Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Free

Datenschutz in HR und Payroll : E-Mail-Verschlüsselung im Bewerbungsprozess

Zusammenfasender Vorspann?

Dr. Niels LepperhoffPraxis
Lesezeit 4 Min.
Eine grafische Überlagerung miteinander verbundener Netzwerkknoten über einer blau getönten Stadtlandschaft bei Nacht, die eine Smart City oder eine vernetzte städtische digitale Infrastruktur mit Schwerpunkt auf Humanressourcen symbolisiert.

1. Einleitung

Bewerbungen per E-Mail sind längst Standard und haben die postalische Kommunikation fast vollständig verdrängt. Man möchte meinen, dass auch die damit zusammenhängenden Datenschutzfragen längst geklärt seien. Das dem nicht so zu sein scheint, macht der jüngste Tätigkeitsbericht des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) deutlich[1]. Eine guter Anlass, einen Blick auf das Thema Verschlüsselung von E-Mails im Bewerbungsverfahren zu werfen.

Gesetzlicher Hintergrund

Gemäß Art. 32 Datenschutz-Grundverordnung (DS-GVO) ist jede Organisation (Unternehmen, Behörde, Verein, Verband usw.)[2], die personenbezogene Daten verarbeitet, verpflichtet, diese u. a. gegen unbefugte Zugriffe oder Kenntnisnahme zu schützen. Welche Maßnahmen zu ergreifen sind, leitet sich aus einer durchzuführenden und zu dokumentierenden Risikoanalyse ab. Bei einer E-Mail ergibt sich aus der Übertragung der E-Mail vom Absender über die Infrastruktur verschiedener Unternehmen bis zum Empfänger ein Risiko für den Bewerber. Greifen Unbefugte während des Transports auf die E-Mail zu, erfahren sie die Tatsache der Bewerbung und auch den Inhalt der E-Mail. Dieses Wissen kann zum Schaden des Bewerbers eingesetzt werden.

3. Technischer Hintergrund (grob vereinfacht)

Um E-Mails während des Transports vor unbefugter Einsichtnahme zu schützen, hat sich als einziges wirksames Mittel die Verschlüsselung der E-Mail herauskristallisiert. Ein Austausch verschlüsselter E-Mails setzt voraus, dass Absender und Empfänger das gleiche Verschlüsselungsverfahren einsetzen und die zugehörigen Schlüssel austauschen. Mithilfe dieser Schlüssel wird die E-Mail vom Absender verschlüsselt und vom Empfänger entschlüsselt. „Gleiches Verfahren“ und „Schlüsselaustausch“ setzen voraus, dass sich Absender und Empfänger vor dem E-Mail-Versand abstimmen und die technischen Voraussetzungen schaffen. Aufgrund verschiedener Verschlüsselungsverfahren steht entweder das Unternehmen vor der Herausforderung, verschiedene Verfahren anzubieten, oder Bewerber müssen verschiedene Programme installieren. Beides hat sich bisher in der Praxis nicht durchgesetzt.

4. Konsequenzen aus Sicht der Datenschutzaufsichtsbehörden

Bei einer E-Mail-Bewerbung sind zwei Richtungen zu betrachten: einmal die Richtung „Bewerber schickt E-Mail an das Unternehmen“ und zum anderen die Richtung „Unternehmen sendet E-Mail an Bewerber“. Bei der ersten Richtung „Bewerber schickt E-Mail an das Unternehmen“ ist man versucht zu sagen, für den Transportschutz ist der Absender, d. h. der Bewerber, verantwortlich. Da Bewerber und Unternehmen das gleiche Verschlüsselungsverfahren einsetzen müssen und auch den Schlüssel austauschen müssen, bleibt dem Bewerber nur die Wahl, das vom Unternehmen angebotene Verfahren zu nutzen oder die E-Mail unverschlüsselt zu senden. Dass ein Unternehmen sich auf die Wünsche von Bewerbern einlässt, ist nicht praktikabel, da es sonst verschiedene Verschlüsselungsverfahren anbieten müsste.

Bietet ein Unternehmen keine Möglichkeit an, verschlüsselte E-Mails zu empfangen, schrumpft die Wahl des Bewerbers auf die Option „unverschlüsselter“ Versand zusammen. Deshalb fordern die deutschen Aufsichtsbehörden, dass Unternehmen, die gezielt personenbezogenen Daten per E-Mail entgegennehmen – wie es bei Bewerbungen der Fall ist –, eine Möglichkeit zur verschlüsselten Übermittlung anbieten müssen.[3]

Für die zweite Richtung „Unternehmen sendet E-Mail an Bewerber“ liegt das Problem darin, dass der Bewerber eine vom Unternehmen verschlüsselte E-Mail empfangen und entschlüsseln können muss. Ob der Bewerber dazu in der Lage ist, weiß das Unternehmen im Regelfall nicht. Bereits für die Eingangsbestätigung einer Bewerbung verlangt der TLf- DI eine Verschlüsselung. Alternativ schlägt er vor, dass der Inhalt sich auf „Eingang eines Schreibens vom … (Datum)“ beschränkt. Hinzuzufügen ist, dass der Absender ebenfalls neutral zu wählen wäre (bspw. „info@unternehmen.de“ anstelle von „karriere@unternehmen.de“).

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erkennt die Realität an, dass Verschlüsselung sich auch bei Bewerbern nicht durchgesetzt hat[4] Es schlägt vor, eine Einwilligung zum unverschlüsselten Versand einzuholen. Diese Lösung hat jedoch den Nachteil, dass die Einwilligung vor der E-Mail-Kommunikation eingeholt werden muss, d. h. es muss auf den Postweg oder andere E-Mail-freie Wege ausgewichen werden. Weiterhin verlangt das ULD, dass sensiblen Daten, zu denen das ULD neben den besonderen personenbezogenen Daten nach Art. 9 Abs. 1 DS-GVO auch die Körpergröße zählt, grundsätzlich nicht unverschlüsselt per E-Mail übermittelt werden dürfen. Der Begriff „sensiblen Daten“ ist gesetzlich nicht definiert.

5. Mögliche Lösungswege

So verständlich es aus der Perspektive von Aufsichtsbehörden ist, durch den Aufbau von Druck eine Verhaltensänderung bei Unternehmen und damit letztlich bei Bewerbern zu erzwingen, so unbefriedigend ist es für die betroffenen Unternehmen.

Der Einsatz von Bewerbungsportalen hat den Vorteil, dass sich hier der Datentransfer einfach per TSL – möglichst Version 1.3 – verschlüsseln lässt. Da alle modernen Browser TSL unterstützen und der Schlüsselaustausch automatisch erfolgt, entfällt für den Bewerber die Notwendigkeit, Programme zu installieren oder sich um einen Schlüsselaustausch zu kümmern. Bei Bewerberportalen sollte weiterhin darauf geachtet, dass die Daten der Bewerber bspw. durch Passwortschutz gegen das Auslesen von Suchmaschinen und anderen unbefugten Personen gesichert sind. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) hat wegen dieser und weiterer Sicherheitsmängel gegen ein mittelständisches Unternehmen ein Bußgeld von 100.000 Euro verhängt[5]

Für Unternehmen mit wenigen Bewerbungen pro Jahr mag sich ein Bewerbungsportal nicht rechnen. Hier bietet sich an, in der Risikoanalyse nach Art. 32 DS-GVO genauer zu analysieren, welche Risiken dem Bewerber bei einer unverschlüsselten E-Mail-Kommunikation entstehen und wie sich diese reduzieren lassen. Wenn der eigene E-Mail-Server die Mindestanforderungen aus der Orientierungshilfe E-Mail-Verschlüsselung erfüllt[6] reicht vielleicht die Aufforderung an den Bewerber, sensible Inhalte zu vermeiden und von einem Provider aus zu kommunizieren, der den E-Mail-Transport verschlüsselt.

Dr. Niels Lepperhoff, Geschäftsführer XAMIT Bewertungsgesellschaft mbH

[1] TLfDI 2020: 2. Tätigkeitsbericht zum Datenschutz nach der DS-GVO

[2] Im Folgenden zusammengefasst „Unternehmen“ genannt.

[3] Datenschutzkonferenz (2020): Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail, Stand 13.03.2020, S. 3

[4] ULD (2020): Tätigkeitsbericht 2019, S. 37f.

[5] LfDI BW (2020): 35. Tätigkeitsbericht Datenschutz 2019, S. 41

[6] Datenschutzkonferenz (2020): Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail, Stand 13.03.2020

Eine Person in einem Anzug streckt ihre Hand aus und präsentiert ein leuchtendes Schildsymbol mit einem Schlüsselloch, umgeben von digitalen Symbolen, die ein Konzept von Cybersicherheit und Personalmanagement suggerieren.

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.