VG Berlin: Es besteht keine datenschutzrechtliche Pflicht eines Arbeitsvermittlers, Bewerberdaten in E-Mails nur verschlüsselt zu versenden

veröffentlicht am 23. Juli 2013

VG Berlin, Urteil vom 24.05.2011, Az. 1 K 133.10
§ 4 BDSG, § 4a Abs 1 BDSG, § 9 BDSG, § 38 Abs 5 S 1 BDSG

Das VG Berlin hat entschieden, dass ein Arbeitsvermittler nicht verpflichtet ist, Bewerberdaten, soweit diese per E-Mail an potentielle Arbeitgeber versendet werden, zu verschlüsseln oder derart zu pseudonymisieren, dass von den per E-Mail versandten Daten nicht auf die Identität der betroffenen Person geschlossen werden kann. Zum Volltext der Entscheidung:

Verwaltungsgericht Berlin

Urteil

Der Bescheid des Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 9. April 2010 wird aufgehoben.

Die Kosten des Verfahrens hat der Beklagte zu tragen.

Das Urteil ist wegen der Kosten vorläufig vollstreckbar.

Der Beklagte darf die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht der Kläger vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweiligen Vollstreckungsbetrages leistet.

Tatbestand

Der Kläger betreibt unter dem Namen „A…“ eine gewerbsmäßige Arbeitsvermittlung auf der Basis der §§ 296 ff. SGB III. Zur Vorbereitung der Vermittlung erfasst er von Bewerberinnen und Bewerbern persönliche Daten (u. a. Name, Vorname, Geburtsdatum, Anschrift, Kontaktdaten wie Telefon u. ä., Familienstand, Nationalität, Fremdsprachen- und PC-Kenntnisse, Führerschein, Interessen, sonstige freiwillige Angaben, beruflicher Werdegang), um daraus ein Bewerberprofil zu entwickeln. Diese Bewerberprofile übersendet er mittels unverschlüsselter E-Mail an Arbeitgeber, von denen er weiß, dass diese Bewerber mit solchem Profil suchen bzw. bereits eine Stellenanzeige aufgegeben haben, zu der ein Bewerber mit dem vom Kläger erstellten Profil passt.

In dem vom Kläger verwandten Vermittlungsvertrag ist eine entsprechende Datenschutzklausel enthalten, die nach Einwendungen des Berliner Datenschutzbeauftragten inzwischen vom weiteren Vertragstext optisch abgesetzt ist und von den Arbeitsuchenden gesondert unterschrieben werden muss. Diese Klausel enthält auch das Einverständnis mit einer Weitergabe der persönlichen Daten an Dritte. Nach der in der mündlichen Verhandlung vorgelegten Textfassung der Datenschutzerklärung wird nunmehr auch explizit von den Arbeitsuchenden ihr Einverständnis mit der Versendung persönlicher Daten durch unverschlüsselte E-Mail erbeten.

Nach wechselseitigem Schriftverkehr forderte der Datenschutzbeauftragte den Kläger, gestützt auf § 9 BDSG, auf, künftig personenbezogene Daten von Arbeitsuchenden an potentielle Arbeitgeber in elektronischer Form nur noch verschlüsselt zu übersenden. Da der Kläger jedoch die Auffassung vertrat, mit der von den Arbeitsuchenden zu unterzeichnenden datenschutzrechtlichen Einwilligungserklärung sei auch das Einverständnis umfasst, die Daten per E-Mail unverschlüsselt an mögliche Arbeitgeber weiterzugeben, außerdem sei dies auch datenschutzrechtlich zulässig, erließ der Datenschutzbeauftragte mit Bescheid vom 9. April 2010, zugestellt am 14. April 2010, eine datenschutzrechtliche Anordnung gegen den Kläger gemäß § 38 Abs. 5 BDSG. Darin wurde dem Kläger aufgegeben,

„im Rahmen seiner Tätigkeit als Arbeitsvermittler und Inhaber der Firma A… unverzüglich Bewerberdaten, soweit diese per E-Mail an potentielle Arbeitgeber versendet werden, zu verschlüsseln oder derart zu pseudonymisieren, dass von den per E-Mail versandten Daten nicht auf die Identität der betroffenen Person geschlossen werden kann.

Die Verschlüsselung ist entsprechend dem Stand der Technik durch ein asymmetrisches oder hybrides Verschlüsselungsverfahren wie zum Beispiel PGP oder GnuPG zu gewährleisten. Die Schlüssellänge muss dabei mindestens 1024bit betragen. Ebenso kann ein anderes Verschlüsselungsverfahren gewählt werden, welches einen vergleichbaren Schutz gewährleistet.

Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale wie in diesem Fall das Geburtsdatum und das Foto des Bewerbers durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder zu erschweren.“

Die Anordnung stützte der Datenschutzbeauftragte auf § 9 BDSG und Nr. 4 der Anlage zu Satz 1 dieser Vorschrift. Eine Einwilligungserklärung in die unverschlüsselte Übermittlung sei nicht vorgesehen, solche Erklärungen habe der Kläger bislang auch nicht vorgelegt. Selbst wenn er dies für jeden Mandanten täte, sei die Einwilligung unwirksam, weil § 9 BDSG eine ordnungsrechtliche, nicht disponible Vorschrift zur Datensicherheit sei, die eine gesetzliche Pflicht des Verarbeiters von Daten darstelle. Aber auch bei einer Abdingbarkeit der Norm lägen die Voraussetzungen des § 4 a Abs. 1 BDSG nicht vor. Eine freie Entscheidung der Betroffenen sei in ihrer Situation der Arbeitslosigkeit nicht möglich. Der Kläger könne die Kurzprofile auch weiterhin per E-Mail versenden, wenn er die Angabe von Name, Vorname, Geburtsdatum und Foto des Arbeitsuchenden durch Pseudonym ersetze, da sich ein Arbeitgeber auch ohne diese Angaben ein Bild über die Qualifikationen eines Bewerbers machen könne.

Mit seiner am 14. Mai 2010 erhobenen Klage wendet sich der Kläger weiterhin gegen die Anordnung zur Verschlüsselung oder Pseudonymisierung der von ihm versandten Kurzprofile. Er trägt vor, die Verschlüsselungsforderung sei zum einen schon nicht ernstlich realisierbar und absolut unüblich. Er müsse, wenn er dem nachkommen wolle, bei allen Arbeitgebern, an die er sich wenden wolle, erst einmal nachfragen, ob diese über die entsprechende Software zur Entschlüsselung verfügten. Falls diese solche Software nicht hätten, müsste der Kläger sie zum Erwerb einer PGP- oder sonst kompatiblen Software bewegen, also zu einer kostenintensiven Nachrüstung der IT-Infrastruktur, was, da der Kläger vorwiegend Stellen im Niedriglohnbereich vermittle, bei den meist kleinen Arbeitgebern schwer möglich sei. Selbst wenn die Software vorhanden wäre, verkompliziere die Ver- und Entschlüsselung die Kommunikation zu Lasten des Arbeitsuchenden erheblich, denn bei dem sogenannten Public-Key-Verfahren müssten die Beteiligten erst einmal ihre „öffentlichen Schlüssel“ austauschen, bevor eine verschlüsselte Kommunikation möglich werde. Die Entschlüsselung funktioniere auch nicht immer reibungslos. Selbst die Bundesagentur für Arbeit präsentiere auf ihrer Website ganze Lebensläufe von Arbeitsuchenden einschließlich Foto offen und unverschlüsselt. Ein generelles Verschlüsselungserfordernis für E-Mails gebe es nicht.

Zum anderen liege schon kein Verstoß gegen das Bundesdatenschutzgesetz vor, denn die Datenübermittlung in der praktizierten Form lasse sich sowohl auf die Erlaubnistatbestände des § 298 SGB III und subsidiär auf § 28 Abs. 1 Nr. 1 BDSG stützen, ferner auch auf die Einwilligung der Betroffenen nach § 4 a BDSG, weil nur so der Zweck der Arbeitsvermittlung erreichbar sei. Die Betroffenen dürften nicht so entmündigt werden, dass sie die Verarbeitung ihrer Daten nur nach objektiven Kriterien erlauben dürften; vielmehr seien sie berechtigt, auch anderen Datenverarbeitungen zuzustimmen. Dies hätten sie vorliegend getan. Die Auffassung des Beklagten, § 9 BDSG hindere grundsätzlich die Einwilligung des Betroffenen, sei rechtsirrig. Auch stehe die Anwendung des § 9 BDSG unter dem Vorbehalt der Verhältnismäßigkeit, die Forderungen des Beklagten seien aber unverhältnismäßig. Letztlich verletze die Anordnung den Kläger in seinen Rechten aus Art. 12 Abs. 1 sowie Art. 2 Abs. 1 GG, da die geforderte Einhaltung der Anordnung de facto einem Tätigkeitsverbot gleichkomme.

Der Kläger beantragt, den Bescheid des Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 9. April 2010 aufzuheben.

Der Beklagte beantragt, die Klage abzuweisen.

Er hält die Voraussetzungen des § 38 Abs. 5 Satz 1 BDSG für gegeben. Die Anordnung sei auch geeignet, erforderlich und angemessen, um die vorliegenden Mängel zu beseitigen. Bei den vom Kläger in den Bewerberprofilen übersandten Daten handele es sich um nicht offenkundige Daten, deren missbräuchliche Verwendung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könne, so dass die Daten mindestens normalen Schutzbedarf im Sinne der Kategorien für die Schutzbedarfsermittlung nach dem BSI-Standard 100-2 hätten. Dieser Standard stelle einen aus einzelnen Bausteinen bestehenden IT-Grundschutz-Katalog dar; relevant sei hier Baustein B 5.3, der Sicherheitsstandards bei Nutzung des E-Mail-Dienstes im Internet bestimme. Eine dort aufgelistete Gefährdung bestehe im Mitlesen von E-Mails, der mit der Maßnahme M 5.108 „Kryptographische Absicherung von E-Mails“ begegnet werden könne. Die Voraussetzung des vom Kläger angeführten § 298 SGB III lägen nicht vor, weil eine Einwilligung der Betroffenen nach § 4 a BDSG nicht wirksam erteilt werden könne. Überdies sei eine Einwilligung nach § 4 a Abs. 1 Satz 1 BDSG nur wirksam, wenn sie auf einer freien Entscheidung des Betroffenen beruhe, er also sowohl eine Auswahlmöglichkeit haben müsse als auch die Folgen seiner Auswahl realistisch einschätzen könne. Angesichts zahlreicher möglicher Gefährdungen bei unverschlüsselter Datenübermittlung per E-Mail dürfte letzteres zu verneinen sein. Auch § 28 Abs. 1 Nr. 1 BDSG erlaube die vom Kläger praktizierte Form der Datenübermittlung nicht, da der Kläger seine vertragliche Verpflichtung auch erfüllen könne, ohne zunächst personenbezogene Daten der zu Vermittelnden preiszugeben. Die Anordnung sei jedenfalls verhältnismäßig, da der Kläger, wenn er die Verschlüsselung für nicht praktikabel halte, die Daten pseudonymisiert versenden könne. Bei vielen Arbeitsvermittlungsunternehmen würden Bewerberprofile zunächst pseudonymisiert versendet. Auch die Nutzung des Jobbörsenangebots der Bundesagentur für Arbeit lasse anonyme Veröffentlichungen zu.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die Gerichtsakte und den Verwaltungsvorgang des Beklagten, der vorgelegen hat und Gegenstand der mündlichen Verhandlung gewesen ist, verwiesen.

Entscheidungsgründe

Die zulässige Klage ist begründet, denn die datenschutzrechtliche Anordnung des Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 9. April 2010 ist rechtswidrig und verletzt den Kläger in seinen Rechten (§ 113 Abs. 1 Satz 1 VwGO). Die Voraussetzungen für den Erlass der datenschutzrechtlichen Anordnung liegen nicht vor. Dabei ist für die Überprüfung der Rechtmäßigkeit auf die maßgebliche Sach- und Rechtslage zum Zeitpunkt der letzten mündlichen Verhandlung abzustellen, denn die Anordnung vom 9. April 2010 stellt einen Dauerverwaltungsakt dar. In der Rechtsprechung des Bundesverwaltungsgerichts ist geklärt, dass sich die für die Überprüfung der Rechtmäßigkeit maßgebliche Sach- und Rechtslage nach dem jeweils heranzuziehenden materiellen Fachrecht beurteilt (vgl. u. a. BVerwG, Urteil vom 31. März 2004 – 8 C 5.03 -, BVerwGE 120, 246; Beschluss vom 20. Januar 1999 – 8 B 232.98 -, juris), wobei dies bei der Anfechtungsklage im Allgemeinen und vorbehaltlich abweichender Regelungen des materiellen Rechts die Sach- und Rechtslage im Zeitpunkt der letzten Behördenentscheidung ist (vgl. BVerwG, Beschluss vom 4. Juli 2006 – 5 B 90.05 -, juris Rn. 6 m. w. N.). Bei Verwaltungsakten mit Dauerwirkung sind – je nach dem zeitlichen Umfang des Aufhebungsbegehrens – auch spätere Veränderungen der Sachlage bis zum Schluss der mündlichen Verhandlung des Tatsachengerichts zu berücksichtigen. Die datenschutzrechtliche Anordnung ist ein Dauerverwaltungsakt, denn sie enthält die für einen solchen Dauerverwaltungsakt typische, sich ständig neu aktualisierende Verpflichtung für den Kläger, den Forderungen nach Verschlüsselung bzw. Pseudonymisierung nachzukommen, und erschöpft sich nicht in einer einmal geforderten Handlung (vgl. BVerwG, Urteil vom 25. April 2001 – 6 C 6.00 Rn. 18 f.)

Rechtsgrundlage für die Anordnung ist § 38 Abs. 5 des Bundesdatenschutzgesetzes (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Gesetz vom 14. August 2009 (BGBl. I S. 2814). Danach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des BDSG und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgelds nicht in angemessener Zeit beseitigt werden.

Mit seiner Praxis, nicht pseudonymisierte (vgl. zum Begriff die Legaldefinition in § 3 Abs. 6a BDSG) Bewerberdaten in Kurzprofilen an potentielle Arbeitgeber per unverschlüsselter E-Mail zu versenden, verstößt der Kläger nicht gegen Vorschriften des BDSG. Zwar sind die in den Bewerberprofilen enthaltenen personenbezogenen Daten (Name, Geburtsdatum, angestrebter Tätigkeitsbereich, Angaben zu Berufspraxis u. ä.), auch wenn sie Anschrift und Telefonnummern der Bewerber nicht enthalten, schützenswerte Daten, auf deren Erhebung, Verarbeitung oder Nutzung die Vorschriften des BDSG Anwendung finden, mithin auch § 9 BDSG.

Der Kläger hat jedoch – entgegen der Annahme des Beklagten – nicht gegen die Norm des § 9 Satz 1 BDSG und Nr. 4 der dazu erlassenen Anlage verstoßen. Danach haben öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind diese Maßnahmen nach § 9 Satz 2 BDSG aber nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Nach Satz 2 Nr. 4 der Anlage zu § 9 Satz 1 BDSG sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (sog. Weitergabekontrolle). Satz 3 der Anlage bestimmt, dass eine Maßnahme nach Satz 2 Nr. 2 bis 4 insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren ist.

Zwar ist bei der vom Kläger praktizierten Datenweitergabe – wie er selbst nicht bestreitet – ein unbefugtes Mitlesen oder eine Veränderung nicht ausgeschlossen, so dass die Verschlüsselung von E-Mails oder die Pseudonymisierung darin enthaltener persönlicher Daten grundsätzlich geeignet ist, um solches zu verhindern. Jedoch ist die Forderung nach Verschlüsselung zu versendender E-Mails nicht verhältnismäßig im Sinne von § 9 Satz 2 BDSG. Mit dem bereits verfassungsrechtlich verankerten Grundsatz der Verhältnismäßigkeit soll vorliegend verhindert werden, dass „mit Kanonen auf Spatzen geschossen wird“ (vgl. Wedde, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl. 2010, § 9 Rn. 20). Datenschutzmaßnahmen können niemals Selbstzweck sein, sondern haben sich an dem jeweiligen Schutzbedürfnis auszurichten. Ob und in welchem Umfang einzelne technische und organisatorische Maßnahmen tatsächlich im konkreten Verarbeitungsfall getroffen werden müssen, hängt auch davon ab, ob ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Je stärker das Schutzbedürfnis, umso höher ist gegebenenfalls der Aufwand, den das Gesetz der verantwortlichen Stelle zumutet (vgl. Ernestus, in: Simitis, BDSG, 6. Aufl. 2006, § 9 Rn. 23, 38). Unter Berücksichtigung der vom Kläger überzeugend dargelegten erforderlichen technischen Ausrüstungen bei den Arbeitgebern, an die der Kläger sich mit verschlüsselten E-Mails wenden soll, von denen jedoch finanzielle Aufwendungen zur Anschaffung von Entschlüsselungssoftware nicht erwartet werden können, steht der mit der Verschlüsselungsforderung im Zusammenhang stehende Aufwand bei Berücksichtigung der durch die Arbeitsuchenden gegebenen Einverständniserklärung zu einer unverschlüsselten Übermittlung in keinem angemessenen Verhältnis.

Dies folgt zum einen bereits daraus, dass mit der Verfahrensweise des Klägers, die persönlichen Daten der Arbeitsuchenden nicht wahllos an alle potentiellen Arbeitgeber zu versenden, sondern zielgerichtet aufgrund vorhandener Kenntnisse oder Kontakte des Klägers nur einzelne Arbeitgeber zu kontaktieren, die Gefahr eines unbefugten Mitlesens oder der Veränderung der Daten als gering einzuschätzen ist.

Zum anderen wird durch die Möglichkeit der Zustimmung der Arbeitsuchenden bzw. auch deren Nichtzustimmung in die Versendung ihrer Bewerberprofile durch unverschlüsselte E-Mails der Schutzzweck, personenbezogene Daten vor unbefugtem Zugriff zu sichern, bereits durch eine entsprechende Einverständniserklärung gemäß § 4 a BDSG genügend gesichert. Aus diesem Grund scheidet auch die Alternativforderung hinsichtlich der Pseudonymisierung der Daten aus.

Gemäß § 4 Abs. 1 BDSG sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Die Einwilligung stellt neben einer Rechtsnorm eine eigenständige Legitimation für die Datenverarbeitung dar, ist aber nur ein begrenzt gleichwertiges Mittel für die Datenerhebung (vgl. Weichert, Däubler, in: Däubler/Klebe/Wedde/Weichert, a. a. O., § 4 Rn. 4; § 4 a Rn. 1). Die spezialgesetzliche Vorschrift des § 298 SGB III zur Datenerhebung, -verarbeitung und -nutzung im Bereich der Arbeitsvermittlung normiert das Einwilligungserfordernis durch den Verweis auf § 4 a BDSG ausdrücklich.

Mit der in § 298 SGB III enthaltenen Bezugnahme auf § 4 a BDSG wird jedoch deutlich, dass in dem hier zu beurteilenden Fall der Arbeitsvermittlung mit der Einwilligungserklärung auch eine Einschränkung der sich aus § 9 BDSG grundsätzlich ergebenden Forderungen einhergehen kann. Dies ergibt sich auch daraus, dass bei der Bewertung der Verhältnismäßigkeit nach § 9 Satz 2 BDSG wegen des hohen persönlichen Schutzinteresses der einzelnen Betroffenen dem Recht auf informationelle Selbstbestimmung das größere Gewicht einzuräumen ist, auch wenn dies im Einzelfall den Aufwand der verarbeitenden Stelle erhöht, der Gesetzgeber mit §§ 4, 4 a BDSG aber gerade Regelungen zum Schutz des informationellen Selbstbestimmungsrechts geschaffen hat (vgl. Däubler/Wedde, in: Däubler/Klebe/Wedde/Weichert, a. a. O., § 9 Rn. 27, § 4 a Rn. 2 a). Ermöglicht daher § 4 a BDSG eine eigene – freiwillige – Entscheidung des jeweils Betroffenen, wie weit er den Schutz seines informationellen Selbstbestimmungsrechts ziehen will, kann ihm nicht über die zwangsweise Anwendung von § 9 BDSG ein erheblich größerer Schutz aufgezwungen werden als er selbst begehrt. Zwar mag es auch Fälle geben, in denen Betroffene vor ihren eigenen Entscheidungen zum Umgang mit ihren persönlichen Daten geschützt werden müssen. Dem wird aber das in § 4 a BDSG normierte Tatbestandsmerkmal der Freiwilligkeit und damit auch der Einsichtsfähigkeit gerecht.

Denn nach § 4 a Abs. 1 BDSG ist eine solche Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht, wobei dieser zuvor auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie – soweit erforderlich – auf die Folgen der Einwilligung hinzuweisen ist. Die Einwilligung bedarf der Schriftform und ist, wenn sie mit anderen Erklärungen zusammen erteilt werden soll, besonders hervorzuheben (§ 4 a Abs. 1 Sätze 3 und 4 BDSG). Von einer auf freier Entscheidung beruhenden Einwilligung kann dabei nur ausgegangen werden, wenn eine solche Erklärung in einer Situation abgegeben wird, in der die Betroffenen nicht faktisch dazu gezwungen sind, sich mit dem Zugriff auf ihre jeweils verlangten Daten einverstanden zu erklären (vgl. Simitis, BDSG, 6. Aufl. 2006, § 4 a Rn. 62).

Der Gesetzgeber hat mit diesen Regelungen Vorschriften zum Schutz des informationellen Selbstbestimmungsrechts getroffen; der Einzelne kann bestimmen, wem er seine Daten zugänglich machen will. Soweit er jedoch – wie z. B. im Arbeitsrecht – auf den Abschluss eines Vertrags angewiesen ist, ist seine Entscheidungsfreiheit fiktiv, der sonst geübte „informationelle Selbstschutz“ versagt. Ist der Verzicht auf den Vertrag keine zumutbare Alternative, muss der Gesetzgeber bzw. die an seiner Stelle handelnde Rechtsprechung eingreifen und darf eine Preisgabe von Daten nur dann zulassen, wenn sie unter Beachtung der Interessen beider Seiten erforderlich ist (vgl. Däubler, in: Däubler/Klebe/Wedde/Weichert, a. a. O., § 4 a Rn. 2a; BVerfG, Beschluss vom 23. Oktober 2006 – 1 BvR 2027/02 -, DVBl. 2007, 111 ff.).

Der vorliegende Fall liegt jedoch anders. Zwar ist dem Beklagten zuzugestehen, dass auch Arbeitsuchende auf eine möglichst schnelle Stellenvermittlung mit daran anschließendem Arbeitsvertrag hoffen und angewiesen sind. Jedoch stehen den Arbeitsuchenden neben dem Kläger eine Vielzahl weiterer privater Arbeitsvermittler sowie die staatlichen Arbeitsagenturen zur Verfügung, an die sie sich zwecks Vermittlung wenden können. Anders als bei Abschluss eines Arbeitsvertrages mit einem bestimmten Arbeitgeber haben die hier betroffenen Arbeitsuchenden die freie Auswahl, welchen Arbeitsvermittlers sie sich bedienen wollen.

Die inzwischen nachgebesserte und im Vermittlungsvertrag gesondert hervorgehobene Einwilligung stellt hinreichend deutlich auf die beabsichtigte unverschlüsselte und nicht pseudonymisierte Versendung personenbezogener Daten an potentielle Arbeitgeber ab und ermöglicht deshalb den Arbeitsuchenden, eine freie Entscheidung zu treffen, ob sie unter dieser Voraussetzung mit dem Kläger einen Vermittlungsvertrag abschließen wollen oder nicht. Dass auch der Nichtabschluss eines solchen Vermittlungsvertrags erfolgen kann, macht letztlich der das Verfahren verursachende Vorfall deutlich, bei dem eine Arbeitsuchende schon allein deshalb, weil sie vermutete, der Kläger ginge mit persönlichen Daten nicht sachgerecht um, auf seine Vermittlungsdienste verzichtete und statt dessen den Beklagten informierte.

Eine Einwilligung nach § 4 a BDSG kann entgegen der Auffassung des Beklagten auch wirksam durch die Arbeitsuchenden erteilt werden. Denn es ist mit dem Recht auf informationelle Selbstbestimmung unvereinbar, den Betroffenen in der Weise zu entmündigen, dass er nicht mehr berechtigt wäre, eine Verarbeitung seiner Daten zu billigen und für deren Zulässigkeit nur noch objektive Kriterien und nicht sein subjektives Empfinden maßgebend sein zu lassen. Der Betroffene muss daher auch berechtigt sein, eine Datenverarbeitung zu billigen, an der er selbst kein Interesse hat oder die dem äußeren Anschein nach gegen sein Interesse gerichtet sein mag (vgl. Gola/Schomerus, BDSG, 10. Aufl. 2010, § 4 a Rn. 9). Erst recht gilt dies, wenn die Verarbeitung der Daten im Interesse des Betroffenen, der die freie Wahl hat, ob er einer solchen Datenverarbeitung zustimmt oder nicht, liegt. Das ist hier, wie bereits ausgeführt, der Fall.

Ob die vom Kläger praktizierte Verfahrensweise auch unter Berücksichtigung der Erlaubnistatbestände in § 298 SGB III und § 28 Abs. 1 Nr. 1 BDSG zu rechtfertigen ist, kann nach dem bisher Gesagten dahinstehen.

Die Kostenentscheidung beruht auf § 154 Abs. 1 VwGO, die Entscheidung über die vorläufige Vollstreckbarkeit auf § 167 VwGO i. V. m. §§ 708 Nr. 11, 711 ZPO.

I