Abt. Mogelpackung? - heute: Bewerbung per Web


@umantis heisst eine sanktgaller Firma, die für Personalabteilungen ein webbasiertes Bewerbungssystem anbietet als Dienstleistung. umantis gehört seit Ende Februar 2012 der deutschen "Haufe" (Agenturmeldung der SDA bei der NZZ). Firma XY kauft bei umantis / Haufe den Service ein und ab da können / müssen sich alle per Web bewerben. Sprich: Auf einem für die Firma XY angepassten Webauftritt die Personalien angeben, ein Benutzerkonto anlegen und dazu die Bewerbungsunterlagen hochladen. Die Personalabteilung der Firma XY erhält im Backend des Systems per Browser einen CMS-ähnlichen Zugriff auf die eingegangenen Bewerbungsunterlagen.

Die Website hat allermeistens eine Adresse der Form:

https : // recruitingapp-12345 . umantis . com

Wobei 12345 eine drei-, vier- oder fünfstellige Zahl sein kann. Den Web-Service von umantis nutzen z.B. Generali, ELCO, Ringier, BKS, SRF, RSI, Clariant. Und viele andere. Typischerweise sieht die Webseite, auf der die Bewerbung einzureichen ist aus, wie eine Webseite der Firma, die die Stelle ausschreibt. Bsp. Clariant:

Nur wer genau hinsieht, erkennt, dass der Link zum Bewerbungsformular von einer *.umantis.com-Site kommt:

Sehr ähnlich z.B. bei Ringier (und anderen):

Optisch geben die Seiten vor, zu Ringier, Clariant (versteckt in einem "iframe"), SRF etc. zu gehören. Technisch sind sie ein Teil der Domain "umantis.com", was nur sieht, wer die Adresszeile beobachtet. In anderen Zusammenhängen würde man dieses Vorgehen vielleicht "phishing" nennen: "Typisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Stelle." (Wikipedia)

Die IP-Adresse aller oben erwähnten Bewerbungsseiten, vermutlich sogar aller Sites mit der Adressstruktur

https : // recruitingapp-12345 . umantis . com

ist 213.188.250.100 Das legt den Schluss nahe, dass die Unterlangen aller Bewerberinnen und Bewerber der Firmen, die den Service von umantis / Haufe eingekauft haben, auf ein und demselben Server / Cluster liegen. Kaum eine der Firmen, die ihre Stellenausschreibungen und -bewerbungseingänge mit dem System von umantis verwalten, macht frühzeitig und deutlich klar, dass die sehr persönlichen Daten und Unterlagen, die die BewerberInnen hochladen NICHT bei ihr auf firmeneigener Hardware gelagert werden. Sondern auf der IT-Infrastruktur von umantis. Lediglich in der unteren Seitenhälfe, rechts, taucht jeweils ein kleiner, leicht zu übersehender Hinweis auf: "a solution by umantis". Ausnahme: Clariant im zweiten Satz der "Datenschutzerkärung".

Die "Datenschutzerklärungen" der verschiedenen Firmen gleichen sich, mit kleinen Abweichungen, wie ein Ei dem anderen. Als Bsp.: Hier die von Ringier. Den Erklärungen kann man vertrauen. Oder auch nicht.

Fakt bleibt: Die Bewerbungsunterlagen von vermutlich tausenden von Menschen liegen alle auf denselben umantis-Servern. umantis behauptet von sich selber in der NZZ, "mehr als die Hälfte der Stellensuchenden in der Schweiz" hätten sich mindestens einmal "über die Software von Umantis bei Schweizer Unternehmen beworben". Das heisst folglich auch, dass alle diese Daten auf derselben umantis-IT liegen. Und die allermeisten BewerberInnen, vermutlich 99.9%, wissen nichts davon.


Kein Phishing

Hallo Herr Tschudin

Vielen Dank für Ihre Berichterstattung über umantis. Erlauben Sie mir bitte, etwas richtig zu stellen.

Die Daten der Bewerbungen "gehören" den jeweiligen Kunden - bzw. genauer gesagt den Bewerbern/Bewerberinnnen, die ihre Daten unseren Kunden für den Zweck der Bewerbung überlassen.

Als umantis speichern wir diese Daten im Auftrag unserer Kunden. Wir selbst nutzen diese Daten selbstverständlich nicht. Somit geben wir nicht vor, einer unserer Kunden zu sein, um damit auf Fischzug ("Phishing") nach Daten zu gehen.

Wir betreiben diese Art der Dienstleistung seit 12 Jahren, die heute Software-as-a-Service genannt wird. Dabei ist es üblich, dass die Lösung über das Internet (Cloud) bezogen und in einem Rechenzentrum betrieben wird. Diese Art der Software-Nutzung wird zunehmend verbreiteter (z.B. Salesforce für Marketing/Verkauf, Gmail für Mails von Unternehmen, Wordpress für Blogs etc.)

Ihren Hinweis nehmen wir sehr gerne auf. Ich habe unsere Datenschutzbeauftragte gebeten zu überprüfen, ob unsere Vorlage für Datenschutzerklärungen einen klaren Hinweis auf das Speichern der Daten in einem Rechenzentrum der umantis AG beinhaltet.

Am Schluss ist der Kunde selbst dafür verantwortlich, welche Datenschutzerklärung er in seiner Lösung veröffentlicht. Ich nehme an (ohne dies vollständig überprüft zu haben), dass ein Grossteil unserer Kunden dies in der einen oder anderen Form angibt.

Beste Grüsse
Hermann Arnold, umantis AG

... Link

Lieber Herr Arnold,

Besten Dank für Ihren Zusatz! Sie sehen die - aus Nutzerperspektive - meist plusminus selbstgewählte Verwendung von Gmail, wordpress.com oder salesforce als dasselbe an, wie die häufig für BewerberInnen alternativlose online-Bewerbung, wenn ich Sie recht verstehe. Nun ja. Wir müssen ja da nicht gleicher Meinung sein.

Zum Thema "phishing": Ich würde nie behaupten, Sie seien in böser Absicht aktiv in der Hinsicht. Aber strukturell erinnert die sich umantis-systembedingt ergebende Diskrepanz zwischen optischem Eindruck und technischer Tatsache nun mal an jenes so heissende Vorgehen.

Zum Thema Datenschutz: Ich hoffe, all die HR-Leute, die Ihr System nutzen, sind so sorgfältig im Umgang mit ihren Zugangsdaten zum Webinterface von umantis, wie Sie mit den tausenden von Bewerbungsunterlagen in Ihrem Keller...

mit beste Grüssen

P.T.

... link


... Comment
geht vielleicht ins gleiche Kapitel

Eine gute Freundin von mir - notabene mit Hochschulabschluss - hat sich online für eine Teilzeitstelle beworben bei einer Schweizer Bank. Darauf hin bekam sie einen Anruf, dass man ihr die gewünschte Stelle nicht anbieten kann, aber man noch Trämli-Führerin suchen würde.

Vermutlich hat sie irgendwo geklickt, dass sie mit den Datenschutzbestimmungen einverstanden ist. Vermutlich hat dies alles seine Richtigkeit. Schliesslich haben Banken ja zig Juristen beschäftigt. Nur: Sie war irritiert. Und ich kann dies verstehen.

... Link


... Comment

Read more infamous news! 
 
infamous for 6748 Days
Sperrfrist: 09.01.21 10:32

Kontakt:
infamy-Kollektiv
Basel
E-Mail



status
Youre not logged in ... Login

menu
... infamy home
... such!
... topics
... 
... Home
... Tags

... antville home
... disclaimer


Januar 2021
MoDiMiDoFrSaSo
123
45678910
11121314151617
18192021222324
25262728293031
Dezember




Für die Kaffeekasse:
Neuzugänge:
Abt. Journalismus 2021 - Whistleblowers
willkommen Aus Anlass zum 20 jährigen Jubiläum, dass drei vierhundert...
by morrow (09.01.21 10:32)
Abt. Investieren mit infamy Bei
infamy gab es schon 2006 Berichte über Tesla, inzwischen hat...
by morrow (08.01.21 21:52)
Abt. Freitagskino - Perlen des
Journalismus III Paul Schreyer präsentiert historische Fakten der letzten Jahrzehnte...
by morrow (08.01.21 21:09)
Abt. One more Eine Mountainversion
die bestens für die Schweiz geeignet wäre.
by morrow (12.12.20 16:32)
Abt. WTF "Der Bundesrat will
die Corona-Massnahmen in zwei Stufen verschärfen. Ab 12. Dezember sollen...
by morrow (08.12.20 20:04)
Abt. Alles für den Bauer
Landwirtschaft schützt das Land - oder etwa nicht? In der...
by morrow (07.12.20 20:38)
Abt."Wahrheit als Waffe" "Moderate
Gewissheit". Wo sind eigentlich all die Journalisten die sich bei der...
by morrow (29.11.20 07:18)
Abt. Times are changing oder
wer nicht mit der Zeit geht, geht mit der Zeit....
by morrow (24.11.20 21:02)