Sehr geehrter Herr Lindenberg,

 

im Anhang finden Sie die Dokumente wie gewünscht im ZIP Format. Das Passwort wird Ihnen in den nächsten Tagen per Briefpost an Ihre Adresse zugehen.

 

Die Herkunft der Daten bei Skills/Fähigkeiten und Rollen haben wir Ihrem CV entnommen. Dies erfolgt durch unser Rekrutierungsteam, das Ihren CV auswertet.

 

IDnow liegen keine Daten vor, die wir Ihnen nicht bereits im Rahmen der Auskunft übermittelt haben.

 

Mit freundlichen Grüßen

 

USt-IdNr. DE 812871896

 

Sehr geehrte **********,

• mein Emailserver kann nicht nur TLS sondern sogar die von der Datenschutzkonferenz in https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf empfohlene qualifizierte Transportverschlüsselung. Wenn Ihr Emailprovider das auch kann – den Test können Sie gerne auf https://blog.lindenberg.one/EmailSicherheitsTest durchführen – dann brauchen Sie keine weitere Verschlüsselung. Andernfalls dürfen Sie mir ein Passwort auch gerne per Post schicken.
• Wen meinen Sie denn mit Expertinnen und Experten? Datenschützer oder andere Kunden? Sie wissen dass Artikel 32 nicht dispositiv ist (https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf)?
• Das Geburtsdatum ist in meinen Augen völlig untauglich als Passwort – Stellen Sie das bitte umgehend ab.
• Es ist nicht meine Aufgabe, Ihre unterschiedlichen, unvollständigen, und teilweise widersprüchlichen Informationen abzumischen.
• „exzessive Anträge“ – da müssen Sie im Einzelfall begründen warum Sie was weglassen, alles andere ist nicht transparent.
• Mich interessiert weniger die konkrete Anzahl der Monate und die Erklärung sondern woher Sie teilweise 1 (Monate) haben. Von mir haben Sie die Zahl nicht, also beauskunften Sie bitte die Herkunft oder Ableitung. Und auch woher die Rollen kommen und was sie bedeuten.
• Wenn Sie Rekrutierungsdaten nicht versenden sondern online zugänglich machen – dann haben Sie bestimmt ACLs oder Zugriffsprotokolle aus denen hervorgeht welchem Dritten sie die Daten zugänglich gemacht haben.
• Es handelt sich also tatsächlich um eine Protokolldatei? In welchen Abständen wird die auditiert? Der arme Auditor.
• Word halte ich jedenfalls nicht für ein „gängiges elektronisches Format“ im Sinne von Artikel 15 III Satz 3, und auch wenn ich Word verwende, die geschachtelten Dokumente waren nicht lesbar.
• Ich muss Ihnen widersprechen was IDnow angeht. Die Ident-ID ist immer noch abrufbar, oder die Informationen daraus wurden auf meinem Mobiltelefon ohne Zustimmung und damit unter Verletzung von §25 TTDSG gespeichert. Auch haben Sie mir nicht darlegt, warum dieses Verfahren durchgeführt werden sollte wenn es dann auch ohne zum Vertragsabschluss kam. Ich halte dieses Verfahren für rechtswidrig, auch weil ich in der App den AGBs und der Datenschutzerklärung von IDnow zustimmen muss, und weil Aufnahmen vom Personalausweis §20 Personalausweisgesetz widersprechen. Meine Einwilligung dazu haben Sie jedenfalls nicht eingeholt.
• Suchen sie in Ihrem Ticketsystem bitte nach der Nummer 1969261.
• Dafür dass irgendwer die DSGVO erfüllt – würden Sie dafür die Hand ins Feuer legen?

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

 

Sehr geehrter Herr Lindenberg,

 

vielen Dank für Ihre E-Mail. Gerne möchte ich wie folgt auf Ihre Punkte eingehen:

 

•           Unsere E-Mails sind TLS verschlüsselt, soweit Ihr Provider diese Verschlüsslung ebenfalls nutzt. Die Nutzung des Geburtsdatums wurde von vielen unserer Expertinnen und Experten als die für sie praktikabelste gewünscht und daher haben wir dies als Standard eingeführt, insbesondere in Fällen, in denen wir keine Mobiltelefonnummer gespeichert haben, um ein Passwort per SMS zukommen zu lassen. Gerne können Sie mir aber Ihre Mobilnummer überlassen, dann werde ich Ihnen weitere Dokumente so verschlüsseln, dass Sie das Passwort als SMS an Ihre Mobilnummer erhalten.

•           Die von Ihnen genannten Kategorien sind aus unserer Sicht in er „Erbringung von Rekrutierungsleistungen enthalten“. Ausführliche Auflistungen finden Sie dazu auch in unserer Datenschutzerklärung auf www.hays.de/datenschutz.

•           Alle von Ihnen genannten Unternehmen sind Auftragsverarbeiter. Alle von uns eingesetzten Drittanbieter halten sich an die DSGVO.

•           Hinsichtlich ausführlicher Löschfristen verweise ich auf unsere Datenschutzerklärung.

•           Bezüglich des Anwaltsgeheimnisses beziehen wir uns auf § 29 BDSG, können Ihnen aber bestätigen, dass Ihre Daten aktuell davon nicht berührt sind.

•           Unkenntlich machen bedeutet sprachlich aus unser Sicht ein schwärzen oder eine andere Form der Veränderung. Selbstverständlich werden die Daten selbst nicht „weg gelassen“.

•           Bitte entschuldigen Sie uns die sprachliche Unsauberkeit bei dem Punkt der „Dokument, die Sie bereits besitzen“. Damit wollen wir ausdrücken, dass wir exzessive Anträge ablehnen können, bzw. bestimmte Dokumente unseren Geschäftspartnern über unser Online-Self-Service zur Verfügung stellen und diese dort abrufbar sind. 

•           Sperrvermerk bedeutet, dass wir Sie bei bestimmten Firmen auf expliziten Kandidatenwunsch nicht vorstellen. Wünschen unsere Kandidaten beispielsweise aus etischen Gründen bei gewissen Unternehmen nicht vorgestellt zu werden, so werden wir dies dort eintragen. Der Zusatz „müsste er abklären“ bedeutet, dass im Gespräch mit Ihnen besprochen wurde, dass Sie sich noch Gedanken machen möchten, ob wir hier etwas aufnehmen sollen.

•           Wir haben in Ihrem Lebenslauf erkannt, dass sie bspw. in der Rolle „Partner“ 60 Monate Erfahrung haben.

•           Die Zahlen bei Skills bedeuten ebenfalls die Monate Erfahrung in diesem Bereich. Maximal bis zum Wert von 240. Eine detaillierte Erklärung ist in der Fußnote der Auskunft dazu enthalten.

•           Die Protokolldatei ist in der HTML Sprache ausgewiesen. Die Datei dient insbesondere der Eingabekontrolle und Kontrolle von vorhandenen Änderungen. Uns ist bewusst, dass es hierüber eine juristische Diskussion gibt, ob diese Teil der Auskunft sein muss oder nicht. Im Zuge der vollständigen Transparenz fügen wir diese vorsorglich immer bei.

•           Die Verwendung von Word-Dokumenten stammt auch aus dem vielfachen Wunsch von unseren Geschäftspartnern, da viele E-Mail-System passwortverschlüsselte Zip-Dateien nicht zulassen beziehungsweise Unternehmensrichtlinien das Öffnen von externen Zip-Dateien verbieten. Ihren Wunsch können wir jedoch nachvollziehen, daher können wir Ihnen die Dokumente nochmals per ZIP Datei zukommen lassen, wenn wir Ihre Rückmeldung zum ersten Punkt bezüglich des Passwortes erhalten haben.

•           Nicht erfolgreiche ID-Verfahren werden gelöscht.

•           Aufgrund des Dateinamens des Dokumentes hat unsere SPAM-Erkennung die automatische Verarbeitung der Datei verhindert. Die Datei wurde dann manuell händisch geprüft und in unser System übernommen. Sie ist auch in dem Word-Dokument enthalten gewesen bzw. nun aktuell im ZIP-Ordner.

•           In diesem Fall wurden diese Anfragen zu Mytime nicht im System gespeichert.

 

 

Mit freundlichen Grüßen

 

USt-IdNr. DE 812871896

 

Sehr geehrte **********, sehr geehrte Damen und Herren,

greifen Sie das zeitnah auf oder muss ich Beschwerde einreichen?

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

Sehr geehrte **********,

vielen Dank erstmal für die Erstellung der Auskunft. Allerdings muss ich beanstanden, dass

 

• die Verwendung des Geburtsdatums als Kennwort für die Dokumente – Word und PDF – ist in meinen Augen grob fahrlässig– mein Geburtsdatum ist auf meiner Webseite im Lebenslauf einsehbar und kein Geheimnis. Ich darf von Ihnen erwarten, dass Sie entweder qualifizierte Transportverschlüsselung verwenden, oder ein sicheres Passwort und Dokumente auf unterschiedlichen Kanälen übermitteln.
• die Liste der Zwecke und Datenkategorien in meinen Augen unvollständig ist. Mir fallen sofort Kommunikation aller Art, Vermittlungen (erfolgreich oder nicht), Verträge (mit und über mich), die Identitätsprüfung, und Ihre Zeiterfassung ein. Das erweckt in mir den Eindruck, dass Sie hier nachlässig Ihre Prozesse erfasst und kein vollständiges Verfahrensverzeichnis haben. Auch würde ich mir bei den Zwecken eine Zuordnung zu den Rechtsgrundlagen wünschen.
• die Liste der Empfänger und insbesondere Auftragsverarbeiter nicht vollständig bzw. nicht konkret genug ist. Sie setzen Mimecast, DocuSign und IDNow ein, die fehlen. Insbesondere bei Mimecast und DocuSign stellt sich dann auch die Frage des Transfers in Drittländer und ob die Standardvertragsklauseln ausreichen ist m.W. umstritten.
• die Speicherdauer sehr unspezifisch ist. Können Sie das bitte auf Zwecke und Kategorien runterbrechen?
• Sie sich auf „ausgeschlossene Daten“ berufen. Dabei
  • Duplikate – in der Tat dürfen Sie die weglassen, aber ich frage mich, wie Sie Duplikate zuverlässig ermitteln?
  • Anwaltsgeheimnis – auf welches Gesetz das der DSGVO vorginge wollen Sie sich da berufen?
  • … §15 IV DSGVO – das erlaubt nicht Daten auszuschließen sondern heißt dass Sie ggfs. Daten schwärzen müssen – Sie schreiben unkenntlich machen. Aber Sie lassen offen ob Sie alle Daten eingeschlossen und ggfs. unkenntlich gemacht haben oder ob Sie Daten weggelassen haben. Bitte klären Sie das auf.
  • „Dokumente, die Sie bereits besitzen..“ – da darf ich Ihnen widersprechen, das ist kein Grund die Auskunft unvollständig zu erteilen.
• ich nicht verstehe, was bedeutet
  • „Sperrvermerk - Müsste er abklären! (04/20)“
  • die Rolle „Partner“ und andere, und warum ich da teilweise nur 1 Monat stehen sehe.
  • Analog bei Skills – was bedeuten die Zahlen?
• Haben Sie eine Anleitung zum Verstehen der mehr als 2000 Seiten (vermutlich) Protokolldatei? Wie auditieren Sie dieses Protokoll? Oder welchen Zwecken dient es? Datensparsam scheint Ihr Ansatz jedenfalls nicht zu sein.
• Im Word Dokument kann ich keines der PDFs, kein XLS und kein PNG öffnen.  Überhaupt halte ich die Verwendung von Word problematisch. Stellen Sie doch bitte ein (verschlüsseltes) ZIP-Archiv zusammen.

?        In der Email vom 11.07.2022 08:54 soll ein Dokument Aktuelle.Informationen_09.04.2022_foZhGafrwS.pdf gelöscht sein. Warum löscht Hays ausgerechnet PDFs im Posteingang?

• Ich unterstelle, dass Sie über die Weitergabe von Daten Aufzeichnungen haben – ich habe aber keine in der Datenkopie gesehen
• Ich vermisse Informationen zu und die Daten aus der (gescheiterten) Identitätsprüfung bei IDnow.
• Ich vermisse auch die Fragen und Antworten die ich Hays zu Mytime gestellt habe.
• Ich vermisse eine nachvollziehbare Zuordnung zwischen den Datenkopien (soweit ich sie überhaupt öffnen konnte) und den Informationen nach Artikel 15 I + II DSGVO.

 

Ich bitte Sie, nachzubessern.

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

 

 

 

Guten Tag Herr Lindenberg,

 

Sie haben uns um Auskunft über die zu Ihrer Person von uns gespeicherten Daten gebeten.

 

Entsprechend Ihrer Anfrage teilen wir Ihnen mit, dass wir die in der Anlage aufgeführten Daten über Ihre Person gespeichert haben.

 

Das Passwort zum Öffnen der angehängten PDF- Datei ist Ihr Geburtsdatum im Format TTMMJJJJ.

 

Für Rückfragen stehe ich Ihnen gerne zur Verfügung.

 

 

Mit freundlichen Grüßen

 

 

USt-IdNr. DE 812871896

---------------------------------------------------------------------

Diese Nachricht (inklusive aller Anhänge) ist vertraulich und kann rechtlich geschützt sein. Wenn Sie nicht der beabsichtigte Empfänger sind, sollten Sie keinen Teil davon veröffentlichen, kopieren oder verwenden - bitte löschen Sie alle Kopien sofort und informieren Sie das Hays Service Team unter service@hays.de.

Bitte lesen Sie die Datenschutzerklärung von Hays, um mehr darüber zu erfahren, wie Hays Ihre Daten verarbeitet und wie Sie Ihre Datenschutzrechte ausüben können, einschließlich der Änderung Ihrer Marketingpräferenzen. Alternativ können Sie sich auch an unser Datenschutzteam unter datenschutz@hays.de wenden.

This message (including any attachments) is confidential and may be legally privileged. If you are not the intended recipient, you should not disclose, copy or use any part of it – please delete all copies immediately and notify the Hays Service team at service@hays.de. 

Please read the Hays Privacy Policy to understand more about how Hays processes your data and how to exercise your privacy rights, including changing your marketing preferences. Alternatively please write to our Data Protection Team at the following address: datenschutz@hays.de.

---------------------------------------------------------------------

---------------------------------------------------------------------

Diese Nachricht (inklusive aller Anhänge) ist vertraulich und kann rechtlich geschützt sein. Wenn Sie nicht der beabsichtigte Empfänger sind, sollten Sie keinen Teil davon veröffentlichen, kopieren oder verwenden - bitte löschen Sie alle Kopien sofort und informieren Sie das Hays Service Team unter service@hays.de.

Bitte lesen Sie die Datenschutzerklärung von Hays, um mehr darüber zu erfahren, wie Hays Ihre Daten verarbeitet und wie Sie Ihre Datenschutzrechte ausüben können, einschließlich der Änderung Ihrer Marketingpräferenzen. Alternativ können Sie sich auch an unser Datenschutzteam unter datenschutz@hays.de wenden.

This message (including any attachments) is confidential and may be legally privileged. If you are not the intended recipient, you should not disclose, copy or use any part of it – please delete all copies immediately and notify the Hays Service team at service@hays.de. 

Please read the Hays Privacy Policy to understand more about how Hays processes your data and how to exercise your privacy rights, including changing your marketing preferences. Alternatively please write to our Data Protection Team at the following address: datenschutz@hays.de.

---------------------------------------------------------------------