Bietet ein Unternehmen Bewerbern eine E-Mail Adresse zur Bewerbung an, etwa „job@musterfirma.de“, so muss dem Bewerber eine Möglichkeit zur „Inhaltsverschlüsselung“ durch das Unternehmen zur Verfügung gestellt werden, bzw. ein Hinweis erfolgen, wie der Bewerber dies erreichen kann. Diese Auffassung vertritt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Bei einer Prüfung des Umgangs mit Bewerberdaten führt das BayLDA aus, dass nach der Anlage zu § 9 BDSG Bewerberdaten beim Transport über das Internet vor unberechtigter Einblicknahme oder Veränderung geschützt werden“ muss.
Wenn also ein Unternehmen nicht über gesicherte Bewerberportale (Transportweg durch TLS/SSL verschlüsselt) Bewerbungen entgegennimmt, Das BayLDA führt hier zwei mögliche Wege an:
a) Asymmetrische Verschlüsselung (PGP)
Das Unternehmen hat hier den öffentlichen Schlüssel auf der Webseite leicht auffindbar zur Verfügung stellen.
b) Symmetrische Verschlüsselung
Hier wurde vom BayLDA als Beispiel verschlüsselte ZIP-Datei angeführt. Bei dieser Methode muss der Bewerber über die Möglichkeit ein dafür notwendiges Passwort telefonisch erfragen zu können ebenfalls auf der Webseite informiert werden.
In einem aktuellen Fall bekam das Unternehmen eine Frist von 6 Wochen gesetzt, um eine entsprechende Umsetzung vorzunehmen.
Fazit:
Abhängig von der jeweiligen Branche sind die vom BayLDA empfohlenen Maßnahmen nur sehr bedingt in der Praxis von Bewerbern ohne technisches Hintergrundwissen anwendbar. Zudem wäre der administrative Aufwand für Unternehmen bei der telefonischen Bereitstellung von WinZIP-Passwörtern zu groß. Ganz davon abgehsehen, dass Firewalls verschlüsselte ZIP-Dateien als unsicher bewerten und im Regelfall aus Sicherheitsgründen nicht weiterleiten. Die Konsequenz daraus wäre die Zusendung von Bewerbungen in digitaler Art und Weise nicht mehr per E-Mail zu ermöglichen, dies auch klar auf der Webseite zu kommunizieren und Bewerbungen nur mehr über sichere Portal-Lösungen anzunehmen.