Von: Joachim Lindenberg <******@lindenberg.one>
Gesendet: 08.08.2022 16:57
An: '***********' <*************@hays.de>
Betreff: AW: Auskunftsbegehren ##1992943##
Sehr geehrte **********,
* mein Emailserver kann nicht nur TLS sondern sogar die von der
Datenschutzkonferenz in
https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungs
hilfe_e_mail_verschluesselung.pdf empfohlene qualifizierte
Transportverschlüsselung. Wenn Ihr Emailprovider das auch kann – den Test
können Sie gerne auf https://blog.lindenberg.one/EmailSicherheitsTest
durchführen – dann brauchen Sie keine weitere Verschlüsselung. Andernfalls
dürfen Sie mir ein Passwort auch gerne per Post schicken.
* Wen meinen Sie denn mit Expertinnen und Experten? Datenschützer
oder andere Kunden? Sie wissen dass Artikel 32 nicht dispositiv ist
(https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Besc
hluss_Verzicht_auf_TOMs.pdf)?
* Das Geburtsdatum ist in meinen Augen völlig untauglich als
Passwort – Stellen Sie das bitte umgehend ab.
* Es ist nicht meine Aufgabe, Ihre unterschiedlichen,
unvollständigen, und teilweise widersprüchlichen Informationen
abzumischen.
* „exzessive Anträge“ – da müssen Sie im Einzelfall begründen warum
Sie was weglassen, alles andere ist nicht transparent.
* Mich interessiert weniger die konkrete Anzahl der Monate und die
Erklärung sondern woher Sie teilweise 1 (Monate) haben. Von mir haben Sie
die Zahl nicht, also beauskunften Sie bitte die Herkunft oder Ableitung.
Und auch woher die Rollen kommen und was sie bedeuten.
* Wenn Sie Rekrutierungsdaten nicht versenden sondern online
zugänglich machen – dann haben Sie bestimmt ACLs oder Zugriffsprotokolle
aus denen hervorgeht welchem Dritten sie die Daten zugänglich gemacht
haben.
* Es handelt sich also tatsächlich um eine Protokolldatei? In
welchen Abständen wird die auditiert? Der arme Auditor.
* Word halte ich jedenfalls nicht für ein „gängiges elektronisches
Format“ im Sinne von Artikel 15 III Satz 3, und auch wenn ich Word
verwende, die geschachtelten Dokumente waren nicht lesbar.
* Ich muss Ihnen widersprechen was IDnow angeht. Die Ident-ID ist
immer noch abrufbar, oder die Informationen daraus wurden auf meinem
Mobiltelefon ohne Zustimmung und damit unter Verletzung von §25 TTDSG
gespeichert. Auch haben Sie mir nicht darlegt, warum dieses Verfahren
durchgeführt werden sollte wenn es dann auch ohne zum Vertragsabschluss
kam. Ich halte dieses Verfahren für rechtswidrig, auch weil ich in der App
den AGBs und der Datenschutzerklärung von IDnow zustimmen muss, und weil
Aufnahmen vom Personalausweis §20 Personalausweisgesetz widersprechen.
Meine Einwilligung dazu haben Sie jedenfalls nicht eingeholt.
* Suchen sie in Ihrem Ticketsystem bitte nach der Nummer 1969261.
* Dafür dass irgendwer die DSGVO erfüllt – würden Sie dafür die Hand
ins Feuer legen?
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: *********** <>
Gesendet: Montag, 8. August 2022 16:08
An: Joachim Lindenberg <******@lindenberg.one>
Cc: _Datenschutz <datenschutz@hays.de>
Betreff: AW: Auskunftsbegehren ##1992943##
Sehr geehrter Herr Lindenberg,
vielen Dank für Ihre E-Mail. Gerne möchte ich wie folgt auf Ihre Punkte
eingehen:
• Unsere E-Mails sind TLS verschlüsselt, soweit Ihr Provider
diese Verschlüsslung ebenfalls nutzt. Die Nutzung des Geburtsdatums wurde
von vielen unserer Expertinnen und Experten als die für sie praktikabelste
gewünscht und daher haben wir dies als Standard eingeführt, insbesondere
in Fällen, in denen wir keine Mobiltelefonnummer gespeichert haben, um ein
Passwort per SMS zukommen zu lassen. Gerne können Sie mir aber Ihre
Mobilnummer überlassen, dann werde ich Ihnen weitere Dokumente so
verschlüsseln, dass Sie das Passwort als SMS an Ihre Mobilnummer erhalten.
• Die von Ihnen genannten Kategorien sind aus unserer Sicht in
er „Erbringung von Rekrutierungsleistungen enthalten“. Ausführliche
Auflistungen finden Sie dazu auch in unserer Datenschutzerklärung auf
<http://www.hays.de/datenschutz> www.hays.de/datenschutz.
• Alle von Ihnen genannten Unternehmen sind
Auftragsverarbeiter. Alle von uns eingesetzten Drittanbieter halten sich
an die DSGVO.
• Hinsichtlich ausführlicher Löschfristen verweise ich auf
unsere Datenschutzerklärung.
• Bezüglich des Anwaltsgeheimnisses beziehen wir uns auf § 29
BDSG, können Ihnen aber bestätigen, dass Ihre Daten aktuell davon nicht
berührt sind.
• Unkenntlich machen bedeutet sprachlich aus unser Sicht ein
schwärzen oder eine andere Form der Veränderung. Selbstverständlich werden
die Daten selbst nicht „weg gelassen“.
• Bitte entschuldigen Sie uns die sprachliche Unsauberkeit bei
dem Punkt der „Dokument, die Sie bereits besitzen“. Damit wollen wir
ausdrücken, dass wir exzessive Anträge ablehnen können, bzw. bestimmte
Dokumente unseren Geschäftspartnern über unser Online-Self-Service zur
Verfügung stellen und diese dort abrufbar sind.
• Sperrvermerk bedeutet, dass wir Sie bei bestimmten Firmen auf
expliziten Kandidatenwunsch nicht vorstellen. Wünschen unsere Kandidaten
beispielsweise aus etischen Gründen bei gewissen Unternehmen nicht
vorgestellt zu werden, so werden wir dies dort eintragen. Der Zusatz
„müsste er abklären“ bedeutet, dass im Gespräch mit Ihnen besprochen
wurde, dass Sie sich noch Gedanken machen möchten, ob wir hier etwas
aufnehmen sollen.
• Wir haben in Ihrem Lebenslauf erkannt, dass sie bspw. in der
Rolle „Partner“ 60 Monate Erfahrung haben.
• Die Zahlen bei Skills bedeuten ebenfalls die Monate Erfahrung
in diesem Bereich. Maximal bis zum Wert von 240. Eine detaillierte
Erklärung ist in der Fußnote der Auskunft dazu enthalten.
• Die Protokolldatei ist in der HTML Sprache ausgewiesen. Die
Datei dient insbesondere der Eingabekontrolle und Kontrolle von
vorhandenen Änderungen. Uns ist bewusst, dass es hierüber eine juristische
Diskussion gibt, ob diese Teil der Auskunft sein muss oder nicht. Im Zuge
der vollständigen Transparenz fügen wir diese vorsorglich immer bei.
• Die Verwendung von Word-Dokumenten stammt auch aus dem
vielfachen Wunsch von unseren Geschäftspartnern, da viele E-Mail-System
passwortverschlüsselte Zip-Dateien nicht zulassen beziehungsweise
Unternehmensrichtlinien das Öffnen von externen Zip-Dateien verbieten.
Ihren Wunsch können wir jedoch nachvollziehen, daher können wir Ihnen die
Dokumente nochmals per ZIP Datei zukommen lassen, wenn wir Ihre
Rückmeldung zum ersten Punkt bezüglich des Passwortes erhalten haben.
• Nicht erfolgreiche ID-Verfahren werden gelöscht.
• Aufgrund des Dateinamens des Dokumentes hat unsere
SPAM-Erkennung die automatische Verarbeitung der Datei verhindert. Die
Datei wurde dann manuell händisch geprüft und in unser System übernommen.
Sie ist auch in dem Word-Dokument enthalten gewesen bzw. nun aktuell im
ZIP-Ordner.
• In diesem Fall wurden diese Anfragen zu Mytime nicht im
System gespeichert.
Mit freundlichen Grüßen
***********
Legal Assistant
HAYS Working for your tomorrow
Think green. Keep it on the screen.
Hays AG
Willy-Brandt-Platz 1-3
68161 Mannheim
T: <tel:+4962117881964> +49 621 1788 1964
F: <tel:+4962117881299> +49 621 1788 1299
E: <mailto:*************@hays.de> *************@hays.de
hays.de
Hays Aktiengesellschaft
Vorstand: Dirk Hahn (Vorsitzender), Christoph Niewerth, Markus Auer,
Alexander Heise
Vorsitzender Aufsichtsrat: Alistair Cox
Sitz der Gesellschaft: Mannheim
Amtsgericht Mannheim, HRB 8258
USt-IdNr. DE 812871896
Von: Joachim Lindenberg < <mailto:******@lindenberg.one>
******@lindenberg.one>
Gesendet: Freitag, 5. August 2022 11:28
An: *********** < <mailto:*************@hays.de> *************@hays.de>;
_Datenschutz < <mailto:datenschutz@hays.de> datenschutz@hays.de>
Betreff: AW: Auskunftsbegehren ##1992943##
Sehr geehrte **********, sehr geehrte Damen und Herren,
greifen Sie das zeitnah auf oder muss ich Beschwerde einreichen?
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: Joachim Lindenberg <>
Gesendet: Montag, 1. August 2022 21:21
An: '***********' < <mailto:*************@hays.de>
*************@hays.de>; <mailto:datenschutz@hays.de> datenschutz@hays.de
Betreff: AW: Auskunftsbegehren ##1992943##
Sehr geehrte **********,
vielen Dank erstmal für die Erstellung der Auskunft. Allerdings muss ich
beanstanden, dass
* die Verwendung des Geburtsdatums als Kennwort für die Dokumente –
Word und PDF – ist in meinen Augen grob fahrlässig– mein Geburtsdatum ist
auf meiner Webseite im Lebenslauf einsehbar und kein Geheimnis. Ich darf
von Ihnen erwarten, dass Sie entweder qualifizierte
Transportverschlüsselung verwenden, oder ein sicheres Passwort und
Dokumente auf unterschiedlichen Kanälen übermitteln.
* die Liste der Zwecke und Datenkategorien in meinen Augen
unvollständig ist. Mir fallen sofort Kommunikation aller Art,
Vermittlungen (erfolgreich oder nicht), Verträge (mit und über mich), die
Identitätsprüfung, und Ihre Zeiterfassung ein. Das erweckt in mir den
Eindruck, dass Sie hier nachlässig Ihre Prozesse erfasst und kein
vollständiges Verfahrensverzeichnis haben. Auch würde ich mir bei den
Zwecken eine Zuordnung zu den Rechtsgrundlagen wünschen.
* die Liste der Empfänger und insbesondere Auftragsverarbeiter nicht
vollständig bzw. nicht konkret genug ist. Sie setzen Mimecast, DocuSign
und IDNow ein, die fehlen. Insbesondere bei Mimecast und DocuSign stellt
sich dann auch die Frage des Transfers in Drittländer und ob die
Standardvertragsklauseln ausreichen ist m.W. umstritten.
* die Speicherdauer sehr unspezifisch ist. Können Sie das bitte auf
Zwecke und Kategorien runterbrechen?
* Sie sich auf „ausgeschlossene Daten“ berufen. Dabei
* Duplikate – in der Tat dürfen Sie die weglassen, aber ich frage
mich, wie Sie Duplikate zuverlässig ermitteln?
* Anwaltsgeheimnis – auf welches Gesetz das der DSGVO vorginge
wollen Sie sich da berufen?
* … §15 IV DSGVO – das erlaubt nicht Daten auszuschließen sondern
heißt dass Sie ggfs. Daten schwärzen müssen – Sie schreiben unkenntlich
machen. Aber Sie lassen offen ob Sie alle Daten eingeschlossen und ggfs.
unkenntlich gemacht haben oder ob Sie Daten weggelassen haben. Bitte
klären Sie das auf.
* „Dokumente, die Sie bereits besitzen..“ – da darf ich Ihnen
widersprechen, das ist kein Grund die Auskunft unvollständig zu erteilen.
* ich nicht verstehe, was bedeutet
* „Sperrvermerk - Müsste er abklären! (04/20)“
* die Rolle „Partner“ und andere, und warum ich da teilweise nur 1
Monat stehen sehe.
* Analog bei Skills – was bedeuten die Zahlen?
* Haben Sie eine Anleitung zum Verstehen der mehr als 2000 Seiten
(vermutlich) Protokolldatei? Wie auditieren Sie dieses Protokoll? Oder
welchen Zwecken dient es? Datensparsam scheint Ihr Ansatz jedenfalls nicht
zu sein.
* Im Word Dokument kann ich keines der PDFs, kein XLS und kein PNG
öffnen. Überhaupt halte ich die Verwendung von Word problematisch.
Stellen Sie doch bitte ein (verschlüsseltes) ZIP-Archiv zusammen.
* In der Email vom 11.07.2022 08:54 soll ein Dokument
Aktuelle.Informationen_09.04.2022_foZhGafrwS.pdf gelöscht sein. Warum
löscht Hays ausgerechnet PDFs im Posteingang?
* Ich unterstelle, dass Sie über die Weitergabe von Daten
Aufzeichnungen haben – ich habe aber keine in der Datenkopie gesehen
* Ich vermisse Informationen zu und die Daten aus der
(gescheiterten) Identitätsprüfung bei IDnow.
* Ich vermisse auch die Fragen und Antworten die ich Hays zu Mytime
gestellt habe.
* Ich vermisse eine nachvollziehbare Zuordnung zwischen den
Datenkopien (soweit ich sie überhaupt öffnen konnte) und den Informationen
nach Artikel 15 I + II DSGVO.
Ich bitte Sie, nachzubessern.
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: *********** <>
Gesendet: Montag, 1. August 2022 15:35
An: <mailto:******@lindenberg.one> ******@lindenberg.one
Cc: _Datenschutz < <mailto:datenschutz@hays.de> datenschutz@hays.de>
Betreff: Auskunftsbegehren ##1992943##
Guten Tag Herr Lindenberg,
Sie haben uns um Auskunft über die zu Ihrer Person von uns gespeicherten
Daten gebeten.
Entsprechend Ihrer Anfrage teilen wir Ihnen mit, dass wir die in der
Anlage aufgeführten Daten über Ihre Person gespeichert haben.
Das Passwort zum Öffnen der angehängten PDF- Datei ist Ihr Geburtsdatum
im Format TTMMJJJJ.
Für Rückfragen stehe ich Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen
***********
Legal Assistant
HAYS Working for your tomorrow
Think green. Keep it on the screen.
Hays AG
Willy-Brandt-Platz 1-3
68161 Mannheim
T: <tel:+4962117881964> +49 621 1788 1964
F: <tel:+4962117881299> +49 621 1788 1299
E: <mailto:*************@hays.de> *************@hays.de
hays.de
Hays Aktiengesellschaft
Vorstand: Dirk Hahn (Vorsitzender), Christoph Niewerth, Markus Auer,
Alexander Heise
Vorsitzender Aufsichtsrat: Alistair Cox
Sitz der Gesellschaft: Mannheim
Amtsgericht Mannheim, HRB 8258
USt-IdNr. DE 812871896
---------------------------------------------------------------------
Diese Nachricht (inklusive aller Anhänge) ist vertraulich und kann
rechtlich geschützt sein. Wenn Sie nicht der beabsichtigte Empfänger sind,
sollten Sie keinen Teil davon veröffentlichen, kopieren oder verwenden -
bitte löschen Sie alle Kopien sofort und informieren Sie das Hays Service
Team unter <mailto:service@hays.de> service@hays.de.
Bitte lesen Sie die <http://www.hays.de/datenschutz>
Datenschutzerklärung von Hays, um mehr darüber zu erfahren, wie Hays Ihre
Daten verarbeitet und wie Sie Ihre Datenschutzrechte ausüben können,
einschließlich der Änderung Ihrer Marketingpräferenzen. Alternativ können
Sie sich auch an unser Datenschutzteam unter <mailto:datenschutz@hays.de>
datenschutz@hays.de wenden.
This message (including any attachments) is confidential and may be
legally privileged. If you are not the intended recipient, you should not
disclose, copy or use any part of it – please delete all copies
immediately and notify the Hays Service team at <mailto:service@hays.de>
service@hays.de.
Please read the Hays <http://www.hays.de/datenschutz> Privacy Policy to
understand more about how Hays processes your data and how to exercise
your privacy rights, including changing your marketing preferences.
Alternatively please write to our Data Protection Team at the following
address: <mailto:datenschutz@hays.de> datenschutz@hays.de.
---------------------------------------------------------------------
---------------------------------------------------------------------
Diese Nachricht (inklusive aller Anhänge) ist vertraulich und kann
rechtlich geschützt sein. Wenn Sie nicht der beabsichtigte Empfänger sind,
sollten Sie keinen Teil davon veröffentlichen, kopieren oder verwenden -
bitte löschen Sie alle Kopien sofort und informieren Sie das Hays Service
Team unter <mailto:service@hays.de> service@hays.de.
Bitte lesen Sie die <http://www.hays.de/datenschutz>
Datenschutzerklärung von Hays, um mehr darüber zu erfahren, wie Hays Ihre
Daten verarbeitet und wie Sie Ihre Datenschutzrechte ausüben können,
einschließlich der Änderung Ihrer Marketingpräferenzen. Alternativ können
Sie sich auch an unser Datenschutzteam unter <mailto:datenschutz@hays.de>
datenschutz@hays.de wenden.
This message (including any attachments) is confidential and may be
legally privileged. If you are not the intended recipient, you should not
disclose, copy or use any part of it – please delete all copies
immediately and notify the Hays Service team at <mailto:service@hays.de>
service@hays.de.
Please read the Hays <http://www.hays.de/datenschutz> Privacy Policy to
understand more about how Hays processes your data and how to exercise
your privacy rights, including changing your marketing preferences.
Alternatively please write to our Data Protection Team at the following
address: <mailto:datenschutz@hays.de> datenschutz@hays.de.
---------------------------------------------------------------------