Die Jobbörse der Bundesagentur für Arbeit als beitragsfinanzierter Steinbruch für Raubritter des modernen Datenhandels

Wir müssen über die Gelddruckmaschinerie reden, die in der heutigen Zeit der Handel mit Daten geworden ist. Nein, es geht hier nicht um Google oder Facebook, sondern um die Schattenpflanzen, die sich im Verborgenen aufhalten und darauf setzen, dass keiner genau hinschaut, was sie da so treiben. Und wir müssen über den Datenschutz reden. Allerdings nicht mit Blick auf Sportvereine oder kleine Blogger, denen die DSGVO eine Menge teilweise sinnfreier Auflagen macht hinsichtlich der Datenschutzregeln, deren auch nur partielle Nicht-Einhaltung schmerzhafte Abmahnung-Folgen haben kann.

Vor diesem Hintergrund sollte man annehmen können, dass die richtig übergriffigen Daten-Raubritter mit Furor verfolgt und abschreckende Strafmaßnahmen ergriffen werden. Die Berufsskeptiker, auch Realisten genannt, ahnen schon, als was sich diese verständliche, aber letztendlich naive Vorstellung erweisen wird: als ein großes Trugbild, eine Fata Morgana derjenigen, die noch glauben wollen, dass die Systeme nicht die Kleinen hängen und die Großen laufen lassen.

Wir müssen, um konkret zu werden, über die Jobbörse der Bundesagentur für Arbeit reden. Eine gewaltige Angelegenheit: 2,17 Mio. Bewerberprofile, 1,67 Mio. „Stellenangebote“ und mehr als 372.000 Ausbildungsstellen – mit diesen großen und beeindruckend daherkommenden Zahlen wirbt die Jobbörse gleich auf ihrer Startseite.

Screenshot der Jobbörse der Bundesagentur für Arbeit (03.05.2019)

Die Jobbörse der Bundesagentur für Arbeit (BA) gehört zu den größten Jobportalen Deutschlands. Arbeitslose und Arbeitsuchende werden gerne auf die dort gelisteten Stellenangebote verwiesen.

Nun ist das mit den Stellenangeboten so eine Sache. Zwar müssen alle Arbeitgeber, die ein Stellenangebot in der Jobbörse inserieren wollen, ein Benutzerkonto bei der Jobbörse anlegen. Dieses wird zum Beispiel anhand einer gültigen Betriebsnummer von der BA überprüft. Im Gegensatz zu den Benutzerkonten der Arbeitgeber wird allerdings nur ein Teil der Stellenangebote von der BA geprüft. Eine standardmäßige Überprüfung gibt es nämlich nur für Stellenangebote, die sich „in Betreuung“ des Arbeitgeberservice befinden. Nach Auskunft der Bundesregierung befand sich am Stichtag 20. Juni 2018 nur knapp jedes zweite der 1,2 Millionen Stellenangebote in Betreuung der BA (48,5 Prozent). Denn Arbeitgeber können frei wählen, ob sie ein Stellenangebot in Eigenregie in der Jobbörse veröffentlichen oder ob sie es beim Arbeitgeberservice melden und von diesem betreuen lassen. Nicht betreute Stellenangebote werden anhand von Schlagwörtern und nur strichprobenartig manuell auf ihre Echtheit und Seriosität geprüft. Nach Auskunft der Bundesregierung sei daher „nicht auszuschließen, dass vereinzelt fingierte Stellenanzeigen in der Jobbörse veröffentlich werden“.

Wer sich auf eine derer als 1,6 Millionen Stellenangebote bewirbt, erhofft sich viel davon. Und gibt viel von sich preis: persönliche Daten, den kompletten Lebenslauf, Schul- und Arbeitszeugnisse. Daten, mit denen sich Geld verdienen lässt, wenn sie in die falschen Hände geraten.

Darüber wurde bereits vor vielen Jahren berichtet – und bis in den Bundestag ist das Problem getragen worden. Blicken wir kurz zehn Jahre zurück: Am 1. Dezember 2009 antwortete die Bundesregierung auf eine Anfrage der Grünen: Datenmissbrauch bei der Bundesagentur für Arbeit (Bundestags-Drucksache 17/97 vom 01.12.2009). Folgende Problematik wurde beschrieben: »Nach Angaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und Presseberichten zufolge gibt es bei der Bundesagentur für Arbeit (BA) … bei der Jobbörse erhebliche Datenschutzmängel. So sind die Bewerbungsunterlagen von rund 3,8 Millionen Arbeitsuchenden, die sich über die Jobbörse um einen Arbeitsplatz bemühen, nicht hinreichend vor Missbrauch geschützt. Nahezu jede und jeder kann offensichtlich unter dem Vorwand, als Arbeitgeber eine Stelle anzubieten, in Bewerberdaten einsehen. So können Anschriften, Telefonnummern und Lebensläufe schnell in kriminelle Hände geraten. Stichprobenartige Kontrollen der Seriosität der potentiellen Arbeitgeber und ihrer Stellenangebote reichen nach Ansicht des Bundesbeauftragten nicht aus, um dem Datenmissbrauch einen Riegel vorzuschieben.«

Auslöser für die Anfrage der Grünen war ein konkreter Missbrauchsfall: Damals hatte eine Firma aus Berlin in der Online-Jobbörse der BA über 2.500 fingierte beziehungsweise gefälschte Stellenangebote geschaltet, mit dem Ziel, in den Besitz persönlicher Daten von Bewerbern zu gelangen.

Und was antwortete die Bundesregierung damals? »Die Bundesregierung prüft …, ob die von der BA sofort ergriffenen Maßnahmen ausreichend sind und welche Maßnahmen gegebenenfalls darüber hinaus zu ergreifen sind.«

Lauwarme Luft war das mit der „Prüfung“, sie ist wie so viele andere Prüfungen offensichtlich im Sande verlaufen. Trotz Kenntnis der Missbrauchsfälle und der bestehenden Sicherheitsmängel und trotz offener Kritik des Bundesdatenschutzbeauftragen lehnte es die Bundesagentur für Arbeit 2011 ab, das Verfahren zur Registrierung zu verschärfen.

Bereits 2009 (!) wurde von damaligen Datenschutzbeauftragten alles gesagt, was es zu sagen gibt: »Der Bundesdatenschutzbeauftragte Peter Schaar hat die Jobbörse der Bundesagentur im Internet kritisiert. Das Portal lade „zum Missbrauch geradezu ein“, sagte Schaar der „Süddeutschen Zeitung“. Kriminelle könnten zu Unrecht an Bewerberdaten gelangen, „etwa um persönliche Kontakte anzubahnen.“ Es dürfe nicht sein, dass sensible Bewerberdaten in falsche Hände geraten. Dies lasse sich mit dem Sozialdatenschutz in keiner Weise vereinbaren. Schaar hält dem Bericht zufolge insbesondere die Kontrollmechanismen der BA für ungenügend. Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht. Schaar forderte die Bundesagentur auf, „dieses Einfalltor für Datenmissbrauch unverzüglich zu schließen“«, berichtete die Online-Ausgabe der Tagesschau am 29.10.2009 unter der Überschrift „Jobbörse lädt zum Datenmissbrauch ein“.

Im vergangenen Jahr wurde das Thema erneut aufgerufen. Am 31. Mai 2018 gab es von der Bundesregierung eine Antwort auf die Anfrage „Fragen zum Sozialdatenschutz und zu möglichen fingierten Stellenanzeigen im Stellenportal „Jobbörse“ der Bundesagentur für Arbeit“ der Linken (Bundestags-Drucksache 19/2417 vom 31.05.2018). Die Abgeordneten haben der Bundesregierung erneut das bereits 2009 angesprochene Problem vorgetragen:

»Die Bundesagentur für Arbeit (BA) und die Jobcenter gerieten in den vergangenen Jahren immer wieder mit Meldungen über mangelnden Datenschutz und mangelnde Datensicherheit in die Schlagzeilen. Im Jahr 2011 hatte der damalige Bundesbeauftrage für den Datenschutz und die Informationsfreiheit Peter Schaar die BA scharf für bestehende Datenschutz- und Datensicherheitsmängel bei der Online-Jobbörse gerügt. Unternehmen, so die Kritik, würden bei der Veröffentlichung von Stellenanzeigen im Onlineportal der Bundesagentur für Arbeit vorab nicht geprüft werden. Damit könne quasi jede Person ohne Legitimationsnachweis online Stellenangebote aufgeben und im weiteren Verfahren sensible Daten von Bewerberinnen und Bewerbern erlangen.« Und für die besorgten Abgeordneten ordnet sich das so ein: »Medienberichten zufolge nimmt die Zahl an gefälschten Jobangeboten im Internet zu … Das Landeskriminalamt Hessen spricht dabei von einer Betrugsmasche mit dem Ziel, an persönliche Daten von Bewerberinnen und Bewerbern zu kommen, diese um Geld zu prellen oder gar an Straftaten zu beteiligen. Auch bestehe die Gefahr des Identitätsdiebstahls.«

Auf die Frage „Ist der Bundesregierung das allgemeine Problem gefälschter beziehungs- weise fingierter Stellenanzeigen bei Online-Stellenbörsen bekannt?“ antwortet diese: „Ja“. Und weiter: Die Bundesagentur für Arbeit unternimmt »fortlaufend verschiedene Maßnahmen zur Qualitätssicherung der Jobbörse. Fingierte Stellenangebote widersprechen den Nutzungsbedingungen der Jobbörse. Identifizierte fingierte Stellenangebote werden dementsprechend von der Veröffentlichung in der Jobbörse ausgeschlossen. Bei schwerwiegenden oder wiederholten Verstößen wird das Benutzerkonto des betreffenden Arbeitgebers deaktiviert.« An einer anderen Stellen heißt es dann fast schon philosophisch: »Bei der Identifikation von gefälschten oder fingierten Stellenangeboten handelt es sich nach Einschätzung der Bundesregierung um eine permanente Herausforderung für die Betreiber privater und öffentlicher Stellenbörsen.«

Aber spätestens jetzt wird doch die Bundesregierung Handlungsbedarf erkannt haben. Könnte man meinen, war aber nicht so: »Die Jobbörse wird von der BA … in eigener Verantwortung betrieben. Die BA sieht derzeit keine Verbesserungspotentiale und plant daher aktuell keine Änderungen im Prüfverfahren. Dies ist aus Sicht des Bundesministeriums für Arbeit und Soziales rechtsaufsichtsrechtlich nicht zu beanstanden.«

Die Fragesteller waren offensichtlich unzufrieden mit den Antworten der Bundesregierung: »Die Antwort der Bundesregierung … war in großen Teilen sehr allgemein und ausweichend formuliert. Für die Fragesteller ergeben sich aus der Antwort einige Nachfragen, zum Beispiel zur Ausgestaltung und Durchführung der Prüfung der Stellenangebote in der Jobbörse auf Missbrauch hin. Arbeitsuchende und Erwerbslose stellen eine besonders schutzbedürftige Personengruppe dar. Der Schutz ihrer persönlichen Daten sollte nach Ansicht der Fragesteller einen besonderen Stellenwert innerhalb der Bundesagentur für Arbeit (BA) und der Jobcenter einnehmen.« Die Antwort auf die „Fragen zum Sozialdatenschutz und zu möglichen fingierten Stellenanzeigen im Stellenportal „Jobbörse“ der Bundesagentur für Arbeit (Nachfrage zur Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 19/2417)“ hat die Bundesregierung am 5. Juli 2018 veröffentlicht (Bundestags-Drucksache 19/3292 vom 05.07.2018).

Und da finden wir diesen wichtigen Hinweis der Bundesregierung: »Grundsätzlich besteht für Stellensuchende keine Möglichkeit zu unterscheiden, ob ein betreutes oder unbetreutes Stellenangebot vorliegt.« Und auch diese Information wird noch wichtig sein: »Betreute und unbetreute Stellenangebote … können von den Vermittlungsfachkräften … voneinander unterschieden werden, da betreute Stellenangebote mit Angabe des Namens des Stellenangebotsbetreuers des Arbeitgeber-Service angezeigt werden.« Aber eben nicht für die in der Jobbörse der BA Suchenden.

So kommen wir nicht weiter. Aber ein wenig mehr Licht in diese dunkle Angelegenheit wurde nun diese Tage gebracht: »Datenhändler schalten auf der Jobbörse der Bundesagentur für Arbeit täglich Tausende Stellenanzeigen, die Daten der Bewerber verkaufen sie weiter. SWR-Reportern gelang es, die Masche nachzuweisen«, so beginnt diese Meldung: Wie Datenhändler die Jobbörse missbrauchen. Was haben die gefunden?

»Mechatroniker, IT-Spezialist oder Bürokauffrau – Johann S. bietet für viele Arbeitssuchende die passende Stelle an. Und das deutschlandweit. Über die Jobbörse der Bundesagentur für Arbeit (BA) schaltet er täglich bis zu 3000 Stellenangebote.
Die Jobbeschreibungen sind allgemein gehalten, die Anforderungen an die Bewerber gering. Nicht einmal ein Anschreiben wird gefordert. Alles, was ein Bewerber tun muss, ist Lebenslauf und Zeugnisse an eine E-Mail-Adresse schicken.
Weitere Informationen zur ausgeschriebenen Stelle, Antworten auf Nachfragen? Fehlanzeige. Unter der angegebenen Telefonnummer war während der mehrwöchigen Recherchen niemand erreichbar.« Was aber macht der dann mit den Bewerbungen? Er verkauft sie.

»S. bietet auf den Internetseiten seiner Firmen, zu denen in den Stellenanzeigen verlinkt wird, Unternehmen die Vermittlung von Personal an – zum Festpreis oder als „Flatrate“. SWR-Reporter kontaktieren ihn, wollen für ein fingiertes Unternehmen Bewerberdaten kaufen. S. bietet den verdeckten Reportern am Telefon vollständige Bewerbungsmappen zum Kauf an – für rund drei Euro je Datensatz, alternativ sei auch eine „Flatrate“ möglich. „Wir generieren jeden Monat zwischen 3.000 und 5.000 Datensätze von Bewerbern, auf die Sie dann zugreifen können“, so S. in dem Verkaufsgespräch. Die Journalisten schließen einen Vertrag mit ihm ab, erhalten von da an mehrmals täglich vollständige Bewerbungsunterlagen, also Lebenslauf, Schul- und Arbeitszeugnisse. Und das, ohne eine Stelle ausgeschrieben zu haben oder überhaupt ein Unternehmen zu besitzen.«

Dass ihre sensiblen Daten gehandelt werden, schockiert alle kontaktierten Bewerber. Keinem von ihnen war bewusst, was mit ihren Daten geschieht – informiert wurden sie darüber nach eigenen Angaben nie, kann man diesem Bericht entnehmen. Der Handel mit Bewerberdaten ist nach Ansicht von Datenschutzexperten wie dem baden-württembergischen Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Stefan Brink, ein „gravierender Verstoß“ gegen geltende Datenschutzgesetze.

»Bewerberdaten seien sehr sensible Daten, die gesetzlich besonders geschützt seien. Das zu verletzen, müsse sehr massive Sanktionen nach sich ziehen, so Brink weiter. Die Weitergabe und der Verkauf von Bewerbungsunterlagen seien streng verboten. Vor einer Weitergabe der Daten müssten die Bewerber genau informiert werden und in jedem Einzelfall ihre Zustimmung erteilen. Das sei hier nicht der Fall und daher handle es sich um einen klaren Gesetzesverstoß. „Hier reden wir nicht mehr nur von Bußgeldern, die in so einem Fall bis zu 20 Millionen Euro betragen können, sondern von Straftaten“, so der Landesbeauftragte für den Datenschutz.«

Der Vollständigkeit halber die Reaktion der die Jobbörse betreibenden Institution: »Die Bundesagentur für Arbeit teilt schriftlich mit, ihr lägen keine Hinweise vor, dass ihre Jobbörse von Datenhändlern missbraucht werde. Aufgrund der Vielzahl an Stellenangeboten könne jedoch „nicht vollständig ausgeschlossen werden, dass einzelne Stellenangebote gefälscht oder fingiert“ seien.«

Was bleibt nach dieser Beweisführung, dass und wie sich Datenhändler in der Jobbörse bedienen – übrigens mit Hilfe einer öffentlichen Infrastruktur, die mit viel Geld der Beitrags- und Steuerzahler aufgebaut und betrieben wird, zugleich für die Daten-Raubritter eine kostenlos bereitgestellte Quelle zur Generierung von vielen Bewerberprofilen?

Zum einen muss man natürlich die strafrechtliche Verfolgung des in diesem Fall nachgewiesenen Missbrauchs verlangen und hoffen, dass dieser eine Betreiber zur Rechenschaft gezogen wird.

Nur haben wir es offensichtlich nicht mit einem Einzelfall zu tun, sondern mit dem, was schon vor Jahren als ein „System“ beschrieben wurde. Wie kann man also grundsätzlich gegensteuern?

Dazu müsste die BA erst einmal überhaupt den Willen haben oder die Politik verlangt eine Veränderung des Nicht-Prüf-Gebahrens der Bundesagentur und kontrolliert deren Umsetzung.

Konkret sollte man die folgenden Maßnahmen von der BA verlangen:

➔ Für die betroffenen Arbeitslosen und Arbeitsuchenden muss Transparenz hergestellt werden. Wenn sie eine Stellenanzeige aufrufen, müssen sie einen Hinweis bekommen dass das Jobangebot von der BA betreut wird – oder eben nicht, dass es sich also um ein eigenverantwortlich von den tatsächlichen oder vermeintlichen Arbeitgebern eingestelltes Angebot handelt. Das eben auch ein Fake-Job sein kann.

➔ Darüber hinaus muss die Auffälligkeitsprüfung der BA überhaupt und dann deutlich intensiver erfolgen. Wenn ein Arbeitgeber mehrere tausend Stellenanzeigen schaltet, dann müssen heute schon die Alarmglocken läuten. Das sollte selbstverständlich sein.

➔ Von besonderer Bedeutung im vorliegenden Fall ist aber auch, dass man die BA nicht erneut „davon kommen lässt“, weil die mediale Karawane weiterzieht und hinter den Kulissen alles so bleibt, wie es derzeit ist. Wir sprechen hier über sehr persönliche Daten, die besonders geschützt werden müssen. Nur weil sich die BA betriebswirtschaftlich rational den Schuh nicht anziehen möchte, heißt das noch lange nicht, dass man den Wünschen aus Nürnberg folgt.