"Eine Bewerbung – und der Lebenslauf reist um die Welt: Datenschutzverstöße auf Firmenwebseiten"

Kürzlich machte ein LinkedIn-Beitrag die Runde, der für Viele überraschend, aber für Datenschutzprofis wenig verwunderlich war: Eine Bewerberin hatte sich – wie zunehmend mehr datenschutzbewusste Menschen – vor ihrer Bewerbung intensiv mit der Webseite des Unternehmens auseinandergesetzt. Dabei entdeckte sie, dass die Seite über Amazon Web Services (AWS) gehostet wurde – mit Datenverkehr über die USA. Das Unternehmen? Ein deutsches!
Und obwohl die Datenübertragung in die USA aktuell durch einen Angemessenheitsbeschluss rechtlich abgesichert ist, fehlte auf der Webseite jeder Hinweis darauf – weder im Cookie-Banner noch in der Datenschutzerklärung.

Der Fall zeigt exemplarisch: Webseiten geraten immer stärker in den Fokus von außen – sei es durch Bewerber*innen, Datenschutzbehörden oder auch Wettbewerber. Wer sich auf veraltete Texte oder unvollständige Informationen verlässt, riskiert nicht nur das Vertrauen potenzieller Kandidat*innen, sondern auch formale Beschwerden und datenschutzrechtliche Konsequenzen.

(Bildquelle: Screenshot Linkedin)

Hinter einer zunächst unscheinbaren Maßnahme verbirgt sich ein klarer Verstoß gegen die datenschutzrechtlichen Pflichten der DSGVO. Denn auch Webseitenbetreiber – und gerade Unternehmen mit einem Bewerbungsformular oder einem Kontaktformular – unterliegen den Transparenzpflichten gemäß Art. 5 Abs. 1 lit. a) DSGVO sowie den Informationspflichten nach Art. 13 DSGVO. Dazu gehört, dass alle relevanten Angaben zur Datenverarbeitung – insbesondere zu Empfängern, Drittlandübermittlungen und eingesetzten Diensten – klar und verständlich in der Datenschutzerklärung der Webseite aufgeführt sein müssen. So stellt die DSGVO sicher, dass betroffene Personen jederzeit nachvollziehen können, was mit ihren Daten geschieht.

Transparenz beginnt im Kleinen – aber endet nicht beim Cookie-Banner

Wer personenbezogene Daten verarbeitet – und das beginnt sogar bereits mit der IP-Adresse, erst recht aber bei Lebenslauf, Anschreiben und Kontaktdaten – muss Betroffene vollumfänglich und klar verständlich informieren. Dazu zählt auch der Hinweis, wohin die Daten übermittelt werden, insbesondere wenn Drittstaaten betroffen sind. Eine Datenübermittlung in die USA stellt laut der DSGVO ein sogenanntes Drittlandtransfer-Szenario dar (Art. 44 ff. DSGVO) – das heißt, hier gelten besonders hohe Anforderungen an Sicherheit und Rechtmäßigkeit.  

Fehlt eine solche Information – sei es im Cookie-Banner, in der Datenschutzerklärung oder in den Bewerbungsinformationen – liegt ein Verstoß gegen die DSGVO vor. Denn auch wenn derzeit ein Angemessenheitsbeschluss für die USA besteht und damit ein dem EU-Recht gleichwertiges Datenschutzniveau angenommen wird, müssen betroffene Personen dennoch darüber informiert werden, dass eine Datenübermittlung in ein Drittland stattfindet und auf welcher Rechtsgrundlage dies geschieht – beispielsweise durch einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) mit einem zertifizierten Dienstleister.

Was heißt das konkret für Unternehmen?

Wer AWS, Google Cloud, Microsoft Azure oder ähnliche Dienste nutzt, muss deshalb nicht nur datenschutzkonforme Verträge abschließen und auf eine gültige DPF-Zertifizierung achten, sondern auch sicherstellen, dass diese Informationen vollständig und verständlich in der Datenschutzerklärung aufgeführt sind. Nur so können betroffene Personen nachvollziehen, wie mit ihren Daten umgegangen wird – insbesondere, wenn sie diese im sensiblen Kontext einer Bewerbung übermitteln.

Gerade bei Bewerbungen, also im Kontext sensibler personenbezogener Daten, ist dies besonders kritisch. Denn hier geht es nicht nur um technische Daten, sondern um detaillierte Informationen zu einer Person – Qualifikationen, Werdegang, manchmal sogar Gesundheitsdaten oder politische Überzeugungen.

Kann man sich deshalb beschweren?

Ja!

Denn Betroffene haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt – etwa weil die gesetzlich vorgeschriebenen Informationen fehlen. In bestimmten Fällen kann sogar ein Anspruch auf Schadensersatz nach Art. 82 DSGVO bestehen.

Solche Verstöße sind keine Bagatellen, sondern zeigen, wie ernst es Unternehmen mit dem Datenschutz nehmen müssen – gerade bei sensiblen Vorgängen wie Bewerbungen. Ob jemand tatsächlich eine Beschwerde einreicht, ist eine persönliche Entscheidung. Doch allein die Möglichkeit macht deutlich, wie relevant transparente und rechtskonforme Webseiten auch im täglichen Geschäftsalltag sind.

dacuro hilft: Webseitenprüfung für datenschutzkonforme Auftritte

Solche Fälle zeigen: Viele Webseiten enthalten gravierende Datenschutzverstöße – nicht, weil es böse Absicht ist, sondern weil technische Konfigurationen unbemerkt gegen die DSGVO verstoßen. Genau hier setzt die dacuro-Webseitenprüfung an. Wir analysieren Ihre Webseite auf datenschutzrechtliche Risiken, prüfen Hosting, Cookies, Drittlandübertragungen und Tracking-Technologien; schauen uns dabei auch u.a. Impressum und einige weitere Stolpersteine an – und liefern Ihnen konkrete Handlungsempfehlungen, um Bußgelder, Abmahnungen oder auch Vertrauensverlust zu vermeiden.

Die DSGVO ist kein Wunschkonzert – aber sie ist auch kein Hexenwerk.

Wer sich gut informiert und professionelle Unterstützung nutzt, kann nicht nur rechtskonform handeln, sondern auch ein vertrauenswürdiges digitales Aushängeschild für Bewerberinnen, Kundinnen und Partner*innen schaffen.

Sie sind sich unsicher, ob Ihre Webseite DSGVO-konform ist?

Lassen Sie uns gemeinsam hinschauen – bevor es andere tun.