Ist die Datenübernahme von Promotionbasis konform zur DSGVO?
promotionbasis.de ist Deutschlands reichweitenstärkste Jobbörse für die Veröffentlichung von Jobs im Promotion- und Eventbereich. Kern des Angebots für Agenturen ist die Schaltung von Job-Inseraten. Agenturen können Daten von Promotern übernehmen, die sich auf ihre Job-Inserate auf promotionbasis beworben haben. Daneben können die Agenturen über die promotionbasisSearch gezielt Promoter-Profile kaufen und übernehmen. Im Folgenden wollen wir auf die Frage eingehen, ob die Datenübernahme von promotionbasis im Hinblick auf die EU-DSGVO möglich ist.
Verantwortlichkeit in Bezug auf Promoterdaten
Agenturen oder auch Unternehmen können sich auf promotionbasis registrieren und Job-Inserate schalten, sofern sie ihren Datenschutzbeauftragten (DSB) hinterlegen und per Checkbox-Markierung die Bestätigung geben, dass sie die Bestimmungen der EU-DSGVO, des BDSG-neu und des TMG einhalten. Promoter haben daraufhin die Möglichkeit, sich auf diese Jobs direkt über promotionbasis zu bewerben. D. h., sie hinterlegen online personenbezogene Daten (hier: Bewerbungsdaten) und willigen zu einer Datenverarbeitung ein, über die sie im Datenschutzhinweis von promotionbasis aufgeklärt werden:
„Personenbezogene Daten werden nur mit Einwilligung durch den Nutzer (z. B. durch Checkbox-Bestätigung bei der Registrierung eines Nutzerkontos, der Absendung eines Kontaktformulars oder der Anforderung von individuellen Angeboten durch den Nutzer) erhoben.“
Solange diese Daten auf den Servern von promotionbasis gespeichert sind, ist promotionbasis für die Daten und auch den Schutz dieser verantwortlich. Hierunter fallen Protokoll-/Tracking-Dateien, insbesondere zu solchen Themen wie z. B. Jobletter-Versand, Bewerbungszustellung, promotionbasisSearch-Freikauf und Co.
Die Bewerberdaten werden auf promotionbasis 200 Tage nach dem jeweiligen Inseratsende systemseitig gesperrt. Bei über die promotionbasisSearch freigekauften Kontakten haben Agenturen und Unternehmen einen quasi unbegrenzten Zugriff auf die Daten, bis der jeweilige Promoter/Nutzer seinen Account auf promotionbasis löscht.
Sobald die Agentur eine Bewerbung auf promotionbasis erhält, kann sie diese manuell über die Export-Funktion auf die eigene Personalplanungssoftware, wie z. B. iPM_Promotion, übertragen. Ein dauerhafte Zugriff auf die Bewerberdaten wird somit gesichert, indem diese aus promotionbasis in eigene Datenbanken exportiert werden. Mit dem Download der Daten samt Fotos auf den Rechner der Agentur ist primär die Agentur für den Umgang mit diesen Daten im Sinne des Datenschutzes, der Datensicherheit, der Datentransparenz und der Datenvermeidung verantwortlich.
Rechtsgültige Einwilligung im Hinblick auf die EU-DSGVO
Im Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Datenverarbeitung generell verboten ist, so lange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder der Betroffene/die Person in die Verarbeitung eingewilligt hat (vgl. Art. 6 Nr.1a DSGVO).
Nach Art. 7 DSGVO muss die Einwilligung in die Datenverarbeitung gewisse Voraussetzungen erfüllen:
- Die freie Entscheidung des Betroffenen:
Die Abgabe der Einwilligungserklärung des Betroffenen muss absolut freiwillig erfolgen. Er muss also eine Wahl haben, ob er einwilligen möchte oder nicht.
- Ausführliche, erkennbare und bestimmte Information des Betroffenen:
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden, z. B. über die Datenschutzerklärung (mehr dazu im Artikel „Datenschutz: Die Datenschutzerklärung.“). Auch in Erwägungsgrund 32 wird darauf hingewiesen, dass sich eine Einwilligung nur auf die jeweils angegeben Verarbeitungszwecke bezieht und für sämtliche Verarbeitungszwecke eine Einwilligung abgegeben werden soll.
- Nachweisbarkeit der Einwilligungserklärung:
Die DSGVO verlangt durch Art. 7 Nr. 1 DSGVO die Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle. Eine konkrete Formvorschrift wird nicht genannt. In Erwägungsgrund 32 zur Datenschutz-Grundverordnung steht zudem, dass die Einwilligung nur durch eine eindeutige Handlung zustande kommen soll, die auch in elektronischer Form erfolgen kann. Damit ist regelmäßig eine aktive Handlung des Nutzers durch Opt-In (z. B. Setzen eines Häkchens) notwendig, andere Varianten wie eine stillschweigende Zustimmung oder Opt-Out (z. B. Entfernen eines Häkchens) sind dagegen nicht mehr möglich.
- Widerruflichkeit der Einwilligungserklärung:
Es muss sichergestellt sein, dass der Betroffene seine Einwilligung jederzeit widerrufen kann, damit er weiterhin über sein Persönlichkeitsrecht verfügen kann.
Fazit
Eine Registrierung auf promotionbasis ist freiwillig. Somit möchte ein Promoter seine Daten eintragen, sich auf Jobs bewerben können und auch von Agenturen gefunden werden (z. B. wenn er einwilligt bei promobasisSearch Sedcards zu veröffentlichen, sodass Agenturen Zugriff darauf haben). Denn die Bewerbung auf ein Job-Inserat wird wissentlich und explizit durch den Promoter hinterlegt, mit dem ausdrücklichen Wunsch, dass Agenturen Kontakt mit dem Promoter bezüglich der Bewerbung auf promotionbasis aufnehmen.
Solange also promotionbasis und die Agentur, die Promoterdaten von promotionbasis bezieht, sämtliche Vorkehrungen zum Datenschutz im Hinblick auf die neue Datenschutzgrundverordnung getroffen haben, ist die Übernahme mit expliziter und rechtsgültiger Einwilligung des Promoters DSGVO-konform.
Agenturen sollten die Jobsuchenden bei einer Übernahme in eigene Datenbanken informieren und auf ihr Recht auf Widerspruch hinweisen. Hierzu gehören auch separate AGB bzw. Datenschutzhinweise zur Verwendung der personenbezogenen Daten gemäß der neuen EU-DSGVO.