Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BW) verhängte laut 35. Tätigkeitsbericht mit Bescheid vom 24. Oktober 2019 ein Bußgeld in der Höhe von € 100.000 gegen ein mittelständisches Lebensmittelhandwerksunternehmen. Aus dem Tätigkeitsbericht geht hervor, dass mit personenbezogenen Daten von Bewerbern fahrlässig umgegangen wurde. Konkret wurde kein ausreichender Schutz vor dem Zugriff durch unberechtigte Dritte gewährleistet. Bewerber konnten über ein Bewerberportal ihre Bewerbung übermitteln, es lag jedoch weder eine verschlüsselte Übertragung der Daten vor noch wurden die Daten bei Speicherung verschlüsselt oder passwortgeschützt. Die unverschlüsselten Daten waren darüber hinaus laut Tätigkeitsbericht mit einer Verknüpfung zu Google versehen. Bei einer Google-Recherche war es möglich, die Bewerbungsunterlagen der Betroffenen ohne Zugriffsbeschränkungen einzusehen.

Vorneweg ist festzuhalten, dass Bewerberdaten den Daten von Beschäftigten gleichgestellt sind (§ 26 Abs. 8 Satz 2 BDSG).

Grundsätzlich waren jedoch in dem beschriebenen Fall die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO nicht ausreichend. So sind Maßnahmen zu ergreifen, welche personenbezogene Daten verschlüsseln und die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten personenbezogenen Daten zu gewährleisten. Gerne wird auch in der Praxis darauf zu wenig Bedacht genommen, dass nach Art. 32 Abs. 1 lit. d) DSGVO ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchgeführt werden sollte. Die Verantwortlichen sollten ein Eigeninteresse daran entwickeln, diese Verfahren zu etablieren, damit sie ihrer Rechenschaftspflicht nach Art. 5 DSGVO nachkommen können. Insbesondere sollte beachtet werden, je sensibler die verarbeiteten personenbezogenen Daten sind, desto regelmäßiger sollte eine Überprüfung stattfinden. Auch angesichts des aktuellsten Bußgeldes des LfDI in Höhe von € 1,24 Mio. sollten Verantwortliche vermehrt ihr Augenmerk auf Art. 32 DSGVO legen.