Bewerberdaten: Abgefischt und verhökert – Datenschutz-Skandal bei der Jobbörse der Bundesagentur oder Sturm im Wasserglas?

Peter Schaar
Peter Schaar

8.12.2009 (ghk). Eigentlich sollte die neue Jobbörse der Bundesagentur für Arbeit eine Renaissance einläuten: „Endlich Benutzerfreundlich“ war der proklamierte Anspruch, in neuem „Look and  Feel“  präsentierte sich das neue Jobbörsen-Portal der Nürnberger Arbeitsvermittler. Bei der Neuentwicklung hatte man an vieles gedacht, eine neue Werbekampagne von fischerAppelt sollte dies auch optisch in Szene setzen, Priorität lag auf der Benutzerfreundlichkeit. Doch nach wenigen Monaten war die neue Freundlichkeit vorbei, ein frostiger Wind blies den Nürnbergern aus dem Büro des Bundesdatenschutzbeauftragten Peter Schaar ins Gesicht. Er forderte schlicht und einfach die Abschaltung der Stellenanzeigen von etwa 41.000 Arbeitgebern, was einer fast totalen Blockade des Vermittlungsportals entspräche.

Schaar argumentierte: „So ist kürzlich bekannt geworden, dass eine Berliner Firma für Personalvermittlung mehrere Tausend vermeintliche Stellenangebote aus unterschiedlichen Berufssparten allein mit dem Ziel eingestellt hat, dadurch an Bewerberdaten für Vermittlungsgeschäfte zu gelangen.“ Dies veranlasste Schaar, gegenüber der Bundesagentur für Arbeit schwere Geschütze auffahren zu lassen: „Es ist ein Schritt in die richtige Richtung, dass die BA nach den aktuellen Missbrauchsfällen zugesagt hat, neue Arbeitgeber vor ihrer Registrierung in der Jobbörse zu überprüfen. Da die ebenfalls zugesagte spätere Überprüfung der 41.500 registrierten Arbeitgeber mehrere Monate in Anspruch nehmen wird, besteht aber weiterhin das Risiko, dass Arbeitssuchende auf unseriöse oder gar kriminelle Angebote hereinfallen und vermeintlichen Arbeitgebern ihre Bewerbungsunterlagen zuleiten. Ich habe deshalb die BA aufgefordert, die noch nicht überprüften Arbeitgeber in der Jobbörse zu sperren. Dies hat die BA leider abgelehnt. Ich werde darauf hinwirken, dass die BA ihre Position revidiert.“

Was war passiert – gab es einen Hacker-Angriff auf die Bewerberdaten oder entpuppte sich das Ganze als ein Sturm im Wasserglas? Das Datenmissbrauchsrisiko in einer solchen Situation besteht darin, daß Bewerber ohne nähere eigene Prüfung der inserierenden Arbeitgeber ihre Bewerbungsunterlagen auf fingierte Stellenangebote schicken und die Arbeitgeber so in den Besitz von persönlichen Daten gelangen. Nahezu alle Bewerberratgeber der Republik empfehlen Stellensuchenden unisono, Informationen über den zukünftigen Arbeitgeber einzuholen, um in einem Bewerbungsgespräch gezielte Fragen zu stellen. Fingierte Stellenanzeigen von fiktiven Arbeitgebern werden hingegen publiziert mit dem Ziel, die von Bewerbern eingereichte persönlichen Daten für kriminelle Zwecke zu missbrauchen. Hierzu zählen beispielsweise der Identitätsdiebstahl oder Geldwäsche-Aktionen.

Peter Schaar ist mit seinen Forderungen gegenüber der Bundesagentur für Arbeit konsequent, wenn es aber um die schöne neue Welt des Datenschutzparadieses geht, rudert er in einem Interview mit Matthias Thieme  schon wieder zurück.

Klafft da nicht eine riesige Lücke zwischen den Gesetzen aus der Schreibmaschinenzeit und der Realität der digitalen Welt?

Informationelle Selbstbestimmung heißt: Der Betroffene selbst muss die Kontrolle über seine Daten haben. Er kann selbst darüber bestimmen, wer was über ihn erfährt und für welchen Zweck die Daten verarbeitet werden. Das ist die Grundidee. Die technische Realität sieht heute so aus, dass Daten hinter dem Rücken von Betroffenen erhoben werden, dass sie zu Profilen zusammengeführt werden und dass Interessen, Lebensweise und Persönlichkeitsmerkmale Dritten bekannt werden, ohne dass der Betroffene das steuern kann. Das ist die Kluft zwischen Grundrecht und technologischer Entwicklung.

In vielen Bereichen vertrauen Menschen ihre Daten freiwillig internationalen Konzernen an.

Nutzer des Internets haben vielfältige Möglichkeiten, Daten preiszugeben, etwa in den sozialen Netzwerken wie Facebook, StudiVZ, oder Myspace. Hier hat man es zum Teil in der Hand, zu bestimmen, was man über sich selbst ins Netz stellt. Da muss auch der Einzelne dafür sorgen, dass er sich nicht selbst gefährdet. Man kann auch fordern, dass Daten wieder gelöscht werden. Das Problem ist aber, dass diese Informationen längst kopiert und an anderer Stelle im Netz gespeichert worden sein können. Ich bezweifle, dass es dafür überhaupt jemals eine Lösung geben kann.

Es waren keine ruhigen Tage in Nürnberg, als diese Datenschutzmissbrauchsvorwürfe von Peter Schaar lanciert wurden. Die  Mechanismen des Empörungs-Journalismus begannen erwartungsgemäss zu wirken, das Thema war ein Aufmacher so ganz nach dem Geschmack der Journalisten und Redakteure. Die Medien der Republik berichteten in Print und Online hingebungsvoll über den Datenskandal in Nürnberg – schliesslich sind die Berichte über Bagatellkündigungen, Bewerber-Datenscreening, Bluttests  und Mitarbeiter-Überwachung an der Tagesordnung und sorgen so für Quote und Reichweite. Frau Professor Noelle-Neumann formuliert das so: „Bei gleichgeschalteter Publizistik sind die Abwehrmechanismen außer Kraft gesetzt, und das Individuum kann sich der Beeinflussung durch Massenmedien nicht entziehen“.

Die Bundesagentur für Arbeit ist angesichts dieser Vorwürfe nicht untätig bleiben und griff zu einer Reihe von Maßnahmen. Diese wurden von der Bundesagentur gegenüber der Crosswater-Redaktion auf Anfrage im Einzelnen erläutert:

  • Die BA ist verpflichtet vor jeder neuen Programmversion eine Überprüfung ihres Systems durch die Datenschützer durchführen zu lassen. Dazu finden enge Abstimmungen mit dem Bundesbeauftragten für Datenschutz statt. Erst wenn die schriftliche Genehmigung vorliegt, wird grünes Licht für den Go Live gegeben.
  • Seit Einführung der JOBBÖRSE im Jahre 2003 werden umfangreiche Maßnahmen zur Qualitätssicherung durchgeführt. Täglich werden von Arbeitgebern in die JOBBÖRSE selbst eingestellte Stellenangebote einem grundlegend systematischen Prüfprozess unterzogen. Hierbei werden ein automatisiertes und ein manuelles Prüfverfahren eingesetzt.
  • Es wird geprüft, ob die Stellenangebote den rechtlichen Rahmenbedingungen entsprechen und inhaltlich konsistent sind in Bezug auf Berufsbezeichnung, Stellentitel, Sozialversicherungspflicht, Stellenbeschreibung, Art des Angebots, gesetzliche/tarifvertragliche Regelungen zu Arbeitszeit/Bezahlung, Unternehmensdarstellung (Internetadresse). Bei bekannt werden rechtswidriger Stellenangebote oder Verstößen gegen die in der JOBBÖRSE veröffentlichten Nutzungsbedingungen werden der Arbeitgeber-Account deaktiviert und die Stellenangebote gesperrt bzw. aus der Veröffentlichung herausgenommen.
  • Bei den täglichen Prüfungen der von Arbeitgebern ohne Einschaltung einer Arbeitsagentur eingestellten Stellenangeboten waren lediglich ca. 1 Prozent unseriös und wurden sofort aus der Veröffentlichung entfernt.
  • Bei den vor kurzem aufgetretenen Missbräuchen handelt es sich um Einzelfälle. Die BA ist hier Opfer von teilweise kriminellen Machenschaften – und nicht Täter. Dieser Fall hat gezeigt, dass die Qualitätssicherheitsmaßnahmen der BA verantwortungsbewusst durchgeführt werden, denn der AG war bereits kontaktiert und die Deaktivierung des Arbeitsgeber-Accounts veranlasst. Das ist der Beweis dafür, dass die Kontroll- und Sicherheitssysteme der BA funktionieren.
  • Keine andere Internetstellenbörse führt solch umfangreiche Maßnahmen zur Qualitätssicherung durch, wie die BA. Diese Maßnahmen werden regelmäßig überprüft, um das Risiko missbräuchlicher Nutzung auf ein Minimum zu reduzieren und der genannten Abwägung bestmöglich gerecht zu werden. Die BA investiert umfangreiche Ressourcen in die Sicherstellung der Seriosität der JOBBÖRSE.
  • Unabhängig davon hat die BA im Kontext der aktuellen Datenschutzdiskussion reagiert und zusätzliche Maßnahmen ergriffen. So wird nun zusätzlich auch eine tägliche Prüfung aller 300 bis 400 Arbeitgeber vor Freischaltung mittels der PIN durchgeführt. Dabei wird geprüft, ob der Arbeitgeber der BA bekannt ist und Einträge in der zentralen Betriebedatenbank vorliegen. Sollte festgestellt werden, dass der Arbeitgeber hier nicht vorhanden ist, wird zu dem Arbeitgeber Kontakt aufgenommen. Arbeitgeber, die einen Nachweis nicht erbringen erhalten keine PIN zur Freischaltung des Benutzerkontos und können demzufolge auch keine Stellenangebote veröffentlichen und Bewerber kontaktieren. Die über 40.000 Bestandskunden werden ebenfalls einer systematischen Arbeitgeber-Prüfung unterzogen.

  • Es besteht kein Grund zu Verunsicherung. In keinem Fall werden sensible Daten von Bewerbern über die JOBBÖRSE zugänglich gemacht. Es werden keine Bewerbungsunterlagen wie etwa Arbeitszeugnis, Schulzeugnisse o.ä. in der JOBBÖRSE für jeden Arbeitgeber veröffentlicht. Bewerberdaten können grundsätzlich nur dann in der JOBBÖRSE eingesehen werden, wenn das Bewerberprofil in der JOBBÖRSE veröffentlicht ist. Darüber entscheidet der Bewerber. Ein Bewerberprofil enthält im Wesentlichen Angaben aus dem Stellengesuch, den zur Veröffentlichung freigegebenen Lebenslaufeinträgen und den Fähigkeiten. Auch die Entscheidung, ob darüber hinaus die Kontaktdaten in der JOBBÖRSE eingesehen werden können oder nicht, trifft der Bewerber über den Veröffentlichungsstatus. Diese werden ausschließlich im Status „veröffentlicht“ angezeigt. Dieser Umstand trifft lediglich bei rd. 2 % der Bewerberprofile zu und dies nach freier und bewusster Entscheidung des Bewerbers.

  • Fazit: Die Situation einer Stellensuche am Arbeitsmarkt setzt objektiv eine mehr oder weniger offene Präsentation der Betroffenen voraus. Dies trifft im Übrigen auf alle Bereiche des Internet sowie alle anderen Medien (auch Anzeigen in Zeitungen) zu. Bei allen Internetbörsen gilt es, eine sorgfältige Abwägung zwischen den sinnvollen Zugangsbarrieren und der absoluten Verhinderung von Missbrauch bei krimineller  Energie zu treffen. Sinn und Zweck der JOBBÖRSE bleibt es nach wie vor,  qualitätsgesichert ein möglichst einfach zugängliches Portal anzubieten, das den berechtigten Belangen des Persönlichkeitsschutzes Rechnung trägt.

BA-Bashing oder Grundsatzproblem?

Die mediale Empörungswelle scheint sich aus dem verengten Blickwinkel der Medien ausschließlich auf die Situation bei der Jobbörse der Bundesarbeitsagentur zu fokussieren. Bedauerlicherweise entsteht der Eindruck, dass der Bundesdatenschutzbeauftragte oder einige Journalisten nicht weit genug gedacht oder recherchiert haben. Denn was im Umgang mit Stellenanzeigen bei der Bundesagentur für Arbeit kritisiert wird, ist in der e-Recruiting-Welt des Web 2.0 ein tägliches Problem.

Fiktive Arbeitgeber können nach mehreren Verfahrensmustern fingierte Stellenanzeigen im Web publizieren, über schlecht getarnte SPAM-Mail oder professionell aufgemachte Karriereseiten eines wohlklingenden Arbeitgebers. Nur naive „Digital Natives“ fallen auf diese offensichtlichen Tricks herein und offenbaren ihre persönlichen Daten einem serös wirkenden, aber tatsächlich windigen Arbeitgeber.

So ist es beispielsweise ohne Probleme möglich, im Anzeigenportal Markt.de kostenlos eine Stellenanzeige zu lancieren – Fragen zur Identität des Arbeitgebers werden der Einfachheit nicht gestellt und ein Stellenangebot wird in relativ kurzer Zeit ohne Kontrollen freigeschaltet. Einzige Voraussetzung: Markt.de schickt eine Bestätigungs-Mail an die bei der Erfassung angegebene reale oder fingierte, aber funktionierende e-Mail-Adresse. In dieser Mail muss lediglich auf ein Link geclickt werden – und voila, die fingierte Stellenanzeige ist live. Über die Geschwindigkeit und die Leichtigkeit des Scheins könnte sich Datenschützer Peter Schaar auch wundern – wenn er denn wollte.

Markt.de ist laut Eigendarstellung „mit täglich ca. zwei Millionen aktiven Anzeigen einer der führenden Online-Marktplätze in Deutschland. markt.de adaptiert die Idee des klassischen Marktplatzes für das Internet: Käufer und Verkäufer treffen sich im Netz, das Geschäft wird u.a. per Handschlag vor Ort besiegelt. Betreiber des Portals ist die markt.de GmbH & Co. KG, die als eigenständiges Unternehmen zur markt.gruppe GmbH & Co. KG gehört, einem Verbund der Verlagsgruppen G.v.Holtzbrinck, Dr. Ippen und der WAZ Mediengruppe.“ Bei kostenpflichtigen Jobbörsen ist es weitaus schwieriger, Stellenangebote von fiktiven Arbeitgebern zu publizieren, denn die Bezahlung eines Stellenangebots setzt ja eine gültige Kreditkarte oder eine gültige Bankverbindung voraus – das alleine dürfte für genügend Legitimation sorgen.

Fiktive Stellenanzeige durch einen fingierten Arbeitgeber: Auch beim Anzeigenportal Markt.de möglich
Fiktive Stellenanzeige durch einen fingierten Arbeitgeber: Auch beim Anzeigenportal Markt.de ohne Kontrollen möglich

Nach wie vor tummeln sich im Web Phishing-Betrüger und Spam-Artisten mit immer neuen Varianten der schon klassischen „Nigeria-Connection“:  ahnungslosen Zeitgenossen werden Erbschaften in Millionenhöhe oder sensationelle Lotto-Gewinne versprochen – sie müssten halt nur vorher ihre persönlichen Daten übermitteln. Am Ende dieser Betrugskette steht die Aufgabe, die illegal beschafften persönlichen Daten zu Geld zu machen – ein beliebtes Tummelfeld für Geldwäscher (Siehe auch: Die drei Karrierestufen eines Geldwäschers)

Und solange sich Datenschutzbeauftragte nicht konzentriert, konsequent und systematisch um alle Varianten des Informationsschutzes von Personen kümmert, spielt der Datenschutzbeuftrage ein Spiel namens „Blinde Kuh“. Oder Kritik-Aktionen wie die gegen die Bundesagentur gerichteten arten zu einem „BA-Bashing“ aus – Missstände bei kostenlosen Anzeigenplattformen werden geflissentlich übersehen.

Das Land Berlin erfasst die Gesundheitsdaten seiner rund 58.000 Angestellten vor der Einstellung mit einem Fragebogen, in dem detaillierte Angaben zu psychischen Krankheiten, Drogenkonsum, Alkoholgenuss und sogar Verhütungsmitteln verlangt werden.

Nur wenige Wochen nach der BA-Kritik hätten eigentlich die Datenschützer beweisen können, wie ernst ihre Belange genommen werden sollten. Anlass war die Hinterzimmer-Aktion der EU, künftig alle SWIFT-Bankdaten aus dem internationalen Zahlungsverkehr den US-Behörden zwecks Terrorismusbekämpfung zur Verfügung zu stellen. Dieses Abkommen wurde unter grossem Zeitdruck – ein Tag vor der Unterzeichnung der „Lissabonner Verträge“ und damit unter Umgehung der Kontrollen des EU-Parlaments – durchgeboxt. Damit dieser Datenschutz-Gau auch rechtzeitig in Kraft treten konnte, enthielt sich die Bundesregierung, zusammen mit Österreich, Griechenland und Ungarn in der entscheidenden EU-Abstimmung der Stimme. Ein einziges Nein hätte das Abkommen gekippt. Ein Tag später hätte das Abkommen dem EU-Parlament vorgelegt werden müssen. Pflichtgemäß kritisierten die Datenschützer diesen veritablen Datenschutz-Tsunami und bemerkten eher lapidar, der SWIFT-Beschluss des Ministerrats sei „kein guter Tag“ für den Datenschutz.  Und das jüngste Datenaustausch-Abkommen mit den USA ist nur die Spitze des Eisbergs.

Es scheint, die Belange der informationellen Selbstbestimmung stammen noch aus der Zeit der Schreibmaschine und der Hollerith-Lochkarten. Angesichts des technologischen Fortschritts des organisierten Datenmissbrauchs und der Konsequenz staatlicher Behörden hechelt der Datenschutz auf steiniger Straße barfuß einem Geländewagen hinterher.

Barfuß auf der Schotterpiste
Barfuß auf der Schotterpiste

Weiterführende Links

Datenschützer Schaar: „Totale Kontrolle wäre die Hölle“

http://www.fr-online.de/top_news/?em_cnt=2103441&

SWIFT-Abkommen zum Transfer von Bankdaten an US-Behörden beschlossen

http://www.heise.de/newsticker/meldung/SWIFT-Abkommen-zum-Transfer-von-Bankdaten-an-US-Behoerden-beschlossen-872553.html

Firma sammelte mit Fake-Anzeigen Daten von Bewerbern Datenmissbrauch bei Bundesagentur für Arbeit!

http://www.bild.de/BILD/digital/internet/2009/11/10/neues-datenleck-bei-der-arbeitsagentur/externe-firma-sammelte-daten-von-bewerbern.html

Online: Bundesbeauftragter fordert «Stiftung Datenschutz»

http://www.stern.de/digital/online/bundesbeauftragter-fordert-stiftung-datenschutz-1522106.html

Warnung der Bundesagentur für Arbeit: Datensammler unterwandern Online-Stellenbörse

http://www.spiegel.de/wirtschaft/soziales/0,1518,660325,00.html

Der Missbrauch von Daten Arbeitssuchender sei ein Einzelfall gewesen. Daher sieht sich die Bundesagentur für Arbeit nicht dazu veranlasst, die Arbeitsvermittlung vom Netz zu nehmen.

http://www.gulli.com/news/bundesagentur-f-r-arbeit-bleibt-am-netz-2009-11-12

Datenschutz: Missbrauch der Jobbörse der Arbeitsagentur

http://www.faz.net/s/Rub0E9EEF84AC1E4A389A8DC6C23161FE44/Doc~E3A8716BD4DBF4D79A54CBB919348413E~ATpl~Ecommon~Scontent.html

2500 falsche Stellenanzeigen:  Datenmissbrauch bei der BA

http://www.sueddeutsche.de/jobkarriere/633/493975/text/

Vorsicht Karrierefalle: Die drei Karrierephasen eines Geldwäschers

http://www.crosswater-systems.com/ej_news_2007_01_MoneyLaundering.htm

Swift-Abkommen: FDP schilt Datentransfer

http://www.fr-online.de/in_und_ausland/wirtschaft/spezial_ueberwachte_beschaeftigte/?em_cnt=2113102&

SWIFT-Beschluss des Ministerrats: Kein guter Tag für den Datenschutz in Europa

http://www.bfdi.bund.de/cln_111/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2009/PM_33SWIFT.html?nn=408908

Vincent C. Müller: Would you mind being watched by machines? Privacy concerns in data mining

http://www.typos.de/pdf/2007_Machine_Privacy_AI&Soc.pdf

Wikipedia.org: CIA transnational anti-terrorism activities

http://en.wikipedia.org/wiki/CIA_transnational_anti-terrorism_activities

.


Fügen Sie diesen Artikel zu den folgenden Social Bookmarking Diensten hinzu:

+++ Ein Presse-Service von Crosswater Systems Ltd. zu den Themengebieten e-Recruiting, Jobbörsen, Arbeitsmarkt, Personaldienstleistungen, Human Resources Management.  +++

1 Kommentar zu „Bewerberdaten: Abgefischt und verhökert – Datenschutz-Skandal bei der Jobbörse der Bundesagentur oder Sturm im Wasserglas?“

  1. Pingback: Anonymous

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.