Wie muss ein Verantwortlicher mit besonderen Kategorien personenbezogener Daten von Bewerbern umgehen?
PSP Case Study zur DSGVO: Praxisfall 2

DSGVO: Praktischer Fall

Die Huber AG hat ein „Funktionspostfach“ (bewerbung@huber-ag-online.de) für die Zusendung von Bewerbungen eingerichtet, das bei allen Online-Stellenanzeigen genannt wird. In diesem Zusammenhang wird auch auf die Pflichthinweise der Art. 12, 13 DSGVO in der Datenschutzerklärung auf der Website hingewiesen, die die für eingereichte Bewerbungen maßgeblichen Informationshinweise enthalten. Die Datenschutzerklärung nennt als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten in der Bewerbung die Erforderlichkeit für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 BDSG). Frau Maier sendet der Huber AG eine E-Mail mit ihrer Bewerbung, welche neben einem Foto auch die Angabe enthält, dass Frau Maier zu 60 % schwerbehindert ist.

Hier ist schon unklar, ob es datenschutzrechtlich zulässig ist, sich Bewerbungen über eine E-Mail-Adresse schicken zu lassen. Darum soll es an dieser Stelle aber nicht gehen, sondern erst in Fall 8.

Jede Verarbeitung personenbezogener Daten bedarf einer gesetzlichen Legitimationsgrundlage. Ohne „passende“ Legitimationsgrundlage ist die Verarbeitung unrechtmäßig. Grundsätzlich ergeben sich die Legitimationsgrundlagen aus den verschiedenen Alternativen des Art. 6 Abs. 1 DSGVO. Die in der unternehmerischen Praxis wichtigsten Legitimationsgrundlagen sind Einwilligung, Vertrag (bzw. Vertragsanbahnung), Einhaltung (insbesondere nationaler) Gesetze, welche die Verarbeitung vorschreiben, und Interessenabwägung. Die im Fall genannte Rechtsgrundlage für das Verarbeiten der eingereichten Bewerbung stammt aus dem Beschäftigtendatenschutz (§ 26 BDSG), wonach gewöhnliche Kategorien personenbezogener Daten von Bewerbern verarbeitet werden dürfen, „wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses [...] erforderlich ist“. Diese Legitimationsgrundlage aus dem BDSG knüpft – aus der Perspektive der in Art. 6 DSGVO aufgezählten Kategorien – für bestehende Beschäftigungsverhältnisse an die Legitimationsgrundlage „Vertrag“ an, für die Bewerbungsphase an die Vertragsanbahnung. Aber gilt dies auch für besondere Kategorien personenbezogener Daten wie Gesundheitsdaten (Behinderung oder auch ein Bewerbungsfoto, dem man etwas über den Gesundheitszustand des Bewerbers entnehmen kann)?

Für besondere Kategorien personenbezogener Daten stellt Art. 9 DSGVO besondere Voraussetzungen auf. Die Verarbeitung solcher Daten ist nur zulässig, wenn einer der in Art. 9 Abs. 2 DSGVO genannten Fallkonstellationen vorliegt. Dabei stellt sich die Frage, ob das Vorliegen einer der dort genannten Fallkonstellationen eine hinreichende Legitimationsgrundlage darstellt oder ob zusätzlich immer auch eine der „normalen“ Legitimationsgrundlagen vorliegen muss (Art. 6 DSGVO, bekanntlich überschrieben mit „Rechtmäßigkeit der Verarbeitung“). Das hat praktische Konsequenzen vor allem bei den Pflichtinformationen (Art. 13/14 DSGVO), in deren Rahmen die Legitimationsgrundlage (richtig und vollständig) genannt werden muss (s. Fall 1), und bei den Voraussetzungen für die Einwilligung, d. h. für den im Rahmen von Art. 6 DSGVO anwendbaren Art. 7 DSGVO (s. dazu Fall 8). Der Schlüssel zu diesem Problem verbirgt sich in Erwägungsgrund 51, in dem es heißt: 

„Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten.“ 

Es müssen also sowohl die allgemeinen Voraussetzungen als auch die besonderen Voraussetzungen des Art. 9 Abs. 2 DSGVO vorliegen. 

In den Regelungen des Beschäftigungsdatenschutzes ist zwar ausdrücklich vorgesehen, dass vom Arbeitgeber (Verantwortlichen) auch besondere Kategorien personenbezogener Daten verarbeitet werden dürfen, allerdings nur, wenn die Verarbeitung „zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht [...] erforderlich ist“ (§ 26 Abs. 3 BDSG). Hier fehlt also die Vertragsanbahnungsphase; nur die Durchführung eines bereits abgeschlossenen Beschäftigungsverhältnisses wird genannt. Es ist unklar, ob der deutsche Gesetzgeber überhaupt für die Anbahnungsphase einen Legitimationsgrund zur Verarbeitung besonderer Kategorien personenbezogener Daten hätte schaffen können. Die entsprechende Öffnungsklausel der DSGVO für den nationalen Gesetzgeber (Art. 9 Abs. 2 lit. b DSGVO) verweist auf die Rechte und Pflichten „aus dem Arbeitsrecht“. Möglicherweise ist dies auf ein bestehendes Arbeitsverhältnis beschränkt. 

Obwohl die Verarbeitung aus der Perspektive des Art. 6 DSGVO auf die Vertragsanbahnung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) gestützt werden kann, muss nun zusätzlich ein besonderer Legitimationsgrund für die Verarbeitung besonderer Kategorien personenbezogener Daten „gesucht“ werden (Art. 9 Abs. 2 DSGVO). In diesem Kontext bleibt nur noch die Alternative der Einwilligung übrig, d. h. Frau Maier müsste unmittelbar nach Eingang ihrer Bewerbung angeschrieben werden, ob sie damit einverstanden ist, dass besondere Kategorien personenbezogener Daten für die Bearbeitung der Bewerbung verarbeitet werden. Eine solche spezifische Einwilligungserklärung kann auch kaum in der Datenschutzerklärung auf der Website der Huber AG enthalten sein oder (stillschweigend) in der Übersendung der Daten selbst liegen, da sie nach Art. 9 Abs. 2 lit. a DSGVO „ausdrücklich“ abgegeben werden muss (siehe dazu auch Fall 8). Die Anforderungen an eine Einwilligung im Rahmen besonderer Kategorien personenbezogener Daten sind also höher als bei „normalen“ personenbezogenen Daten. Eine stillschweigende Einwilligung reicht keinesfalls aus. 

Eine solche Bewerbung, wenn sie besondere Kategorien personenbezogener Daten enthält, dürfte eigentlich nicht einfach geöffnet werden; im Grunde würde schon das Speichern der eingehenden E-Mail auf den Servern der Huber AG eine Datenverarbeitung ohne Rechtsgrundlage darstellen. Nach „herrschender Meinung“ unter den Juristen ist alleine die „Möglichkeit der Kenntnisnahme“ bereits ein Erheben von personenbezogenen Daten, d. h. auch bei „aufgedrängten Daten“, deren Inhalt man (noch) nicht kennt, liegt beim Speichern schon eine Datenverarbeitung vor, die einer Legitimationsgrundlage bedarf. Man befindet sich also in einem Zirkelschluss und bis zur Erteilung der Einwilligung in einem Zustand erheblicher Rechtsunsicherheit, weil man diese besonderen Kategorien personenbezogener Daten bis zu einer ausdrücklichen Einwilligung eigentlich „nicht haben darf“. Dass es Frau Maier seltsam finden wird, aus datenschutzrechtlichen Gründen der Verarbeitung ihrer eigens eingereichten Bewerbung – aus ihrer Sicht „noch einmal“ – zustimmen zu müssen, ist nur noch eine Randnotiz. 

Anders sieht dies der Thüringische Landesdatenschutzbeauftragte, der in seinem an datenverarbeitende öffentliche Stellen gerichteten Dokument „Hinweise zu den Informationen zur Erhebung von personenbezogenen Daten“ zwischen dem Erheben und dem „Aufdrängen“ unterscheidet und zumindest das Vorliegen von Informationspflichten nach Art. 13 DSGVO nur bei einem Erheben annimmt: 

„Damit die Informationspflichten nach Art. 13 DS-GVO greifen, muss eine Erhebung von Daten vorliegen. Dies ist nicht der Fall, wenn der Verantwortliche die Daten nicht aktiv beschafft, sondern die Daten der öffentlichen Stelle „aufgedrängt“ werden, d.h. von der betroffenen Person selbst oder von Dritten ohne Aufforderung geliefert werden. Damit die Informationspflichten nach Art. 13 DS-GVO greifen, muss eine Erhebung von personenbezogenen Daten bei der betroffenen Person vorliegen. Die Erhebung definiert den Beginn der Datenverarbeitung und liegt vor, wenn der Verantwortliche auf die personenbezogenen Daten erstmals zielgerichtet zugreift, um sie in einem Dateisystem zu verarbeiten.“ 

Auch hier darf man sich darüber „freuen“, dass der DSGVO-Text das Thema nicht deutlich adressiert – das „Erheben“ von Daten wird hier nicht genauer definiert – und damit erhebliche Rechtsunsicherheit herrscht, wen der Verantwortliche wann genau und wie zu informieren hat, wenn die entsprechende Information unaufgefordert eingeht. 

In der Praxis hilft dies alles nicht weiter, denn um zu wissen, was der Betroffene vom Verantwortlichen will, muss er die Information zur Kenntnis nehmen – wenn auch vielleicht nur, um zu der Erkenntnis zu gelangen, dass er sie nicht hätte zur Kenntnis nehmen müssen. 

Im Grunde stellt sich dieses Problem – wenn auch nicht unbedingt vor dem Hintergrund von Art. 9 DSGVO – bei jeder unverlangt zugesandten E-Mail, weil dem Empfänger vorher unbekannt ist, welche personenbezogenen Daten er erhalten wird. Der Frage, ob im Senden einer E-Mail ohne besondere Kategorien personenbezogener Daten stets eine (stillschweigende) Einwilligung der weiteren Verarbeitung aufseiten des empfangenden Verantwortlichen zu sehen ist, geht auch Fall 8 noch nach. Selbst wenn man von einer Einwilligung ausgehen wollte, bleibt natürlich offen, wie weit diese Einwilligung reicht. Ein einfaches Beispiel wäre eine Journalarchivierung aufseiten des empfangenden Verantwortlichen: Sämtliche eingehenden E-Mails werden – aus welchen Gründen auch immer – standardmäßig in ein Archiv geschrieben. Ob die Einwilligung auch diese Vorgehensweise abdecken würde, ist offen.

Geht man hingegen nicht von einer (stillschweigenden) Einwilligung aus, müsste eigentlich für jede eingehende personenbezogene Information – nach deren „Erhebung“ – eine Legitimationsgrundlage „gesucht“ werden. Dies ist auch notwendig, um die dann folgenden Pflichtinformationen richtig ausgestalten (dazu auch Fall 1 und Fall 26) und die Löschfrist richtig bemessen zu können (dazu auch noch Fall 14). Im Zweifel ist die Legitimationsgrundlage im Kontext von Art. 6 DSGVO eine Interessenabwägung (siehe auch Fall 8).

Nur zur Vervollständigung: Neben der „normalen“ Legitimationsgrundlage (Art. 6 DSGVO) und der zusätzlichen Legitimationsgrundlage bei der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) tritt bei einer Drittlandsübermittlung der Daten noch die „Drittlands-Legitimationsgrundlage“ (Art. 44 ff. DSGVO, siehe dazu auch Fall 10).

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden