Sind E-Mails in der Personalarbeit überhaupt noch möglich?

Der Umgang mit Personaldaten gehört zu den eher sensiblen Bereichen in Unternehmen aller Branchen und Größen. Die Bewerbungsprozesse werden dabei zunehmend digitalisiert. Viele zumeist größere Unternehmen bieten eigene Bewerbungsportale an, über die Kandidaten ihre Bewerbungen einreichen können.  An vielen Stellen kommen in der Kommunikation jedoch immer noch E-Mails zum Einsatz, sei es dass es um Nachfragen geht oder am Schluss Vertragsentwürfe per E-Mail an den Kandidaten zur Durchsicht gesendet werden. Aber was bedeutet dies im Lichte der DSGVO?

Die seit Mai 2018 geltende DSGVO hält alle Datenverarbeiter dazu an, die Verarbeitung personenbezogener Daten unter Berücksichtigung der Sensibilität der Daten und des Risikos für die Betroffenen nach dem Stand der Technik sicher zu gestalten. Einschlägig sind hierzu Art 24, 25 und 32 DSGVO. So ist z.B. der Einsatz von Kontaktformularen auf Internetseiten ohne die Verwendung einer SSL-Verschlüsselung nicht mehr datenschutzkonform, da eine SSL-verschlüsselte Webseite zum heutigen Stand der Technik zu zählen ist. So weit, so gut. Schließlich findet man heute kaum noch offizielle Webseiten ohne SSL-Verschlüsselung. Selbst phishing Webseiten machen sich mittlerweile die Mühe, ein SSL-Zertifikat zu verwenden.

Aber was ist mit E-Mails? Unverschlüsselte E-Mails haben den Vertraulichkeitsgrad einer Postkarte. Wer würde also Vertragsdaten, Zeugnisse oder ähnliche private Dinge auf eine Postkarte kleben und dann verschicken? Wahrscheinlich die Wenigsten. Und dennoch werden massenweise vertrauliche Informationen über unverschlüsselte E-Mails versendet. Dabei ist der Stand der Technik auch hier eigentlich weiter. Es ist heute kein Problem mehr, E-Mails mit Hilfe von s/mime oder PGP-Zertifikaten zuverlässig zu verschlüsseln. Alle gängigen E-Mail-Clients bieten die Verwendung von Zertifikaten an. Daran ändert es auch nichts, dass Sicherheitsforscher kürzlich herausgefunden haben, dass man mit Hilfe bestimmter Schwachstellen in verschiedenen Programmen verschlüsselte E-Mails trotzdem entschlüsseln kann. Das Problem liegt da eher in den Programmen als in der Verschlüsselung selbst.

Wenn man also unterstellt, dass die Verwendung von (S/MIME-)Zertifikaten zum aktuellen Stand der Technik gehört, so widerspricht der Einsatz unverschlüsselter E-Mails zum Versand personenbezogener Daten mindestens den Anforderungen von Art 32 Abs 1 Lit a DSGVO. Gerade im Personalbereich sollten die Daten als sensibel genug angesehen werden, um die Pflicht zu einer verschlüsselten Übermittlung auszulösen. Während man den unaufgeforderten Empfang von unverschlüsselt per E-Mail gesendeten personenbezogenen Daten durch den Betroffenen kaum verhindern kann, so stellt die Übermittlung von personenbezogenen Informationen eines Betroffenen per unverschlüsselter E-Mail durch das Unternehmen einen potentiellen Verstoß gegen Art 32 DSGVO dar. Dies ist zumindest dann anzunehmen, wenn der Betroffene nicht zuvor in die Nutzung unverschlüsselter E-Mails zum Austausch personenbezogener Daten wirksam eingewilligt hat. Dabei kann der Empfang einer E-Mail, die der Betroffene unverschlüsselt gesendet hat, nicht als konkludente Einwilligung gewertet werden, da er sich 1. der Verschlüsselungsproblematik möglicherweise gar nicht bewusst war und 2. das Unternehmen ggf. gar kein Zertifikat zu Verschlüsselung der E-Mail angeboten hat. Aber auch eine explizite Einwilligung kann sich als problematisch erweisen, da bei erteilten Einwilligungen im Rahmen von Beschäftigungsverhältnissen (hier Anbahnung eines Beschäftigungsverhältnisses) die Freiwilligkeit derselben häufig in Abrede gestellt oder zumindest angezweifelt werden kann.

Ist es dann überhaupt möglich, per E-Mail personenbezogene Daten mit einem potentiellen Kandidaten auszutauschen? Im Grunde gibt es zwei Fälle:

  1. Der Bewerber verfügt selbst über ein Zertifikat, dessen öffentlicher Schlüssel zur Verschlüsselung verwendet werden kann. Dies ist zumeist dann der Fall, wenn der Bewerber zuvor eine mit einem Zertifikat signierte E-Mail an das Unternehmen gesendet hat. Dies wird bei den allermeisten Bewerbern nicht der Fall sein, weswegen sic Unternehmen hierauf kaum verlassen können.
  2. Der Bewerber hat vor der ersten Übermittlung einer E-Mail, der Übermittlung per unverschlüsselten E-Mails ausdrücklich zugestimmt. Hier ergibt sich nicht nur das Problem der Freiwilligkeit sondern auch der Dokumentation der Einwilligung.

Betrachtet man beide Fälle, so erscheint keiner von beiden als perfekte Lösung. Eine dritte Variante bestünde darin, die vertraulichen Informationen in ein verschlüsseltes Dokument zu packen. Hier bieten sich verschlüsselte ZIP-Dateien an. Aber auch dieses Verfahren hat seine Grenzen dort, wo E-Mail-Systeme solche Anhänge aus Gründen der IT-Sicherheit ablehnen bzw. in Quarantäne stecken und nicht direkt zustellen.

Zusammenfassend lässt sich sagen, dass ein Einsatz von E-Mails in der Kommunikation zwischen Unternehmen und Bewerbern ohne eine Verschlüsselung nach heutigem Stand der Technik nicht datenschutzkonform ist. Unternehmen sollten für ihre zentralen E-Mail-Adressen entsprechende Zertifikate anbieten, um so die Übersendung verschlüsselter E-Mails zu ermöglichen und in einer Vorbildfunktion die Nutzung digitaler Zertifikate zu fördern. Sofern die Bewerber ihrerseits keine Zertifikate besitzen, bleibt als datenschutzkonforme Form der Übermittlung von personenbezogenen Daten wie z.B. Vertragsentwürfe, Dokumente, Bestätigungen nur der Einsatz von SSL-verschlüsselten Bewerberportalen, auf denen den Bewerbern die Daten zum Download angeboten werden bzw. Bewerber die Möglichkeit haben, eigene Daten und Dokumente entsprechend hochzuladen.

Top