Die datenschutzrechtliche Frage, ob ein Betreiber einer Online-Plattform Verantwortlicher oder Auftragsverarbeiter ist, benötigt eine genaue Betrachtung der angebotenen Lösung. Kann der Plattformbetreiber wesentliche Parameter der Datenverarbeitung nicht mitbestimmen, so liegt tendenziell eine Auftragsverarbeitung vor.
Zur Suche nach einer passenden Arbeitsstelle werden oft Ausschreibungsseiten oder Soziale Netzwerke verwendet. Die Plattform ermöglicht dabei die Erstellung eines persönlichen Profils, wo sämtliche relevanten CV Daten erfasst werden können. Mit dem Profil kann man sich auf die ausgeschriebenen Stellen bewerben und die persönlichen Daten mit den entsprechenden Unternehmen teilen. Das Unternehmen wird meist über einen eigenen Benutzeraccount verfügen um Personal zu rekrutieren und die Bewerbungen zu steuern. Ein Bewerber bzw. der Plattformbetreiber im Auftrag des Bewerbers, teilt in der folge Personendaten mit einem Unternehmen.
Auf einer solchen Jobplattform treffen zwei unterschiedliche Nutzungs- und Bearbeitungszwecke aufeinander. Der Betreiber der Plattform betreut einerseits die Bewerber, welche sich auf eine Stelle bewerben möchten. Andererseits aber auch die Unternehmen, welche entsprechendes Personal rekrutieren möchten. Meist ist die Nutzung der Plattform für Unternehmen mit Kosten verbunden, da ein Werbeeffekt erzielt wird oder gar ganze Bewerbungsprozesse übe die Plattform abgewickelt werden können.
Die dabei anfallenden Datenverarbeitungen müssen jeweils einzeln betrachtet werden um die datenschutzrechtliche Stellung des Plattformbetreibers festzulegen. Ist er Verantwortlicher der Verarbeitung, so hat er eigenständig sämtliche datenschutzrechtlichen Voraussetzungen an die Bearbeitung zu gewährleisten. Als Auftragsverarbeiter kann er sich auf den Rechtfertigungsgrund des Verantwortlichen stützen und muss keine eigene Rechtsgrundlage hierfür nachweisen.Ein Betreiber ist dort als Verantwortlicher anzusehen, wo lediglich Personendaten des jeweiligen Nutzers bearbeitet werden. In Bezug auf einen persönlichen Bewerberaccount und den damit verbundenen Personendaten ist der Plattformbetreiber datenschutzrechtlicher Verantwortlicher.
Gleiches gilt für ein Unternehmensprofil, welches lediglich zu Informationszwecken erstellt wird. Soweit die Profildaten überhaupt Personendaten darstellen, gilt der Plattformbetreiber als Verantwortlicher.Bietet die Plattform dem Unternehmen nun die Möglichkeit Personendaten von Dritten zu verarbeiten (Bewerbungsmanagement, Mailingdienstleistungen), so stellt sich die Frage, ob nicht eine Auftragsdatenverarbeitung vorliegt. Eine solche liegt vor, wenn das Unternehmen über Mittel und Zweck der Verarbeitung entscheidet und der Plattformbetreiber lediglich Ausführender ist.
Entscheidend für eine endgültige Einteilung ist die Antwort auf die Frage, ob der Plattformbetreiber bei datenschutzrechtliche Parameter der Datenverarbeitung (bspw. die zu bearbeitende Datenkategorien, wie und wo sie beschafft werden, wie lange sie aufbewahrt werden) mitbestimmen kann oder nicht. Kann er dies nicht, so liegt tendenziell eine Auftragsdatenverarbeitung vor.
Die datenschutzrechtliche Beurteilung des Plattformbetreibers erfordert eine technische Betrachtung der angebotenen Funktionen seitens der Plattform und die Einteilung sollte nicht vorschnell vorgenommen werden. Da zukünftig auch in der Schweiz ein schriftlicher Vertrag mit Auftragsverarbeitern notwendig sein wird ist es ratsam, sowohl als Plattformbetreiber als auch Unternehmen, die Datenverarbeitungen zu prüfen und einen allfälligen Auftragsverarbeitungsvertrag abzuschliessen.