Sind E-Mails in der Personalarbeit überhaupt noch möglich?

Der Umgang mit Personaldaten gehört zu den eher sensiblen Bereichen in Unternehmen aller Branchen und Größen. Die Bewerbungsprozesse werden dabei zunehmend digitalisiert. Viele zumeist größere Unternehmen bieten eigene Bewerbungsportale an, über die Kandidaten ihre Bewerbungen einreichen können.  An vielen Stellen kommen in der Kommunikation jedoch immer noch E-Mails zum Einsatz, sei es dass es um Nachfragen geht oder am Schluss Vertragsentwürfe per E-Mail an den Kandidaten zur Durchsicht gesendet werden. Aber was bedeutet dies im Lichte der DSGVO?

Die seit Mai 2018 geltende DSGVO hält alle Datenverarbeiter dazu an, die Verarbeitung personenbezogener Daten unter Berücksichtigung der Sensibilität der Daten und des Risikos für die Betroffenen nach dem Stand der Technik sicher zu gestalten. Einschlägig sind hierzu Art 24, 25 und 32 DSGVO. So ist z.B. der Einsatz von Kontaktformularen auf Internetseiten ohne die Verwendung einer SSL-Verschlüsselung nicht mehr datenschutzkonform, da eine SSL-verschlüsselte Webseite zum heutigen Stand der Technik zu zählen ist. So weit, so gut. Schließlich findet man heute kaum noch offizielle Webseiten ohne SSL-Verschlüsselung. Selbst phishing Webseiten machen sich mittlerweile die Mühe, ein SSL-Zertifikat zu verwenden.

Aber was ist mit E-Mails? Unverschlüsselte E-Mails haben den Vertraulichkeitsgrad einer Postkarte. Wer würde also Vertragsdaten, Zeugnisse oder ähnliche private Dinge auf eine Postkarte kleben und dann verschicken? Wahrscheinlich die Wenigsten. Und dennoch werden massenweise vertrauliche Informationen über unverschlüsselte E-Mails versendet. Dabei ist der Stand der Technik auch hier eigentlich weiter. Es ist heute kein Problem mehr, E-Mails mit Hilfe von s/mime oder PGP-Zertifikaten zuverlässig zu verschlüsseln. Alle gängigen E-Mail-Clients bieten die Verwendung von Zertifikaten an. Daran ändert es auch nichts, dass Sicherheitsforscher kürzlich herausgefunden haben, dass man mit Hilfe bestimmter Schwachstellen in verschiedenen Programmen verschlüsselte E-Mails trotzdem entschlüsseln kann. Das Problem liegt da eher in den Programmen als in der Verschlüsselung selbst.

Wenn man also unterstellt, dass die Verwendung von (S/MIME-)Zertifikaten zum aktuellen Stand der Technik gehört, so widerspricht der Einsatz unverschlüsselter E-Mails zum Versand personenbezogener Daten mindestens den Anforderungen von Art 32 Abs 1 Lit a DSGVO. Gerade im Personalbereich sollten die Daten als sensibel genug angesehen werden, um die Pflicht zu einer verschlüsselten Übermittlung auszulösen. Während man den unaufgeforderten Empfang von unverschlüsselt per E-Mail gesendeten personenbezogenen Daten durch den Betroffenen kaum verhindern kann, so stellt die Übermittlung von personenbezogenen Informationen eines Betroffenen per unverschlüsselter E-Mail durch das Unternehmen einen potentiellen Verstoß gegen Art 32 DSGVO dar. Dies ist zumindest dann anzunehmen, wenn der Betroffene nicht zuvor in die Nutzung unverschlüsselter E-Mails zum Austausch personenbezogener Daten wirksam eingewilligt hat. Dabei kann der Empfang einer E-Mail, die der Betroffene unverschlüsselt gesendet hat, nicht als konkludente Einwilligung gewertet werden, da er sich 1. der Verschlüsselungsproblematik möglicherweise gar nicht bewusst war und 2. das Unternehmen ggf. gar kein Zertifikat zu Verschlüsselung der E-Mail angeboten hat. Aber auch eine explizite Einwilligung kann sich als problematisch erweisen, da bei erteilten Einwilligungen im Rahmen von Beschäftigungsverhältnissen (hier Anbahnung eines Beschäftigungsverhältnisses) die Freiwilligkeit derselben häufig in Abrede gestellt oder zumindest angezweifelt werden kann.

Ist es dann überhaupt möglich, per E-Mail personenbezogene Daten mit einem potentiellen Kandidaten auszutauschen? Im Grunde gibt es zwei Fälle:

  1. Der Bewerber verfügt selbst über ein Zertifikat, dessen öffentlicher Schlüssel zur Verschlüsselung verwendet werden kann. Dies ist zumeist dann der Fall, wenn der Bewerber zuvor eine mit einem Zertifikat signierte E-Mail an das Unternehmen gesendet hat. Dies wird bei den allermeisten Bewerbern nicht der Fall sein, weswegen sic Unternehmen hierauf kaum verlassen können.
  2. Der Bewerber hat vor der ersten Übermittlung einer E-Mail, der Übermittlung per unverschlüsselten E-Mails ausdrücklich zugestimmt. Hier ergibt sich nicht nur das Problem der Freiwilligkeit sondern auch der Dokumentation der Einwilligung.

Betrachtet man beide Fälle, so erscheint keiner von beiden als perfekte Lösung. Eine dritte Variante bestünde darin, die vertraulichen Informationen in ein verschlüsseltes Dokument zu packen. Hier bieten sich verschlüsselte ZIP-Dateien an. Aber auch dieses Verfahren hat seine Grenzen dort, wo E-Mail-Systeme solche Anhänge aus Gründen der IT-Sicherheit ablehnen bzw. in Quarantäne stecken und nicht direkt zustellen.

Zusammenfassend lässt sich sagen, dass ein Einsatz von E-Mails in der Kommunikation zwischen Unternehmen und Bewerbern ohne eine Verschlüsselung nach heutigem Stand der Technik nicht datenschutzkonform ist. Unternehmen sollten für ihre zentralen E-Mail-Adressen entsprechende Zertifikate anbieten, um so die Übersendung verschlüsselter E-Mails zu ermöglichen und in einer Vorbildfunktion die Nutzung digitaler Zertifikate zu fördern. Sofern die Bewerber ihrerseits keine Zertifikate besitzen, bleibt als datenschutzkonforme Form der Übermittlung von personenbezogenen Daten wie z.B. Vertragsentwürfe, Dokumente, Bestätigungen nur der Einsatz von SSL-verschlüsselten Bewerberportalen, auf denen den Bewerbern die Daten zum Download angeboten werden bzw. Bewerber die Möglichkeit haben, eigene Daten und Dokumente entsprechend hochzuladen.

Andere Artikel

Daten sind das neue Gold

Vertraust Du Deine Wertsachen einfach fremden Leuten an? Heute ist die Nutzung von Diensten oder Software über das Internet nichts ungewöhnliches mehr. Du kannst damit jede Menge Zeit und auch Geld sparen. Du musst weder für die Infrastruktur noch für

Weiterlesen »

Wie wirst Du in 15 Jahren leben?

Unsere Lebensbedingungen ändern sich. Wie wirst Du in 15 Jahren leben? 4 Beispiele für die hybride Welt von Morgen. Mein Leben findet heute schon digital-hybrid statt. Dieser Trend wird sich fortsetzen, beschleunigen, verfestigen. Das rein “analoge” Leben gibt es dann

Weiterlesen »

Motorrad oder Laufrad?

Wer von Euch fährt mit seinem Motorrad als wäre es nur ein Laufrad? Vermutlich keiner! Aber warum tut Ihr das dann bei anderen Dingen? Mit seinem Motorrad zu fahren als ob es nur ein Laufrad wäre, ist ja nur mäßig

Weiterlesen »

Sind Eure MitarbeiterInnen eigentlich informiert?

“Das wissen die doch! Das sind doch keine Geheimnisse!” Der respektvolle Umgang mit den Kolleginnen und Kollegen ist für Dich als UnternehmerIn selbstverständlich. Du bezahlst ein vernünftiges Gehalt und schaffst auch sonst eine angenehme und produktive Arbeitsumgebung. Dazu gehört auch,

Weiterlesen »

Wenn Projekte über Daten stolpern

In dieser Woche habe ich ein Thema mitgebracht, dass alle Projektleiter in mittleren und größeren, insbesondere auch in internationalen Projekten interessieren könnte. Dabei geht es nicht speziell um IT sondern um alle möglichen Projekte, vom Hausbau, über Bahnhöfe, Flughäfen oder

Weiterlesen »

2022 wird ein spannendes Jahr!

🔸2022 wird ein spannendes Jahr. Während ich mich in den letzten Monaten doch sehr auf den Datenschutz konzentriert habe, werde ich im neuen Jahr meinen fachlichen Radius wieder etwas weiter ziehen. 🔸Datenschutz wird weiterhin ein großer fachlicher Schwerpunkt bleiben, genauso

Weiterlesen »

Immer gut informiert mit unserem Newsletter

Wenn Sie über die neuesten Entwicklungen rund um die rechtskonforme Verarbeitung von Daten informiert werden wollen, möchte ich Ihnen meinen Newsletter gerne ans Herz legen. In Abständen von vier bis sechs Wochen werden Sie von mir auf dem Laufenden gehalten.