Intro
Über die Wichtigkeit von Datenschutz und der damit einhergehenden Pflicht zur Einhaltung der diesbezüglichen Gesetze und Verordnungen sind wir uns alle einig denke ich. Uneinig werden wir in den Diskussionen, wenn man sich darüber streiten kann, ob die eine oder andere Umsetzung zum Datenschutz, die zugrundeliegenden Landesgesetze ausreichend erfüllt oder noch Raum für Zweifel lässt.
Umso wichtiger ist es beispielsweise, Persönliche Daten und Informationen gerade von Bewerbern sensibel zu behandeln und für die Vertraulichkeit sowie Schutz dieser Daten sorge zu tragen. Die Sorgfaltspflicht beinhaltet auch dabei, dass der Dateneigentümer zu jeder Zeit und besonders vor der Datenübergabe darüber informiert wurde, wo und wie seine Daten erhoben, geschützt und verarbeitet werden. Die Weitergabe der Daten ist dabei ein kritisches Thema, welches seitens der verarbeitenden Instanz mit entsprechender Sorgfalt behandelt werden muss.
Dabei beinhalten Bewerberdaten nicht weniger persönliche und sensitive Informationen, wie eine Registrierung zum Gewinnspiel im Internet. Im Gegenteil, neben den persönlichen Angaben eines Bewerbers, bekommt man Einsicht in dessen Geburtsdaten, Lebenslauf, Historie, Zeugnisse und Beurteilungen sowie u.U. auch Auszüge aus dem Betreibungs- oder Strafregister.
Wenn ein Bewerber in einer für ihn interessanten Stellenanzeige dazu aufgefordert wird, sich ausschliesslich online zu bewerben (welches heute fast durchweg Standard ist), dann muss er bei der Abgabe seiner Unterlagen mit den Datenschutzbestimmungen des Unternehmens vertraut gemacht werden und muss diesen auch zustimmen. Der Erheber muss dabei deutlich machen, wo er die Daten speichert werden und ob neben dem Bewerbungsprozess seine Daten ggf. noch für andere Zwecke eingesetzt werden würde, z.B. für weitere Stellenvorschläge oder Weitergabe an Agenturen zwecks dem Auswahlprozess.
Das Bedingt auch, dass das Unternehmen während dem Bewerbungsprozess zwingend angeben muss, wohin der Bewerber seine Daten sendet. Analog zu der Angabe der Empfängeradresse bei einer klassischen, Dossier basierten Bewerbung anhand von Papierausdrucken, ist es auch für einen Online Prozess wichtig, dass der Bewerber weiss, welche Reise seine Daten beim klicken auf “Absenden” machen und wo sie schlussendlich landen werden.
Leider ist es immer noch zu oft der Fall, dass sich Unternehmen gerade in diesen Belangen kaum Gedanken darüber machen, ob sie bei Ihren Online-Bewerbungsplattformen auch alle relevanten Gesetze zum Datenschutz erfüllen. Sicherlich ist es in aller erster Linie wichtig zu wissen, dass ein Land, in dem persönliche Daten erhoben und verarbeitet werden, einen ausreichenden Schutz dieser Daten durch die Gesetzgebungen verspricht bzw. gewährleistet. Das bedeutet allerdings nicht, und das ist oftmals das Missverständnis, dass Unternehmen sich den Gesetzen in vollem Umfang bewusst sind und diese auch vollständig einhalten. Das es hierzu Gesetze gibt, bescheinigt einem Dateneigentümer erst einmal, dass er davon ausgehen kann, dass durch das Vorhandensein von Gesetzen, eine datenverarbeitende Instanz juristisch angreifbar wäre, wenn sie entgegen der Gesetzgebung handeln würde. Das eine ist also der Zustand der Vertrauensgrundlage (Gesetze), das andere ist der Zustand der vertrauenswürdigen Verarbeitung (Unternehmen, private oder juristische Personen). Das eine setzt jedoch das andere nicht ohne Weiteres Zutun voraus.
Beispiel: Die Bewerbungsplattform von Sunrise Communications AG
Sunrise ist die grösste nicht staatliche Telekommunikationsanbieterin in der Schweiz, die alle Bereiche der Telekommunikation abdeckt. Man könnte auch einfach sagen, sie ist nach der Swisscom die zweitgrösste Anbieterin gefolgt von Salt (ehemals Orange). Wie viele andere unternehmen, hat auch Sunrise eine gewisse Fluktuation sowie weiteren Bedarf an Fachkräften und Experten in ihrem Umfeld und in ihrer Branche. Als innovative Telekommunikationsunternehmerin ist natürlich auch die Sunrise interessiert daran, Bewerbungsprozesse möglichst mit der gebotenen Technik zu realisieren und somit die Bewerbungsabgabe auf ihrer Online Plattform anzubieten.
Wenn ich dabei sage “ihre Online Plattform”, muss ich diese Aussage leider widerrufen.
Ein Bewerber, der sich bei Sunrise entschliesst auf eine passende Stelle zu bewerben, geht in der Regel auf das Bewerberportal von Sunrise, welches eine Subdomain zu sunrise.ch ist. Die Plattform-Domain https://jobs.sunrise.ch ist zwar löblich mit einem offiziellen SSL Zertifikat und einer verschlüsselten Verbindung ausgestattet um einerseits die Echtheit des Portals zu signieren, andererseits die Bewerberdaten möglichst abhörsicher über das Internet zu übertragen, aber die von Sunrise bereitgestellte und eigens anmutende Subdomain, bzw. das System, ist kein Sunrise System. Hopla! Was ist da passiert und wie geht das überhaupt bei einem signierten Zertifikat und der davor stehenden Hauptdomain?
Nun, technisch gesehen ist es einfach zu erklären. Nur weil eine Subdomain von einer eigenen Hauptdomain bereit gestellt wird, heisst es noch lange nicht, dass man diesen auch per System-IP auf die von Sunrise reservierten IPs auflösen muss. Auch muss ein System, welches nicht bei Sunrise gehostet wird, nicht zwangsläufig ein anderes Zertifikat besitzen, wenn es nur ein Serverzertifikat darstellt. Es muss lediglich per DNS auflösbar sein und kann jederzeit verschoben bzw. auf eine andere IP aufgelöst werden.
Das Problem bei all dieser Systematik ist, dass Sunrise die Bewerberplattform einem Dienstleister übertragen hat, jedoch das Layout der Plattform, die Informationen darin sowie die Datenschutzbestimmungen es absolut nicht verdeutlichen, also die Art der Beschaffung, dass der Bewerber gerade auf einem System gelandet ist, der ganz wo anders, bei einem Anbieter steht, und nicht bei Sunrise. Diese Tatsache macht einen Bewerber, wenn er denn in Kenntnis dessen ist, erst einmal stutzig, da solch ein System irgendwo auf der Welt stehen könnte und somit die Daten ausserhalb des Landes, theoretisch auch in Congo oder Tailand gespeichert werden könnten. Jedoch muss die Verarbeitung von personenbezogenen Daten über Dritte ebenfalls gesetzlich betrachtet und vor allem deklariert werden sowie u.a. eingewilligt sein.
Zudem ist zwar der Zweck bekannt, jedoch die Art und Weise der Beschaffung leider aufgrund fehlender Hinweise schleierhaft.
Im falle von Sunrise, hat diese die Plattform an den, für solche Zwecke bekannten Dienstleister Umantis (http://www.umantis.com/) übertragen, welcher wiederum ein deutsches Unternehmen mit Sitz in Freiburg ist und der Haufe Unternehmensgruppe gehört. Das System, welches die Bewerberplattform von Sunrise betreibt scheint jedoch in der Schweiz zu stehen und hat die Reverse DNS Adresse pp01-ch.umantis.com (Nginx). Das System von Umantis wird dabei von ImproWare Network Services gehostet. Der CNAME hierbei auf der Ziel-IP ist recruitingapp-2790.umantis.com. Dabei werden die Bewerberplattforme von Umantis mit der laufenden Nummer recruitingapp-XXXX auf die jeweiligen Kunden terminiert. Eine Nummer tiefer, also recruitingapp-2789 beispielsweise, gehört der Firma BDO, eine Nummer höher der eRecruiting. Ein CNAME ist praktisch der Zielname eines Alias, also des Subdomain-Namens im DNS Record, welches wiederum auf die Ziel-IP aufgelöst wird. Subdomain -> CNAME -> IP
Die Datenschutzbestimmungen auf einer Bewerberseite von Sunrise, welche per Link abrufbar sind, weisen ebenfalls keineswegs darauf hin, dass der Bewerber sich gerade nicht auf einem von Sunrise verwalteten, unternehmenseigenen Server befindet, sondern auf einem anderen, vom Dienstleister bereitgestellten. Lediglich, und mit etwas Achtsamkeit kann man erkennen, dass in der Titelleiste des Browsers im HTTP Description Header die Angabe “umantis Talent Management” gemacht wurde. Auch der Quellcode deutet darauf hin, dass man es hierbei nicht mit dem Quellcode von Sunrise selbst zu tun hat, sondern von Umantis. Dabei wäre es eine einfache Sache gewesen, auf genau diesen Zustand hinzuweisen und zu versichern, dass auch Umantis die Vertraulichkeit der erhobenen Daten sicherstellt. Dies setze ich ohnehin bereits heute voraus. Es fehlen mir jedoch die Deklarationen in den Bestimmungen.
Hinterfragt habe ich das ganze jedoch weder wegen der Titelleiste des Browsers, noch wegen der Reverse DNS von jobs.sunrise.ch. Es ist ja nicht so, dass ich bei jedem besuchten Server die Reverse DNS abfrage oder den Quellcode durchforste. Dennoch setzte ich Browser AddOns wie FlagFox oder WorldIP ein, um zu sehen, wo ich denn gerade unterwegs bin.
Gezweifelt daran habe ich trotz des für Sunrise ausgestellten SSL Zertifikats sowie der eigenen Subdomain daran, dass mir das gebotene Bewerber-Formular sehr bekannt vorkam und dass ich bereits in der Vergangenheit dieses Formular öfter gesehen hatte, bei anderen Stellenangeboten, vielleicht mit etwas anderen Farben und Header-Bild. Aber man könnte im ersten Augenblick auch meinen, dass das Bewerbertool, wie es von Umantis bereitgestellt wird, auch von Sunrise hätte gekauft und selbst gehostet oder in die eigenen Server integriert worden sein. Dem ist leider nicht so und die Bewerberdaten landen leider bei Firma Umantis, ohne dass der Bewerber darüber eindeutig in Kenntnis gesetzt wird.
Auch die Corporate Seiten (http://corporate.sunrise.ch/company.aspx?sc_lang=de-DE) von Sunrise sind nicht in deren Rechenzentren in der Schweiz gehostet, sondern in der Amazon Cloud. Eine Interaktion auf diesen Seiten bedeutet, dass man als Kunde erst einmal einen Server irgendwo auf der Welt anspricht und erst bei einer weiteren Interaktion entschieden wird, wohin es geht. Im Falle einer Kundeninteraktion zu Sunrise eigenen Systemen, bei Jobs zu Umantis.
Fazit:
Die Selbstbestimmung, dass man seine persönlichen und sensiblen Bewerbungsdaten für diesen einen Zweck heraus gibt ist das eine. Das die Daten aber an einem völlig anderen Ort landen, wo nicht nur das ausschreibende Unternehmen, sondern auch ein anderes Unternehmen bzw. dessen Mitarbeiter Zugriff haben, ist die andere….
Viele Unternehmen, darunter nun auch Sunrise, haben sich nach meiner Einschätzung noch nicht ausgiebig bzw. ausreichend mit den Anforderungen des Schweizerischen Datenschutzgesetzes und der daraus resultierenden Pflichten befasst und haben weiterhin Handlungsbedarf, was die Vertraulichkeit und die ordnungsgemässe Umsetzung der Regulierungen betrifft.
Zudem gilt es bei der neuen EU-Datenschutz-Grundverordnung, welche ab Mai 2018 in Kraft treten soll, das Marktortprinzip. Das Bedeutet, dass das neue Datenschutzrecht der EU verbindlich für alle Unternehmen gelten wird, die auf dem europäischen Markt tätig sind. Dabei spielt es keine Rolle, ob sich der Firmensitz innerhalb der EU befindet (§3,Abs.1). Zudem wird es nach der neuen Verordnung auch unerheblich sein, wo die Datenverarbeitung stattfindet (§3,Abs.2). Somit wird jede Verarbeitung personenbezogener Daten von Nutzern aus der EU der neuen EU-DSGVO unterliegen. Dem gilt es sich nun rechtzeitig anzupassen.
Referenzen:
https://jobs.sunrise.ch/Vacancies/1081/Description/2
https://jobs.sunrise.ch/Vacancies/1081/Application/New/1
https://jobs.sunrise.ch/Vacancies/1081/DataProtection/1
http://corporate.sunrise.ch/company.aspx?sc_lang=de-DE
https://www.admin.ch/opc/de/classified-compilation/19920153/201401010000/235.1.pdf
http://www.imp.ch/index.php
http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE
Update (24.08.2016)
Mit dem folgenden PHP Script, welches ich rein für den !Test! geschrieben habe, kann man !testweise! alle Kundenportale von Umantis sequenziell abfragen. Dazu kann man in der Funktion listCustomers() die Kunden IDs beliebig anpassen. Im folgenden von 2700 bis 2799.
Ausgegeben werden: Firmenlogo – Portaladresse – Firmenname
Eine Beispielausführung für den Kunden Sunrise finden sie hier: https://networm.ch/test/umantis1.php
Schriftartbedingt sind bestimmte Zeichen im Code falsch dargestellt (Hochkommas).
<?php
$mainurl=’.umantis.com’;
$subnamestart = ‘https://recruitingapp-‘;
$pic_url = ‘/pubhtml/logo.gif’;
#$regex = “!\<div class=\”login_solutiontitle\”\>(.*?)\</div\>!i”;
$regex_title = “!\<h1 class=\”login_solutiontitle\”\>(.*?)\<\/h1\>!i”;
function listCustomers()
{
$customerIDb = ‘2700’;
$customerIDe = ‘2799’;
for ($i = $customerIDb; $i <= $customerIDe ; $i++) {
get_customer_by_url($i);
}
}
function get_customer_by_url($num)
{
$urlstring = $GLOBALS[‘subnamestart’].$num.$GLOBALS[‘mainurl’];
$logo = $urlstring.$GLOBALS[‘pic_url’];
$imgstr ='<img src=”‘ . $logo . ‘” height=”70″ width=”70″>’;
$handle = curl_init($urlstring);
curl_setopt($handle, CURLOPT_RETURNTRANSFER, TRUE);
$response = curl_exec($handle);
$httpCode = curl_getinfo($handle, CURLINFO_HTTP_CODE);
curl_close($handle);
if($httpCode != 403 || $httpCode != 404) {
preg_match($GLOBALS[‘regex_title’], $response, $result);
echo $imgstr . ‘ _____ ‘ . ‘<a href=”‘ . $urlstring . ‘” _target=blank>’ . $urlstring . ‘</a> -> ‘ . $result[1] . ‘<br><br>’;
}
$response = 0;
}
//Main
listCustomers();
?>