründet wird. Manchmal sind die Datenschutzbedenken vorgeschoben, aber manchmal sprechen im Kern tatsächlich datenschutzrechtliche Erwägungen dagegen – jedoch sind diese Argumente leider nicht immer nachvollziehbar und verständlich vorgetragen.

So auch in einem weiteren Fall des TLfDI (Tätigkeitsbericht für das Jahr 2021, Ziffer 3.2). Anlass für die Beschäftigung mit dem Thema war die Eingabe eines Petenten, dessen Initiativbewerbung mit dem wortkarten Hinweis auf „Datenschutzgründe“ abgelehnt worden war. Diese sehr verkürzte „Begründung“ konnte von dem Bewerber verständlicherweise nicht nachvollzogen werden.

Bei einer näheren Betrachtung durch die Aufsichtsbehörde stellte sich das Verhalten des Verantwortlichen jedoch durchaus als legitim dar:

1. Vertraulichkeit von Bewerberdaten
Unternehmen müssen Bewerberdaten nach Art. 88 DS-GVO in Verbindung mit § 26 BDSG vertraulich behandeln und auch intern gegen Zugriff Unbefugter schützen. Dies zu gewährleisten ist jedoch schwierig, wenn der Verantwortliche keine Kontrolle darüber hat, über welchen Kanal und welche E-Mail-Adressen eine Bewerbung eingehen kann.
2. Rollen- und Zugriffsberechtigungen
Personenbezogene Daten in Initiativbewerbungen, die über einen allgemeinen Firmen-E-Mailaccount eingehen, könnten von einer Vielzahl von Personen zur Kenntnis genommen werden, die letztendlich weder mit der Bewerberauswahl noch mit Aufgaben der Personalverwaltung beauftragt sind.
3. Technische- und organisatorische Maßnahmen
Sofern sich das Unternehmen für individuelle technische und organisatorische Maßnahmen im Rahmen des Bewerbungsmanagements entschieden hat, um bspw. insbesondere personenbezogenen Daten im Sinne von Art. 9 DS-GVO zu schützen, könnten diese ins Leere laufen, wenn die Bewerberdaten nicht über die Kommunikationskanäle ins Unternehmen gelangen, die dafür vorgesehen sind.
4.Transparenzanforderungen
Es ist für den Verantwortlichen eine größere Herausforderungen seinen gesetzlichen Informationspflichten nach den Artt. 12 ff. DS-GVO nachzukommen, wenn er ggf. gar nicht erst erfährt über welche Kanäle Bewerberdaten in seine Datenverarbeitungssysteme gelangen.
5. Löschkonzepte
Nicht von der Hand zu weisen ist, dass bei Initiativbewerbungen auch die Umsetzung von Löschkonzepten erschwert werden können, da erstellte Löschkonzepte diese E-Mails gar nicht inkludieren.
6. IT-Sicherheitskonzepte
Bei Bewerbungen per E-Mail besteht für den Empfänger darüber hinaus generell ein Risiko, dass mit umfangreichen Dateien auch Schadware auf die IT gelangen kann. Insoweit kann ein Bewerber auch nicht verlangen, dass Initiativbewerbungen ohne Bezug auf konkrete Stellenangebote vom Unternehmen geöffnet werden.

Fazit der Aufsichtsbehörde:
Bei einer Initiativbewerbung liegt es im Risikobereich des Bewerbers, dass damit auch unbefugte Kenntnis über die mit einer Bewerbung verbundenen personenbezogenen Daten erfolgen kann. Aus dem datenschutzrechtlichen Blickwinkel wird daher regelmäßig gefordert, dass ein Unternehmen von Bewerbern nicht verlangen darf, sich über die allgemeine E-Mail-Adresse zu bewerben, auf deren Account nicht nur diejenigen Personen Zugriff haben, die aufgabenbezogen Zugriff auf Bewerberdaten nehmen dürfen. Daher ist – sofern Bewerbungen über E-Mail erwünscht sind – grundsätzlich ein gesonderter Account einzurichten, über den sich Bewerber auf bestimmte Stellen bewerben können und auf den intern auch nur die Personen zugreifen können, die mit dem Auswahlverfahren betraut sind.
Insoweit sah die Aufsichtsbehörde auch kein Anlass, an das Unternehmen als Datenschutzaufsicht heranzutreten.

(Foto: Rawpixel.com – stock.adobe.com)