Online-Bewerbungsbögen sind ohne Datensicherheitsmaßnahmen nicht geschützt und können insoweit mit dem nötigen Know-how weltweit eingesehen, vielfältig ausgewertet und verknüpft werden, ohne dass die betroffene Person davon Kenntnis erhält. Nutzer können anhand des Namens einer betroffenen Person in den Internet-Suchmaschinen mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person zu findenden Informationen erhalten, anhand dessen sie ein mehr oder weniger detailliertes Profil der Person erstellen können. Somit können die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigt werden (Urteil des Europäischen Gerichtshofs - EuGH vom 13.05.2014; - C-131, EWS 2014, 166).
Daher hat der Verantwortliche im Sinne des Artikel 4 Nummer 7 Datenschutz-Grundverordnung (DS-GVO), also der potentielle Arbeitgeber, dafür zu sorgen, dass die Anforderungen des Artikel 32 DS-GVO erfüllt werden. Insbesondere hat er technische und organisatorische Maßnahmen zu treffen, um den Datenschutz-Grundsatz nach Artikel 5 Absatz 1 Buchstabe F DS-GVO einzuhalten. Danach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung "Integrität und Vertraulichkeit").
Als wesentliche Maßnahme kommt nach Artikel 32 Absatz 1 DS-GVO insbesondere die Verschlüsselung der Daten in Betracht, deren Entschlüsselung nur dem Absender (betroffene Person) und dem Empfänger (potentieller Arbeitgeber) ermöglicht werden dürfen.
Gleichwohl kann auch eine Verschlüsselung nicht hundertprozentig gewährleisten, dass die Bewerberdaten nur den befugten Personen zugänglich sind, sodass es ratsam ist, auf Bewerbungen über das Internet zu verzichten. Die Verantwortung für die Online-Bewerbung trägt der Arbeitgeber, der Bewerberdaten immer vertraulich zu behandeln hat.