Neues zu Bewerber Screening im Internet

Thomas Müller vom Tages-Anzeiger hat einen Beitrag zur Zulässigkeit von Bewerber-Screening im Internet publiziert. Er referenziert dabei den Jusletter Beitrag von Dr. iur. Urs Egli und die Besprechung von Nils Güggi (mit kritischem Kommentar von mir).

Der Beitrag zielt in die Richtung, dass Facebook & Co. bei der Bearbeitung von Bewerber-Dossiers und im Bewerbungsgespräch nicht genutzt werden dürfen. Leider hat mir niemand schlüssig darlegen können, warum öffentliche Äusserungen auf sozialen Plattformen nicht öffentlich sein sollen, wenn die betreffende Person selber diese ins Internet gestellt hat (siehe mein Kommentar bei Güggi). Zum Vergleich eine Behauptung: Wenn ich ein Interview gebe, das in einer Zeitung abgedruckt wird, so wird niemand in Frage stellen, dass ich in einem Bewerbungsgespräch damit konfrontiert werden kann.

Auch über Google kann man öffentliche Informationen über eine Person zusammentragen und nutzen. Auch dieser Aspekt wird m.E. zu wenig berücksichtigt. Die Frage, ob man Google zum Bewerber-Screening nutzen darf, scheint niemand verneinen zu wollen. Liegt das ev. daran, dass sich die Google-Suche etwas früher etabliert und man sich schon mehr an diese neue Reailtät gewöhnt hat als ans Web 2.0 mit den sozialen Netzwerken?

Ich gebe zu, dass sich viele Leute zu wenig mit den Privacy-Einstellungen auf den genannten Portalen beschäftigen und sich oft nicht bewusst sind, dass gewisse Äusserungen auch negative Folgen haben können. Letztlich ist es aber trotzdem ihr Verantwortungsbereich. Es gehört zur neuen Realität des Web 2.0, dass der Junge von nebenan plötzlich Journalist wird, wenn er einen entsprechenden Beitrag publiziert, den alle Leute lesen können. Er tut seine Meinung öffentlich kund.

Um dies bewusster zu machen müsste man Privacy Regeln und Warnungen für Portalanbieter durchsetzen und die Kinder schon in der Schule auf die Problematik vorbereiten.


Screening von Stellenbewerbern im Internet

Mit den neuen Möglichkeiten, sich auf sozialen Netzwerken zu präsentieren, stellen sich auch neue rechtliche Fragen. Besonders interessant ist dabei der Zusammenhang zwischen angestrebtem Arbeitsverhältnis und Privatsphäre im Bewerbungsverfahren:

  • Darf man Informationen von Facebook, Xing oder anderen sozialen Netzwerken im Bewerbungsprozess benutzen?
  • Wo sind die Grenzen?

Auch 10vor10 hat sich diesem Thema schon gewidmet und über einen Workshop berichtet an dem ich den Teil “Grenzen der Legalität” vermittelt habe.

Nun ist auch ein juristischer Aufsatz erschienen, der sich u.a. diesem Thema widmet und der betreffend diesem Aspekt bereits kontrovers diskutiert wird.


Hashdays are over

#days Volume I ist Geschichte.

Vorbei sind zwei Tage Workshops und zwei Tage interessante Talks mit ca. 160 Teilnehmern. Vorbei sind auch die interessanten Diskussionen, das feine Essen und vorbei ist eine denkwürdige Party…;-)

Als Vorstandsmitglied von DEFCON Switzerland, Organisator-Verein der Konferenz möchte ich dem Organisationskomitee gratulieren. Sie haben es geschafft, interessante Speakers einzuladen, genug Teilnehmer zu motivieren, Sponsoren aufzutreiben und sämtliche Abläufe zu planen und nach Plan durchzuziehen. Als Feedback der Speakers und Teilnehmer habe ich nur Positives gehört. Just great!


Facebook XING und Datenschutz

Die P3B führt zum Thema Workshops für Personalverantwortliche durch. Die Leute lernen, wie sie das Internet nutzen können, um noch mehr Informationen über Bewerber zusammenzutragen.

Dabei gibt es auch rechtliche Aspekte rund um Datenschutz. Diesen Teil decke jeweils ich als IT-Jurist ab.

Das Thema schien auch das Fernsehen zu interessieren. Beim einen Workshop war den ganzen Tag eine Kamera von 10 vor 10 dabei und wir wurden auch alle interviewt. Leider fehlten bei der Ausstrahlung einige Interviews, darunter auch das von mir.

Auch P3B ist nur halb zufrieden

Hier noch der Link zum Beitrag.


SuisseID – Wie sicher ist das Verfahren?

Derzeit finden sich täglich neue Meldungen über die SuisseID und deren Sicherheit im Internet. Je nach Perspektive und Hintergrund könnten die Positionen unterschiedlicher nicht sein.

Einerseits sind da diejenigen, die sich mit der Sicherheit der SuisseID und vergleichbarer Systeme beschäftigt und herausgefunden haben, wie sich die SuisseID und andere Systeme missbrauchen lassen: http://www.vimeo.com/15155073.

Andererseits finden sich da die Befürworter, die von “digitalen fälschungssicheren Signaturen” sprechen. Besonders schön hier; es wird versucht, alles an der Demonstration gezeigte ins Lächerliche zu ziehen.

Meines Erachtens können hier ein paar Fakten nicht schaden:

  1. Das Verfahren das mit der SuisseID zur Anwendung kommt ist auf jeden Fall sicherer, als wenn eine Unterschrift eingescannt wird. Oder wenn bei einer E-Mail darauf vertraut wird, dass sie tatsächlich vom angegebenen Absender stammt.
  2. Die Verschlüsselung der SuisseID wird mit dem gezeigten Verfahren nicht geknackt. Sie ist auch nicht das Problem.
  3. Der Schwachpunkt ist der PC des Anwenders und dessen potentielle Unsicherheit.
  4. Das Problem, das sich mit der Sicherheit und digitalen Signaturen stellt, ist nicht neu. Banken waren und sind seit jeher damit konfrontiert, dass PC’s ihrer Benutzer nicht immer sicher sind.
  5. Es handelt sich nicht um ein Problem der SuisseID, sondern um ein allgemeines Problem im Zusammenhang mit der Identifikation von Personen im Internet. Es geht darum festzustellen, ob eine Erklärung oder Aktion tatsächlich von einer zweifelsfrei identifizierten Person stammt (und nicht von jemand anderem, der im Besitz des “Schlüssels” ist).
  6. Ein potentieller Angreifer muss Zugriff auf den Rechner des Opfers gehabt haben, damit er für diesen Erklärungen abgeben kann. Ein zu unterschreibendes Dokument wird dann mit Hilfe der SuisseID des Opfers “unterschrieben”: Es wird mit Hilfe der SuisseID die Signatur des Opfers erstellt und mit dem Dokument verwendet.

Was heisst das nun:

  1. Dieses Problem ist seit über 10 Jahren bekannt: Es gibt gute Gründe, warum Banken seit jeher einen zweiten Kanal zur Identifikation ihrer Kunden einsetzen. Sei das nun eine Streichliste, eine SMS PIN oder einen Leser mit Chipkarte und Tastatur, der nicht am PC angeschlossen wird.
  2. Die SuisseID hat keinen zweiten Kanal und ist somit weniger sicher als Online-Banking.
  3. Es bedarf dazu nicht eines “völlig virenverseuchten PCs”, die Methoden um gezielt einen Benutzer anzugreifen ist eine Frage der richtigen Tools und allenfalls ein bisschen “ungewollter Mitarbeit” des Opfers oder dessen nicht gepatchten Systems.
  4. In diesem Zusammenhang sei auf die Dissertation (“Elektronische Signaturen”) von Schlauri verwiesen, der im Jahr 2002 unter dem Titel “Haftungsfragen” (Seite 193) das Folgende ausführt:

    “Wie bei den herkömmlichen Legitimationssystemen trägt der Anbieter im Weiteren eine Pflicht zur sorgfältigen Auswahl des Systems. Dabei ist auf den Stand der Technik und die Wirtschaftlichkeit Rücksicht zu nehmen.”

    “Das geschilderte HBCI-Verfahren1151 der deutschen Banken, welches auf Klasse-1-Geräten oder gar Softwaresigniereinheiten basiert, erfüllt daher m.E. diese Anforderungen an ein sorgfältig ausgewähltes System nicht.”

Es kommt also auf die Klassifikation des Readers an, wie sicher ein Verfahren ist. Dazu findet sich in der Knowledgebase von Cryptoshop das folgende:

ZKA Klassifikation:

Klasse 1 Reader: Kontaktiereinheit ohne Tastatur und eine Schnittstelle wie z.B. USB
Klasse 2 Reader: Klasse 1 Reader und Tastatur (Pinpad),
Klasse 3 Reader: Klasse 2 Reader und Anzeige (Display) sowie sichere Nachladbarkeit für Zusatzanwendungen im Leser (z.B. für ZKA-IKT),
Klasse 4 Reader: Klasse 3 und Sicherheitsmodul mit RSA Funktionalität sowie eine VM (direkte Ausführbarkeit von Programmen im Leser) (vgl. FINREAD-Spezifikation)

Fazit:

Das Problem mit Klasse 1 Readern ist seit Jahren bekannt. Es ist nicht ein Problem der SuisseID, sondern ein Problem aller Systeme, die Klasse 1 Reader einsetzen. Die entscheidende Frage lautet, warum bei der SuisseID nicht aktuelle Sicherheit nach dem heutigen Stand der Technik eingebaut wurde, wenn das Hauptverkaufsargument “Sicherheit” sein soll.


Privatsphäre von Tauschbörsenbenutzern geschützt

Das Bundesgericht hat entschieden: Die Logistep AG muss ihre Tätigkeit einstellen. Das Geschäftsmodell von Logistep beruhte darauf, IP Adressen von Tauschbörsenbenutzern zu sammeln und Urheberrechtsinhabern zur Verfügung zu stellen. Die Urheberrechteinhaber konnten mit diesen Informationen Strafverfahren einleiten mit dem einzigen Ziel, die Namen hinter den Adressen ausfindig zu machen (in Strafverfahren müssen Provider diese rausgeben). Damit waren die Urheberrechteinhaber in der Lage, in zivilrechtlichen Verfahren Schadenersatz von den Nutzern zu fordern.

Dass IP Adressen Personendaten sind und dass die Arbeit von Logistep dem Zweckbindungs- und dem Erkennbarkeitsprinzip widerspricht war schon von der Vorinstanz (Bundesverwaltungsgericht) erkannt worden. Das Bundesgericht hat nun meines Wissens erstmals festgestellt, dass IP Adressen Personendaten sind. Und es hat die Interessen der Betroffenen am Datenschutz höher gewichtet als die Interessen der Urheberrechtsinhaber.

http://www.news.admin.ch/message/?lang=de&msg-id=35040