Müssen Bewerbungen verschlüsselt entgegengenommen werden?

Möchte man sich bei einem Unternehmen auf eine Stellenanzeige oder initiativ bewerben, kann dies häufig über ein sog. Bewerberportal auf der jeweiligen Website erfolgen. Dort werden dann die Bewerbungsunterlagen hochgeladen. Wenn ein solches Bewerberportal jedoch nicht im Einsatz ist, wird in Stellenanzeigen oftmals um ein Einreichen der Bewerbungsunterlagen per E-Mail gebeten.

In meiner Praxis als Berater erreichte mich die Frage, ob die Entgegennahme von Bewerbungen per E-Mail zulässig ist, wenn dabei keine spezielle Ende-zu-Ende-Verschlüsselung der E-Mails angeboten wird.

Was steht im Gesetz?

Eine konkrete gesetzliche Pflicht, nach der eine Ende-zu-Ende Verschlüsselung angeboten werden muss, wenn Bewerbungen per E-Mail entgegengenommen werden, besteht nicht. Weder die Datenschutz-Grundverordnung (DSGVO) noch das Bundesdatenschutzgesetz (BDSG) enthalten eine solche Vorgabe für Unternehmen. Die Gesetze sprechen nur davon, dass angemessene technische und organisatorische Maßnahmen zum Datenschutz zu ergreifen sind. Eine Verschlüsselung wird dabei jeweils ausdrücklich als eine solche Maßnahme genannt. Dabei lassen die Gesetze aber offen, ob eine Ende-zu-Ende-Verschlüsselung zu ergreifen ist, oder ob eine Transportverschlüsselung genügt. Die DSGVO und das BDSG gelten aber insgesamt natürlich auch für Bewerberdaten.

Was empfehlen Datenschutzaufsichtsbehörden?

Der Ratgeber Beschäftigtendatenschutz von der Aufsichtsbehörde Baden-Württemberg (LfDI BaWü) geht ebenfalls nicht konkret auf diese Frage ein. Auf Seite 32 heißt es dort nur, dass Bewerberdaten in einem Bewerberportal „hoffentlich verschlüsselt“ sind.

Die Orientierungshilfe der deutschen Datenschutzaufsichtsbehörden zu „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ enthält ebenfalls keine ganz konkreten Aussagen. Es gibt dort Empfehlungen für den Fall, dass Verantwortliche gezielt personenbezogene Daten per E-Mail entgegennehmen. Bestehen normale Risiken bei der gezielten Entgegennahme personenbezogener Daten per E-Mail, wird in Kapitel 4.1.1 keine Ende-zu-Ende-Verschlüsselung gefordert. Bestehen hohe Risiken bei der gezielten Entgegennahme personenbezogene Daten per E-Mail, wird in Kapitel 4.1.2 eine Ende-zu-Ende-Verschlüsselung gefordert. Die Orientierungshilfe lässt aber offen, ob die Entgegennahme von Bewerbungen per E-Mail ein Fall normaler oder ein Fall hoher Risiken sei.

Meine persönliche Einschätzung

Nach meiner persönlichen Einschätzung liegt bei der gezielten Entgegennahme von Bewerbungen per E-Mail kein hohes Risiko, sondern nur ein normales Risiko vor. Die Bemessung des Risikos nehme ich dabei anhand der hier beschriebenen Methode vor. Geht die Vertraulichkeit von Bewerberdaten verloren, wäre der Schaden für den Bewerber substanziell. Die Wahrscheinlichkeit, dass es aufgrund fehlender Ende-zu-Ende-Verschlüsselung zu einem Verlust der Vertraulichkeit kommt, halte ich aber für überschaubar. Daher ist es aus meiner Sicht im Ergebnis vertretbar, rechtlich keine Pflicht zum Angebot einer Ende-zu-Ende-Verschlüsselung zu sehen.

Andere Meinungen

Gleichwohl gibt es eine Vielzahl von anderen Quellen im Internet, in denen eine Ende-zu-Ende-Verschlüsselung bei der Entgegennahme von Bewerbungen per E-Mail gefordert wird. Wir berichteten auch hier und hier im Blog zuletzt über zwei Fälle mit unterschiedlichem Ausgang, in denen sich Gerichte mit dem Thema Ende-zu-Ende-Verschlüsselung beschäftigt haben. Rechtssicherer wäre eine solche Verschlüsselung auf jeden Fall.

Empfehlung

Unternehmen wird empfohlen, dass die Möglichkeit für Ende-zu-Ende-verschlüsselte E-Mails soweit möglich angeboten werden sollte. Ist die Ende-zu-Ende verschlüsselte E-Mail-Kommunikation nicht möglich, sollte zumindest ein ausdrücklicher Hinweis darauf, dass die Bewerbung per E-Mail in unverschlüsselter Form übertragen wird in Stellenausschreibungen aufgenommen werden. Zudem könnten Bewerber auf die Alternative des postalischen Einreichens ihrer Bewerbung hingewiesen werden.

Vor allem aber empfiehlt sich aus datenschutzrechtlicher Sicht, die Einführung eines Bewerberportals auf der eigenen Website. Ein solches Portal hätte neben einer verbesserten Sicherheit auch weitere Vorteile aus datenschutzrechtlicher Sicht:

Bessere Steuerung von Zugriffsrechten
Bessere Einhaltung von Löschfristen
Leichtere Auffindbarkeit von Daten im Falle eines Auskunftsersuchens

Christian Dugall | 29. April 2025 | Beschäftigtendatenschutz | Bewerberdaten, Bewerberportal, Bewerbungsunterlagen, Datenschutzaufsichtsbehörde, E-Mail, Ende-zu-Ende-Verschlüsselung, Orientierungshilfe, Verschlüsselung