Personio - Kritik an Datenschutz und ein kleiner Blick hinter die Kulissen

[Kopinski]

Zusammenfassung eines alten Threads und Updates

Personio hat sich gwiss eine gute Stellung bei cloudbasierter Personalmanagementsoftware erarbeitet.
Bei Websuche findet man nur super Ergebnisse, keine Kritik.
Kritik an Personio ist aber nötig. Denn der Laden ist NICHT empfehlenswert.

Wer noch mehr wissen will kann das im alten Kuketz-Forum nachlesen. Der Thread dort heisst: viewtopic.php@t=4036.html

Anleitung zur Nutzung

Ich habe das zip File hier entpackt und wenn ich eine Seite aufmache, hat sie diesen Pfad:
file:///home/xxxxxxxxx/Documents/forum.kuketz-blog.de/viewtopic.php@t=9286.html

Mit Metager findet man noch die alten Threads. Z.B. ,,arztpraxis organisatorische maßnahmen datenschutz kuketz" liefert dies:
https://forum.kuketz-blog.de/viewtopic.php@t=3909.html
Nun muss der letzte Teil ersetzt werden im Browser, der auf die lokale Kopie zugreift:

file:///home/xxxxxxxxx/Documents/forum.kuketz-blog.de/viewtopic.php@t=3909.html

Warum ist Personio nicht empfehlenswert?

Kurzantwort:
Personaldaten sich hochsensible Daten: Gehalt, Krankheit, Behinderung, Kontonummer, Telefonnummer, Betriebszugehörigkeit, Kenntnisse, Schulabschlüsse, Überstündchen, etc.
All dies zählt dazu und soll in der Cloud (=Computer anderer Leute) gespeichert sein.

Personio als Firma hat keine Datenschutzmentalität, bez. gibt lediglich vor, eine zu haben.
Der Fokus von Personio liegt auf der Fassade, auf der einfachen Nutzbarkeit, auf der Userexperience. Dazu geht Personio mit den großen Playern wie Google und Amazon ins Bett, anstatt selber zu hosten und bei deutschen Anbietern.

1. Hosting bei Amazon.
Hier zwei Bespielseiten zum Login in den Firmenbereich von Personio:
https://statista.personio.de/
https://egym.personio.de

Ein einfacher Ping genügt und man sieht, daß das bei Amazon liegt:

ping egym.personio.de
PING alb-external-1533562129.eu-central-1.elb.amazonaws.com (18.198.83.203) 56(84) bytes of data.

Ich halt fest: Aus dem Internet erreichbar, auch von Mobilgeräten.
Bei Egym wird noch ein Google Signle Sign on Authentifizierungsverfahren verwendet. Hmmm?!
Damit weiss Google, wo sich der Mitarbeiter wann und wo sonst noch überall anmeldet.

Es is zwar aktuell nach dem Data Privacy Framework wieder erlaubt, personenbezogene Daten in die USA zu übertragen, das wars zwischenzeitlich jedoch über lange Zeiträume nicht.
Selbst wenn diese in Deutschland gelegen haben sollten.
Ihr wißt, damit hat die USA Zugriff auf die Daten. Auch wenn Personio Verträge mit Amazon macht. Es interessiert die USA nicht: Cloud Act und Patriot Act (und nachfolgend USA Freedom Act)
https://www.golem.de/news/neues-us-gesetz-was-der-cloud-act-fuer-eu-buerger-bedeutet-1804-133931.html
https://de.wikipedia.org/wiki/USA_Freedom_Act
Aktuell ist dies nach einer Präsidenten Order eingeschränkt. Ob sich die USA dran hält und wie lange diese Order gültig bleibt steht auf einem anderen Papier.

Hinzu kommt noch, dass der private TLS Schlüssel bei Amazon liegt, wenn man der Argumentation von Mike Kuketz hier im Artikel folgt und analog den SSL Schlüssel von Personio (Statista Login) abfragt:
https://www.ssllabs.com/ssltest/analyze.html?d=statista.personio.de&latest

Dort steht in den Details:

Issuer    Amazon RSA 2048 M02
AIA: http://crt.r2m02.amazontrust.com/r2m02.cer

Mike dazu im Brave Artikel:

Wer den privaten Schlüssel besitzt, kann die komplette Kommunikation zwischen Client und Server mitlesen. Die Gretchenfrage lautet nun: Wer oder was hat Zugriff auf den privaten Schlüssel? In der Dokumentation des ACMs finden wir dazu:

 

AWS Certificate Manager wurde entwickelt, um die mit SSL-/TLS-Zertifikaten verwendeten privaten Schlüssel zu schützen und zu verwalten. Beim Schützen und Speichern privater Schlüssel werden sichere und bewährte Verschlüsselungs- und Schlüsselverwaltungsmethoden verwendet.

Das ist relativ wage. An dieser Stelle kann man nur Amazon vertrauen, dass diese vertraulich mit dem privaten Schlüssel umgehen. Persönlich ist es mir lieber, wenn ich selbst die Kontrolle über den privaten Schlüssel besitze.

Geht mir auch so!
Es bestand also lange Zeit nicht nur die gesetzliche Grundlage dazu, sich Daten von Personio zu besorgen, sondern es war auch technisch sehr einfach möglich und ist es immer noch.
Personio hätte hier ein eigenes Zertifikat für die Transportverschlüsselung nutzen müssen, um im Rahmen der "technischen und organisatorischen Maßnahmen" das Risiko zu minimieren.

2. Google
Beim Kontaktieren des Supports läuft alles über Google's Mailserver:

dig personio. de mx

; <<>> DiG 9.10.3-P4-Ubuntu <<>> personio. de mx
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63144
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;personio.de. IN MX

;; ANSWER SECTION:
personio.de. 86400 IN MX 5 alt1.aspmx.l.google. com.
personio.de. 86400 IN MX 5 alt2.aspmx.l.google. com.
personio.de. 86400 IN MX 1 aspmx.l.google. com.
personio.de. 86400 IN MX 10 aspmx2.googlemail. com.
personio.de. 86400 IN MX 10 aspmx3.googlemail. com.

;; Query time: 44 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Fri Jan 03 08:40:04 CET 2020
;; MSG SIZE rcvd: 173

Die internen Mails der User von Personio gehen nicht über Google.
Aber über mailjet!

Mailjet Zusatzinfo und Exkurs

vielleicht kann mir jemand helfen, Mailjet Scripte auf Webseiten besser einzuordnen.

Eine sehr gut gemachte Webseite stellt auf Basis von https://openstreetmap.org Kartenmaterial den Ausbaustand von Radwegen und die Realisierung von Umbauprojekten bereit.

Es wird auch ein Newsletter über das Tool Mailjet angeboten, welcher mit Drittanbieterscripten eingebunden wird.

1. Warum wird dies wohl gemacht? Auf der Mailjet Seite selbst sind auch Kia und Zeit als Kunden aufgeführt. Auf deren Seite ist aber kein Mailjet Script eingebunden. Haben die das lokal am Laufen?

ANTWORT
Reine Bequemlichkeit. In den meisten Fällen ist es kein Problem, das Script lokal zu installieren. Wenn die IT etwas begabter ist, könnte man es auch täglich per Cron-Job aktualisieren.

2. Warum schreibt Mailjet in seiner Datenschutzerklärunge dies:

   

Wo sind meine personenbezogenen Daten gespeichert?

    Ihre Daten werden in unseren sicheren Rechenzentren mit Google Cloud Platform in Frankfurt (Deutschland) und Saint-Ghislain (Belgien) gespeichert.

ANTWORT:

Das Speichern der Daten bezieht sich oft nur auf die Daten, die das Script selbst einsammelt, nicht aber das Hosten des Scriptes. Schlimmer noch: Google scheint die Daten, die beim Einbetten vieler Skripte anfallen (evtl. auch hier) als seinen Teil des Kuchens zu betrachten. Siehe Mangelhafte Anonymisierung bei Google Analytics. Auch hier ist die lokale Installation der Scripte die richtige Lösung. Wo die eingebene Email hingeht, sieht man in der Netzwerlanalyse - und es ist die gleiche Google-IP. Da ist also entweder die Angabe falsch, oder der Server steht unabhängig von der IP-Lokalisierung in Europa (hier könnten vielleicht die Techies vom Kuketzblog helfen?). In jedem Fall würde dann erst die juristische Zusicherung greifen.

Statt Webkoll kannst du übrigens die Einbindungen einer Seite auch sehr leicht selbst in deinem Browser prüfen: Mit STRG-SHIFT-E/I rufst du bei Chrome und Firefox die Netzwerkanalyse auf.


ANTWORT auf die ANTWORT darüber:
Das ist nicht so einfach festzustellen. Webkoll sieht, dass die IP Adresse Google gehört und nimmt dann sehr wahrscheinlich USA als Standort an, weil eine genauere Analyse sehr aufwändig wäre und Google die Adresse auch jederzeit wieder einem Server an einem anderen Standort zuweisen könnte.


Auf die Schnelle:

NetRange:      104.196.0.0 - 104.199.255.255
CIDR:          104.196.0.0/14
NetName:        GOOGLE-CLOUD
NetHandle:      NET-104-196-0-0-1
Parent:        NET104 (NET-104-0-0-0-0)
NetType:        Direct Allocation
OriginAS:      AS15169
Organization:  Google LLC (GOOGL-2)
RegDate:        2014-08-27
Updated:        2015-09-21
Comment:        ** The IP addresses under this netblock are in use by Google Cloud customers
...
104.199.110.216 resolves to 216.110.199.104.bc.googleusercontent.com.

The following A records are set to 104.199.110.216:
em5t.com, em8t.com, email-jet.com, emailjet.info, emailjet.org, emailjet.ovh, maijlet.com, mail-jet.com, mail-jet.net, mailjet.biz, mailjet.com, mailjet.de, mailjet.dk, mailjet.hk, mailjet.info, mailjet.link, mailjet.me, mailjet.mobi, mailjet.name, mailjet.org, mailjet.ovh, mailjet.tech, mailjet.tel, mailjet.us, mailjet.xyz, mailjetairways.com, mailjetstatus.com, mailjetusercontent.biz, mailjetusercontent.com, mailjetusercontent.info, mailjetusercontent.me, mailjetusercontent.net, mailjte.com, maliijet.com, mallijet.com, mj.am, mjapi.ovh, mjml.email, mjt.ovh, mljt.tech, newsletter.ovh, rmailjet.com, send.ovh, sender.ovh, smailjet.com, smailjet.info, smailjet.net, smailjet.org, xn--maljet-cwa.com
...

Eine Mail wurde mir geschickt und ich habe im Header geschaut. In der Mail ging es darum, das Person A für Person B firmenintern etwas machen soll. Person A muss bestätigen. Das können schon sehr intime Dinge sein: Urlaubsantrag, Gehaltserhöhung, etc. Was man eben so im Human Ressources macht.

Nun hat mailjet seine Server auch bei Google gehostet. :S

Es gab auch bereits Werbung für Google-Stellenanzeigen im Persönlichen Login Bereich.

Und wie bei egym eben auch Google Authentifizierungs Verfahren.

3. Tracker im geschützen Bereich nach Login.
Das finde ich den Datenschutzgau und es zeigt klar, dass Personio sich nicht für Datenschutz interessiert, sondern Daten ungeniert weitergibt.

Hier zwei verfremdete Screenshots, die ich bekam.
Januar 2020 wird dies gelistet:
personio. de
gstatic. com
newrelic. com
pendo. io
userlane. com
https://pictshare.net/lm0dhh.png

Aktuell sieht es so aus, gstatic, also Googleschriftarten sind weg, newrelic auch, aber s'sind weitere hinzugekommen. Jedenfalls wirds in uBlock so dargestellt:
personio. de
fastly. net
fullview. io
pendo. io
split. io
stonly. com
zdassets. com
https://lutim.anko.systems/uJPC1sIW/eaUDufWQ.jpg

Ich mache alle Links durch SPACE ungültig, um denen keine Links zu schenken.

DAS IST WIE GESAGT DER GESCHÜTZTE PERSÖNLICHE BEREICH NACH LOGIN.


Pendo io ist ein Tracker mit dem größten Schadpotential, der kann auch aufzeichnen.

Wird auch so dargestellt in der Datenschutzerklärung von Personio - es gilt hier die für den spezifischen Login einer Firma, nich die generelle von Personio.
So las sich das 2020, es gab einige kleinere Änderungen, die nicht ins Gewicht fallen.

c. Tools zur Erstellung von Nutzungsprofilen zur bedarfsgerechten Gestaltung der Software (§ 15 Abs. 3 TMG/ berechtigtes Interesse nach Art. 6 (1) f) DS-GVO), mit Widerspruchsrecht im Bereich "Drittanbieter"

Pendo Inc. (418 South Dawson St., Raleigh, NC 27601, USA)

Zweck/ berechtigtes Interesse: Aggregierte Analyse des Nutzungsverhaltens innerhalb der Software sowie Erhebung von Kundenfeedback im Rahmen von sogenannten "Net Promoter Scores" zur Weiterentwicklung des Produkts

Daten(kategorien): Nutzer ID, Rolle und Abteilung des Mitarbeiters, Unternehmens ID, Industrie und Größe des Unternehmens (auch im Rahmen von Cookies)

Betroffene: Alle Nutzer

Geeignete oder angemessene Garantien: EU Standardvertragsklauseln, Privacy Shield Zertifizierung

Weitere Informationen: https://www.pendo .io/privacypolicy/ Habe den Link entfernt mit Space dazwischen!

Auf der Website vom Pendo. io findete man diese Sekktion:
https://www.pendo. io/product/analytics/ Habe den Link entfernt mit Space dazwischen!

   

Get closer to your customers with product analytics
Evaluate product usage
Know how your software is really used—and which features deliver the most value.
Visualize user paths
See where users get stuck or drop off so you can improve the journey for everyone.
Uncover how your users feel
Connect the dots between your users' product experience, sentiment, and satisfaction.
Integrate your data
Combine insights from Pendo, your CRM, and 3rd party integrations so you can leverage product usage data across your company.

Also, Aufzeichnung "Visualize user paths" und die wollen wissen, wir die Anwender sich fühlen "Uncover how your users feel"?!
Wir wissen nicht, was alles angeschaltet ist, alleine die Möglichkeit dazu lässt mein Vertrauen massiv schwinden.

Hier wird klar gegen Rechtsmeinung des Hamburger Datenschutzbeauftragten HmbBfDI verstoßne, damit muß niemand rechnen:

Besonders problematisch ist dabei der Einsatz von Analyse-Tools im angemeldeten Online-Banking-Bereich. Nach Ansicht des HmbBfDI ist der Einsatz für die Betroffenen schon nicht von ihrem Erwartungshorizont gedeckt und wäre daher ggf. gesondert einwilligungsbedürftig. Die betroffenen Nutzer gehen vielmehr berechtigterweise davon aus, dass sie sich in einem geschützten Bereich befinden.

Was für Banking gilt, das gilt für sensible Personaldaten allemal.

Quellenangabe - auf S. 48ff. Webtracking beim Online-Banking. Link oben.

4. Datenschutz Augenwischerei:
Personio listet Seitenweise auf, sie wären so super bezüglich Datenschutz.
Nur warum senden sie dann so viele Daten um die Welt? Das wurde oben belegt.
Ich habe nirgends gesehen, dass eine ISO Zertifizierung nach 26000 vorliegt.
Lediglich für mich dubiose Gutachten der BitKom werden vorgelegt. Hier gibt es noch eines aus 2018:
https://web.archive.org/web/20190220123917/https://www.personio.de/wp-content/uploads/2018/06/20180511_Personio_Auditierung_Produkt-Organisation_Zusammenfassung.pdf
Und das aktuelle:
https://assets.ctfassets.net/p03bi75xct27/1bHP0aX9o15z3CYEoq7GdL/bccb44c83ebfe6436e7a5f0628696cc4/20220512_Personio_Auditierung_Produkt-Organisation_Zusammenfassung-VERTRAULICH.pdf

Im letzten wird erwähnt, dass ISO 27001 angestrebt wird für 2023. Im Gegensatz dazu ist ISO 26000 augenscheinlich umfangreicher.

Wir haben nach Bewertung der vorgetragenen Fakten gesehen, dass diese Gutachten nicht sehr fundiert sein können. Jedenfalls ist meine Vorstellung von nachhaltigem Datenschutz eine komplett andere.
Wirft IMHO übrigens kein gutes Licht auf die Bitkom.

Google und Amazon sind datengetriebene Unternehmen, die schon von sich aus ein Interesse an Auswertung solche wertvoller Daten haben. Diesen Unernehmen würde ich freiwillig nie meine Daten anvertrauen.

Was kann man sonst noch tun?

Bitte informiert alle Entscheider über diese Seite, falls in eurer Firma Personio eingeführt werden sollte.
Informiert alle Mitarbeiter, denn es geht um deren Daten.
Meldet diese Firma, wenn ihr betroffen seid bei der Datenschutzbehörde, damit diese nochmals prüft.
Zuständig ist:
https://www.lda.bayern.de/de/index.html

ERGÄNZT AM 04. sept 2023:
Noch ein wichtiger Aspekt. Personio ist auf mobile Nutzung "optimiert". Und gerad zu Zeiten von Homeoffice wird es nicht immer möglich sein, die IP der Firma zu führen.
Das Argument, mit der IP der Firma gehe man in der Masse unter, greift nicht. Personio wird in sehr vielen Fällen die IP Adresse der Einzelperson oder zumindest die seines Wohnhauses bekommen bei Familien.

Auch ein Schutz mit Scriptblockern im Browser oder einem PieHole ist nicht aussichtsreich. Was, wenn der Chef meine Daten einsieht mit einem Standardbrowser und meine Daten vom Tracker erfasst werden?

[pluto]

Klasse Kopinski ! Danke sehr für deine Atbeit!

[Kopinski]

Alternativen könnten übrigens sein:
https://odoo.com zum Selbsthosten
und
https://www.kimai.org/de/ mit Urlaubsmodul: https://www.kimai.org/de/store/mr-software-vacation-bundle.html