Beschwerde Hays

Hays ist ein Personaldienstleister. Ende Juli stand ich in Verhandlungen mit Hays, und musste beobachten, wie IDnow, DocuSign, und anderes verwendet wurde, und das ingesamt mehr Fragen als Antworten aufwarf. Am 2.7. habe ich eine Auskunft angefordert.

Die Antwort kam dann am 01.08 und es ging dabei bei Hays einiges schief:

• Man verwendet keine qualifzierte Transportverschlüsselung bei Email – siehe Email-Verschlüsselung und erfüllt damit nicht das gebotene Sicherheitsniveau.
• Man verwendet den Geburtstag als Verschlüsselungspasswort und schreibt das auch noch in der gleichen Mail mit den verschlüsselten Anhängen. Das ist unprofessionell, unsicher, und verstößt gegen Artikel 32 DSGVO – mehr dazu auf Unsinnige Verifikationen. Auch behauptet man, das sei auf Basis von Wünschen von Betroffen so gemacht worden. Die sind aber was Artikel 32 angeht ein untauglicher Ratgeber – siehe Ist Artikel 32 DSGVO dispositiv – und von manchen offensichtlich Unwissenden auf alle zu verallgemeinern ist da nicht statthaft. Ich habe jedenfalls nicht aktiv gewünscht, meine Daten unsicher zu übertragen. Auch darf ich unterstellen, dass man nur bei mir jetzt ein neues Passwort per Post übermittelt und das nicht generell praktiziert wird,
• Die Informationen nach Artikel 15 I und II sind oberflächlich und unspezifisch. Insbesondere keine transparenten Informationen zu Löschfristen und zur Weitergabe an Dritte. Da darf ich mehr erwarten. Mehr dazu in der Email vom 01.08.
• Man setzt IDnow zur Identitätsprüfung ein, aber ohne dass es dafür eine Rechtsgrundlage gibt und ohne dass man wirklich kontrolliert was IDnow tut. Zu IDnow habe ich auch Beschwerde beim Bayerische Landesamt für Datenschutzaufsicht eingelegt, die wurde aber abgelehnt. U.a. mit der Begründung, der Verantwortliche sei zuständig. Fragen zu IDnow wurden nicht ernsthaft beantwortet. Auch hat Hays nicht erklären können, warum überhaupt eine Identitätsprüfung angestoßen wurde.
• Man verwendet ein HTML-basiertes Protokoll (über 2000 Seiten), das in meinen Augen für Auditzwecke ungeignet ist und die Verarbeitung auch nicht ernsthaft transparent zeigt. Man druckt das auch noch in PDF aus, als ob man sicherstellen möchte, dass man es nicht automatisch verarbeitet haben möchte.
• Man verwendet Word als Containerformat, aber irgendwie so, dass die Dokumente nicht lesbar sind. Word betrachte ich nicht als ein gängiges elektronisches Format im Sinne von Artikel 15 III Satz 3.
• Man speichert unzählige veraltete Versionen von Dokumenten (siehe Email vom 15.08), was meinem Verständnis von Artikel 5 I lit. c auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein und lit. d sachlich richtig und erforderlichenfalls auf dem neuesten Stand verstößt.
• Die Auskunft ist auch nicht vollständig, insbesondere fehlen alle Weitergaben an Dritte und die Kommunikation mit diesen.

Kommunikation (Auszug)