7
Unterlagen vertraulich versenden
Hallo,
Auf eine Anfrage an eine Bundesbehörde, ob eine Möglichkeit besteht, eine Bewerbung per DE-Mail einzureichen, habe diese Antwort bekommen:
Ich habe zwei Fragen:
1) vom Aufwand her - macht es Sinn, eine extra Plattform für Bewerbungen einzurichten? Vlt. einfach eine De-Mail-Adresse bewerbungen@behoerde.de-mail.de einrichten? An diese Adresse gesendete EMails samt Dateien werden dann in der Behörde ausschließlich auf einem möglichst abgeschotteten Client geöffnet, auf Schadsoftware geprüft und dann an die Personalabteilung weitergeleitet.
2) macht es unter dem Gesichtspunkt Aufwand auf der Empfängerseite in der Behörde im Vergleich zum Versand an De-Mail Adresse einen Unterschied, wenn die Behörde erlaubt die Bewerbungsunterlagen verschlüsselt mit dem PGP Public Key der Behörde einzureichen?
Auf eine Anfrage an eine Bundesbehörde, ob eine Möglichkeit besteht, eine Bewerbung per DE-Mail einzureichen, habe diese Antwort bekommen:
Unser Haus bietet in der Tat keine Möglichkeit an, eine Bewerbung per De-Mail einzureichen. Würden Sie per De-Mail Ihre Bewerbungsunterlagen einreichen, könnten die Dokumentenanhänge nicht auf Schadsoftware überprüft werden, da De-Mail einen verschlüsselten Versand vorsieht. Dieser verschlüsselte Versand macht es dem IT-Team aber unmöglich, die eingehende De-Mail daraufhin überprüfen zu können, ob der Anhang, der bei Bewerbungen notwendig ist, eine Schadsoftware enthält. Wir planen aber als Alternative, eine Online-Plattform für Bewerbungen einzurichten, damit BewerberInnen auch online Bewerbungen einreichen können und die Schutzanforderungen gewahrt bleiben.
Ich habe zwei Fragen:
1) vom Aufwand her - macht es Sinn, eine extra Plattform für Bewerbungen einzurichten? Vlt. einfach eine De-Mail-Adresse bewerbungen@behoerde.de-mail.de einrichten? An diese Adresse gesendete EMails samt Dateien werden dann in der Behörde ausschließlich auf einem möglichst abgeschotteten Client geöffnet, auf Schadsoftware geprüft und dann an die Personalabteilung weitergeleitet.
2) macht es unter dem Gesichtspunkt Aufwand auf der Empfängerseite in der Behörde im Vergleich zum Versand an De-Mail Adresse einen Unterschied, wenn die Behörde erlaubt die Bewerbungsunterlagen verschlüsselt mit dem PGP Public Key der Behörde einzureichen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 653488
Url: https://administrator.de/contentid/653488
Printed on: April 19, 2024 at 20:04 o'clock
7 Comments
Latest comment
Für mich stellt sich nur die Frage: De-Mail war ja eine Entwicklung DURCH die Bundesrepublik um gesicherte Mails versenden zu können... Scheint aber leider bei den Beundesbehörden noch nicht angekommen zu sein -> könnte man ggf. schon fast als Humor in Deutschland beschreiben, oder?
Naja - Internet ... neuland halt...
Naja - Internet ... neuland halt...
Hallo,
schon lang keine "Grundsatzdiskussion" von dir gesehen.
Ich find's Lustig DE Mail ist doch extra für Behördenkommunikation eingeführt worden. Und der Virenscann passiert doch auf dem E-Mailserver beim Hosten. Was ja dafür sorgt das DE Mail garnicht so vertraulich ist.
Ob es für dich sinn macht deinen potentiellen Arbeitgeber gleich zu Ärgern, oder geht's dir nur um's Prinzip?
Zu den Fragen.
1: Ja kann Sinn machen wenn du regelmäßig viele Stellen Ausschreibst und auch viele Bewerber bekommst. Denn hier geht es ja nicht um den reinen Empfang der Unterlagen. Diese werden in einer Datenbank gespeichert in Verbindung zu Stelle gebracht, mit der gesammelten Kommunikation + der Bewertungen die die Firma der Bewerbung gibt. Und da alles gesammelt ist kann man es auch leicht gemäß der DSGVO wieder löschen.
2: Schon mal mit Behörden zu tun gehabt. So Träge wie die sind. Und zudem ne Extralösung für etwas das wenige nutzen bzw. überhaupt technisch fähig sind es benutzen zu können einzuführen macht eh wenig Sinn.
Edit: übrigens zu Punkt 2 Jede End2End Verschlüsselung würde deren IT Team eine Virenprüfung unmöglich machen somit selbst wenn sie es umsetzen können hätten sie das selbe Problem wie bei Rohrkrepierer DE-Mail
schon lang keine "Grundsatzdiskussion" von dir gesehen.
Ich find's Lustig DE Mail ist doch extra für Behördenkommunikation eingeführt worden. Und der Virenscann passiert doch auf dem E-Mailserver beim Hosten. Was ja dafür sorgt das DE Mail garnicht so vertraulich ist.
Ob es für dich sinn macht deinen potentiellen Arbeitgeber gleich zu Ärgern, oder geht's dir nur um's Prinzip?
Zu den Fragen.
1: Ja kann Sinn machen wenn du regelmäßig viele Stellen Ausschreibst und auch viele Bewerber bekommst. Denn hier geht es ja nicht um den reinen Empfang der Unterlagen. Diese werden in einer Datenbank gespeichert in Verbindung zu Stelle gebracht, mit der gesammelten Kommunikation + der Bewertungen die die Firma der Bewerbung gibt. Und da alles gesammelt ist kann man es auch leicht gemäß der DSGVO wieder löschen.
2: Schon mal mit Behörden zu tun gehabt. So Träge wie die sind. Und zudem ne Extralösung für etwas das wenige nutzen bzw. überhaupt technisch fähig sind es benutzen zu können einzuführen macht eh wenig Sinn.
Edit: übrigens zu Punkt 2 Jede End2End Verschlüsselung würde deren IT Team eine Virenprüfung unmöglich machen somit selbst wenn sie es umsetzen können hätten sie das selbe Problem wie bei Rohrkrepierer DE-Mail
Hallo,
Ich bin ehrlich: Du bist der erste, den ich "treffe" der DE-Mail ernst zu nehmen scheint.
Zu deinen Fragen:
1. Hierzu müsste ein Mitarbeiter "etwas Anderes tun als er die letzten 20 Jahre getan hat". Das würde frische Verantwortung bedeuten, was aber absolut ausgeschlossen ist (wäre er bereit, Verantwortung zu übernehmen, würde er ja nicht als Sachbearbeiterchen im öffentlichen Dienst arbeiten). Mit einem starken Personalrat und der Unkündbarkeit im Rücken ist es unmöglich, einen solchen Prozess aufzusetzen.
2. Ja, das wäre möglich, auch automatisiert und für den Mitarbeiter im Idealfall völlig transparent. Allerdings ist PGP OpenSource und enthält mit hoher Warscheinlichkeit keine Möglichkeit, den Inhalt ohne den privaten Schlüssel des Empfängers zu lesen. Insofern werden die Geheimdienste, die Content-Mafia usw. schon ausreichend Stimmung gegen PGP aufrecht erhalten um zu verhindern, dass das irgendwo etabliert wird wo es irgendwie positiv auffällt.
Tut mir leid
Gruß,
Jörg
Zitat von @itebob:
Auf eine Anfrage an eine Bundesbehörde, ob eine Möglichkeit besteht, eine Bewerbung per DE-Mail einzureichen, habe diese Antwort bekommen:
Auf eine Anfrage an eine Bundesbehörde, ob eine Möglichkeit besteht, eine Bewerbung per DE-Mail einzureichen, habe diese Antwort bekommen:
Ich bin ehrlich: Du bist der erste, den ich "treffe" der DE-Mail ernst zu nehmen scheint.
Zu deinen Fragen:
1. Hierzu müsste ein Mitarbeiter "etwas Anderes tun als er die letzten 20 Jahre getan hat". Das würde frische Verantwortung bedeuten, was aber absolut ausgeschlossen ist (wäre er bereit, Verantwortung zu übernehmen, würde er ja nicht als Sachbearbeiterchen im öffentlichen Dienst arbeiten). Mit einem starken Personalrat und der Unkündbarkeit im Rücken ist es unmöglich, einen solchen Prozess aufzusetzen.
2. Ja, das wäre möglich, auch automatisiert und für den Mitarbeiter im Idealfall völlig transparent. Allerdings ist PGP OpenSource und enthält mit hoher Warscheinlichkeit keine Möglichkeit, den Inhalt ohne den privaten Schlüssel des Empfängers zu lesen. Insofern werden die Geheimdienste, die Content-Mafia usw. schon ausreichend Stimmung gegen PGP aufrecht erhalten um zu verhindern, dass das irgendwo etabliert wird wo es irgendwie positiv auffällt.
Tut mir leid
Gruß,
Jörg
Moin,
wird das BSI gewesen sein
!
LG, Thomas
Anfrage an eine Bundesbehörde
wird das BSI gewesen sein
!LG, Thomas
1 + 2) Vom Aufwand her: nein.
Aber Du hast ja nur explizit nach "Aufwand" gefragt
Aus meiner Sicht ist eine extra Plattform für Bewerbungen immer dann höchst sinnvoll, wenn ein Unternehmen mehr als 1-2 Stellenausschreibungen im Jahr vornimmt. Denn nur durch eine Plattform könnte man gewährleisten, dass die DSGVO und das BDSG n.F. auch wirklich konsequent gelebt wird.
Der Normalfall ist der, dass Bewerbungen - ob die jetzt im Klartext, per S/MIME, PGP oder Passwort-ZIP ankommen - erst einmal irgendwo empfangen und "einsortiert" werden. Dann werden die Unterlagen (im Idealfall PDFs, aber manche versenden ihren Krams auch per 100MB-Powerpoint...) erst per Mail und ansonsten unverschlüsselt an "Interessierte" verschickt, d.h. Personalabteilung, Abteilungsleiter, Geschäftsführung und noch 2 bis 12 andere in Kopie.
An der Stelle hat man eigentlich schon ein großes Problem mit dem BDSG n.F. (und der DSGVO), denn wie will man gewährleisten, dass die Bewerbungsdaten auch gelöscht werden?
Die "Interessierten" drucken sich den Krempel natürlich aus (ein Highlight des "papierlosen" Büros ist, dass noch nie so viel Papier verwendet wurde). Das Ausgedruckte liegt im Büro so herum. Bei einer "offenen-Bürotür-Politik" und dank Corona und den verwaisten Büros kann also jeder in den nächsten 20 Wochen Einblick in die Bewerbungsunterlagen nehmen.
Mit einem vernünftigen Bewerbungssystem kann man Workflows bzw. Prozesse vorgeben, Berechtigungen erteilen und zumindest verhindern, dass die PDFs weitergeleitet und ausgedruckt werden. Screenshots machen geht ja immer noch. Außerdem kann man mit einem Bewerbungssystem auch das Löschen von Unterlagen nachverfolgen und sogar dokumentieren.
Das nur mal so "nebenbei"
Ich sehe es so: wenn ein Unternehmen oder eine Behörde eine Bewerbung in elektronischer Form akzeptiert oder die Bewerber sogar dazu animiert, dann ist sie VERPFLICHTET, für eine Ende-zu-Ende-Verschlüsselung aller Daten nach dem Stand der Technik zu sorgen bzw. anzubieten. Das bedeutet: S/MIME oder PGP oder alternativ ein Portal, wo man die (unverschlüsselten) Unterlagen hochladen kann. Das Portal MUSS über einen adäquaten "HTTPS"-Zugang verfügen. Es gab schon Gerichtsurteile über "HTTP"-Seiten und Bewerbungsdaten - die Urteile gingen für die Unternehmen nicht gut aus.
Persönlich würde ich mich nie bei einem Unternehmen bewerben, was überhaupt keine Form der Verschlüsselung anbietet, aber Bewerbungen dennoch in elektronischer Form akzeptiert.
...aber das wollte der Fragestellende alles gar nicht wissen, weil es um den Aufwand ging
(Merke: Zum Aufwand gehört heutzutage nicht nur die technische Implementierung, so dass es am Ende "irgendwie funktioniert", sondern auch die Einhaltung der DSGVO und des BDSG n.F.)
Aber Du hast ja nur explizit nach "Aufwand" gefragt
Aus meiner Sicht ist eine extra Plattform für Bewerbungen immer dann höchst sinnvoll, wenn ein Unternehmen mehr als 1-2 Stellenausschreibungen im Jahr vornimmt. Denn nur durch eine Plattform könnte man gewährleisten, dass die DSGVO und das BDSG n.F. auch wirklich konsequent gelebt wird.
Der Normalfall ist der, dass Bewerbungen - ob die jetzt im Klartext, per S/MIME, PGP oder Passwort-ZIP ankommen - erst einmal irgendwo empfangen und "einsortiert" werden. Dann werden die Unterlagen (im Idealfall PDFs, aber manche versenden ihren Krams auch per 100MB-Powerpoint...) erst per Mail und ansonsten unverschlüsselt an "Interessierte" verschickt, d.h. Personalabteilung, Abteilungsleiter, Geschäftsführung und noch 2 bis 12 andere in Kopie.
An der Stelle hat man eigentlich schon ein großes Problem mit dem BDSG n.F. (und der DSGVO), denn wie will man gewährleisten, dass die Bewerbungsdaten auch gelöscht werden?
Die "Interessierten" drucken sich den Krempel natürlich aus (ein Highlight des "papierlosen" Büros ist, dass noch nie so viel Papier verwendet wurde). Das Ausgedruckte liegt im Büro so herum. Bei einer "offenen-Bürotür-Politik" und dank Corona und den verwaisten Büros kann also jeder in den nächsten 20 Wochen Einblick in die Bewerbungsunterlagen nehmen.
Mit einem vernünftigen Bewerbungssystem kann man Workflows bzw. Prozesse vorgeben, Berechtigungen erteilen und zumindest verhindern, dass die PDFs weitergeleitet und ausgedruckt werden. Screenshots machen geht ja immer noch. Außerdem kann man mit einem Bewerbungssystem auch das Löschen von Unterlagen nachverfolgen und sogar dokumentieren.
Das nur mal so "nebenbei"
Ich sehe es so: wenn ein Unternehmen oder eine Behörde eine Bewerbung in elektronischer Form akzeptiert oder die Bewerber sogar dazu animiert, dann ist sie VERPFLICHTET, für eine Ende-zu-Ende-Verschlüsselung aller Daten nach dem Stand der Technik zu sorgen bzw. anzubieten. Das bedeutet: S/MIME oder PGP oder alternativ ein Portal, wo man die (unverschlüsselten) Unterlagen hochladen kann. Das Portal MUSS über einen adäquaten "HTTPS"-Zugang verfügen. Es gab schon Gerichtsurteile über "HTTP"-Seiten und Bewerbungsdaten - die Urteile gingen für die Unternehmen nicht gut aus.
Persönlich würde ich mich nie bei einem Unternehmen bewerben, was überhaupt keine Form der Verschlüsselung anbietet, aber Bewerbungen dennoch in elektronischer Form akzeptiert.
...aber das wollte der Fragestellende alles gar nicht wissen, weil es um den Aufwand ging
(Merke: Zum Aufwand gehört heutzutage nicht nur die technische Implementierung, so dass es am Ende "irgendwie funktioniert", sondern auch die Einhaltung der DSGVO und des BDSG n.F.)
Ich sag's mal so unser Fragesteller wolle nur mal wieder ne Grundsatzdiskussion anstoßen aber hat anscheinend das Interesse daran verloren.
hat funktioniert ;)
