Bewerbungsunterlagen liegen offen rum

Moderator: FDR-Team

Antworten
CheckCheck
Topicstarter
FDR-Mitglied
Beiträge: 71
Registriert: 11.10.13, 23:12

Bewerbungsunterlagen liegen offen rum

Beitrag von CheckCheck »

Hallo Zusammen,

ich habe was unglaubliches gesehen. Bei mir auf der Arbeit in der Abteilung liegen zwei Bewerbungen rum (Anschreiben und Lebenslauf) von zwei Bewerbern für unser Unternehmen. Der Chef hat damit jeden Mitarbeiter gelegenheit gegeben, sich diese beiden Bewerber anzuschauen. Das kann nicht in Ordnung sein? Ich habe dies sofort bemängelt und auch der Personalabteilung gemeldet. Es wurde aufgenommen, aber es ist nichts geschehen.

Kann man sowas dem Landesdatenschutzbeauftragten melden?

Danke
Celestro
FDR-Mitglied
FDR-Mitglied
Beiträge: 3600
Registriert: 22.06.05, 23:24

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von Celestro »

ob "man" das kann, kann ich nicht beurteilen. ICH würde es tun.
FM
FDR-Mitglied
FDR-Mitglied
Beiträge: 20831
Registriert: 05.12.04, 16:06

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von FM »

Aufgrund der dürftigen Situationsbeschreibung kann man nicht sagen, ob hier irgendetwas unzulässig war.
Heiko66
FDR-Mitglied
FDR-Mitglied
Beiträge: 810
Registriert: 23.10.20, 11:05

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von Heiko66 »

FM hat geschrieben: 24.08.21, 20:27 Aufgrund der dürftigen Situationsbeschreibung kann man nicht sagen, ob hier irgendetwas unzulässig war.
Offen für jeden Mitarbeiter einsichtbare Bewerbungen anderer? Wieviel braucht es denn angeblich noch, damit man sagen kann, ob hier irgendwas unzulässig gewesen sein könnte.

Da liegt offensichtlich ein Verstoß gegen den Datenschutz (Art. 5 DSGVO) vor. Ob man als Arbeitnehmer da Nestbeschmutzung betreiben sollte, ist eine andere Fragestellung.
Dummerchen
FDR-Mitglied
FDR-Mitglied
Beiträge: 10953
Registriert: 21.01.05, 22:43
Wohnort: Der Kohlenpott hat mich wieder!

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von Dummerchen »

Heiko66 hat geschrieben: 25.08.21, 12:49 Offen für jeden Mitarbeiter einsichtbare Bewerbungen anderer? Wieviel braucht es denn angeblich noch, damit man sagen kann, ob hier irgendwas unzulässig gewesen sein könnte.
Definiere "offen herumliegen".

Das unzulässige kann auch das Verhalten des TE gewesen sein, der auf dem Schreibtisch des Chefs eine Mappe mit der Aufschrift "Bewerbung" gesehen hat und dann seine Neugier nicht im Zaum halten konnte.
The nine most terrifying words in the English language are, 'I'm from the government and I'm here to help.'
Ronald Reagan
40th president of US (1911 - 2004)
Heiko66
FDR-Mitglied
FDR-Mitglied
Beiträge: 810
Registriert: 23.10.20, 11:05

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von Heiko66 »

Das unzulässige kann auch das Verhalten des TE gewesen sein, der auf dem Schreibtisch des Chefs eine Mappe mit der Aufschrift "Bewerbung" gesehen hat und dann seine Neugier nicht im Zaum halten konnte.
Es mag in dem Beispiel dann zwar ggf. auch unzulässiges Verhalten des TE sein. Das entbindet den Chef aber trotzdem nicht davor die Mappe entsprechend zu schützen. Das ist mindestens mal das Büro abschließen, wenn er die Mappe auf seinem Schreibtisch liegen lässt.

Aber die Fallbeschreibung klingt eher nach dem was es ist.
Bei mir auf der Arbeit in der Abteilung liegen zwei Bewerbungen rum (Anschreiben und Lebenslauf) von zwei Bewerbern für unser Unternehmen.
offen herumliegen. Beliebter Fehler ist ausgedruckt und im Drucker liegen gelassen oder nicht sofort abgeholt.

Versuchen Sie doch einmal Ihr Unternehmen nach ISO 27001 zertifizieren zu lassen. Wenn sich der Auditor ganz sicher eines angucken wird, dann ist es auch der Bewerbungsprozess und wie sichergestellt wird, dass Unbefugte a) die Daten nicht zugreifen können und b) diese Daten auch rechtzeitig (möglichst) automatisiert wieder gelöscht werden.

Der hier beschriebene Fall ist in der Theorie ziemlich eindeutig. Es handelt sich um einen meldepflichtigen Datenschutzverstoß. Das dies in der Praxis so nicht gelebt wird ist eine andere Sache.
ktown
FDR-Moderator
Beiträge: 26217
Registriert: 31.01.05, 08:14
Wohnort: Auf diesem Planeten

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von ktown »

Heiko66 hat geschrieben: 25.08.21, 15:33Das entbindet den Chef aber trotzdem nicht davor die Mappe entsprechend zu schützen. Das ist mindestens mal das Büro abschließen, wenn er die Mappe auf seinem Schreibtisch liegen lässt.
und das steht wo? Meines Erachtens, im Tagesbetrieb, reicht es, dass die Tür geschlossen ist, sIe braucht nicht verschlossen zu sein.
Alles, was ich schreibe, ist meine private Meinung.

Gesetze sind eine misslungene Kreuzung aus dem Alphabet und einem Labyrinth.
"Durch Heftigkeit ersetzt der Irrende, was ihm an Wahrheit und an Kräften fehlt" Zitat Goethe
Heiko66
FDR-Mitglied
FDR-Mitglied
Beiträge: 810
Registriert: 23.10.20, 11:05

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von Heiko66 »

ktown hat geschrieben: 25.08.21, 16:22
Heiko66 hat geschrieben: 25.08.21, 15:33Das entbindet den Chef aber trotzdem nicht davor die Mappe entsprechend zu schützen. Das ist mindestens mal das Büro abschließen, wenn er die Mappe auf seinem Schreibtisch liegen lässt.
und das steht wo? Meines Erachtens, im Tagesbetrieb, reicht es, dass die Tür geschlossen ist, sIe braucht nicht verschlossen zu sein.
Ich würde mich ja eher nicht mal im Ansatz als Koryphäe im Bereich Datenschutz und Informationssicherheit sehen. Mich wundert eher mit welcher Blauäugigkeit ausgerechnet in einem Rechtsforum mit dem Bereich Datenschutzrecht ernsthaft davon ausgegangen wird, in dem beschriebene Fall könnte ernsthaft kein Datenschutzverstoß vorliegen.

Um auf diese von Dummerchen ausgeführte Beispiel zu Antworten, das dem Ausgangsfall eher nicht entspricht:

Von Unternehmen die sich mit Informationssicherheit beschäftigen (und das muss mittlerweile eigentlich jeder machen insbesondere wenn personenbezogene Daten verarbeitet werden) wird üblicher Weise verlangt, sich mit der ISO 27001 auseinander zu setzten. Wer eine Zertifizierung anstrebt lässt sich dann nach gemäß ISO 27001 auf Basis ISO 27002 oder auf Basis BSI zertifzieren. Wer das nach 27002 macht, ist deutlich mehr auf der grünen Wiese unterwegs hinsichtlich Abschätzung von Risiken oder Klassifzierung. Wer das nach BSI macht muss sich konkret an das halten, was dort geregelt ist. Wenn da steht für Fall x müssen y Server vorgehalten werden, dann müssen auch y Server vorgehalten werden. Beide "Normen fordern" in jedem Falle, dass man sich mit personenbezogenen Daten auseinandersetzt und dazu gehören auch Bewerbungsprozesse. Auch wenn man die Zertifizierung nicht anstrebt, ist es zumindest sinnvoll sich ein Stück weit an dieses Vorgehen zu halten (andernfalls kann man es sich auch gleich sparen).

Wer dann im Fall des Falles nichts hat oder ein auf einer DINA4-Seite zusammengeschlunztes nach eigener Norm ausgedachtes ISMS vorweisen will, kann sich schon direkt mal darauf einstellen, dass die Behörde dann gleich mal im höheren Bereich des möglichen ein Bußgeld verhängen wird.

Mit dem BSI-Thema habe ich mich nicht im Detail auseinandergesetzt, weil ich das gerne möglichst "freier Interpretieren" können wollte. Aber auch schon die deutlich freiere Interpretation in der ISO 27002 führt da schon fast so weit, dass man dem Bewerber ggf. sogar mitteilen muss, wie man mit seinen Daten umgehen wird (das schließt auch ein, wie man demnach mit den Daten nicht umgehen wird)

Grundsätzlich wird bei dem Thema Informationssicherheit verlangt Daten in Datenschutzklassen einzuteilen. Personenbezogene Daten sind dabei immer besonders ungünstig, weil die eigentlich immer automatisch in die höchste Datenschutzklasse kommen. Und Daten der höchsten Datenschutzklasse sind niemals einfach nur in einem Büro mit geschlossener (aber nicht abgeschlossner) Tür aufzubewahren. Schon alleine der Gedanke Daten der höchsten Schutzklasse quasi nahezu keinen Schutz geben zu wollen ist absurd.

Auch Bewerbungen in Email-Postfächern vorzuhalten und womöglich dann auch noch zu verteilen ("guck doch mal wer sich hier beworben hat") ist mittlerweile ein absolutes (teilweise immer noch gelebtes) No-Go, das einem die Bußgeldbehörde im unwahrscheinlichen Fall des Falles eher nicht so leicht verzeihen wird. Bewerbungen ausgedruckt irgendwo rumliegen zu lassen ohne besonderen Schutz schlägt da schon eher den Fass aus dem Boden.

Wenn Sie mir das nicht glauben wollen, fragen Sie doch mal bei Ihrem Datenschutzverantwortlichen oder noch besser beim BSI oder Landesdatenschutzbeauftragten nach. Der zieht Sie alleine für die Frage, ob man mit eine geschlossene Bürotür Bewerberdaten hinreichend geschützt hat direkt durch den Hörer. Aber vielleicht fragen Sie lieber nicht nach, wenn Sie die nicht auf die Idee bringen wollen zu gucken, ob in ihrem Unternehmen alles mit rechten Dingen vor sich geht.
ktown
FDR-Moderator
Beiträge: 26217
Registriert: 31.01.05, 08:14
Wohnort: Auf diesem Planeten

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von ktown »

Heiko66 hat geschrieben: 25.08.21, 18:14 ch würde mich ja eher nicht mal im Ansatz als Koryphäe im Bereich Datenschutz und Informationssicherheit sehen.
Dafür haben sie aber viel zu sagen. :wink: Weder FM noch ich sagen, dass es nicht eventuell einen Verstoß gab. Wir sagen nur, dass das Beschriebene nicht ausreicht um es endgültig zu bewerten.
Sie haben dies schon final entschieden, obwohl sie selbst sagen nicht so firm sind.
Alles, was ich schreibe, ist meine private Meinung.

Gesetze sind eine misslungene Kreuzung aus dem Alphabet und einem Labyrinth.
"Durch Heftigkeit ersetzt der Irrende, was ihm an Wahrheit und an Kräften fehlt" Zitat Goethe
FM
FDR-Mitglied
FDR-Mitglied
Beiträge: 20831
Registriert: 05.12.04, 16:06

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von FM »

Heiko66 hat geschrieben: 25.08.21, 12:49
FM hat geschrieben: 24.08.21, 20:27 Aufgrund der dürftigen Situationsbeschreibung kann man nicht sagen, ob hier irgendetwas unzulässig war.
Offen für jeden Mitarbeiter einsichtbare Bewerbungen anderer? Wieviel braucht es denn angeblich noch, damit man sagen kann, ob hier irgendwas unzulässig gewesen sein könnte.

Da liegt offensichtlich ein Verstoß gegen den Datenschutz (Art. 5 DSGVO) vor. Ob man als Arbeitnehmer da Nestbeschmutzung betreiben sollte, ist eine andere Fragestellung.
Es sind schon Situationen denkbar, wo jeder andere Mitarbeiter bei der Entscheidung über die Einstellung beteiligt ist.
Evariste
FDR-Mitglied
FDR-Mitglied
Beiträge: 4182
Registriert: 31.12.15, 17:20

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von Evariste »

FM hat geschrieben: 25.08.21, 21:31 Es sind schon Situationen denkbar, wo jeder andere Mitarbeiter bei der Entscheidung über die Einstellung beteiligt ist.
Das ist schon richtig, aber das heißt nicht, dass es OK ist, die Unterlagen einfach offen herumliegen zu lassen.

Artikel 5 der DSGVO:
(1) Personenbezogene Daten müssen
...
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit");
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").
und § 26 BDSG:
(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
...
(7) Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(8) ...
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte.
Dass das Herumliegenlassen von Unterlagen nicht dem Prinzip von "Integrität und Vertraulichkeit" entspricht, das lernt heutzutage jeder AN, der in einer Firma arbeitet, die ein ISMS hat (gibt es heute eigentlich noch Firmen, die sowas nicht haben? Wie erfüllt so eine Firma dann den Art. 5 Abs. 2 DSGVO?) in regelmäßigen, für alle Mitarbeiter verpflichtenden Schulungen. Übrigens stellt auch die Aufbewahrung von sensiblen Unterlagen in einem unverschlossenen Rollcontainer einen Verstoß dar und wird bei entsprechenden Audits regelmäßig gerügt.
FM
FDR-Mitglied
FDR-Mitglied
Beiträge: 20831
Registriert: 05.12.04, 16:06

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von FM »

Evariste hat geschrieben: 25.08.21, 22:46 (gibt es heute eigentlich noch Firmen, die sowas nicht haben? Wie erfüllt so eine Firma dann den Art. 5 Abs. 2 DSGVO?)
Schon einige. Oder einige hundert. Naja vielleicht eher, einige hunderttausend.
Heiko66
FDR-Mitglied
FDR-Mitglied
Beiträge: 810
Registriert: 23.10.20, 11:05

Re: Bewerbungsunterlagen liegen offen rum

Beitrag von Heiko66 »

Sie haben dies schon final entschieden, obwohl sie selbst sagen nicht so firm sind.
Ich wollte damit nur sagen ich habe mich mit dem Aufsetzen eines ISMS nach BSI (nur nach ISO 27002) nicht auseinandergesetzt und kenne die Details da nicht. Noch habe ich mich damit auseinandergesetzt was für zusätzliche Auflagen es für KRITIS-Firmen gibt. Ich weiß aber, dass es nach BSI noch regider ist als nach ISO 27002 und schon da ist das gefordert für diese Daten einen entsprechend sicheren Prozess zu etablieren.
Weder FM noch ich sagen, dass es nicht eventuell einen Verstoß gab. Wir sagen nur, dass das Beschriebene nicht ausreicht um es endgültig zu bewerten.
Und ich sage das Beschriebene reicht mehr als locker aus. Selbst in dem von Dummerchen abgewandelten Fall reicht das noch locker aus. Da muss man nichts konstruieren um zu sagen hier liegt ein meldepflichtig Verstoß vor.
Es sind schon Situationen denkbar, wo jeder andere Mitarbeiter bei der Entscheidung über die Einstellung beteiligt ist.
Selbst wenn diese abstruse Sachverhaltsquetsche stimmen würde, heißt das dann aber immer noch nicht, dass jedem anderen Mitarbeiter deswegen alle Informationen (also die kompletten Bewerbungsunterlagen) des Bewerbers offen liegend zur Verfügung gestellt werden müssen. Es müssen nur die Informationen bereitgestellt werden, die für eine Einstellung relevant sind. Zum Beispiel die Adresse des potentiellen Mitarbeiters dürfte schon einmal nicht dazu gehören.
schon einige. Oder einige hundert. Naja vielleicht eher, einige hunderttausend.
WIe schon oben angemerkt hat jede Firma ein wie auch immer geartetes ISMS. Es ist aber mehr oder weniger gefordert das zu dokumentieren und sich dabei möglichst zumindest grob an der ISO auszurichten und ein paar Mindeststandards zu erfüllen. Dazu gehört insbesondere auch der Bewerbungsprozess. In dem beschriebenen Fall stehen jedem Datenschützer zu Recht die Haare zu Berge. Und bevor der Vorwurf kommt nein ich bin kein Datenschützer der einem das Arbeiten unmöglich machen möchte. Ich musste mich nur einmal zwangsweise mit der Etablierung eines ISMS das über eine schlechte zusammengeschriebene DINA4-Seite hinaus geht beschäftigen. Was man an Ihren und ktowns Verniedlichungen merken kann ist, dass wohl bei vielen noch nicht angekommen ist was der Gesetzgeber mit der DSGVO im Ergebnis eingentlich bezwecken wollte. Die eigentliche Rechtslage wird in weiten TEilen der Bevölkerung noch größtenteils noch ignoriert und verniedlicht. Da findet selbst Gendern eine größere Akzeptanz.
Übrigens stellt auch die Aufbewahrung von sensiblen Unterlagen in einem unverschlossenen Rollcontainer einen Verstoß dar und wird bei entsprechenden Audits regelmäßig gerügt.
Wobei sich die wenigsten zertifizieren lassen. Aber wenn man schon so einen Blödsinn verzapft sollte man zumindest eine Unterlage haben in der steht wie der Sollprozess aussieht und was man dafür tut, dass so etwas nicht auftritt. Ein Verstoß ist es in jedem Fall aber wenn der gemeldet werden sollte und dann hat man nur obige genannte schlechte DINA4-Seite als Firmen-ISMS, dann hat das keinen guten Einfluss auf die Höhe des Bußgeldes.
Antworten