Nicht nur in der täglichen Mandatsarbeit haben wir ständig mit Apps und deren rechtlichen Gegebenheiten zu tun, auch hier auf dem Blog haben wir das zunehmend wichtig werdenden Thema vermehrt auf die Agenda gehoben. Erst im September hatten wir anhand von Tinder & Co einmal grundlegend den datenschutzrechtlichen Rahmen von Apps vorgestellt. Und im Juli beschäftigten wir uns mit der „Hot or not“-App für Kollegen namens Knozen befasst.
Letztere ist in der rechtlichen Bewertung nicht so gut weggekommen, insbesondere nicht, wenn man aus der Brille des Personalers auf Knozen guckt (die mehr oder minder ausführliche rechtliche Einschätzung findet sich im Recrutainment Blog, im unteren Abschnitt des Artikels Knozen: Mitarbeiter bewerten Kollegen per iPhone-App -´Crowdsourced Personality Profile´ oder schlicht ´der Kollege, der mich anschwärzt´?).
Nun gibt es etwas Neues: Truffls. Truffls ist Tinder für Jobs. Als der Name dieser App in meiner Timeline auftauchte, dachte ich zunächst „Ja, ja, schon wieder so ein Murks aus den USA, bei dem wahrscheinlich erstmal die Seele verkauft werden muss….“. Irgendwo hieß es dann aber, dass die App aus Deutschland kommt. Aus Deutschland? So was Innovatives? Na, das musste ich mir trotz aller derzeit vorhandener Arbeitsbelastung dann doch angucken.
Truffls funktioniert wie Tinder. Nur für Jobs.
Wie gesagt, Truffls funktioniert wie Tinder. Nur für Jobs. Wer von Tinder noch nichts gehört hat, und im Einzelnen wissen will, wie denn Tinder bzw. Truffls funktioniert, dem sei der Artikel von Alexander Fedossov auf der Wollmilchsau oder der von Frank Schmiechen auf der Gründerszene empfohlen. In aller Kürze funktioniert Truffls so:
- App herunterladen.
- Das eigene Profil von XING, LinkedIn, Github oder Stack Overflow mit der App verknüpfen.
- Das Profil in der App um ein paar Angaben ergänzen (etwa welche Art von Stelle man sucht oder ob man bereit ist, umzuziehen).
- Branche(n) angeben, in der man sucht.
- Zack – durch die Jobangebote flickern. Ein Wisch (Swipe) nach links bedeutet „Kein Interesse“. Ein Wisch nach rechts „Klingt spannend“.
- Das Unternehmen, dessen Stelle man spannend findet, erhält eine Email mit dem eigenen (anonymen!) Kurzprofil.
- Stößt dieses auf Interesse beim Unternehmen, gibt es einen „Match“ und Kandidat und Unternehmen können sich näher kennenlernen – zunächst einmal dadurch, dass das Unternehmen das vollständige Profil einsehen kann.
Wie ist der erste Eindruck?
Das Einrichten geht innerhalb weniger Minuten. Und der erste Blick sagt „Cool, das ist ja einfach, das bringt Spaß!“. Ich habe es selbst ausprobiert. (Liebe Waldemar Link GmbH und liebe Reserved GmbH, sorry, ich suche keinen neuen Job und ich weiß, dass ich ohnehin nicht wirklich passe, aber irgendwo musste ich ja mal zu Testzwecken „Klingt spannend“ swipen…). Nun kann man, wie eine Kommentatorin auf der Wollmilchsau wohl zu recht anmerken
„Ausprobiert und noch nicht ganz zufrieden. Für die Einfachheit wurden wohl manche Angaben geopfert. So fehlt mir eindeutig der Umkreis vom Wohnort (Essen liegt bei Köln nicht um die Ecke). Auch die Bereiche in den Jobkategorien sind zu grob gefasst und so muss man sich ewig durch unpassende Angebote wischen bis mal ein passendes kommt. Als Beispiel habe ich hier nach einem Job in Köln im Personalbereich gesucht. Die unterschiedlichsten Ergebnisse könnt ihr euch sicher vorstellen.“
Ja, auch ich habe jetzt nicht bahnbrechend viele auch nur ansatzweise passende Jobs angeboten bekommen, obwohl (oder weil?!) mein XING-Profil mit Schlagworten gut gefüllt ist. Aber das schiebe ich nun einmal auf den Faktor, dass Stellen für Juristen nach wie vor immer noch (!) eher rar offensiv online gestellt werden und so vermutlich auch den Weg in diese App nicht so einfach finden.
Ich glaube, der Charme der App liegt gerade in der Einfachheit. Nebenbei im Bus schnell durch mögliche Job-Angebote flickern und eventuell ein Match abzuräumen, das hat schon was (und spielt all denjenigen, die sowieso schon lange für die One-Click-Bewerbung votieren, in die Hände.) Dass das Sichten der Kurzprofile Arbeit für die Personaler ist – nun ja, das Leben will im (hausgemachten) Fachkräftemangel eben auch nicht leichter werden. Einen ersten Eindruck erhält der Personaler jedenfalls. Und das kann ja der Beginn einer wunderschönen…
Ich schweife ab. Es soll hier ja um die
Rechtliche Bewertung der App
gehen. Dabei liegt hier jetzt vor allem der Augenmerk auf dem Datenschutz. Und da ist der erste Eindruck – um es gleich vorweg zu nehmen – im Großen und Ganzen gut.
Truffls wird von der Truffls GmbH aus Berlin betrieben. So weit so gut. Aber das heißt bekanntermaßen nichts. Den meisten Gründern geht – wenn überhaupt – erst kurz vor knapp auf, dass man sich auch durchaus um die rechtlichen Belange seiner Geschäftsidee kümmern sollte. Und dann gibt es viele Gründe, diese Belange beiseite zu wischen, wie etwa „Huch, das ist ja teuer! Nee, das Geld steckt schon in der Programmierung!“ oder „Nee, das ist ja kompliziert. Macht ja sonst auch keiner!“. Diese Ansätze können nach hinten losgehen. Aber das ist wohl Gegenstand eines anderen Artikels…
Vorliegend haben das die Gründer augenscheinlich anders gehalten. Ob das daran liegt, dass sie nach Angaben der Gründerszene zum Teil öffentlich gefördert wurden oder schlicht daran, dass den Gründern bewusst war, dass der Umgang mit Bewerberdaten gerade in Deutschland ein sensibles Thema ist und deswegen ein ordentlicher Datenschutz bei der Akzeptanz des Tools auf Unternehmens- wie Kandidatenseite eine nicht unbedeutende Rolle spielen kann, wird vermutlich das Geheimnis der Gründer bleiben. Jedenfalls verfügt Truffls grundsätzlich schon mal über eine recht vernünftige Datenschutzerklärung, die inhaltlich etliche Anforderungen des § 13 TMG abdeckt.
Anforderungen des § 13 TMG (fast) erfüllt
Nach § 13 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten. Ferner hat der Dienstanbieter den Nutzer über die verantwortliche, also datenverarbeitende Stelle sowie über Auskunfts- und Löschungsansprüche zu informieren.
Der Nutzer kann sich grundsätzlich bei Truffls gut darüber informieren, wie seine Daten erhoben und genutzt sowie wie diese weitergegeben werden. Es wird erläutert wie Auskunfts- und Löschungsansprüche durchgesetzt werden können und für Google Analytics und den Dienst Mixpaner stehen Opt-Out-Lösungen bereit.
Wenn der Jurist jedoch grundsätzlich sagt, folgt meist die Relativierung auf dem Fuße: Es gibt nämlich ein paar Schönheitsfehler. Einige sind nicht gravierend. So etwa, dass unter Ziffer 3. offensichtlich ein Copy & Paste Fehler in der Überschrift zugeschlagen hat (Die Überschriften unter 2. und 3. lauten „Verantwortliche Stelle“). Andere Schönheitsfehler sind einfach unverständlich. So ist fraglich, inwieweit das Angebot, ein Pseudonym nutzen zu können (vgl. Ziffer 4 Abs. 3), sinnvoll ist, wenn doch eigentlich die Verknüpfung mit dem XING- und LinkedIn-Profil der höhere Sinn der App für die Bewerber ist. Unverständlich ist auch der Fakt, dass gerade in der Datenschutzerklärung dem User nicht erläutert wird, dass dem Unternehmen bei einem positiven Swipe ausschließlich ein anonymes Kurzprofil übersendet wird (das ergibt aus der App selbst) und erst, wenn dem Unternehmen eben dieses gefällt, die weiteren – personenbezogenen – Daten offen gelegt werden. Das ist doch gerade einer der datenschutztechnischen Vorteile der Apps? Und wenn beides erklärt würde, hätte auch der pseudonyme Nutzername vielleicht einen Sinn. Nämlich, dass das Nutzerprofil unter dem Pseudonym übermittelt würde?
Anders ausgedrückt: An diesen Stellen wird dann eben doch nicht vollständig im Sinne von § 13 TMG über über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten aufgeklärt, obwohl dies ja gerade hier sinnvoll wäre.
Weiteres Manko: Die Datenschutzerklärung klärt nicht darüber auf, welche Berechtigung die App selbst erhält, also, dass Sie etwa den Standort erfasst oder USB-Speicherinhalte ändern oder löschen kann (wozu?). Derartige Lese- und Zugriffsberechtigungen sind natürlich in der Datenschutzerklärung anzugeben. Sie finden sich aber nur im App-Store unter „Berechtigungen“.
Mangelnde Einwilligungen
Problematischer ist aber etwas anderes. In der Datenschutzerklärung sind etliche Einwilligungen enthalten. So etwa unter Ziffer 6:
Sie willigen darin ein, dass wir bei einem positiven Matching Ihr Kurzprofil an das jeweilige Unternehmen weitergeben.
Das ist ja auch richtig und wichtig. Denn die für die meisten Datenverwendungen braucht es nach §§ 12 TMG, 4a BDSG der ausdrücklichen Einwilligung des Nutzers. So weit so gut. Diese Einwilligungen müssen aber nach § 13 Abs. 2 TMG bewusst und eindeutig erteilt, vom Diensteanbieter protokolliert werden und vom Nutzer jederzeit einzusehen sein. Exakt dies passiert aber nicht. Der Nutzer muss nirgendwo ein Häckchen vor der Nutzung setzen. Er muss also an keiner Stelle ausdrücklich einwilligen und protokolliert wird das schon gar nicht. Tja. Mhm. Das ist mehr als ein Schönheitsfehler. Zwar liegt im Verstoß gegen § 13 Abs. 2 keine Ordnungswidrigkeit nach § 16 TMG vor, aber das Unternehmen kann im Zweifel nicht beweisen, dass es den Nutzer nach § 13 Abs. 1 TMG vor Nutzung des Dienstes aufgeklärt hat. Und damit steht dann doch eine mangelnde Aufklärung und damit eine Ordnungswidrigkeit nach § 16 iVm § 13 Abs. 1 TMG im Raum.
Nun, nun. Ganz ehrlich, vielleicht hat der beratende Anwalt auch gesagt, dass das nicht so dramatisch sei und darauf verwiesen, dass Bescheide von Seiten der Behörden so gut wie nie erteilt werden, da diese einfach chronisch überlastet sind und sich nicht um jedes Start-Ups der Berliner Szene kümmern können. So weit so richtig. Ferner kann er auch richtigerweise darauf hingewiesen haben, dass Verstöße gegen § 13 TMG von Mitbewerbern aus Wettbewerbsrecht abgemahnt werden können (vgl. OLG Hamburg, Az. 3 U 26/12), aber dass dieses Risiko von den Gründern schlicht eingepreist wurde.
Problematisch ist und bleibt aber, dass mit der mangelnden Protokollierung der Einwilligung und der mangelnden Möglichkeit des Beweises damit faktisch keine Einwilligung der Nutzer existiert. Die Sätze „Hiermit willigen Sie ein…“ in der Datenschutzerklärung sind damit an sich redundant. Da nützt auch der Einwand nichts, dass derjenige, der die App nützt, doch aber ganz sicher seine Daten weitergeben will, da er sie sonst doch nicht benutzen würde, denn: Das Gesetz fordert eine ausdrücklich Einwilligung. Und ausdrücklich bedeutet eben nicht konkludent (also durch das eigenen Verhalten ausgedrückt.). Da kann man sich jetzt drüber aufregen, aber es ist wie es ist.
Vielleicht entschieden die Gründer aber auch gegen die Einholung von ausdrücklichen Einwilligungen, weil „es keiner so macht“ und/oder weil sie fürchteten der Klick auf die Datenschutzbestimmungen würde Nutzer abschrecken? Das kann ich mir wiederum nicht so recht vorstellen, weil in der Datenschutzerklärung gerade betont wird, wie wichtig den Gründern der 100%ige Datenschutz ist. Man könnte sich sagen, hier beißt sich das Ganze etwas und es ist nicht klar, warum dann die datenschutzrechtlichen Vorgaben eben nicht in Gänze umgesetzt wurden und nicht in Gänze über alle Datenverwendungen und -zugriffe aufgeklärt wird.
Wie müsste es denn eigentlich nun aussehen?
Rein rechtlich besehen müsste die ausdrückliche Zustimmung zur Datenschutzerklärung schon vor dem Download der App erfolgen, schließlich greift die App – wie oben dargestellt – ja schon mit der Installation auf wichtige Daten des Verwenders zurück. Spätestens aber in der App nach der Installation müsste der Datenschutzerklärung einmal ausdrücklich seitens des Users zugestimmt werden, um wenigstens über die oben beschriebene Datenverwendung in der App vor der Nutzung aufzuklären und die dazu notwendigen Einwilligungen einzuholen. (In der App gibt zwar den Hinweis und die konkrete Einwilligung zur Informationsverwendung wenn es um die Verknüpfung mit dem XING- bzw. LinkedIn-Profil geht, nicht aber die sonstigen Datenverwendungen).
Vermischung von Datenschutzerklärung und Nutzungsbedingungen
Darüber hinaus finden sich in der Datenschutzerklärung auch noch Formulierungen, mit denen den Usern Verhaltensverpflichtungen auferlegt werden, wie etwa in Ziffer 4 Abs. 3:
truffls ist berechtigt, jederzeit nach eigenem Ermessen Nachweise vom Nutzer zu verlangen. Übermittelt der Nutzer die angeforderten Nachweise nicht innerhalb von 2 Wochen nach Erhalt der entsprechenden Aufforderung, kann truffls das Nutzerprofil sperren.
Derartige Verpflichtungen bzw. Berechtigungen sind klassischerweise Gegenstand von Nutzungsbedingungen. Diese fehlen hier ganz. Vielleicht wollte man es einfach halten und von der Gestaltung von Nutzungsbedingungen szunächst einmal absehen. Sinnvoll ist das aber in soweit nicht, als auch diese Berechtigung – ganz davon abgesehen, ob derartiges in Datenschutzerklärungen „versteckt“ werden kann oder nicht – im Zweifel zwischen den Parteien nicht wirksam vereinbart wurde. Es mangelt hier eben an der ausdrücklichen Akzeptanz dieser Verpflichtung gegenüber truffls.
Fazit
Um die im Titel aufgeworfene Frage zu beantworten: Ja, ein Tinder für Jobs kann rechtlich sauber gehen. Wäre konkret Truffls bzw. deren Datenschutzerklärung eine juristische Klausur und ich der Korrektor, dann würde wohl drunter stehen: „Eine Arbeit mit Licht und Schatten“ (ja, ja, Juristenwitze ich weiß, aber die mitlesenden Kollegen wollen auch mal was zum Lachen haben, dafür müssen sie ja sonst in Keller… ;] ).
Genauso ist es hier: Truffls will ganz offensichtlich den Datenschutz. Truffls klärt auch über die Datenverwendungen im Sinne des § 13 TMG wie oben beschrieben auf, jedenfalls so weit es um die Datenverwendungen geht, die aus der Anwendung der App selbst und nicht aus deren Installation hervorgehen. Das ist schon mal gut. Und weit mehr Arbeit für den Datenschutz als sich viele andere Anbieter auch nur im Ansatz machen. Allerdings lebt die App natürlich gerade von davon, dass die User freiwilig Daten angeben. Und zur Verwendung dieser Daten bedarf es eben der Einwilligung der User, die hier nicht im Sinne von § 13 Abs. 2 TMG vorliegt. Dieses „Auf halber Strecke aufhören“ ist vor dem Hintergrund, dass Truffls den Datenschutz in den Vordergrund schiebt, leider nicht ganz verständlich.
[Aus Sicht manch einer Compliance-Abteilung in Unternehmen könnte der Schatten allerdings ein Grund sein, vor der Nutzung des Dienstes für Unternehmen (was bald kommen soll) zu zögern. Denn Compliance mag es nicht, wenn irgendwo im Konzern Bewerberdaten herumliegen, die keine ganz weiße Weste haben…. s.a die Reihe: Active Sourcing & Recht]
Und so bleibt es bei viel Licht aka „Coole App, bringt Spaß, macht Sinn und an den Datenschutz ist auch mal gedacht!“ mit ein wenig Schatten aka „Wieso bleibt der Datenschutz denn da stehen?“.´Aber wie gesagt, vielleicht ist das alles von den Gründern durchdacht und auf die eine bzw. andere Art eingepreist. Und wenn ich den extra genauen Juristen in mir mal kurz einschließe, dann bleibt:
„Coole App! Ab wann gibt es Truffls für Unternehmen? Wir müssten da wohl Anfang nächsten Jahres eine Stelle besetzen…“
In diesem Sinne,
auf mehr solcher Apps und immer eine Handbreit Wasser unterm Datenschutz.