Ist Personio vertrauenswürdig?

Ich möchte mich bei einer Firma bewerben. Diese setzt „Personio“ (www.personio.de) der Personio GmbH & Co. KG, Rundfunkplatz 4, 80335 München als Bewerbermanagementsystem ein. Dabei wird noch ein Captcha von „Friendly Captcha“ (www.friendlycaptcha.com) der Friendly Captcha GmbH, Am Anger 3-5, 82237 Wörthsee, Deutschland eingebunden.

Ich schicke die Bewerbung lieber per E-Mail, möchte aber trotzdem wissen, was besser für die Privatsphäre ist. (Das hochladen im Bewerbermanagementsystem ist wenigstens durch https gesichert - die E-Mail dagegen unverschlüsselt.)

Personio ist eine deutsche Firma, die unter die DSGVO und die deutsche Datenschutzgesetzgebung fällt. Das ist schon mal viel wert. Es gibt auch deutsche Unternehmen, die für HR-Zwecke US-Software einsetzen.

Verantwortlich für die Einhaltung der gesetzlichen Vorschriften ist zunächst die Firma, bei der du dich bewirbst. Wenn dort offen erklärt wird, dass Personio eingesetzt wird und welche Daten wie verarbeitet werden, dann spricht nach meiner Einschätzung nichts gegen eine Bewerbung.

Personio und das Captcha sind beides deutsches Firmen. Also schon besser als die US-Anbieter. Bei E-Mail könntest du dich auch fragen auf wen das Unternehmen zur Bewerbung setzt – Microsoft, Google, oder was anderes?
Und dann noch: du schickst den Kram per Mail und dann packen die das in Personio rein, damit alle Bewerber in einheitlichen Listen sind. Gewinn null. Aufwand etwas. „Nervigkeitsmerkmal“ 100%

Ja, so steht es auch in der Datenschutzerklärung - wenn man die Bewerbung per E-Mail schickt, wird sie bei Personio hochgeladen. Man müsste dann reinschreiben, dass man dem widerspricht, was natürlich mehr Aufwand für die Mitarbeiter bedeutet.

Danke für eure Einschätzung, @Lutz @Ballade . Dann vertraue ich mal auf Personio.

PS:

Das lässt sich mit dig -t MX domain.tld überprüfen. Solange kein Proxy eingesetzt wird.

Personio ist ein übler Laden. Sorry! Ich finde se keineswegs vertrauenswürdig.
Personio setzt intern scheinbar auf pendo.io - Tracker, die auch Mausbewegungen und alles dahinter aufzeichnen können.
Sind sie so eingestellt? Wir wissen es nicht.
Hosting bei Amazon, wobei das Setup so ist, dass Amazon mitlesen kann, wenn ichs richtig interpretiere:
https://areac.de/index.php?topic=332.msg2326#msg2326

Mails über Gmail.

Forum mit doch einigen Mutmassungen verlinkt… Naja. Welche Probleme siehst du denn jetzt konkret darin wenn der Personaler damit arbeitet?

Ja, Personio als Unternehmen nutzt Google als Mailprovider (wie so viele…)
Gut dann wechseln wir zu SAP – SAP.com und successfactors.com (deren HCM-Lösung) läuft als Mailserver über Microsoft
Dann halt Softgarden für Recruiting… Mailprovider wieder Microsoft

Ich habe das gerade mal überprüft. Bei mir kommt auch alb-external-1533562129.eu-central-1.elb.amazonaws.com raus.

Wenn Google Server nur für den Support und E-Mailverkehr der Personio GmbH & Co. KG genutzt würden, wäre es noch verschmerzbar. Wie es scheint, läuft aber auch der E-Mailverkehr zum Bewerber über Google Server (via Mailjet).

Ihre Daten werden in unseren sicheren Rechenzentren mit Google Cloud Platform in Frankfurt (Deutschland) und Saint-Ghislain (Belgien) gespeichert.

https://documentation.mailjet.com/hc/de/articles/360042712274-Wo-sind-meine-personenbezogenen-Daten-gespeichert

Die Versprechen hier klingen ja gut…
https://www.mailjet.com/de/produkte/daten-sicherheit/

Nach ISO 27001 zertifiziert

DSGVO-konform […] AFAQ-Zertifizierung von AFNOR erhalten

Rechenzentren in der EU

Unterstützt auf Wunsch HIPAA-konforme Konfigurationen

Es gibt die Möglichkeit zur Google Cloud integration https://www.mailjet.com/de/ressourcen/integrationen/google-cloud/ Aber wie finde ich heraus ob diese bei Personio zum Einsatz kommt? Reine Spekulation oder schreibt da jemand aus Erfahrung.

Okay. Das sieht vielleicht doch nach einem Beweis aus: https://www.mailjet.com/de/blog/produkt/google-cloud-platform/

Da ist aber die Frage inwiefern die E-Mails von der Google Cloud verarbeitet bzw. gelesen werden. Das ist vielleicht nicht ganz so schlimm wie Gmail. Die eigentlichen Daten werden ja in der Amazon Cloud verarbeitet.

Da hat man schon einen deutschen Anbieter und dann sowas…

@Ballade Gut, wir wissen, dass andere nicht besser sind. Hier wurde gefragt, ob Personio vertrauenswürdig ist. Ich sage auf Basis der Links: Nein.

Wenn eine Firma im geschützten Bereich Tracker einbaut und das gegen die Ansicht von Ladensdatenschutzbehörden und gegen meine verstößt, vertraue ich der Firma nicht.
Im Link habe ich gesehen, ist der neue Screenshot davon leider schon gelöscht. Der hier ist noch erhalten:
https://pictshare.net/lm0dhh.png
Man sieht, dass es Tracker gibt. Und es ist plausibel, dass das vom Personio kommt.

Pendo.io kann den Bildschirm aufzeichnen. Auch wenn die Funktion nicht aktiv ist. Das ist doch so, als wenn ich neben dir in der U-Bahn mit dem Springmesser spiele. Du weisst nicht, ob ich es nutzen werde doch nicht. Ja, jeder Vergleich hinkt.

Wenn ich technisch gut drauf bin, blocke ich die Scripte, die aufzeichnen können.
Wenn mein Chef oder die Personalabteilung das nicht tun, werden trotzdem meine Daten vom System im Tracker aufgezeichnet und landen ganz woanders.

Wenn Amazon selbst den Schlüssel im Zugriff hat, ist es - gerade heutzutage! - denkbar, dass US-Behörden Zugriff möchten, um ihre Datensammlung zu vergrößern. Stichwort DOGE.

Alles Risiken, denen man sich nicht aussetzen sollte. Spekulation hin oder her. Ich seh klare Anhaltspunkte pro.

Und gewiss sind Alternativen vorhanden:
https://odoo.com zum Selbsthosten
und
https://www.kimai.org/de/

Und bei guter Recherche weitere.

@it-sec

Ja, Personio ist eine Mogelpackung!
Ich bin überzeugt.
Sollte es was mit dem Job klappen, vielleicht berichtest Du. Von aussen kann man nur grobe Tests machen.