Datenschutzhinweise für die Nutzung von softgarden Software as a Service

Datenschutz und Informationssicherheit sind zentraler Bestandteil der Produkte und Dienstleistungen von softgarden. Der Schutz Ihrer Daten und Ihr Vertrauen sind uns sehr wichtig.

Daher haben wir technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung implementiert, welche wir kontinuierlich weiterentwickeln.

Die Illustration zeigt zwei Personen, von denen eine auf einem großen Vorhängeschloss sitzt und die andere einen Schlüssel hält

1. Allgemeine Informationen

Wie geht softgarden mit Datenschutzanfragen von Betroffenen um?​

Als Auftragsverarbeiter haben wir ein hohes Interesse an einem datenschutzkonformen Umgang mit vertraulichen Informationen und personenbezogenen (Bewerber-)Daten. Dies schließt auch die Wahrung der Rechte, insbesondere die Bearbeitung und Erfüllung von Anfragen betroffener Personen ein. Aufgrund gesetzlicher Verpflichtungen müssen sämtliche Anfragen betroffener Personen binnen vier Wochen vom Verantwortlichen beantwortet und erfüllt werden. Anfragen werden an unser Datenschutzteam weitergeleitet und nach den etablierten Prozessen geprüft. Bevor Sie ein bei uns eingegangene Anfrage erhalten, wird diese von uns vorqualifiziert.

Wie geht softgarden mit potenziellen Datenpannen und Sicherheitsvorfällen um?

Die hohen Integritätsinteressen unserer Kunden schließen auch den Umgang mit Datenschutz- und Sicherheitsvorfällen ein. Aufgrund der gesetzlichen Verpflichtung, sämtliche Datenschutzvorfälle binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden, sofern der Datenschutzvorfall voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist eine zügige, strukturierte Überprüfung von Sicherheitsvorfällen wichtig und Sie werden unverzüglich informiert. Potenzielle Verstöße können durch die Strukturen der Informationssicherheit entdeckt oder über die dafür vorgesehenen internen Prozesse an das Informationssicherheits- und Datenschutzteam gemeldet und von diesem detailliert geprüft werden. So prüfen wir auch vermeintlich unbedeutende Vorfälle und schulen unsere Mitarbeiter regelmäßig auf die Einhaltung von Datenschutz- und IT-Sicherheit.

Wie setzt softgarden die Informationspflichten gem. Art 13 und 14 DSGVO um?

softgarden stellt umfangreiche Datenschutzinformationen für die Talent Acquisition Suite (Recruiter) und die Karriereseiten (Bewerber) zur Verfügung. Die Informationen sind modular aufgebaut, richten sich inhaltlich nach dem gebuchten Produktumfang und werden regelmäßig von softgarden aktualisiert. Nach der DSGVO fallen die datenschutzrechtlichen Informationspflichten in den Verantwortungsbereich des Kundenunternehmens (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO). Wir bieten aus diesem Grunde die Option, dass unsere Kunden eine eigene Datenschutzerklärung verwenden können. Letztere Option wird insbesondere in Anspruch genommen, wenn unternehmensspezifische Anforderungen an die Informationspflichten aufgrund der Verarbeitungstätigkeit bestehen. Bitte wenden Sie sich an unseren Customer Service unter support@softgarden.de.

Wie werden Datenschutz und Informationssicherheit im Home-/Mobile-Office gewährleistet?

softgarden hat umfassende Sicherheitsmaßnahmen etabliert. Für den Bereich des Home- und Mobile-Office wurden spezielle technische und organisatorische Vorkehrungen getroffen, um Datenschutz und Datensicherheit zu gewährleisten. Die Arbeitsgeräte sind zusätzlich mit eine Virtual Private Network (VPN) ausgestattet und verschlüsselt. Kundendaten werden nur in den Rechenzentren vorgehalten, Zugriff auf die Software erfolgt über https, Zugriff auf Systemebene durch Administratoren ist nur ausgewählten Administratoren über VPN möglich. Für den Bereich des Home-/Mobile-Office existieren spezielle Arbeitsrichtlinien.

2. Auftragsdatenverarbeitung (AV)

Welche Daten werden verarbeitet?

Der Umfang der Verarbeitung personenbezogener Daten ergibt sich hauptsächlich aus der Beschreibung verarbeiteter Datenkategorien (Anlage 1 des Vertrages zur Auftragsverarbeitung). In der Anlage zu unserem Vertrag zur Auftragsdatenverarbeitung werden auch besondere Kategorien personenbezogener Daten erfasst. Der genaue Umfang der von Ihnen verarbeiteten Daten richtet sich zum einen nach den Anforderungen der Stellenausschreibungen sowie nach dem Umfang der vom Bewerber zur Verfügung gestellten Daten. Die in Anlage 1 beschriebenen Datenkategorien sind daher „weit gefasst“.

Wo finde ich eine Beschreibung zu den technischen und organisatorischen Maßnahmen?

Eine Beschreibung der technischen und organisatorischen Maßnahmen (kurz: TOMs) befindet sich in Anlage 2 zu unserem Vertrag zur Auftragsverarbeitung. Zum Nachweis der Einhaltung und Weiterentwicklung dieser Maßnahmen führt softgarden neben einem Datenschutz- und Informationssicherheitsmanagement (DSMS/ISMS) regelmäßige interne und externe Audits und Prüfungen durch.

Wer ist für die Datenverarbeitung verantwortlich?

softgarden erbringt sämtliche Leistungen rund um die Talent Acquisition Suite (Bewerbermanagementsystem) als Auftragsverarbeiter, soweit personenbezogene Daten nicht ausdrücklich für eigene geschäftliche Zwecke verarbeitet werden und berechtigterweise verarbeitet werden dürfen. Verantwortlicher für Datenschutz ist nach Art. 4 Nr. 7 DSGVO im Rahmen der Nutzung der softgarden Talent Acquisition Suite (Bewerbermanagement) das Kundenunternehmen. Darüber hinaus sind auch Auftragsverarbeiter (softgarden) Verantwortliche im Sinne der DSGVO, beispielsweise was die eigenen Subunternehmer oder die Verarbeitung für eigene geschäftliche Zwecke betrifft.

Werden Daten in Drittländer transferiert?

Ein Drittlandtransfer von Bewerberdaten im Bewerbermanagementsystem erfolgt nicht und ist nicht vorgesehen. Unsere Software wird in Rechenzentren in Deutschland gehostet. Wartung und Betrieb erfolgen ebenfalls aus Deutschland durch Mitarbeiter von softgarden. Ein Drittlandtransfer kommt darüber hinaus nur in Betracht, wenn die besonderen Datenschutzanforderungen gewährleistet sind.

Gibt es bei der Auftragsverarbeitung durch softgarden Unterauftragnehmer und wenn ja welche?

Eine aktuelle Liste unserer beauftragten Subunternehmen finden sie in unseren Nutzungsbedingungen: Beauftragte Subunternehmer

Die Nachweise und Zertifizierungen unserer Subunternehmer finden Sie hier:

softgarden nutzt Zendesk zur Supportbearbeitung. Warum ist Zendesk kein Unterauftragnehmer?

softgarden nutzt Zendesk als Tool, um Supportanfragen zu bearbeiten. Im Verhältnis zu Zendesk sehen wir uns als Verantwortlicher im Sinne der Datenschutzgesetze. Damit ist Zendesk kein Unterauftragnehmer im Sinne der Auftragsverarbeitung. Die Nutzung von Zendesk im Rahmen des Supports und damit die Weitergabe der Daten unserer Kunden (konkret der geschäftlichen Mailadresse des Benutzers, der die Anfrage stellt), stützen wir auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Es besteht alternativ die Möglichkeit, sich mit einem Anliegen an die direkten Ansprechpartner zu wenden, z. B. per E-Mail. Zendesk speichert Daten in den USA.

Werden die Mitarbeiter von softgarden regelmäßig im Datenschutz geschult und auf die Vertraulichkeit verpflichtet?

Die Schulung und Verpflichtung der Mitarbeiter auf die Vertraulichkeit von personenbezogenen Daten und Kundeninformationen ist sowohl Bestandteil des On- und Offboardings als auch des Datenschutz- und Informationssicherheitsmanagements bei softgarden. Zu diesem Zweck führen wir regelmäßig interne Datenschutz- und Awareness-Trainings mit den Schwerpunkten Datenschutz und Informationssicherheit durch. Allen Kolleginnen und Kollegen stehen unsere Experten in dem Bereich als Ansprechpartner zur Verfügung.

Ist ein Backup-Konzept vorhanden und welche Tools werden eingesetzt? Wurden Restoretests durchgeführt?

Ein Restore kann bei einem Ausfall in aller Regel unmittelbar oder taggleich erfolgen. Gesichert werden Files, Datenbanken und komplette Festplatten. Es gibt redundante Spiegelungen der Produktivumgebung, sodass auch bei einem Ausfall eines Rechenzentrums der Produktivbetrieb in einem anderen Rechenzentrum hochgefahren werden kann. Backups werden georedundant auf verschlüsselten Datenträgern gesichert. Unter anderem kommen rsnapshot und cepth rbd zum Einsatz. Restoretests werden stichprobenartig durchgeführt. Backups werden überwacht und verifiziert.

3. Bewerbermanagement Software

Wie lange werden Daten aufgehoben?

Um den gesetzlichen Anforderungen an die Datenlöschung gerecht zu werden, wurde ein globales Löschkonzept auf Prozess- und Produktebene etabliert. Ein Schwerpunkt liegt somit auf den softgarden-Produkten, die, um den Anforderungen des „privacy by design“ gerecht zu werden, Implementierungen für die Datenlöschung enthalten. Wesentlicher Bestandteil ist die automatisierte Löschung von Bewerberdaten, die vom Verantwortlichen nach den betrieblichen Anforderungen eingestellt werden können. softgarden empfiehlt die Festlegung der Aufbewahrungsfrist für Bewerberdaten von sechs Monaten.

Gibt es eine Beschreibung für das Verzeichnis der Verarbeitungstätigkeiten?

Wir stellen unseren Kunden gerne auf Anfrage die Informationen für das gesetzlich verpflichtende Verzeichnis der Verarbeitungstätigkeiten zur Verfügung. Die Beschreibung der Verarbeitungstätigkeit von softgarden hinsichtlich der Auftragsverarbeitung ersetzt allerdings nicht die Pflicht des Verantwortlichen, die Verarbeitung in das eigene Verzeichnis aufzunehmen.

Social Share Buttons bei Stellenanzeigen

Innerhalb der Stellenanzeigen besteht die Möglichkeit, sog. „Social Share Buttons“ (XING, LinkedIn, Facebook etc.) zu aktivieren. Bei den Buttons handelt es sich nicht um Plugins der Sozialen Netzwerke. Es werden, soweit nicht ausdrücklich festgelegt, ausschließlich externe Links genutzt. Das bedeutet, dass erst Daten an die sozialen Netzwerke übertragen werden, wenn der Webseitenbenutzer auf den Link klickt.

Werden im System Zugriffe / Tätigkeiten protokolliert?

Die Systemhistorie protokolliert Zugriffsversuche auf das Bewerbermanagementsystem sowie ändernde Operationen an Datensätzen.

Protokolliert werden außerdem Downloads von PDF-Zusammenfassungen von Bewerbungen.

4. Jobportal

Welche Cookies werden im Standardfrontend gesetzt?

Im Standardfrontend gibt es nur das Sessioncookie JSessionID. Das Cookie ist technisch notwendig und bleibt so lange gespeichert, wie die Session des Benutzers aktiv ist.

Warum gibt es kein Cookie Banner auf dem Standardfrontend?

Hier werden nur technisch notwendige Cookies eingesetzt.

Wie zählt softgarden, wie oft eine Stellenanzeige angesehen / angeklickt wurde?

Auf den auf Karriereseiten und verschiedenen Portalen ausgespielten Stellenanzeigen befindet sich ein Zählpixel, ein kleines Bild, das mit jedem Abruf der Stellenanzeige von unserem Server tracker.softgarden.de abgerufen wird.

Dabei werden weder personenbezogene Daten erfasst noch getrackt, es wird lediglich gezählt, wie oft eine Stellenanzeige angezeigt wurde.

Die Zahl ist im Bewerbermanagementsystem unter der Kennzahl „Views“ einsehbar.

Die Kennzahl „Clicks“ berechnet sich aus der Anzahl, wie oft der Online-Bewerben-Button geklickt wurde. Auch hier werden keine personenbezogenen Daten erfasst oder getrackt.

Ein Rückschluss auf einen konkreten Nutzer ist nicht möglich.

5. Compliance

Hosting made in Germany

Bei softgarden ist das gesamte Hosting “Made in Germany”. Unsere zertifizierten Rechenzentren, die WIIT AG (ehemals myLoc managed IT AG) und Equinix Germany GmbH in Frankfurt am Main und Düsseldorf, bieten höchste Sicherheitsstandards für die Speicherung und die Verfügbarkeit Ihrer Daten.

Datenschutzhinweise

Für softgarden ist der Schutz und die Vertraulichkeit Ihrer Daten von besonderer Bedeutung. Hier geht es zu den Datenschutzhinweisen der softgarden Produkte (PDF).

Für Ihr eigenes Karriereportal haben wir Musterdatenschutzhinweise (otd) vorbereitet: Prüfen, individualisieren und hinterlegen Sie diese ganz einfach.

Datenschutzgrundverordnung (DSGVO)

Die Recruiting-Lösungen von softgarden bieten Ihnen die Möglichkeit DSGVO-konform zu arbeiten. Dies bestätigt auch eine externe Datenschutzbegutachtung (PDF) durch die procado Consulting, IT- & Medienservice GmbH.

Unser Datenschutzmanagement wurde von der DEKRA geprüft und zertifiziert (PDF).

6. Zertifikate & Vertragsvorlagen zum Download

Zertifiziertes Qualitätsmanagement

softgarden ist zertifiziert nach ISO 9001ISO 27001 und erfüllt zusätzlich die Forderungen der ISO 27017 und ISO 27018.

Damit zeichnet die DEKRA softgarden für seine hohe Produkt- und Dienstleistungsqualität sowie für einen hohen Standard im Bereich der Informationssicherheit aus. Die stetige Verbesserung von Qualität und Sicherheit steht für softgarden an erster Stelle.

DEKRA zertifiziert: Qualitätsmanagement, Informationssicherheitsmanagement ISO9001, ISO/IEC 27001
Nutzungsbedingungen und Vertragsvorlagen

Lesen Sie hier die Nutzungsbedingungen der softgarden e-recruiting GmbH für die Nutzung des E-Recruiting Systems “softgarden”.

Unseren Vertrag zur Auftragsverarbeitung können Sie hier digital unterschreiben oder hier herunterladen: Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO (PDF)

Penetrationstest-Zertifikat

Die Software von softgarden unterläuft regelmäßigen Sicherheitstests. Hier geht’s zum aktuellen Penetrationstest-Zertifikat (PDF).

Ein Badge, das bestätigt, dass softgarden im Oktober 2024 von der SySS GmbH mittels eines Penetrationstests geprüft und zertifiziert wurde

7. Kontaktaufnahme

Fragen zum Thema Datenschutz und Sicherheit

Wenn Sie weitere Fragen zum Thema Datenschutz und Datensicherheit bei softgarden haben, können Sie unter folgendem Link eine Anfrage einreichen: Anfrage einreichen

Melde- und Abhilfeverfahren (Art. 12 DSA)

Die Kontaktstelle für Nutzer gem. Art. 12 DSA ist erreichbar

Die Kontaktstelle für Behörden der Mitgliedstaaten, die EU-Kommission und das Europäische Gremium für digitale Dienste gem. Art. 11 DSA ist unter support@softgarden.de erreichbar. Die Kommunikation mit der Kontaktstelle kann in Deutsch und Englisch erfolgen.