Achtung Falle!?

Datenschutz
1

Guten Tag,

ein renommierter Headhunter mit Sitz in Berlin, Mitte sucht aktuell Cybersecurity Experten:

130K+ // Business Continuity Manager: Cyber Security
(Wird bei Xing zwischen 90K und 180K angeboten)

Aufgabengebiet:

Projektleitung für Business Continuity Strategien
Durchführung von BIA und Erstellung der BCP
Entwicklung ganzheitlicher Resilienz der Kunden
Sicherstellung der Betriebsfähigkeit der Kunden durch Incident-Response-Einsätze
Sicherstellung der Kommunikation zwischen allen Beteiligten

100% remote mit Reisebereitschaft (EU, Westasien, USA und Mexico)

Um in deren Talentprofil aufgenommen zu werden und eventuell diese Stelle zu erhalten, müssen die Bewerber deren Datenschutzbestimmungen zustimmen. Hier ein Auszug:

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten:

  • Bestandsdaten (z.B. Namen, Adressen).
  • Bewerberdaten (z.B. Angaben zur Person, Post- und Kontaktadressen, die zur Bewerbung gehörenden Unterlagen und die darin enthaltenen Informationen, wie z.B. Anschreiben, Lebenslauf, Zeugnisse sowie weitere im Hinblick auf eine konkrete Stelle oder freiwillig von Bewerbern mitgeteilte Informationen zu deren Person oder Qualifikation).
  • Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos).
  • Kontaktdaten (z.B. E-Mail, Telefonnummern).
  • Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).
  • Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten).
  • Standortdaten (Daten, die den Standort des Endgeräts eines Endnutzers angeben).
  • Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie).
  • Zahlungsdaten (z.B. Bankverbindungen, Rechnungen, Zahlungshistorie).

Besondere Kategorien von Daten:
Daten, aus denen rassische und ethnische Herkunft hervorgehen.

Kategorien betroffener Personen:

  • Bewerber.
  • Geschäfts- und Vertragspartner.
  • Interessenten.
  • Kommunikationspartner.
  • Kunden.
  • Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

Zwecke der Verarbeitung:

  • Besuchsaktionsauswertung.
  • Bewerbungsverfahren (Begründung und etwaige spätere Durchführung sowie mögliche spätere Beendigung des Beschäftigungsverhältnisses.).
  • Büro- und Organisationsverfahren.
  • Cross-Device Tracking (geräteübergreifende Verarbeitung von Nutzerdaten für Marketingzwecke).
  • Direktmarketing (z.B. per E-Mail oder postalisch).
  • Feedback (z.B. Sammeln von Feedback via Online-Formular).
  • Interessenbasiertes und verhaltensbezogenes Marketing.
  • Kontaktanfragen und Kommunikation.
  • Konversionsmessung (Messung der Effektivität von Marketingmaßnahmen).
  • Profiling (Erstellen von Nutzerprofilen).
  • Remarketing.
  • Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher).
  • Sicherheitsmaßnahmen.
  • Tracking (z.B. interessens-/verhaltensbezogenes Profiling, Nutzung von Cookies).
  • Vertragliche Leistungen und Service.
  • Verwaltung und Beantwortung von Anfragen.
  • Zielgruppenbildung (Bestimmung von für Marketingzwecke relevanten Zielgruppen oder sonstige Ausgabe von Inhalten).

Welcher IT-Sicherheitsexperte würde dieser Datenschutzerklärung zustimmen?

Das ist eine Falle! Alles über sich preisgeben. Vor allem Bewerber in sicherheitsrelevanten Positionen. Diese Bestimmungen sind für die Durchführung eines Bewerbungsverfahrens definitiv nicht erforderlich.

Man stelle sich vor, man arbeitet in einem Ministerium, mit einem Vertrag. Immer auf der Suche nach einem lukrativeren Job. Und sie dürfen die persönlichen Daten, Kontakte und Informationen komplett mit Tracking auswerten.

Das stinkt doch!

Ich würde auch sagen, dass dies gegen die arbeitsrechtlichen Datenschutzpflichten gegenüber dem aktuellen Arbeitgeber verstößt.

Arbeitet dieser Headhunter für die richtige Seite? Oder für die falsche Seite, um unsere IT-Infrastruktur zu durchlöchern? (Hybrider Krieg)

2

Phishing geht eigentlich anders, ohne dass man es ankündigen würde.

Im besten Fall ist es falsch deklariert und dürfte nicht zugestimmt werden.

“Datenschutzbestimmungen” /“Datenschutzerklärungen” /“Datenschutzinformationen” stimmt man nicht zu, weil es Pflichtinformationen des Verantwortlichen sind, die dieser bei der Datenerhebung verfügbar machen muss. Man müsste nicht mal bestätigen, sie bekommen, gelesen oder verstanden zu haben. Wer es verlangt, kann sich ganz schön reinreiten.

Zustimmungszwang sieht man aber häufig in Kontaktformularen und Stellenportalen. Liegt daran, dass nur Profis unterwegs sind, die meinen, “irgendwas mit Datenschutz” machen und sich absichern zu müssen. Ohne zu überlegen, was es bereits rein logisch bedeutet.

Falls daraus eine Einwilligung für die Verarbeitung von Bewerberdaten werden sollte, kann man das knicken und steht ohne (angegebenen) Erlaubnistatbestand da. Es verstößt gegen den Grundsatz von Treu und Glauben, verzerrt die vorgeschriebene Transparenz, und löst die AGB-Kontrolle über die vermeintlichen Bedingungen aus. Der auschreibende Verantwortliche möchte das alles lieber nicht haben.

D., der empfiehlt, auf dieses… Missverständnis hinzuweisen. Oder bei der Aufsichtsbehörde beschweren: https://www.datenschutz-berlin.de/buergerinnen-und-buerger/beschwerde/einreichen-einer-beschwerde/

1 „Gefällt mir“