Abt. Mogelpackung? - heute: Bewerbung per Web


@umantis heisst eine sanktgaller Firma, die für Personalabteilungen ein webbasiertes Bewerbungssystem anbietet als Dienstleistung. umantis gehört seit Ende Februar 2012 der deutschen "Haufe" (Agenturmeldung der SDA bei der NZZ). Firma XY kauft bei umantis / Haufe den Service ein und ab da können / müssen sich alle per Web bewerben. Sprich: Auf einem für die Firma XY angepassten Webauftritt die Personalien angeben, ein Benutzerkonto anlegen und dazu die Bewerbungsunterlagen hochladen. Die Personalabteilung der Firma XY erhält im Backend des Systems per Browser einen CMS-ähnlichen Zugriff auf die eingegangenen Bewerbungsunterlagen.

Die Website hat allermeistens eine Adresse der Form:

https : // recruitingapp-12345 . umantis . com

Wobei 12345 eine drei-, vier- oder fünfstellige Zahl sein kann. Den Web-Service von umantis nutzen z.B. Generali, ELCO, Ringier, BKS, SRF, RSI, Clariant. Und viele andere. Typischerweise sieht die Webseite, auf der die Bewerbung einzureichen ist aus, wie eine Webseite der Firma, die die Stelle ausschreibt. Bsp. Clariant:

Nur wer genau hinsieht, erkennt, dass der Link zum Bewerbungsformular von einer *.umantis.com-Site kommt:

Sehr ähnlich z.B. bei Ringier (und anderen):

Optisch geben die Seiten vor, zu Ringier, Clariant (versteckt in einem "iframe"), SRF etc. zu gehören. Technisch sind sie ein Teil der Domain "umantis.com", was nur sieht, wer die Adresszeile beobachtet. In anderen Zusammenhängen würde man dieses Vorgehen vielleicht "phishing" nennen: "Typisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Stelle." (Wikipedia)

Die IP-Adresse aller oben erwähnten Bewerbungsseiten, vermutlich sogar aller Sites mit der Adressstruktur

https : // recruitingapp-12345 . umantis . com

ist 213.188.250.100 Das legt den Schluss nahe, dass die Unterlangen aller Bewerberinnen und Bewerber der Firmen, die den Service von umantis / Haufe eingekauft haben, auf ein und demselben Server / Cluster liegen. Kaum eine der Firmen, die ihre Stellenausschreibungen und -bewerbungseingänge mit dem System von umantis verwalten, macht frühzeitig und deutlich klar, dass die sehr persönlichen Daten und Unterlagen, die die BewerberInnen hochladen NICHT bei ihr auf firmeneigener Hardware gelagert werden. Sondern auf der IT-Infrastruktur von umantis. Lediglich in der unteren Seitenhälfe, rechts, taucht jeweils ein kleiner, leicht zu übersehender Hinweis auf: "a solution by umantis". Ausnahme: Clariant im zweiten Satz der "Datenschutzerkärung".

Die "Datenschutzerklärungen" der verschiedenen Firmen gleichen sich, mit kleinen Abweichungen, wie ein Ei dem anderen. Als Bsp.: Hier die von Ringier. Den Erklärungen kann man vertrauen. Oder auch nicht.

Fakt bleibt: Die Bewerbungsunterlagen von vermutlich tausenden von Menschen liegen alle auf denselben umantis-Servern. umantis behauptet von sich selber in der NZZ, "mehr als die Hälfte der Stellensuchenden in der Schweiz" hätten sich mindestens einmal "über die Software von Umantis bei Schweizer Unternehmen beworben". Das heisst folglich auch, dass alle diese Daten auf derselben umantis-IT liegen. Und die allermeisten BewerberInnen, vermutlich 99.9%, wissen nichts davon.


Kein Phishing

Hallo Herr Tschudin

Vielen Dank für Ihre Berichterstattung über umantis. Erlauben Sie mir bitte, etwas richtig zu stellen.

Die Daten der Bewerbungen "gehören" den jeweiligen Kunden - bzw. genauer gesagt den Bewerbern/Bewerberinnnen, die ihre Daten unseren Kunden für den Zweck der Bewerbung überlassen.

Als umantis speichern wir diese Daten im Auftrag unserer Kunden. Wir selbst nutzen diese Daten selbstverständlich nicht. Somit geben wir nicht vor, einer unserer Kunden zu sein, um damit auf Fischzug ("Phishing") nach Daten zu gehen.

Wir betreiben diese Art der Dienstleistung seit 12 Jahren, die heute Software-as-a-Service genannt wird. Dabei ist es üblich, dass die Lösung über das Internet (Cloud) bezogen und in einem Rechenzentrum betrieben wird. Diese Art der Software-Nutzung wird zunehmend verbreiteter (z.B. Salesforce für Marketing/Verkauf, Gmail für Mails von Unternehmen, Wordpress für Blogs etc.)

Ihren Hinweis nehmen wir sehr gerne auf. Ich habe unsere Datenschutzbeauftragte gebeten zu überprüfen, ob unsere Vorlage für Datenschutzerklärungen einen klaren Hinweis auf das Speichern der Daten in einem Rechenzentrum der umantis AG beinhaltet.

Am Schluss ist der Kunde selbst dafür verantwortlich, welche Datenschutzerklärung er in seiner Lösung veröffentlicht. Ich nehme an (ohne dies vollständig überprüft zu haben), dass ein Grossteil unserer Kunden dies in der einen oder anderen Form angibt.

Beste Grüsse
Hermann Arnold, umantis AG

... Link

Lieber Herr Arnold,

Besten Dank für Ihren Zusatz! Sie sehen die - aus Nutzerperspektive - meist plusminus selbstgewählte Verwendung von Gmail, wordpress.com oder salesforce als dasselbe an, wie die häufig für BewerberInnen alternativlose online-Bewerbung, wenn ich Sie recht verstehe. Nun ja. Wir müssen ja da nicht gleicher Meinung sein.

Zum Thema "phishing": Ich würde nie behaupten, Sie seien in böser Absicht aktiv in der Hinsicht. Aber strukturell erinnert die sich umantis-systembedingt ergebende Diskrepanz zwischen optischem Eindruck und technischer Tatsache nun mal an jenes so heissende Vorgehen.

Zum Thema Datenschutz: Ich hoffe, all die HR-Leute, die Ihr System nutzen, sind so sorgfältig im Umgang mit ihren Zugangsdaten zum Webinterface von umantis, wie Sie mit den tausenden von Bewerbungsunterlagen in Ihrem Keller...

mit beste Grüssen

P.T.

... link


... Comment
geht vielleicht ins gleiche Kapitel

Eine gute Freundin von mir - notabene mit Hochschulabschluss - hat sich online für eine Teilzeitstelle beworben bei einer Schweizer Bank. Darauf hin bekam sie einen Anruf, dass man ihr die gewünschte Stelle nicht anbieten kann, aber man noch Trämli-Führerin suchen würde.

Vermutlich hat sie irgendwo geklickt, dass sie mit den Datenschutzbestimmungen einverstanden ist. Vermutlich hat dies alles seine Richtigkeit. Schliesslich haben Banken ja zig Juristen beschäftigt. Nur: Sie war irritiert. Und ich kann dies verstehen.

... Link


... Comment

Read more infamous news! 
 
infamous for 6142 Days
Sperrfrist: 18.05.19 17:07

Kontakt:
infamy-Kollektiv
Basel
E-Mail



status
Youre not logged in ... Login

menu
... infamy home
... such!
... topics
... 
... Home
... Tags

... antville home
... disclaimer


Mai 2019
MoDiMiDoFrSaSo
12345
6789101112
13141516171819
20212223242526
2728293031
Januar




Für die Kaffeekasse:
Neuzugänge:
Abt. Daten und Marketing Stellt
sich die Frage was gutes Marketing ist. Die Meinungen darüber...
by morrow (18.05.19 17:07)
Abt. Nachsprung durch Technikoutsourcing Weil
die Batterie- und Motorenlieferung nicht klappt, verzögert sich die Auslieferung...
by morrow (20.04.19 12:48)
Abt. Vorsprung durch Technik? Obwohl
der Audi e-tron immer noch nicht lieferbar ist, fahren ein...
by morrow (23.02.19 19:57)
Abt. Gib alles! refurnishment Tamedia-Chef
und Verlegerpräsident Supino fordert die Anhebung der bisherigen staatlichen indirekten...
by bagger (14.01.19 10:32)
Abt. S Nöischt vom Ankündigungsweltmeister
VW „Wir werden 2020 kommen mit Fahrzeugen, die alles können...
by morrow (15.12.18 21:45)
Abt. Wie funktioniert eigentlich Lobbying?
Heute mit Martin Schläpfer der "Freizeit für Parlamentarier" organisiert.
by morrow (15.12.18 21:40)
Abt. Status Primeur - die
Ente für alle Wer kennt sie nicht - die winterlichen...
by morrow (24.10.18 07:24)
Luxpark Luxemburg Everything was excellent.
I especially enjoyed the breakfast. Make your own waffles. The...
by Luxpark (23.10.18 21:28)