Datenschutz nach EU-DSGVO

Datenschutz und Informationssicherheit sind zentraler Bestandteil der Produkte und Dienstleistungen von softgarden.
Der Schutz Ihrer Daten und Ihr Vertrauen sind uns sehr wichtig. Daher haben wir technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung implementiert, welche wir kontinuierlich weiterentwickeln.

softgarden macht Datenschutz einfach und ermöglicht Ihnen nach den Anforderungen der EU-Datenschutz-Grundverordnung zu recruiten.

1

Allgemein

Ansprechpartner für Datenschutz und Informationssicherheit

andreas-kaster

Andreas Kaster

Vice President Compliance bei softgarden
Datenschutzmanager und Informationssicherheitsbeauftragter

Florian_Bou-Fadel

Florian Bou-Fadel

Legal Counsel bei softgarden
Erster Ansprechpartner für vertragliche und rechtliche Fragen

Als Auftragsverarbeiter haben wir ein hohes Interesse an einem datenschutzkonformen Umgang mit vertraulichen Informationen und personenbezogenen (Bewerber-)Daten. Dies schließt auch die Wahrung der Rechte, insbesondere die Bearbeitung und Erfüllung von Anfragen betroffener Personen ein. Aufgrund gesetzlicher Verpflichtungen müssen sämtliche Anfragen betroffener Personen binnen vier Wochen vom Verantwortlichen beantwortet und erfüllt werden. Anfragen werden an unser Datenschutzteam weitergeleitet und nach den etablierten Prozessen geprüft. Bevor Sie ein bei uns eingegangene Anfrage erhalten, wird diese von uns vorqualifiziert.

Die hohen Integritätsinteressen unserer Kunden schließen auch den Umgang mit Datenschutz- und Sicherheitsvorfällen ein. Aufgrund der gesetzlichen Verpflichtung, sämtliche Datenschutzvorfälle binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden, sofern der Datenschutzvorfall voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist eine zügige, strukturierte Überprüfung von Sicherheitsvorfällen wichtig und Sie werden unverzüglich informiert. Potenzielle Verstöße können durch die Strukturen der Informationssicherheit entdeckt oder über die dafür vorgesehenen internen Prozesse an das Informationssicherheits- und Datenschutzteam gemeldet und von diesem detailliert geprüft werden. So prüfen wir auch vermeintlich unbedeutende Vorfälle und schulen unsere Mitarbeiter regelmäßig auf die Einhaltung von Datenschutz- und IT-Sicherheit.

softgarden stellt umfangreiche Datenschutzinformationen für die Talent Acquisition Suite (Recruiter) und die Karriereseiten (Bewerber) zur Verfügung. Die Informationen sind modular aufgebaut, richten sich inhaltlich nach dem gebuchten Produktumfang und werden regelmäßig von softgarden aktualisiert. Nach der DSGVO fallen die datenschutzrechtlichen Informationspflichten in den Verantwortungsbereich des Kundenunternehmens (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO). Wir bieten aus diesem Grunde die Option, dass unsere Kunden eine eigene Datenschutzerklärung verwenden können. Letztere Option wird insbesondere in Anspruch genommen, wenn unternehmensspezifische Anforderungen an die Informationspflichten aufgrund der Verarbeitungstätigkeit bestehen.
Bitte wenden Sie sich an unseren Customer Service unter support@softgarden.de.

softgarden hat umfassende Sicherheitsmaßnahmen etabliert. Für den Bereich des Home- und Mobile-Office wurden spezielle technische und organisatorische Vorkehrungen getroffen, um Datenschutz und Datensicherheit zu gewährleisten. Die Arbeitsgeräte sind zusätzlich mit eine Virtual Private Network (VPN) ausgestattet und verschlüsselt. Kundendaten werden nur in den Rechenzentren vorgehalten, Zugriff auf die Software erfolgt über https, Zugriff auf Systemebene durch Administratoren ist nur ausgewählten Administratoren über VPN möglich. Für den Bereich des Home-/Mobile-Office existieren spezielle Arbeitsrichtlinien.

2

Auftragsverarbeitung (AV)

Der Umfang der Verarbeitung personenbezogener Daten ergibt sich hauptsächlich aus der Beschreibung verarbeiteter Datenkategorien (Anlage 1 des Vertrages zur Auftragsverarbeitung). In der Anlage zu unserem Vertrag zur Auftragsdatenverarbeitung werden auch besondere Kategorien personenbezogener Daten erfasst. Der genaue Umfang der von Ihnen verarbeiteten Daten richtet sich zum einen nach den Anforderungen der Stellenausschreibungen sowie nach dem Umfang der vom Bewerber zur Verfügung gestellten Daten. Die in Anlage 1 beschriebenen Datenkategorien sind daher „weit gefasst“.

Eine Beschreibung der technischen und organisatorischen Maßnahmen (kurz: TOMs) befindet sich in Anlage 2 zu unserem Vertrag zur Auftragsverarbeitung. Zum Nachweis der Einhaltung und Weiterentwicklung dieser Maßnahmen führt softgarden neben einem Datenschutz- und Informationssicherheitsmanagement (DSMS/ISMS) regelmäßige interne und externe Audits und Prüfungen durch.

Die jeweils aktuellen Nachweise finden Sie hier:

softgarden erbringt sämtliche Leistungen rund um die Talent Acquisition Suite (Bewerbermanagementsystem) als Auftragsverarbeiter, soweit personenbezogene Daten nicht ausdrücklich für eigene geschäftliche Zwecke verarbeitet werden und berechtigterweise verarbeitet werden dürfen. Verantwortlicher für Datenschutz ist nach Art. 4 Nr. 7 DSGVO im Rahmen der Nutzung der softgarden Talent Acquisition Suite (Bewerbermanagement) das Kundenunternehmen. Darüber hinaus sind auch Auftragsverarbeiter (softgarden) Verantwortliche im Sinne der DSGVO, beispielsweise was die eigenen Subunternehmer oder die Verarbeitung für eigene geschäftliche Zwecke betrifft.

Ja. Eine Zusatzvereinbarung für den Bereich des Bewerbermanagements ist erforderlich, wenn der Verantwortliche den speziellen kirchenrechtlichen Datenschutzgesetzen unterliegt. Für den Bereich des Bewerbermanagements sind die inhaltlichen Anforderungen an diese im Zuge der DSGVO jedoch nicht abweichend.

Ein Drittlandtransfer von Bewerberdaten im Bewerbermanagementsystem erfolgt nicht und ist nicht vorgesehen. Unsere Software wird in Rechenzentren in Deutschland gehostet. Wartung und Betrieb erfolgen ebenfalls aus Deutschland durch Mitarbeiter von softgarden. Ein Drittlandtransfer kommt darüber hinaus nur in Betracht, wenn die besonderen Datenschutzanforderungen gewährleistet sind.

Uns ist wichtig, dass unsere Subunternehmer adäquate Sicherheitsstandards erfüllen. So achten wir im Rahmen der Auftragsverarbeitung besonders auf die Einhaltung der DSGVO und zusätzlich auf gängige Sicherheitsstandards, wie etwa eine Zertifizierung nach ISO27001.
Unsere Rechenzentren bieten uns Housing Dienste, d.h. sie stellen uns Strom, Rack-Space und Internet zur Verfügung, einschl. Firewalls, Loadbalancer und sichere SSL-Zertifikate. Wartung und Installation von Hard- und Software erfolgen durch softgarden. Die genutzten Rechenzentren werden von softgarden in regelmäßigen Abständen geprüft und auditiert. Die Rechenzentren sind unbedingter Vertragsbestandteil der Leistung und Auftragsverarbeitung, ohne den wir unsere Produkte nicht zur Verfügung stellen können. Derzeit werden Rechenzentren der folgenden Anbieter eingesetzt.

  • myLoc managed IT AG, Am Gatherhof 44, 40472 Düsseldorf
  • PlusServer GmbH, Welserstraße 14, 51149 Köln

Für das sog. „CV-Parsing“ nutzen wir einen Dienst der Textkernel B.V. Nieuwendammerkade 26 A 5, (1022AB) Amsterdam, Niederlande. Textkernel ist ein von softgarden geprüfter Subunternehmer im Rahmen der Auftragsverarbeitung. Da das „CV-Parsing“ optionaler und kein unbedingter Vertragsbestandteil ist, muss die Nutzung durch unsere Kunden im Recruiter-Backend gesondert bestätigt werden (sog. „Opt-In“). Textkernel nutzt KI-Technologien für die Auswertung von Lebensläufen und um diese in ein strukturiertes Format zu bringen. Diese Daten werden von Textkernel auf einem Server in Deutschland temporär gespeichert und 1x wöchentlich bereinigt.

Für die Kalenderintegration nutzt softgarden einen Dienst der Cronofy Limited, 1 Broadway, Nottingham, NG1 1PR, England. Cronofy ist Subunternehmer von softgarden im Rahmen der Auftragsverarbeitung und stellt einen optionalen vertraglichen Bestandteil des Bewerbermanagementsystems dar. Cronofy kann nach gesondertem „Opt-In“ im Recruiter Backend von unseren Kunden genutzt werden. Die Leistung ist nicht standardmäßig freigeschaltet. Weitere Informationen zur Technologie und zum Datenschutz können in den von Cronofy zur Verfügung gestellten Nachweisen entnommen werden.

Die Nachweise und Zertifizierungen unserer Subunternehmer finden Sie hier:

softgarden nutzt Zendesk als Tool, um Supportanfragen zu bearbeiten. Im Verhältnis zu Zendesk sehen wir uns als Verantwortlicher im Sinne der Datenschutzgesetze. Damit ist Zendesk kein Unterauftragnehmer im Sinne der Auftragsverarbeitung. Die Nutzung von Zendesk im Rahmen des Supports und damit die Weitergabe der Daten unserer Kunden (konkret der geschäftlichen Mailadresse des Benutzers, der die Anfrage stellt), stützen wir auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Es besteht alternativ die Möglichkeit, sich mit einem Anliegen an die direkten Ansprechpartner zu wenden, z. B. per E-Mail. Zendesk speichert Daten in den USA.

Die Schulung und Verpflichtung der Mitarbeiter auf die Vertraulichkeit von personenbezogenen Daten und Kundeninformationen ist sowohl Bestandteil des On- und Offboardings als auch des Datenschutz- und Informationssicherheitsmanagements bei softgarden. Zu diesem Zweck führen wir regelmäßig interne Datenschutz- und Awareness-Trainings mit den Schwerpunkten Datenschutz und Informationssicherheit durch. Allen Kolleginnen und Kollegen stehen unsere Experten in dem Bereich als Ansprechpartner zur Verfügung.

Ein Restore kann bei einem Ausfall in aller Regel unmittelbar oder taggleich erfolgen. Gesichert werden Files, Datenbanken und komplette Festplatten. Es gibt redundante Spiegelungen der Produktivumgebung, sodass auch bei einem Ausfall eines Rechenzentrums der Produktivbetrieb in einem anderen Rechenzentrum hochgefahren werden kann. Backups werden georedundant auf verschlüsselten Datenträgern gesichert. Unter anderem kommen rsnapshot und cepth rbd zum Einsatz. Restoretests werden stichprobenartig durchgeführt. Backups werden überwacht und verifiziert.

3

Bewerbermanagement (Just Hire)

Um den gesetzlichen Anforderungen an die Datenlöschung gerecht zu werden, wurde ein globales Löschkonzept auf Prozess- und Produktebene etabliert. Ein Schwerpunkt liegt somit auf den softgarden-Produkten, die, um den Anforderungen des „privacy by design“ gerecht zu werden, Implementierungen für die Datenlöschung enthalten. Wesentlicher Bestandteil ist die automatisierte Löschung von Bewerberdaten, die vom Verantwortlichen nach den betrieblichen Anforderungen eingestellt werden können. softgarden empfiehlt die Festlegung der Aufbewahrungsfrist für Bewerberdaten von sechs Monaten.

Wir stellen unseren Kunden die Informationen für das gesetzlich verpflichtende Verzeichnis der Verarbeitungstätigkeiten zur Verfügung. Die Beschreibung der Verarbeitungstätigkeit von softgarden hinsichtlich der Auftragsverarbeitung ersetzt allerdings nicht die Pflicht des Verantwortlichen, die Verarbeitung in das eigene Verzeichnis aufzunehmen.

Innerhalb der Stellenanzeigen besteht die Möglichkeit, sog. „Social Share Buttons“ (XING, LinkedIn, Facebook etc.) zu aktivieren. Bei den Buttons handelt es sich nicht um Plugins der Sozialen Netzwerke. Es werden, soweit nicht ausdrücklich festgelegt, ausschließlich externe Links genutzt. Das bedeutet, dass erst Daten an die sozialen Netzwerke übertragen werden, wenn der Webseitenbenutzer auf den Link klickt.

Wir stellen unseren Kunden im Bewerbermanagement die Möglichkeit zur Verfügung, schnell und einfach Bewerbungsgespräche über Video-Interviews durchzuführen. Dazu nutzen wir die Software Jitsi, die in einer eigenen Installation innerhalb der softgarden Infrastruktur betrieben wird. Bei zwei Kommunikationspartnern wird die Verbindung über eine sog. „P2P“-Technologie („Peer to peer“) aufgebaut, die Verbindung läuft also nicht über die Server von softgarden, sondern nur direkt zwischen den Gesprächspartnern. Bei mehr als zwei Teilnehmern im Interview fungiert der softgarden Server als Vermittlungsstelle. Es erfolgen keinerlei Mitschnitte oder Aufzeichnungen. Die Videodaten werden direkt zwischen den Kommunikationspartnern ausgetauscht.

Da der Jitsi Server von softgarden betrieben wird, gibt es hier auch kein Unterauftragsverhältnis mit einem Sub-Unternehmer.

Die Systemhistorie protokolliert Zugriffsversuche auf das Bewerbermanagementsystem sowie ändernde Operationen an Datensätzen.

Protokolliert werden außerdem Downloads von PDF-Zusammenfassungen von Bewerbungen.

4

Jobportal (Standard)

Cookies

Im Standardfrontend gibt es nur das Sessioncookie JSessionID. Das Cookie ist technisch notwendig und bleibt so lange gespeichert, wie die Session des Benutzers aktiv ist.

Hier werden nur technisch notwendige Cookies eingesetzt.

5

Alle Nachweise und wichtigen Anlagen auf einen Blick

Bei softgarden ist das gesamte Hosting “Made in Germany”. Unsere zertifizierten Rechenzentren Plusserver GmbH in Köln und Düsseldorf, sowie die myLoc Managed IT AG in Düsseldorf, bieten höchste Sicherheitsstandards für die Speicherung und die Verfügbarkeit Ihrer Daten. Die Erfüllung der Forderungen von ISO 27001 bestätigt die TÜV Süd Management Service GmbH.

Für softgarden ist der Schutz und die Vertraulichkeit Ihrer Daten von besonderer Bedeutung. Hier geht es zur Datenschutzerklärung der softgarden Produkte. Für Ihr eigenes Karriereportal haben wir eine Musterdatenschutzerklärung vorbereitet: Prüfen, individualisieren und hinterlegen Sie diese ganz einfach.

Die E-Recruiting Lösungen von softgarden bieten Ihnen die Möglichkeit DSGVO-konform zu arbeiten. Dies bestätigt auch eine externe Datenschutzbegutachtung durch die procado Consulting, IT- & Medienservice GmbH. Unser Datenschutzmanagement wurde von der DEKRA geprüft und zertifiziert.

Seit dem 23.03.2020 ist softgarden nach ISO 9001-2015 zertifiziert. Damit zeichnet die DEKRA softgarden für seine hohe Produkt- und Dienstleistungsqualität aus. Die stetige Verbesserung dieser Qualität steht für softgarden an erster Stelle.

Lesen Sie hier die Nutzungsbedingungen der softgarden e-recruiting GmbH für die Nutzung des E-Recruiting Systems “softgarden”.

Unsere Vereinbarungen zur Auftragsdatenverarbeitung (AVVAnlage 1) und zu den technischen und organisatorischen Maßnahmen (Anlage 2) können Sie direkt hier zum Ausfüllen herunterladen.

Die Software von softgarden unterläuft regelmäßigen Sicherheitstests. Hier geht’s zum aktuellen Penetrationstest-Zertifikat.

6

Fragen zum Thema Datenschutz- und Sicherheit?

Kontakt