Cloud-basiertes Bewerbermanagement
Nicht nur Großkonzerne, sondern auch klein- und mittelständige Unternehmen gehen verstärkt dazu über, ihr Bewerbermanagement über cloud-basierte Web-Applikationen durchzuführen. Sämtliche Kommunikation mit dem Bewerber, aber auch Bewerbungsunterlagen, die Ergebnisse von vorgeschalteten Assessment Centern werden hierbei nicht mehr über klassische Client-Server-Anwendungen unterstützt, sondern über Web-Applikationen, die von jedem Client aus browserbasiert genutzt werden können.
Auch werden die Bewerberdaten nicht mehr im jeweiligen Unternehmen, sondern als SaaS-Lösung (Software-as-a-Service) beim Software-Hersteller bzw. in einem von ihm beauftragten Subunternehmen gespeichert, oftmals (europäische) Rechenzentren US-amerikanischer Cloud-Diensteanbieter wie Amazon Web Services (AWS), Microsoft oder Google.
Das Hosting von Bewerberdaten bei US-amerikanischen Cloudanbietern bringt gravierende datenschutzrechtliche Probleme mit sich, selbst wenn sich die Rechenzentren in Europa befinden. Zum einen muss vertraglich sichergestellt werden, dass die Speicherung der Bewerberdaten bei US-amerikanischen Cloudanbietern europäischem Datenschutz-Standard entspricht, zum anderen stellt sich im Rahmen einer Datenschutz-Folgenabschätzung die Frage, welche zusätzlichen Garantien oder technisch-organisatorischen Maßnahmen umgesetzt werden müssen, um die Risiken zu minimieren, die grundsätzlich von US-amerikanischen Cloudanbietern für die von der Datenverarbeitung Betroffenen ausgehen.
Der vorliegende Artikel geht daher im Folgenden zunächst auf die rechtlichen Rahmenbedingungen genauer ein, die beim Hosting von Bewerberdaten bei US-amerikanischen Cloudanbietern zu beachten sind. Anschließend wird für das Hosting von Bewerberdaten bei US-amerikanischen Cloudanbietern eine Datenschutz-Folgenabschätzung durchgeführt.
Rechtliche Rahmenbedingungen
Die rechtlichen Rahmenbedingungen sind nicht nur geprägt durch die Datenschutz-Grundverordnung (DSGVO), insbesondere ihre Regelungen zur Auftragsverarbeitung und zur Datenschutz-Folgenabschätzung, und durch das Bundesdatenschutzgesetz (BDSG), das für die Verarbeitung von Beschäftigtendaten einschlägig ist, sondern leider auch durch den US-amerikanischen CLOUD Act, dessen weitreichende Auswirkungen zu berücksichtigen sind, wenn Bewerberdaten in den USA gehostet werden sollen.
Verarbeitung von Beschäftigtendaten
Die Verarbeitung von Bewerberdaten in Unternehmen, hierzu gehört insbesondere die Erhebung und Speicherung der Daten, ist rechtmäßig gemäß Art. 88 Abs. DSGVO i.V.m. § 26 BDSG, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Dies gilt für die Kommunikation mit dem Bewerber, aber auch für sämtliche Bewerbungsunterlagen, die der Bewerber einreicht, bis hin zu Ergebnissen von Assessment Centern.
Vertragliche Verpflichtung des Auftragsverarbeiters
Erfolgt die Speicherung der Beschäftigtendaten durch einen externen Hosting-Anbieter, ist dieser als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich auf Mindeststandards zu verpflichten. Hierzu gehören u.a. die Umsetzung geeigneter technisch-organisatorischer Sicherheitsmaßnahmen sowie die regelmäßige Überprüfung und Bewertung dieser Maßnahmen durch externe und interne Audits.
Die Qualität der umgesetzten technisch-organisatorischen Maßnahmen können Auftragsverarbeiter gemäß Art 28 Abs. 5 DSGVO auch durch genehmigte Verhaltensregeln oder durch genehmigte Zertifizierungsmaßnahmen nachweisen, die wiederum in Art 40 bzw. Art 42 DSGVO geregelt sind. Allerdings existieren zurzeit weder genehmigte Verhaltensregeln bzw. genehmigte Zertifizierungsmaßnahmen noch gibt es akkreditierte Zertifizierungsstellen, so dass bei der Auswahl geeigneter Rechenzentren möglichst auf bestehende Zertifikate wie ISO 27001 zurückgegriffen werden sollte.
Erfolgt das Hosting außerhalb der EU, außerhalb der Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum, außerhalb der Schweiz oder außerhalb eines Staates, für den ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vorliegt, muss mit dem externen Dienstleister ein Controller-to-Processor-Standardvertrag der EU gemäß Art. 46 Abs. 2 lit. a DSGVO abgeschlossen werden[1]. Durch den EU Standardvertrag verpflichtet sich der externe Hosting-Dienstleister vertraglich gegenüber dem Auftraggeber auf die Einhaltung europäischen Datenschutzstandards.
Datenschutz-Folgenabschätzung
Neben einer Prüfung der Rechtmäßigkeit der Auftragsverarbeitung muss der Verantwortliche – nicht der Auftragsverarbeiter – gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchführen, sofern mit der Verarbeitung der Daten voraussichtlich hohe Risiken für die Persönlichkeitsrechte der von der Datenverarbeitung Betroffenen verbunden sind. Gemäß Art. 35 Abs. 3 DSGVO ist eine Datenschutz-Folgenabschätzung insbesondere in folgenden Fällen erforderlich:
- „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.“
Hilfreich sind in diesem Zusammenhang mittlerweile veröffentlichte Listen von Datenschutz-Aufsichtsbehörden für Verfahren, für die eine Datenschutz-Folgenabschätzung zwingend durchzuführen ist. Ergänzt werden diese Positivlisten durch entsprechende Negativlisten von Verfahren, die keiner Datenschutz-Folgenabschätzung bedürfen.
Auch die Art. 29-Arbeitsgruppe stellt in ihrem Working Paper 248 zahlreiche Kriterien auf, bei welchen Verfahren ein voraussichtlich hohes Risiko besteht und wann eine Datenschutz-Folgenabschätzung durchzuführen ist[2]. U.a. ist eine Datenschutz-Folgenabschätzung zu initiieren, sofern zwischen dem Verantwortlichen und dem Betroffenen ein ungleiches Verhältnis besteht, d.h. er der Datenverarbeitung nicht widersprechen kann, ohne Nachteile befürchten zu müssen. Und in Erwägungsgrund 75 wird von der Notwendigkeit einer Datenschutz-Folgenabschätzung ausgegangen, sofern die Betroffenen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Ohne Zweifel dürften beide Kriterien bei einem cloud-basierten Bewerbungsverfahren erfüllt sein.
Überraschenderweise nicht im Working Paper 248 enthalten ist das Kriterium, dass die personenbezogenen Daten außerhalb der EU gespeichert werden, obwohl gerade die Speicherung von personenbezogenen Daten außerhalb der EU dazu führt, dass die Betroffenen nicht mehr genau nachvollziehen können, wer bzw. welche Stellen auf die Daten außer dem Verantwortlichen noch zugreifen.
Aufgrund der Tatsache, dass im Bewerbermanagement sensible Bewerberdaten gespeichert werden, zudem ein Ungleichgewicht zwischen Verantwortlichem und Bewerber existiert und der Bewerber insbesondere bei cloud-basierten Lösungen seine Betroffenenrechte nur schwer durchsetzen kann, muss für ein Bewerbermanagement, das bei einem US-amerikanischen Cloudanbieter gehostet wird, eine Datenschutz-Folgenabschätzung durchgeführt werden.
Die DSGVO gibt gewisse Mindestvorgaben an die Hand, wie eine Datenschutz-Folgenabschätzung inhaltlich zu strukturieren ist. Art 35 Abs. 7 DSGVO sieht folgende Mindestvoraussetzungen vor:
- „eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“
Zusätzlich zur Rechtmäßigkeitsprüfung, die ohnehin bei der Einführung und Änderung von Verfahren erfolgen muss, ist im Rahmen einer Datenschutz-Folgenabschätzung zu prüfen, inwieweit für die von der Datenverarbeitung Betroffenen Persönlichkeitsrechte verletzt werden können, sofern die Vertraulichkeit, Integrität und Verfügbarkeit der gespeicherten Daten, aber auch die Transparenz und Kontrolle der Datenverarbeitung nicht mehr gewährleistet werden kann. Für sämtliche genannten Sicherheitsziele sollte eine Risikoanalyse durchgeführt werden, bei der sowohl die Eintrittswahrscheinlichkeit als auch die Höhe des Schadens ermittelt werden.
Sofern die Eintrittswahrscheinlichkeit und die Höhe des Schadens ein für den Betroffenen bedrohliches Maß annehmen, müssen zusätzliche Garantien bzw. Sicherheitsmaßnahmen umgesetzt werden, um die Risiken für die Betroffenen zu minimieren. Welche Garantien bzw. Maßnahmen zusätzlich umzusetzen wären, wird von dem für die Datenverarbeitung Verantwortlichen festgelegt und nicht durch den Auftragsverarbeiter und dessen Subunternehmen.
Zugriff von US-Behörden
Sofern Bewerberdaten bei US-amerikanischen Cloudanbieter gehostet werden, können US-Behörden hierauf gemäß Communication Act grundsätzlich zugreifen. Selbst wenn diese Cloudanbieter damit werben, dass die Daten in europäischen Rechenzentren gespeichert werden, unterliegen diese weiterhin der Kontrolle der US-Behörden.
Grund hierfür ist der am 23. März 2018 in Kraft getretene CLOUD Act, der US-Behörden auch dann den Zugriff auf Daten[3] gestattet, wenn diese von US-amerikanischen IT-Dienstleistern (das Gesetz spricht von „provider of electronic communication services“ oder „remote computing services“) im Ausland gespeichert werden. Hintergrund des CLOUD Act ist ein jahrelanger Rechtsstreit von Microsoft mit US-Behörden um die Herausgabe von Daten auf Microsoft-Servern in Irland, der (indirekt) durch den Erlass des CLOUD Acts vom Kongress der USA entschieden wurde.
Entgegen dem Titel des Gesetzes hat das Gesetz nicht zwingend etwas mit Cloud-Diensten zu tun. CLOUD steht für „Clarifying Lawful Overseas Use of Data Act“. Das Gesetz ändert bzw. ergänzt §§ 2701-2713 des Stored Communications Act (SCA) und erweitert die Reichweite und Kontrollkompetenz von US-Behörden auf ausländische Gesellschaften, sofern diese im Besitz, in Verwahrung oder unter Kontrolle US-amerikanischer Unternehmen stehen.
Der Ausdruck „Besitz, Verwahrung oder Kontrolle“ wird sowohl im US-Zivil- als auch im Strafrecht verwendet. Es lässt sich jedoch weder im CLOUD Act selbst noch an einer anderen Stelle im US-Recht eine allgemein gültige Definition finden. Die US-amerikanische Rechtsprechung hat unterschiedliche Merkmale entwickelt, anhand derer der Ausdruck „Besitz, Verwahrung oder Kontrolle“ im Einzelfall zu bestimmen ist. Allgemein wird Kontrolle eines Unternehmens über Dokumente bzw. Daten angenommen, wenn ein Recht, die Befugnis oder die praktische Fähigkeit besteht, die Daten selbst herauszugeben oder von einem anderen Unternehmen zur Herausgabe zu erhalten.
Gegen eine Anordnung auf Herausgabe der Daten kann ein Unternehmen Widerspruch einlegen, wenn die Daten Nicht-US-Bürger betreffen und die geforderte Offenlegung gegen die Gesetze eines Landes verstößt. Letzteres ist jedoch eindeutig der Fall: Insgesamt verstößt der CLOUD Act gegen Art. 48 DSGVO. Hierin wird ausdrücklich festgelegt, dass Urteile und Entscheidungen ausländischer Gerichte und Verwaltungsbehörden nur dann eine Rechtsgrundlage für die Übermittlung personenbezogener Daten darstellen können, sofern sich diese auf internationale Übereinkünfte oder Rechtshilfeabkommen mit dem Empfängerland stützen. Weder mit Deutschland noch mit einem anderen Land der EU wurden bislang entsprechende Vereinbarungen getroffen.
Ergebnis der Datenschutz-Folgenabschätzung
Bei der Datenschutz-Folgenabschätzung geht es im Wesentlichen um die Frage, inwieweit die Vertraulichkeit der Bewerberdaten gewährleistet ist, wenn die Daten durch einen US-amerikanischen Cloudanbieter gehostet werden. Eine mangelnde Verfügbarkeit könnte zwar ebenfalls ein Problem für die betroffenen Bewerber sein; diese dürfte allerdings bei einem Hosting-Dienstleister kein wirkliches Thema darstellen. Darüber hinaus stellt sich die Frage, inwieweit ein cloud-basiertes Bewerbermanagement für den Betroffenen noch transparent ist und ob dieser seine Rechte noch adäquat wahrnehmen kann.
Welche Risiken konkret für die Betroffen entstehen können, wenn US-Behörden auf Bewerberdaten zugreifen können, soll anhand des folgenden Szenarios beispielhaft geschildert werden.
Einreise in die USA als Risikoszenario
Jeder, der in den vergangenen Jahren in die USA eingereist ist, kennt möglicherweise das Gefühl der Erleichterung, erfolgreich an den dortigen Immigration Officer der Customer and Border Protection (CBP), die wiederum dem Department of Homeland Security (DHS) untersteht, vorbeigekommen zu sein. Von Einreisenden in die USA werden nicht nur ein Foto erstellt und Fingerabdrücke genommen; es erfolgt auch ein umfangreicher Datenabgleich. Welche Datenbestände genau abgeglichen werden, ist für den Einreisenden völlig intransparent. Beispielsweise sind Personen bereits aufgrund von Twitter-Nachrichten oder Facebook-Einträgen festgehalten und zurückgeschickt worden. Denkbar wäre auch, dass die CBP flächendeckend bzw. einzelfallbezogen auf Datenbestände US-amerikanischer Cloudanbieter zugreift.
Das mit dem Zugriff von US-Behörden auf Twitter und Facebook verbundene Risiko mag für den Einreisenden noch überschaubar sein, solange über diese Portale rein private Dinge ausgetauscht werden. Sollten jedoch US-Behörden auch Bewerberdaten auswerten, die bei US-amerikanischen Cloudanbietern gehostet werden, wird das Risiko für den Einreisenden deutlich größer. Angaben über frühere Arbeitgeber, Spezial- und Sprachkenntnisse, Auslandsaufenthalte, Hobbies, die in aller Regel im Rahmen von Bewerbungen gegenüber dem potentiell neuen Arbeitgeber offenbart werden, können im Zweifel deutlich aussagefähigere Informationen über den Einreisenden geben als private Social Media Einträge. Es kommt hinzu, dass ein Bewerber gar nicht davon ausgeht, dass seine offenbarten Bewerbungsdaten bei US-amerikanischen Cloudanbietern hinterlegt sind.
Das mit dem Hosting von Bewerberdaten bei US-amerikanischen Cloudanbietern verbundene Risiko für die Rechte und Freiheiten von Einreisenden in die USA ist demnach sehr hoch. Folglich müssen gemäß Art. 35 Abs. 7 lit. d DSGVO zusätzliche Garantien oder Maßnahmen umgesetzt werden, die die skizzierten Risiken minimieren.
Verschlüsselung der Bewerberdaten
Eine Maßnahme, die den intransparenten Zugriff von US-Behörden auf Bewerberdaten bei Cloud-Anbietern wirksam unterbinden würde, ist die vollständige Verschlüsselung der Bewerbungsdaten. Hierbei ist jedoch zu beachten, dass die Datenverschlüsselung nicht auf Betriebssystemebene erfolgt, sondern auf Datenbank- bzw. Anwendungsebene. Während eine Verschlüsselung auf Betriebssystemebene durch den Cloudanbieter durchgeführt wird, ermöglicht eine Verschlüsselung auf Datenbank- bzw. Anwendungsebene, dass der Schlüssel zum Ver- und Entschlüsseln der Daten im Besitz des Herstellers des Bewerbermanagementsystems verbleiben kann, ggf. sogar im Verbleib des Unternehmens, das seine Bewerberdaten über eine Web-Applikation verwaltet. Dies ist jedoch zwingend notwendig, um einen Zugriff auf die Bewerberdaten durch US-Behörden auszuschließen.
Fazit
Die Verarbeitung von Bewerberdaten in Unternehmen, hierzu gehört insbesondere die Erhebung und Speicherung der Daten, ist rechtmäßig gemäß § 26 BDSG, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.
Erfolgt die Speicherung der Beschäftigtendaten durch einen externen Hosting-Anbieter, ist dieser als Auftragsverarbeiter gemäß Art. 28 bzw. Art. 46 Abs. 2 lit. a DSGVO vertraglich auf Mindeststandards zu verpflichten.
Aufgrund der Tatsache, dass im Bewerbermanagement sensible Bewerberdaten gespeichert werden, zudem ein Ungleichgewicht zwischen Verantwortlichem und Bewerber existiert und der Bewerber insbesondere bei cloud-basierten Lösungen seine Betroffenenrechte nur schwer durchsetzen kann, muss für ein Bewerbermanagement, das bei einem US-amerikanischen Cloudanbieter gehostet wird, eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt werden.
Sofern Bewerberdaten bei US-amerikanischen Cloudanbieter gehostet werden, können US-Behörden hierauf gemäß Communication Act grundsätzlich zugreifen. Selbst wenn diese Cloudanbieter damit werben, dass die Daten in europäischen Rechenzentren gespeichert werden, unterliegen diese gemäß CLOUD Act weiterhin der Kontrolle der US-Behörden.
Eine Maßnahme, die den intransparenten Zugriff von US-Behörden auf Bewerberdaten bei Cloud-Anbietern wirksam unterbinden würde, wäre die vollständige Verschlüsselung der Bewerbungsdaten. Zudem sollte der Schlüssel zum Ver- und Entschlüsseln im Besitz des Unternehmens oder des Herstellers des Bewerbermanagementsystems sein.
[1] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32010D0087&from=DE
[2] https://ec.europa.eu/newsroom/document.cfm?doc_id=47711
[3] Dies gilt unabhängig davon, ob diese Daten personenbezogene Daten sind oder nicht.
Holger Dyroff - ownCloud
2. April 2019 @ 11:12
Super Beitrag, ich fürchte noch kaum ein Unternehmen hat es so gesehen!
Wir arbeiten im file sync und share Bereich und haben für solche Fälle Ende-zu-Ende Verschlüsselung im Einsatz.
Curious
20. März 2019 @ 11:49
Sehr interessanter Beitrag. Doch welchen Grad der Verschlüsselung bzw. welche Methode empfehlen Sie und last, but not least erlauben US Behörden?