Qbi's Weblog

Im Jahr 2018 schrieb ich einen Blogbeitrag über eine Einwilligung. Sieben Jahre später sehe ich eine Ausschreibung der HTWK mit einem ähnlichen Problem.

Jens Lange schrieb einen Tröt über »den Justitiar, der nebenbei auch IT-SiBe war«. Darin verweist er auf eine Ausschreibung an der HTWK, wo eine Justitiarin oder ein Justitiar gesucht wird. Neben der Bearbeitung von Rechtsangelegenheiten, Erarbeitung von Stellungnahmen und weiterem soll die Person noch Antikorruptionsbeauftragte, IT-Sicherheitsbeauftragte und Beauftragte für das sächsische Transparenzgesetz sein. Die Hochschule verwaltet etwa 7.000 Personen (Student:innen und Mitarbeiter:innen) und hat ein Etat von ca. 60 Mio. €. Aus meiner Erfahrung sind Hochschulen alles andere als homogen und im Bereich der Informationssicherheit hat man da alle Hände voll zu tun. Daher sagt die Beschreibung der »Nebentätigkeit« vieles aus. Aber ich stolperte noch aus einem anderen Grund über die Anzeige.

Unter der Überschrift »Hinweise zum Datenschutz« steht:

Mit der Übersendung Ihrer Bewerbungsunterlagen willigen Sie in die Verarbeitung der darin enthaltenen Daten zum Zwecke des Auswahlverfahrens für die vorliegende ausgeschriebene Stelle ein. Ihre Einwilligung kann von Ihnen jederzeit widerrufen werden.

Ich hatte auf Mastodon gefragt, was an diesem Satz falsch ist. Es gab einige Äußerungen, aber auch Verwirrungen. Daher will ich versuchen, das hier aufzudröseln.

Die Bedingungen für eine Einwilligung sind in Art. 7 DSGVO festgehalten und der Erwägungsgrund 32 bietet weitere Hinweise. Wesentlich finde ich den ersten Satz aus dem Erwägungsgrund:

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, […]

Der Satz aus dem Stellenangebot sagt, dass die Übersendung eine Einwilligung darstellt. Also könnte man hier argumentieren, dass das Übersenden auch diese eindeutige bestätigende Handlung ist. Die betroffene Person macht die auch freiwillig. Denn nur wer den Job möchte, wird ohne jeglichen Zwang eine Bewerbung verfassen. Als konkreter Fall (Zweck) wird das Auswahlverfahren genannt.

Interessant wird es bei der Frage, ob dies in informierter Weise und unmissverständlich passiert ist. Die Überschrift heißt »Hinweise zum Datenschutz«. Kann man davon ausgehen, dass sich hier eine Regelung zur Einwilligung oder bezüglich einer Rechtsgrundlage versteckt? Ich meine, nein. Viele werden bei der Überschrift vermutlich nicht mehr weiterlesen. Damit wissen sie  gar nicht, dass sie vermeintlich in irgendetwas eingewilligt haben. Damit fallen aber weitere Teile des Konstrukts in sich zusammen. Denn wenn ich gar nicht weiß, dass ich eingewilligt habe, wie soll das dann eine eindeutige bestätigende Handlung sein?

Insgesamt kann die betroffene Person aus meiner Sicht hier gar nicht eine Einwilligung bekunden, da viele gar nicht wissen werden, dass sie das tun sollen oder vermeintlich getan haben.

Daneben soll man über seine Rechte und die Datenverarbeitung im Allgemeinen informiert werden. Hier gibt es einen Hinweis zum Widerrufsrecht. Aber allgemeine Datenschutzhinweise und -erklärungen fand ich nicht. Zumindest nichts, was den Anforderungen des Art. 13 DSGVO entspricht. Daher wäre wohl auch die Anforderung der informierten Weise verletzt.

Schließlich hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen. Hier muss man sich fragen, was bei einem Widerruf passiert. Schließlich basiert das gesamte Auswahlverfahren auf der Einwilligung und auch das Löschen, Kopieren etc. sind Verarbeitungsvorgänge. Das heißt, die Hochschule müsste nach dem Eingang des Widerrufs die Unterlagen fallen lassen und dürfte die nie wieder anfassen. (Ich übertreibe ein wenig.)

Wie schon im Blogbeitrag über eine Einwilligung aus dem Jahr 2018 läge eine Lösung im Art. 6 Abs. 1 lit. 2 DSGVO. Denn zu vorvertraglichen Maßnahmen oder zur Erfüllung eines Vertrages darf man hierfür notwendige Daten verarbeiten. Wenn man auch den § 26 BDSG akzeptiert, sind auch dort Rechtsgrundlagen genannt (Details zu dieser Problematik findet man im Podcast Auslegungssache 128: Scherbenhaufen Beschäftigtendatenschutz).

Mit dieser Grundlage stellen sich die meisten der obigen Probleme nicht. Lediglich Datenschutzhinweise nach Art. 13 DSGVO würde die Hochschule immer noch benötigen. Die Welt kann manchmal doch so einfach sein.