Im Bewusstsein der Gefahren für die Vertraulichkeit der
Übermittlung wird daher vielfach versucht, über Zustimmungen/Einwilligungen der betroffenen Personen diese
Art der „unverschlossenen“ Datenübermittlung faktisch
zu legitimieren.
Zwar sieht die DSGVO als mögliche Rechtsgrundlage
einer datenschutzkonformen Datenverarbeitung eine
Einwilligung vor. Diese kann sich nach Art. 6 Abs. 1
DSGVO aber nur auf die Zulässigkeit der Verarbeitung
personenbezogener Daten, nicht hingegen auf die
gesetzliche Verpflichtung zur Einhaltung der notwendigen technischen und organisatorischen Maßnahmen
durch Verantwortliche beziehen. Es wäre ein Verstoß
gegen das Rechtsstaatsgebot des Art. 20 Abs. 3 GG,
wenn öffentlichen Stellen erlaubt würde, auf die Einhaltung gesetzlicher Verpflichtungen aufgrund einer
„freiwilligen“ Entscheidung des Betroffenen zu verzichten.
Zudem ist fraglich, ob das Merkmal einer freiwilligen
Einwilligung überhaupt vorliegt, wenn eine Behörde
von einer Bürgerin oder einem Bürger verlangt, einer
bestimmten Datenverarbeitungsweise die Einwilligung
zu erteilen.
In der Jobbörse der Bundesagentur für Arbeit können
auch private Arbeitsvermittler freie Stellen anbieten.
Es muss allerdings eine tatsächlich zu besetzende
Stelle geben. Ein allgemeines Stellenangebot zum Erhalt
von Bewerberdaten und zum Aufbau eines Bewerberpools ist nicht zulässig. Dies ist aber im Berichtszeitraum
durch missbräuchliche Nutzung der Jobbörse geschehen.
Durch einen Bericht des Südwestrundfunk (SWR) vom
2. Mai 2019 wurde ich darüber informiert, dass die Jobbörse durch mehrere „private Arbeitsvermittler“ missbraucht wurde, um an Bewerberdaten der Nutzer der
Jobbörse zu gelangen. Hierzu wurden in großem Maße
Stellenangebote veröffentlicht, denen keine tatsächlich
zu besetzende Stelle zugrunde lag. Haben sich betroffene Personen mit ihren Unterlagen hierauf beworben,
wurden sie im weiteren Verlauf durch den „privaten
Arbeitsvermittler“ angeschrieben und um Einwilligung
zur Weitergabe ihrer Daten an andere potentielle Arbeitgeber gebeten. Nach erfolgter Einwilligung wurden die
Daten an Dritte verkauft.
Absenkung des Datenschutzniveaus per Gesetz?
Nach Bekanntwerden der Vorwürfe und eigener Sachverhaltsermittlung hat die Bundesagentur für Arbeit 46
verdächtige „Arbeitgeber-Accounts“ deaktiviert. Darüber
hinaus haben sowohl die Bundesagentur für Arbeit als
auch ich Strafanzeige gegen einen der missbräuchlich
handelnden „privaten Arbeitsvermittler“ gestellt.
Trotz meiner im Rahmen des Gesetzgebungsverfahrens zum Ausdruck gebrachten Bedenken wurde die
Abgabenordnung mit Wirkung zum 18. Dezember 2019
dahingehend geändert, es Finanzbehörden zu gestatten,
auch Daten, die dem Steuergeheimnis unterliegen, per
unverschlüsselter E-Mail an Bürgerinnen oder Bürgern
zu übermitteln. Voraussetzung hierfür soll die Einwilligung aller betroffenen Personen sein.
Darüber hinaus hat die Bundesagentur in Abstimmung
mit mir Maßnahmen ergriffen, um die Daten der Nutzer
besser zu schützen. Seit Mitte August 2019 ist nun die
Jobbörse so konfiguriert, dass Anzeigen privater Vermittler nur noch bei zielgerichteter Aktivierung durch die
jeweiligen Nutzerinnen und Nutzer angezeigt werden.
Diese sehen zudem neuerdings, ob ein Stellenangebot von
der Bundesagentur für Arbeit unterstützt wird.
In Stellungnahmen an die Bundesregierung und den
Finanzausschuss habe ich darauf hingewiesen, dass
diese Regelung gegen europarechtliche Vorgaben
verstoßen würde, weil die DSGVO im Hinblick auf die
Sicherheit der Verarbeitung keine nationalen Ausnahmen zulässt.
Alle in die Jobbörse eingestellten Stellenangebote
werden automatisiert überprüft. Der dabei eingesetzte
Algorithmus berücksichtigt bereits das identifizierte
missbräuchliche Handlungsmuster und wird stetig weiterentwickelt. Zehn Prozent der Stellenangebote werden
zusätzlich manuell geprüft. Der Zugang zur Jobbörse ist
nun für Arbeitgeber/Stellenanbieter schwieriger geworden. Mittlerweile ist nicht nur eine Betriebsnummer zur
Nutzung erforderlich, sondern die Bundesagentur für
Arbeit kann noch weitere Unterlagen von Unternehmen
anfordern, die die Jobbörse nutzen möchten.
Ich halte eine solche Einwilligung weder für freiwillig
erteilt noch für datenschutzkonform. Sie kann in keinem
Fall die unverschlüsselte Übermittlung personenbezogener Daten legitimieren.
Ich empfehle den öffentlichen Stellen des Bundes, personenbezogene Daten grundsätzlich nur verschlüsselt
per E-Mail zu versenden.
64
8.4 Datenmissbrauch in der Job
börse der Bundesagentur für Arbeit
Tätigkeitsbericht zum Datenschutz für 2019