Allgemeine Geschäftsbedingungen von softgarden
Rev. 2.8 gültig ab 01.07.2024
Die softgarden e-recruiting GmbH, Tauentzienstraße 14, 10789 Berlin (“Softgarden”) bietet ihren Kunden („Unternehmen“) verschiedene Leistungen rund um die elektronische Verwaltung und Abwicklung von Bewerbungen über ein Bewerbermanagementsystem (Software-as-a-Service) sowie die Erstellung, Vermittlung und Schaltung von Stellenanzeigen im Internet an.
Die Unternehmen haben die Möglichkeit, über das E-Recruiting System “softgarden”, das Softgarden unter der Domain https://app.softgarden.io/ (nachfolgend “Plattform”) betreibt, Stellenanzeigen zu schalten sowie Bewerbungen zu empfangen und zu verwalten. Zudem vermittelt Softgarden über die Plattform die Schaltung von Stellenanzeigen bei Drittanbietern. Für die Nutzung der Plattform und die Schaltung von Stellenanzeigen bei Drittanbietern gelten die nachfolgenden Bedingungen:
Inhalte
- Allgemeine Geschäftsbedingungen von softgarden
- Nutzungsbedingungen der softgarden e-recruiting GmbH für die Nutzung des E-Recruiting Systems „softgarden“
- 1. Geltungsbereich
- 2. Nutzung der Plattform
- 3. Vermittlung von Stellenanzeigen
- 4. Feedback, softgarden-Zertifikat
- 5. Support
- 6. Rechteeinräumung
- 7. Vergütung
- 8. Datenschutz
- 9. Übermittlung Statusinformationen
- 10. Haftung
- 11. Laufzeit des Vertrages und Kündigung
- 12. Melde- und Abhilfeverfahren nach Art. 16 Digital Services Act/ Verantwortlichkeit für Inhalte, Beschränkungen und Moderation von Inhalten
- 13. Schlussbestimmungen
- Annex 1: Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO
- § 1 Allgemeines
- § 2 Gegenstand und Dauer der Vereinbarung
- § 3 Weisungsrechte des Auftraggebers
- § 4 Pflichten des Auftraggebers
- § 5 Pflichten des Auftragnehmers
- § 6 Mitteilungspflicht bei Offenlegung
- § 7 Kontrollrechte des Auftraggebers
- § 8 Unterauftragsverhältnisse
- § 9 Übermittlung von Auftraggeber-Daten an Drittländer
- § 10 Vertraulichkeitsverpflichtung
- § 11 Technische und organisatorische Maßnahmen
- § 12 Verpflichtungen des Auftragnehmers nach Beendigung
- § 13 Sonderbestimmungen für kirchliche Stellen
- § 14 Laufzeit und Kündigung
- § 15 Haftung und Schadenersatz
- § 16 Schlussbestimmungen
- Anlage 1: Konkretisierung des Auftragsinhalts
- Anlage 2: Technische und organisatorische Maßnahmen
- Nutzungsbedingungen der softgarden e-recruiting GmbH für die Nutzung des E-Recruiting Systems „softgarden“
Nutzungsbedingungen der softgarden e-recruiting GmbH für die Nutzung des E-Recruiting Systems „softgarden“
1. Geltungsbereich
1.1. Für das Vertragsverhältnis zwischen den Unternehmen und Softgarden gelten ausschließlich diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“).
1.2. Allgemeine Geschäftsbedingungen der Unternehmen werden nur dann Vertragsbestandteil, wenn dies ausdrücklich schriftlich vereinbart wurde. Die Nutzung der Plattform ist nur Unternehmern im Sinne des § 14 BGB gestattet.
1.3. Vertragsgegenstand ist die Zurverfügungstellung einer Plattform zum Recruiting neuer Mitarbeiter. Unternehmen können über die Plattform Stellenanzeigen erstellen, ein eigenes Jobportal betreiben und Bewerbungen verwalten (Ziffer 2). Softgarden bietet dem Unternehmen über die Plattform außerdem die Option an, Stellenanzeigen auf Plattformen von Drittanbietern zu veröffentlichen (Ziffer 3).
2. Nutzung der Plattform
2.1. Zur Inanspruchnahme der Plattform muss sich das Unternehmen auf der Plattform registrieren und ein Unternehmenskonto (im Folgenden „Account“) eröffnen. Die Eröffnung eines Accounts darf nur durch einen Bevollmächtigten oder vertretungsberechtigten Angestellten des Unternehmens erfolgen. Die erforderlichen Daten müssen wahrheitsgetreu angegeben und bei Änderungen unverzüglich aktualisiert werden, um eine reibungslose Nutzung sicher zu stellen. Im Anschluss an die Anmeldung übersendet Softgarden dem Unternehmen an die im Registrierungsprozess angegebene E-Mail eine Bestätigung seiner Registrierung per E-Mail zusammen mit diesen AGB. Diese Bestätigungs-E-Mail stellt zugleich die Annahme des Angebots des Unternehmens auf Abschluss eines Nutzungsvertrages dar und ein Nutzungsvertrag kommt zustande. Ein Anspruch auf Abschluss eines Nutzungsvertrags besteht nicht.
2.2. Das Unternehmen ist für die Geheimhaltung der Anmeldedaten selbst verantwortlich. Es wird seinen Benutzernamen und das Passwort für den Zugang geheim halten, nicht weitergeben, keine Kenntnisnahme durch Unbefugte oder Dritte dulden oder ermöglichen und die erforderlichen Maßnahmen zur Gewährleistung der Vertraulichkeit ergreifen und bei einem Missbrauch oder Verlust dieser Angaben oder einem entsprechenden Verdacht dies Softgarden per E-Mail unter der E-Mail-Adresse security@softgarden.de anzeigen.
2.3. Die im Namen des Unternehmens handelnde Person muss durch das Unternehmen bevollmächtigt oder vertretungsberechtigt sein. Softgarden ist berechtigt jederzeit nach eigenem Ermessen einen Nachweis der Berechtigung zu verlangen. Übermittelt die für das Unternehmen handelnde Person die angeforderten Nachweise der Berechtigung zum Anlegen eines Accounts und zum Einstellen von Stellenanzeigen auf der Plattform nicht innerhalb einer Frist von einer (1) Woche nach Erhalt der entsprechenden Aufforderung, kann Softgarden jederzeit den Account sperren.
2.4. Über die Plattform können Unternehmen Stellenanzeigen erstellen und diese auf einem für sie von der Plattform zur Verfügung gestellten Jobportal anzeigen. Bewerber können sich über dieses Jobportal über ausgeschriebene Stellen informieren und über ein Online Bewerbungsformular bei dem Unternehmen bewerben. Über die Plattform können Unternehmen eingegangene Bewerbungen bearbeiten (z.B. Zwischenbescheid, Einladung zum Interview, Angebot, Einstellung).
2.5. Das Unternehmen ist verpflichtet, beim Einstellen von Stellenanzeigen sowie Inhalten im Jobportal alle anwendbaren Gesetze und sonstigen Rechtsvorschriften zu beachten. Das Unternehmen darf insbesondere keine Daten oder Inhalte, wie beispielsweise Texte, Bilder, Grafiken und Links einstellen und/oder verbreiten, die gegen Rechtsvorschriften verstoßen, die fremde Schutz- oder Urheberrechte oder sonstige Rechte Dritter verletzen.
2.6. Das Unternehmen hat die Möglichkeit, sein Profil selbst zu gestalten und beispielsweise ein Logo des Unternehmens einzustellen und ein Hintergrundbild zu integrieren. Das Unternehmen ist verpflichtet sicherzustellen, dass es berechtigt ist, das Logo und das Hintergrundbild öffentlich zugänglich zu machen. Unternehmen müssen sicherstellen, dass ihr Logo, Hintergrundbild oder sonstige Dateien, die auf der Plattform hochgeladen werden, nicht gegen gesetzliche Vorschriften, die guten Sitten und/oder gegen Rechte Dritte verstoßen.
2.7. Es dürfen keine Dateien mit Gewaltdarstellungen, pornografischen, diskriminierenden, beleidigenden, verleumderischen oder sonstigen rechtswidrigen Inhalten oder Darstellungen hochgeladen und/oder öffentlich zugänglich gemacht werden. Weiter ist es verboten, Bilddateien hochzuladen, auf denen ausschließlich oder teilweise fremde Firmen-, Marken oder sonstige Geschäftszeichen bzw. andere geschützte Zeichen dargestellt werden. Dies gilt nicht, wenn das Unternehmen dazu berechtigt ist, es also Inhaber der Rechte an den entsprechenden Logos, Werbefotos und sonstigen Inhalten ist oder der Rechteinhaber ihm die Verwendung gestattet hat.
2.8. Bilder oder Fotos von Personen, wie z.B. Angestellten dürfen nur dann auf der Plattform eingestellt werden, wenn das Einverständnis dieser Personen vorliegt.
2.9. Softgarden ist berechtigt, Logos, Bilder oder Dateien auch ohne Vorankündigung zu entfernen, wenn und soweit sich konkrete Anhaltspunkte dafür ergeben, dass durch die Veröffentlichung auf der Plattform gegen diese AGB, gesetzliche Vorschriften, die guten Sitten und/oder gegen Rechte Dritte verstoßen wird.
2.10. Die Plattform steht 24 Stunden am Tag und 365 Tage pro Jahr mit einer Verfügbarkeit von 99,8 % im Monatsmittel (nachfolgend „SLA“) zur Nutzung zur Verfügung („Systemlaufzeit“). Werden Wartungsarbeiten erforderlich und steht die Plattform deshalb nicht zur Verfügung, wird Softgarden die Unternehmen hierüber nach Möglichkeit rechtzeitig per E-Mail informieren. Ausfälle der Plattform aufgrund von Wartungsarbeiten werden nicht auf die SLAs angerechnet. Softgarden ist nicht für internet- /netzbedingte Ausfallzeiten und insbesondere nicht für Ausfallzeiten verantwortlich, in denen die Plattform aufgrund von technischen oder sonstigen Problemen, die nicht im Einflussbereich von Softgarden liegen (z.B. höhere Gewalt, u.a.), über das Internet nicht zu erreichen ist.
3. Vermittlung von Stellenanzeigen
3.1. Das Unternehmen kann über die Plattform Softgarden mit der Vermittlung von Stellenanzeigen bei Drittanbietern von Jobportalen/Jobbörsen („Drittanbieter“) beauftragen. Softgarden bietet hierzu auf der Plattform unter der Rubrik „Shop“ gegen gesonderte Vergütung an, einzelne Stellenanzeigen oder mehrerer Stellenanzeigen bei verschiedenen Drittanbietern im Paket („Anzeigenpaket“) für einen bestimmten Zeitraum zu veröffentlichen („Veröffentlichungszeitraum“).
3.2. Der Vertrag über die Veröffentlichung einzelner Stellenanzeigen oder eines Anzeigenpakets wird über den Shop auf der Plattform zu den dort genannten Konditionen abgeschlossen. Softgarden verpflichtet sich mit Abschluss des Vertrags, eine oder mehrere auf das Portal des jeweiligen Drittanbieters angepasste Stellenanzeige zu gestalten und innerhalb des Gültigkeitszeitraums (s. Ziff. 3.3) zu einem vom Unternehmen zu bestimmenden Zeitpunkt auf dem jeweiligen Portal das Drittanbieters zu veröffentlichen. Die konkrete Leistungsbeschreibung ergibt sich aus dem jeweiligen Angebot auf der Plattform.
3.3. Nach Abschluss des Vertrags kann das Unternehmen den Zeitpunkt der Veröffentlichung einzelner Stellenanzeigen bestimmen. Der Zeitpunkt zur Veröffentlichung der jeweiligen Stellenanzeige muss innerhalb des im Angebot von Softgarden bestimmten Gültigkeitszeitraums („Gültigkeitszeitraum“) liegen. Nach Ablauf des Gültigkeitszeitraums kann das Unternehmen die Gestaltung und Veröffentlichung von gebuchten Stellenanzeigen nicht mehr verlangen. Softgarden übernimmt während des Gültigkeitszeitraums das wirtschaftliche Risiko etwaiger Preisänderungen bei Drittanbietern. Da die Übernahme des wirtschaftlichen Risikos von Softgarden in der zu entrichtenden Vergütung eingepreist ist, erfolgt nach Ablauf des Gültigkeitszeitraums keine Rückerstattung der Vergütung für unveröffentlichte Stellenanzeigen.
3.4. Softgarden wird sich bei der Gestaltung der Stellenanzeigen bemühen, die Vorgaben des Unternehmens bestmöglich umzusetzen. Bei einer telefonischen Bestellung von Stellenanzeigen wird Softgarden vor der Einstellung der Stellenanzeige auf der Plattform des Drittanbieters dem Unternehmen die erstellte Stellenanzeige zur Freigabe zukommen lassen. Das Unternehmen wird Softgarden anschließend innerhalb von zehn (10) Werktagen seine Freigabe erteilen oder Änderungswünsche an der Gestaltung der Stellenanzeige mitteilen. Nach Ablauf der Frist gilt die Erstellung der Stellenanzeige als freigegeben.
3.5. Änderungen an der Stellenanzeige, die das Unternehmen nach erfolgter Freigabe und während des Veröffentlichungszeitraumes wünscht, wird Softgarden nur vornehmen, wenn dies technisch möglich ist, Drittanbieter dies zulassen und es inhaltlich zumutbar ist. Das Unternehmen hat in diesen Fällen die zusätzlich anfallenden Kosten zu tragen, die der Drittanbieter für die Änderungen erhebt. Änderungswünsche des Unternehmens, die wesentliche Änderungen an der jeweiligen Stellenbeschreibung beinhalten, wird Softgarden nicht vornehmen. In diesen Fällen muss das Unternehmen die Veröffentlichung einer neuen Stellenanzeige beauftragen.
4. Feedback, softgarden-Zertifikat
4.1. Das Unternehmen kann mit Softgarden einen gesonderten Vertrag über die Nutzung der Funktion „Feedback“ abschließen. Mit der Funktion „Feedback“ kann das Unternehmen Bewerbern die Möglichkeit geben, den Bewerbungsprozess und das Unternehmen zu bewerten. Hierzu erhalten die Bewerber im Laufe des Bewerbungsverfahrens und nach einer Einstellung per E-Mail Zugang zu einem Bewertungsformular. Die Bewerber können darüber verschiedene Aspekte des Bewerbungsprozesses und des Unternehmens bewerten, sowie eigene Kommentare dazu abgeben. Sämtliche Bewertungen werden dem Unternehmen in seinem eigenen Konto auf der Plattform unter der Rubrik „Feedback“ angezeigt. Die Unternehmen dürfen die Bewertungen nicht künstlich verbessern, zum Beispiel durch selektive Befragung oder das Erstellen von Fake-Bewerbern.
4.2. Optional kann das Unternehmen das „Softgarden-Zertifikat“ gegen gesonderte Vergütung hinzubuchen. Über das „Softgarden-Zertifikat“ wird das Ergebnis der Bewertungen auf der Plattform und auf Wunsch des Unternehmens auch auf Plattformen von Drittanbietern veröffentlicht. Das „Softgarden-Zertifikat“ wird für den Zeitraum von einem Jahr vergeben und kann jeweils um ein weiteres Jahr verlängert werden. Während des Gültigkeitszeitraums des „Softgarden-Zertifikats“ kann die Softgarden-Zertifikatsseite auf der Plattform nicht deaktiviert werden.
4.3. Außerdem hat das Unternehmen die Möglichkeit, die Option „Zertifikats-Widget“ gegen gesonderte Vergütung zu buchen. Das „Zertifikats-Widget“ ist eine Bilddatei, die ein Softgarden-Logo und das Gesamtergebnis der Feedback-Bewertungen des Unternehmens enthält. Während des Gültigkeitszeitraums des „Softgarden-Zertifikats“ erhält das Unternehmen das Recht, mit diesem „Zertifikats-Widget“ im Internet zu werben. Das Unternehmen darf das von Softgarden zur Verfügung gestellte „Zertifikats-Widget“ weder grafisch noch inhaltlich verändern; insbesondere darf das Bewertungsergebnis nicht verfälscht werden.
4.4. Die Bewerber dürfen über die Kommentarfunktion keine diskriminierenden, beleidigenden, rufschädigenden oder vulgären Inhalte veröffentlichen und keine Namen Dritter nennen (bspw. von Personen, die auf Seiten des Unternehmens am Bewerbungsprozess beteiligt waren). Softgarden wird Kommentare von Bewerbern vor der Veröffentlichung auf die Einhaltung dieser Regelung überprüfen und gegebenenfalls Teile der Kommentare unkenntlich machen. Sollten veröffentlichte Kommentare dennoch die Rechte des Unternehmens oder Rechte Dritter verletzen, kann das Unternehmen diese Kommentare bei Softgarden melden. Softgarden wird die jeweiligen Kommentare dann einer erneuten Prüfung unterziehen und rechtsverletzende Inhalte löschen.
4.5. Mit Ausnahme der unter Ziffer 4.4 genannten Fälle, hat das Unternehmen keinen Anspruch auf Löschung oder Veränderung von einzelnen Bewertungen oder einzelnen Kommentaren.
5. Support
5.1. Softgarden wird Fragen des Unternehmens zur Plattform telefonisch unter der Nummer +49 (0)30 884 940 510 (Festnetz-Preis) werktags in der Zeit von 09:00 bis 18:00 Uhr (MEZ) beantworten.
5.2. Das Unternehmen kann zudem Fragen und Fehlermeldungen zur Plattform als Ticket unter https://softgarden.zendesk.com/hc/de/requests/new/ einreichen. Die eingereichten Tickets werden innerhalb von 24 Stunden (werktags) bearbeitet.
6. Rechteeinräumung
Soweit für die Vermittlung von Stellenanzeigen und/oder für eine Anpassung des Dashboards erforderlich und auf die voran genannten Fälle beschränkt, räumt das Unternehmen Softgarden das nicht ausschließliche (einfache), räumlich unbeschränkte und zeitlich auf die Dauer des Vertrages beschränkte Recht ein, das Logo, Marken, Werbefotos sowie sämtliche eingestellten Inhalte des Unternehmens für die Dauer des Vertrages auf der Plattform zu Zwecken des Vertrages und für die Vermittlung und Erstellung von Stellenanzeigen zu nutzen.
Soweit für die Vermittlung von Stellenanzeigen und/oder für eine Anpassung des Dashboards erforderlich und auf die voran genannten Fälle beschränkt, räumt das Unternehmen Softgarden weiter das Recht ein, Logos zu verändern und derart verändert zu nutzen, dass Softgarden die Logos vergrößern, verkleinern und/oder Farblogos schwarz/weiß einfärben darf, um die Logos im Jobportal und in Stellenanzeigen entsprechend anzeigen zu können. Softgarden ist insbesondere berechtigt, die Inhalte in eigenen Datenbanken zu speichern, die Inhalte zu verbreiten, zu veröffentlichen und öffentlich zugänglich zu machen und/oder im Rahmen der Veröffentlichung von Inhalten bei Drittanbietern, den Drittanbietern entsprechende Nutzungsrechte einzuräumen oder zu übertragen.
Wenn eine gesonderte Bestätigung durch das Unternehmen mindestens in Textform vorliegt, darf Softgarden das Unternehmen während der Nutzung der Plattform als Referenz-Kunden auf seinen Werbematerialien (Webseiten, Messeauftritte, Flyer und Ähnliches) zu nennen. Softgarden wird Einwände des Unternehmens berücksichtigen. Für die Nutzung als Referenzkunde wird Softgarden vorab die voran genannte Bestätigung des Unternehmens in Textform einholen, ansonsten ist eine Nennung als Referenzkunde ausgeschlossen.
7. Vergütung
7.1. Nutzung der Plattform
7.1.1. Für die Nutzung der Plattform gelten jeweils die unter https://softgarden.com/de/preise/ abrufbaren Preise. Die ersten 14 Tage (“Testphase”) können Unternehmen die Plattform kostenfrei und uneingeschränkt testen. Die Testphase beginnt mit der Aktivierung des Accounts durch Klick auf den Link in der E-Mail die nach Absenden des Registrierungsformulars an die angegeben E-Mail-Adresse versendet wird und anschließendes Definieren des Passwortes.
7.1.2. Die Kosten für die Nutzung der Plattform ergeben sich aus dem gewählten Abonnement. Der Abrechnungszeitraum beginnt an dem Tag, an dem der Account nach der Testphase in einen kostenpflichtigen Account umgewandelt wurde und endet gemäß der gewählten Laufzeit. Die Laufzeit verlängert sich automatisch um die jeweils gleiche Laufzeit, sofern nicht fristgerecht gemäß 11.1.2 gekündigt wurde. Softgarden ist jedoch berechtigt, zum Anfang einer jeden Laufzeitverlängerung, den Preis für die jeweiligen Lizenz-Pakete nach billigem Ermessen (§315 BGB) nach oben oder unten anzupassen. Eine Preisanhebung von mehr als 5% ist nur zulässig, wenn sie dem Unternehmen so rechtzeitig vorher angekündigt wird, dass das Unternehmen den Vertrag noch vor Wirksamwerden der Erhöhung regulär auf das Ende des Abonnementzeitraums kündigen kann. Das Unternehmen hat jederzeit während der Vertragslaufzeit die Möglichkeit, sein Lizenz-Paket zu ändern, indem es ein Lizenz-Paket wählt, das mehr Leistungen beinhaltet („Upgrade“). Wählt das Unternehmen während der Vertragslaufzeit ein Upgrade, so beginnt die ursprünglich vereinbarte Vertragslaufzeit ab dem Zugang des Änderungsverlangens des Unternehmens bei Softgarden erneut zu laufen. Die übrigen Bedingungen bleiben unverändert. Die Kosten werden zu Beginn einer jeden Abrechnungsperiode im Voraus in Rechnung gestellt. Die Rechnung wird per E-Mail an die im Registrierungs-Prozess angegebene E-MailAdresse gesendet.
7.2. Vermittlung von Stellenanzeigen bei Drittanbietern
7.2.1. Für die Vermittlung von Stellenanzeigen bei Drittanbietern gelten die Preise, die in der Angebotsbeschreibung im Shop (https://app.softgarden.io/just-hire/shop/) ausgewiesen ist.
7.2.2. Der im Angebot angegebene Gesamtpreis ist unmittelbar nach Vertragsschluss ohne Abzug zur Zahlung fällig.
7.3. Leistet der Kunde nicht innerhalb von 14 Tagen nach Eintritt der Fälligkeit, gerät er ohne weitere Mahnung in Verzug. Softgarden erhebt Verzugszinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz nach Maßgabe des § 288 Abs. 2 BGB, mindestens aber von 9 % p.a. Kommt ein Kunde seinen Zahlungsverpflichtungen nicht fristgerecht nach bzw. werden Zahlungen des Kunden nicht durchgeführt oder rückbelastet, ist Softgarden überdies – vorbehaltlich weitergehender Ansprüche – berechtigt, die Leistungen bis zum Begleichen der Forderungen einzustellen.
7.4. Alle aufgeführten Preise sind Nettopreise.
8. Datenschutz
8.1. Softgarden wird sämtliche datenschutzrechtliche Erfordernisse, insbesondere die Vorgaben der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) und des Bundesdatenschutzgesetzes (BDSG) beachten.
Im Zusammenhang mit der Bereitstellung der Leistungen werden durch Softgarden personenbezogene Daten sowohl als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO, als auch als Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO verarbeitet.
Softgarden als Verantwortlicher verarbeitet personenbezogene Daten insbesondere zu den folgenden Zwecken:
- Kundenverwaltung (Account- und Nutzungsdaten der Softgarden-Nutzer)
- Kundensupport (Bearbeitung von Supporttickets und -anfragen)
- Produktverbesserung (Analyse des kundenseitigen Nutzungsverhaltens auf der Softgarden-Plattform)
Die Verarbeitung dieser Daten, die Softgarden als Verantwortlicher verarbeitet, ist in der Datenschutzerklärung beschrieben, die unter Datenschutzhinweise softgarden Produkte verfügbar ist.
Als Auftragsverarbeiter verarbeitet Softgarden solche personenbezogenen Daten, die durch den Kunden innerhalb der Softgarden-Dienste verarbeitet werden und die sich nicht auf den Kunden selbst beziehen (insbesondere sämtliche Bewerberdaten). Für diese Verarbeitung personenbezogener Daten im Auftrag gilt der Softgarden-Auftragsverarbeitungsvertrag, der als Annex 1 Bestandteil dieser Bedingungen ist und hiermit vereinbart wird.
9. Übermittlung Statusinformationen
Soweit das Unternehmen (Kunde) einem Anbieter von Jobportalen gegenüber dazu eingewilligt hat und dies Vertragsbestandteil zwischen dem Unternehmen und dem Anbieter des Jobportals ist, wird Softgarden die Statusinformationen der Bewerbungen durch den Kunden an den Anbieter des Jobportals weiterleiten, soweit dies technisch eingerichtet und möglich ist. Dabei werden nur die Statusinformationen solcher Bewerber/innen zur Verfügung gestellt, die sich beim Unternehmen über das entsprechende Jobportal beworben haben und die bei dem Jobportal mit einem eigenen Benutzerkonto registriert sind.
Statusinformationen sind Informationen zum Bewerbungsstatus von Bewerber/innen beim Unternehmen. Dies beinhaltet z.B. den Erhalt der Bewerbung, das Öffnen der Bewerbung oder die Ablehnung von Bewerber/innen. Dabei ist der Anbieter des Jobportals für die Sicherstellung einer datenschutzrechtlichen Rechtsgrundlage für die Übertragung und Verarbeitung dieser personenbezogenen Daten zuständig. Für die Verarbeitung von Statusinformationen agieren das Unternehmen und der Anbieter des Jobportals als gemeinsame Verantwortliche.
10. Haftung
10.1. Ansprüche des Unternehmens auf Schadensersatz sind ausgeschlossen. Hiervon ausgenommen sind Schadensersatzansprüche des Unternehmens aus der Verletzung des Lebens, des Körpers, der Gesundheit oder aus der Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) sowie die Haftung für sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung von Softgarden, ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen. Kardinalpflichten im Sinne dieses Vertrags sind solche Pflichten, die die ordnungsgemäße Durchführung des Vertrags und die Erreichung seines Zwecks erst ermöglichen und auf deren Einhaltung die Benutzer daher regelmäßig vertrauen dürfen.
10.2. Bei der Verletzung wesentlicher Vertragspflichten haftet Softgarden nur für den vertragstypischen, vorhersehbaren Schaden, wenn dieser einfach fahrlässig verursacht wurde, es sei denn, es handelt sich um Schadensersatzansprüche der Benutzer aus einer Verletzung des Lebens, des Körpers oder der Gesundheit.
10.3. Ansprüche aus dem Produkthaftungsgesetz bleiben unberührt.
10.4. Die Einschränkungen von Ziffer 8.1 und 8.2 gelten auch zugunsten der gesetzlichen Vertreter und Erfüllungsgehilfen von Softgarden, wenn Ansprüche direkt gegen diese geltend gemacht werden.
10.5. Das Unternehmen stellt Softgarden von sämtlichen Ansprüchen, einschließlich Aufwendungsersatz – und Schadensersatzansprüchen, frei, die andere Nutzer der Plattform, oder sonstige Dritte, einschließlich Behörden, gegen Softgarden wegen einer Verletzung ihrer Rechte durch die von dem Unternehmen auf der Plattform eingestellten Inhalte geltend machen. Das Unternehmen übernimmt alle angemessenen Kosten, einschließlich der für die Rechtsverteidigung entstehenden angemessenen Kosten, die Softgarden aufgrund einer Verletzung von Rechten Dritter durch das Unternehmen entstehen. Alle weitergehenden Rechte sowie Schadensersatzansprüche von Softgarden bleiben unberührt.
10.6. Sofern das Unternehmen persönliche Daten eines Bewerbers manuell zum System hinzufügt, ist dieses verpflichtet die Zustimmung des Bewerbers zur Datenschutzerklärung selbstständig einzuholen.
11. Laufzeit des Vertrages und Kündigung
11.1. Nutzung der Plattform
11.1.1. Der Vertrag wird auf die Dauer der Abrechnungsperiode geschlossen. Der Vertrag verlängert sich mit Ablauf der Abrechnungsperiode um den gleichen Zeitraum, wenn er nicht von einer Partei nach den nachfolgenden Regelungen gekündigt wird.
11.1.2. Der Vertrag kann von jeder Partei durch Erklärung unter Wahrung zumindest der Textform (§ 126 b BGB) und einer Kündigungsfrist von drei (3) Monaten zum Ende der Vertragslaufzeit gekündigt werden. Das Kündigungsrecht aus wichtigem Grund (§ 314 BGB) und nach § 313 BGB bleiben unberührt .
11.1.3. Im Fall der Kündigung werden noch aktive Stellenanzeigen deaktiviert, Bewerbungen gelöscht und das Jobportal deaktiviert.
11.1.4. Im Falle einer Kündigung ist Softgarden verpflichtet die Bewerberdaten in elektronischer Form herauszugeben. Ein Zurückbehaltungsrecht des Unternehmens besteht nicht.
11.2. Vermittlung von Stellenanzeigen bei Drittanbietern
11.2.1. Ein zwischen dem Unternehmen und Softgarden geschlossener Vertrag zur Vermittlung von Stellenanzeigen bei Drittanbietern endet mit Ablauf des im Angebot genannten Gültigkeitszeitraums automatisch.
11.2.2. Die ordentliche Kündigung des Vertrages ist ausgeschlossen.
11.3. Die Kündigung aus wichtigem Grund bleibt unberührt. Als wichtiger Grund gelten insbesondere: – ein Verstoß des Unternehmens gegen die Pflichten gemäß Ziffern 2.1, 2.5, 2.6, 2.7 und 2.8 und – die Manipulation von Bewertungen durch das Unternehmen, beispielsweise durch die Abgabe einer eigenen Bewertung durch das Unternehmen selbst oder in seinem Auftrag. Ein wichtiger Grund liegt insbesondere bei einer endgültigen Sperrung des Nutzerkontos und/oder einer Beendigung der gesamten Bereitstellung des Dienstes nach Ziffer 12.2 vor.
12. Melde- und Abhilfeverfahren nach Art. 16 Digital Services Act/ Verantwortlichkeit für Inhalte, Beschränkungen und Moderation von Inhalten
12.1. Das Unternehmen, seine Mitarbeiter und Bewerber können über ein Webformular, welches hier (https://support.softgarden.de/hc/de/requests/new ) erreicht werden kann, Beschwerden oder Meldungen nach Art. 16 Digital Services Act einreichen.
12.2. Das Unternehmen ist für die von ihm bereitgestellten Daten und Inhalte selbst verantwortlich. softgarden überprüft die Angaben und Stellenanzeigen weder auf ihre Rechtmäßigkeit, Richtigkeit, noch auf Virenfreiheit oder auf virentechnische Verarbeitbarkeit hin, soweit nicht die Datei durch die vorhandenen technisch-organisatorischen Maßnahmen als virenbelastet identifiziert wird.
12.3. softgarden kann die folgenden Maßnahmen ergreifen, wenn Unternehmen rechtswidrige Inhalte oder Inhalte, die gegen diese Nutzungsbedingungen verstoßen, bereitstellt:
- Beschränkungen der Anzeige bestimmter Einzelinformationen, die vom Nutzer bereitgestellt werden, einschließlich Entfernen von Inhalten, (vorläufige oder endgültige) Sperrung des Zugangs zu Inhalten oder Herabstufung von Inhalten;
- Aussetzung oder Beendigung der gesamten oder teilweisen Bereitstellung des Dienstes;
- Aussetzung oder Schließung des Kontos des Nutzers;
12.4. Bei der Entscheidung über die nach Ziffer 12.3 zu treffenden Maßnahmen berücksichtigt Softgarden die objektiven Umstände des Einzelfalls, die Schwere, Häufigkeit und Dauer der begangenen Verstöße, die berechtigten Interessen des Unternehmens sowie seine Absichten und ein etwaiges Verschulden.
12.5. Sofern Softgarden Maßnahmen nach Ziffer 12.3 ergreift, wird das betreffende Unternehmen im Rahmen der gesetzlichen Verpflichtung über die Maßnahme mit einer Begründung informiert.
12.6. Vor einer vorläufigen oder endgültigen Sperrung des Nutzerkontos spricht Softgarden eine Verwarnung an das betreffende Unternehmen aus, soweit dies zur Wahrung der Verhältnismäßigkeit erforderlich ist und dem Zweck der Sperrung nicht entgegensteht.
12.7. Im Rahmen der Entscheidung über Maßnahmen gegen rechtswidrige Inhalte und über Inhalte, die gegen diese Nutzungsbedingungen verstoßen, erfolgt, abhängig vom Einzelfall, eine menschliche Überprüfung. Eine automatisierte Überprüfung mit technischen Mitteln findet nicht statt.
13. Schlussbestimmungen
13.1. Es gilt das Recht der Bundesrepublik Deutschland.
13.2. Gerichtsstand für sämtliche Rechtsstreitigkeiten aus diesem Vertrag ist Berlin.
13.3. Softgarden ist berechtigt, diese Bedingungen während der Laufzeit des Vertrages mit Wirkung für die Zukunft zu ändern und anzupassen. Softgarden wird dem Unternehmen die geänderten Bedingungen vor dem geplanten Inkrafttreten in Textform übermitteln und auf die Neuregelungen sowie das Datum des Inkrafttretens besonders hinweisen. Zugleich wird Softgarden dem Unternehmen eine angemessene, mindestens sechs Wochen lange Frist für die Erklärung einräumen, ob er die geänderten Nutzungsbedingungen für die weitere Inanspruchnahme der Leistungen akzeptiert. Erfolgt innerhalb dieser Frist, welche ab Erhalt der Nachricht in Textform zu laufen beginnt, keine Erklärung, so gelten die geänderten Bedingungen als vereinbart. Softgarden wird das Unternehmen bei Fristbeginn gesondert auf diese Rechtsfolge, d.h. das Widerspruchsrecht, die Widerspruchsfrist und die Bedeutung des Schweigens hinweisen. Dieser Änderungsmechanismus gilt nicht für Änderungen der vertraglichen Hauptleistungspflichten der Parteien.
13.4. Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen. Anstelle der unwirksamen Bestimmungen sollen solche Regelungen treten, die dem wirtschaftlichen Zweck des Vertrages unter angemessener Wahrung der beiderseitigen Interessen am nächsten kommen.
Annex 1: Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO
Unsere Vereinbarung zur Auftragsverarbeitung können Sie hier digital unterzeichnen: AVV digital unterzeichnen. Sie können außerdem hier PDF-Version herunterladen: Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO (PDF).
zwischen dem Verantwortlichen
KUNDE (Unternehmen)
nachfolgend „Auftraggeber“ genannt
und dem Auftragsverarbeiter
softgarden e-recruiting GmbH, Tauentzienstraße 14, 10789 Berlin
nachfolgend „Auftragnehmer“ genannt
gemeinsam im Folgenden Vertragspartner genannt.
Der Auftragnehmer bietet dem Auftraggeber Leistungen rund um die elektronische Verwaltung und Abwicklung von Bewerbungen über ein Bewerbermanagementsystem (Software-as-a-Service) an und hostet zu diesem Zweck die im Bewerbermanagementsystem gespeicherten Bewerberdaten im Auftrag des Auftraggebers.
§ 1 Allgemeines
- Im Rahmen des zwischen den Parteien bestehenden Leistungsverhältnisses (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer als Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO mit personenbezogenen Daten umgeht, für die der Auftraggeber Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO ist (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrages. Bei etwaigen Widersprüchen gehen die Regelungen dieser Vereinbarung mit all seinen Bestandteilen den Regelungen des zugehörigen Hauptvertrages vor.
- Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) verwendet wird, ist dem die Definition der „Verarbeitung“ i. S. d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
§ 2 Gegenstand und Dauer der Vereinbarung
- Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Auftraggeber-Daten durch den Auftragnehmer im Zusammenhang mit dem Einsatz des Recruiting- und Bewerbermanagementsystems als Software as a Service (SaaS) durch den Auftraggeber.
- Der Auftragnehmer verarbeitet die personenbezogenen Auftraggeber-Daten während der Dauer des Hauptvertrages im Auftrag und nur nach Weisung des Auftraggebers. Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen werden in Anlage 1 festgelegt.
- Die Laufzeit der Vereinbarung zur Auftragsverarbeitung richtet sich nach der Laufzeit des zugehörigen Hauptvertrages (Leistungsvereinbarungen).
§ 3 Weisungsrechte des Auftraggebers
- Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Mündliche Weisungen sind vom Auftraggeber unverzüglich in Textform (mind. per E-Mail/Ticket) zu bestätigen.
- Der Auftragnehmer ist verpflichtet, die Weisungen des Auftraggebers unverzüglich oder ggf. unter Einhaltung einer durch den Auftraggeber festgelegten, angemessenen Frist auszuführen und insbesondere personenbezogene Daten auf Weisung des Auftraggebers unverzüglich zu berichtigen, zu löschen oder zu sperren und dies auf Verlangen schriftlich zu bestätigen.
- Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist, ohne Anerkennung einer Prüfpflicht, ob eine rechtswidrige Weisung vorliegt, berechtigt, eine nach seiner Auffassung rechtswidrige Weisung abzulehnen oder auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird oder offensichtlich rechtswidrige Weisungen jederzeit abzulehnen oder dies bezogene Verarbeitungen auszusetzen.
- Soweit der Auftragnehmer durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist, die personenbezogenen Daten auch ohne Weisung des Auftraggebers zu verarbeiten, teilt der Auftragnehmer dem Auftraggeber den Grund der Verarbeitung und die entsprechenden rechtlichen Anforderungen rechtzeitig vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
- Der Auftraggeber verpflichtet sich, Weisungen nur weisungsberechtigten Personen zu überlassen. Der Auftragnehmer ist berechtigt, bei einer durch den Auftraggeber erteilten Weisung von einer entsprechenden Weisungsberechtigung auszugehen.
- Der Auftragnehmer benennt als berechtigte Weisungsempfänger den Bereich Customer Service und Support, Kontakt: support@softgarden.de. Mitarbeiter des Bereichs sowie Bereichsverantwortliche des Auftragnehmers sind zum Empfang von Weisungen berechtigt.
§ 4 Pflichten des Auftraggebers
- Der Auftraggeber ist als Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Betroffenenrechte verantwortlich, die sich aus den Art. 12 bis 23 DSGVO ergeben.
- Der Auftraggeber ist als Verantwortlicher, im Rahmen der durch den Auftragnehmer durchgeführten Verarbeitung im Auftrag, für die Meldung und Benachrichtigung im Falle der Verletzung des Schutzes personenbezogener Daten verantwortlich, Art. 33 und 34 DSGVO.
- Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebs- und Geschäftsgeheimnissen (insbesondere in Bezug auf technische und organisatorische Maßnahmen der Datensicherheit) des Auftragnehmers streng vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
§ 5 Pflichten des Auftragnehmers
- Soweit sich eine betroffene Person in Wahrnehmung ihrer Rechte aus Kapitel 3 DSGVO (Art. 12 bis 23 DSGVO) unter Berücksichtigung von Teil 2, Kapitel 2 BDSG (§§ 32 bis 37 BDSG) unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer verpflichtet sich, den Auftraggeber bei der Erfüllung von Betroffenenrechten nach besten Kräften zu unterstützen, insbesondere nach Weisung des Auftraggebers sowie durch geeignete technische und organisatorische Maßnahmen.
- Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.
- Wenn dem Auftragnehmer hinsichtlich der verarbeiteten Auftraggeber-Daten eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO bekannt wird („Datenschutzvorfall“), meldet er dies dem Verantwortlichen unverzüglich. Im Rahmen der Meldung gem. Art. 33 Abs. 2 DSGVO teilt der Auftragnehmer dem Auftraggeber nach Möglichkeit den Zeitpunkt sowie Art und Ausmaß des Vorfalls, das betroffene IT-System, die betroffenen Personen, den Zeitpunkt der Entdeckung, alle denkbaren nachteiligen Folgen des Datensicherheitsvorfalls sowie die daraufhin ergriffenen Maßnahmen mit.
- Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betrifft.
§ 6 Mitteilungspflicht bei Offenlegung
- Der Auftragnehmer wird den Auftraggeber unverzüglich über jedes Ersuchen oder Verlangen zur Offenlegung von Informationen, gleich welcher Art, seitens Strafverfolgungsbehörden und anderen staatlichen Stellen informieren, soweit diese in Zusammenhang mit den zwischen Auftraggeber und Auftragnehmer geschlossenen Vereinbarungen stehen („Mitteilungspflicht“).
- Der Auftraggeber ist für die Entscheidung über und die Verfahrensweise der Offenlegung betroffener Auftraggeber-Daten gegenüber staatlichen Stellen allein verantwortlich und ist vom Auftragnehmer nach besten Kräften bei der Offenlegung zu unterstützen.
- Von der Mitteilungspflicht gegenüber dem Auftraggeber ist der Auftragnehmer nur dann befreit, wenn der Auftragnehmer selbst zur Offenlegung gegenüber staatlichen Stellen sowie zur Geheimhaltung gegenüber dem Auftraggeber verpflichtet ist.
§ 7 Kontrollrechte des Auftraggebers
- Der Auftragnehmer räumt dem Auftraggeber ein Kontrollrecht zur Prüfung der Datenverarbeitung sowie Einhaltung dieses Vertrags bzw. des jeweiligen Projektauftrags ein. Insbesondere stellt der Auftragnehmer dem Auftraggeber alle Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung und ermöglicht die Durchführung von Überprüfungen einschließlich Inspektionen. Die Kontrollhandlungen können ebenfalls durch einen zur Geheimhaltung verpflichteten Dritten vorgenommen werden, sofern es sich bei dem Dritten um keinen Konkurrenten des Auftragnehmers handelt.
- Die Parteien sind sich einig, dass der Auftraggeber eine Überprüfung nach Absatz 1 durchführt, indem er den Auftragnehmer anweist, nach seiner Wahl ein geeignetes Testat, einen Bericht oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, Informationssicherheitsbeauftragter, Datenschutzauditor oder Qualitätsauditor) oder eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit – z.B. nach ISO 27001 oder BSI-Grundschutz – („Prüfungsbericht“) vorzulegen. In begründeten Ausnahmen kann der Auftraggeber eigenständige Inspektionen durchführen.
- Der Auftragnehmer verpflichtet sich, die Durchführung der Kontrollen zu unterstützen. Dies beinhaltet die Gewährung sämtlicher benötigter Zugangs-, Auskunfts- und Einsichtsrechte. Gleiches gilt für öffentliche Kontrollen durch die zuständige Aufsichtsbehörde gemäß den anwendbaren Datenschutzvorschriften.
- Im Falle von eigenständigen Inspektionen des Auftraggebers beim Auftragnehmer trägt jede Partei die durch die Prüfung anfallenden Kosten, wie Prüfungs-, Personal- und Reisekosten, selbst. Soweit die Mitwirkung des Auftragnehmers im Zusammenhang mit Kontrollen über das erforderliche Maß von maximal drei (3) Personentagen hinausgeht und dies mit einem höheren Prüfaufwand oder der Beauftragung externer Dienstleister durch den Auftragnehmer verbunden ist, können die dafür anfallenden Kosten dem Auftraggeber nach den branchenüblichen Stunden- und Tagessätzen in Rechnung gestellt werden.
§ 8 Unterauftragsverhältnisse
- Der Auftragnehmer darf Unterauftragsverhältnisse mit weiteren Auftragsverarbeitern (Subdienstleister) begründen. Zurzeit beschäftigt der Auftragnehmer die in Anlage 1 bezeichneten Subdienstleister. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.
- Der Auftragnehmer informiert den Auftraggeber in Textform oder einer geeigneten elektronischen Form immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Subdienstleistern, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen innerhalb von 14 Kalendertagen Einspruch zu erheben, wobei dies nicht ohne wichtigen datenschutzrechtlichen Grund erfolgen darf. Im Fall eines begründeten Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern die Erbringung der Leistung ohne die beabsichtige Änderung für den Auftragnehmer nicht zumutbar ist – die Leistung gegenüber dem Auftraggeber innerhalb von zwei (2) Wochen nach Zugang des Einspruchs einstellen und den Hauptvertrag fristlos und mit sofortiger Wirkung kündigen. Davon unberührt bleibt ein außerordentliches Kündigungsrecht des Kunden aus wichtigem Grund.
- Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Datenschutzpflichten, auch gegenüber dem Subdienstleister gelten und diesen gem. Art. 28 Abs. 4 DSGVO vor Aufnahme der Tätigkeiten entsprechend im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats zu verpflichten, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.
- Ist die Beauftragung eines Subdienstleisters mit einer Übermittlung der Auftraggeber-Daten in ein Land außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraum (EWR) („Drittland“) verbunden, gelten zusätzlich die Vorgaben aus § 9.
- Leistungen von Drittanbietern, die über den sog. Marketplace des Auftragnehmers und – soweit möglich – auch individuell gebucht und durch den Auftragnehmer im Auftrag des Auftraggebers in das System integriert werden können, werden – soweit nicht anders vereinbart – nicht Unterauftragnehmer des Auftragnehmers und begründen keine datenschutzrechtliche Prüfpflicht des Auftragnehmers.
§ 9 Übermittlung von Auftraggeber-Daten an Drittländer
- Die Erbringung der vertraglich vereinbarten Datenverarbeitung im Rahmen der Bereitstellung des Recruiting- und Bewerbermanagementsystem findet grundsätzlich in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) statt.
- Jede Übermittlung der Auftraggeber-Daten in ein Land außerhalb von EU/EWR („Drittland“) darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
§ 10 Vertraulichkeitsverpflichtung
- Der Auftragnehmer ist bei der Verarbeitung im Auftrag zur Wahrung der Vertraulichkeit personenbezogener Daten, die er im Zusammenhang mit den Leistungsvereinbarungen verarbeitet und/oder zur Kenntnis erlangt, verpflichtet.
- Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 11 Technische und organisatorische Maßnahmen
- Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Gewährleistung technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO. Der Auftragnehmer führt regelmäßig eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durch und dokumentiert die Ergebnisse.
- Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist der Anlage 2 zu dieser Vereinbarung zu entnehmen. Die Vertragspartner sind sich einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Änderungen der technisch-organisatorischen Maßnahmen dürfen nicht zu einer Unterschreitung des bestehenden Schutzniveaus führen. Der Auftragnehmer wird wesentliche Änderungen der getroffenen Maßnahmen dokumentieren.
- Der Auftragnehmer wird die aktuellen technischen und organisatorischen Maßnahmen sowie die Nachweise der Einhaltung technisch-organisatorischer Maßnahmen auf seiner Webseite veröffentlichten und regelmäßig aktualisieren, soweit diese nach billigem Ermessen und/oder aufgrund einer anderweitigen Verpflichtung des Auftragnehmers zur Veröffentlichung bestimmt sind.
§ 12 Verpflichtungen des Auftragnehmers nach Beendigung
- Nach Beendigung der Leistungsvereinbarungen oder früher nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarungen – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl und auf Weisung des Auftraggebers datenschutzkonform zu löschen oder an diesen zurückzugeben und vorhandene Kopien zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Gleiches gilt für Test- und Ausschussmaterial.
- Dokumentationen und Protokolle, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
§ 13 Sonderbestimmungen für kirchliche Stellen
- Sofern es sich bei dem Kunden um eine kirchliche Stelle handelt, die den Bestimmungen des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (EKD Datenschutzgesetz) unterliegt, unterwirft sich der Auftragnehmer in Ergänzung zu den Bestimmungen aus diesem Auftragsverarbeitungsvertrag gemäß § 30 Absatz 5 Satz 3 EKD Datenschutzgesetz der kirchlichen Datenschutzaufsicht. Die Unterwerfung erstreckt sich auf die Aufgaben und Befugnisse der kirchlichen Datenschutzaufsicht nach §§ 43, 44 EKD Datenschutzgesetz.
- Sofern es sich bei dem Kunden um eine kirchliche Stelle handelt, die den Bestimmungen des Gesetzes über den Kirchlichen Datenschutz (KDG) unterliegt, beziehen die Parteien die Anwendung des KDG, insbesondere §§ 29 und 31 KDG, sowie die Beachtung der dort getroffenen Vorschriften ausdrücklich in diese Vereinbarung ein.
§ 14 Laufzeit und Kündigung
- Die Laufzeit und Kündigung dieses Vertrags richten sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrages. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
§ 15 Haftung und Schadenersatz
- Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
- Macht eine betroffene Person gegenüber einem der Vertragspartner Schadenersatzansprüche wegen Verstoßes gegen datenschutzrechtliche Bestimmungen geltend, so hat die beanspruchte Partei die andere Partei hierüber unverzüglich zu informieren.
- Die Parteien unterstützen sich wechselseitig bei der Abwehr von Schadenersatzansprüchen betroffener Personen, es sei denn, dies würde die Rechtsposition der einen Partei im Verhältnis zur anderen Partei oder zur Aufsichtsbehörde gefährden.
§ 16 Schlussbestimmungen
- Diese Vereinbarung zur Auftragsverarbeitung ist ohne separate Unterschrift mit Abschluss des Hauptvertrages gültig.
- Diese Vereinbarung zur Auftragsverarbeitung ersetzt alle vorherigen Vereinbarungen, Verträge oder Mitteilungen zwischen dem Auftraggeber und dem Auftragnehmer in Bezug auf die Verarbeitung personenbezogener Daten im Auftrag.
- Bei etwaigen Widersprüchen gehen die Regelungen dieses Vertrages mit all seinen Bestandteilen den Regelungen des zugehörigen Hauptvertrages vor.
- Bei Widersprüchen zwischen verschiedenen Sprachversionen dieser Vereinbarung ist die deutsche Version maßgeblich.
- Wenn eine Bestimmung dieser Vereinbarung unwirksam sein oder werden sollte, wird dadurch die Wirksamkeit des Vertrages im Übrigen nicht berührt.
- Die dieser Vereinbarung zur Auftragsverarbeitung beigefügten Anlagen 1 und 2 sind wesentlicher Bestandteil derselben.
- Auf das Vertragsverhältnis und seine Durchführung findet ausschließlich das Recht der Bundesrepublik Deutschland Anwendung. Für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag gilt – soweit zulässig – die Gerichtsstandvereinbarung des Hauptvertrages.
Anlage 1: Konkretisierung des Auftragsinhalts
Anlage 1 und Anlage 2 (TOMs) können Sie hier als PDF herunterladen: Anlage 1 und 2 zur Vereinbarung zur Datenverarbeitung im Auftrag (PDF).
Konkretisierung der Verarbeitung
1. Gegenstand der Verarbeitung
Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten durch die Recruiting- und Bewerbermanagement-Software einschließlich der gebuchten Produktbestandteile und Nebenverarbeitungen im weitesten Sinne, die im Auftrag des Auftraggebers verarbeitet werden.
2. Art und Zweck der Verarbeitung
Im Rahmen der Recruiting- und Bewerbermanagement-Software finden insbesondere folgende Datenverarbeitungen statt:
- Strukturierte Erfassung und Erhebung von Bewerberdaten
- Strukturierte Darstellung von Bewerberdaten,
- Kommunikation von Bewerbern, Recruitern und Personalverantwortlichen,
- Implementierung und Kommunikation von und mit Drittparteien und Kooperationspartnern,
- Auswertung von Bewerberdaten in Form des Berichtswesens,
- Bereitstellung von Statusinformationen der Bewerbung an angebundene Jobbörsen,
- Bereitstellung eines Talentpools,
- Abfrage von Feedback bei Bewerbern und über die Software eingestellten Mitarbeitern.
- Wenn vertraglich mit dem Jobboard-Portal vereinbart, Weiterleitung des Quality Signals der
Bewerbung
Der Auftraggeber bestimmt selbst, welche zusätzlichen Leistungsmodule über den Marketplace oder die optionalen Leistungen des Auftragnehmers in Anspruch genommen werden. Je nach Leistungsumfang kann daher eine Datenverarbeitung zu anderen als den oben genannten Zwecken stattfinden.
Kategorien betroffener Personen
Der Auftraggeber bestimmt selbst, welche Daten von welchen betroffenen Personengruppen verarbeitet werden.
Üblicherweise sind die folgenden Personengruppen von der Datenverarbeitung betroffen:
- Bewerber des Auftraggebers
- Recruiter, Mitarbeiter und Personalverantwortliche des Auftraggebers
- Arbeitssuchende und Bewerbungsinteressenten
Kategorien personenbezogener Daten
Der Auftraggeber bestimmt selbst, welche Daten von welchen betroffenen Personengruppen verarbeitet werden.
Üblicherweise werden die folgenden Kategorien personenbezogener Daten von Bewerbern verarbeitet:
- Persönliche Angaben: Anrede, akademischer Grad, Vorname, Nachname, Nationalität, Geburtsdatum
- Kontakt- und Adressdaten: Straße, Hausnummer, Postleitzahl, Ort, Land, Bundesland, Telefonnummer, Fax, E-Mail-Adresse
- Bewerbungsdaten: Bewerbungsfoto, Anschreiben, Lebenslauf, Berufserfahrung/Arbeitszeugnisse, Zeugnisse und andere Qualifikationen, Fahrerlaubnisklasse, Reisebereitschaft
- Account- und Protokolldaten: Bewerberaccount, Benutzerkennung, IP-Adresse, Logfiles, Status der Bewerbung
- Nutzungsdaten, falls personenbezogen: E-Mail-Inhalte, Einladungen, Feedbacks, Bewertungen
- Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO: Soweit angegeben/eingewilligt, ein Rückschluss möglich oder aus sachlichen Gründen erforderlich: Ethnische Herkunft, politische Meinung/Parteizugehörigkeit, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugung, genetische/biometrische Daten (z. B. Bewerbungsfoto), Gesundheitsdaten (z. B. Angaben zu einer Schwangerschaft, Angaben zu einer Behinderung oder zu gesundheitlichen Einschränkungen), Angaben zur sexuellen Orientierung (z. B. Geschlecht/Gender, Homosexualität)
Üblicherweise werden die folgenden Kategorien personenbezogener Daten von Recruitern, Mitarbeitern und Personalverantwortlichen können verarbeitet:
- Persönliche Angaben: Anrede, akademischer Grad, Vorname, Nachname, Funktionsebene, Unternehmen
- Kontaktdaten- und Adressdaten: Unternehmenssitz, Telefonnummer, Fax, E-Mail-Adresse
- Account- und Protokolldaten: Benutzerkennung, IP-Adresse, Logfiles, Rolle, Protokollierung der Verarbeitung innerhalb des Systems
- Nutzungsdaten: Kommentare, E-Mail-Inhalte, Einladungen, Feedbacks, Bewertungen
Standorte der Datenverarbeitung
Die Verarbeitung im Auftrag findet an folgenden Standorten statt:
- softgarden e-recruiting GmbH (Geschäftsräume des Auftragnehmers)
- Standort Berlin: Tauentzienstraße 14, 10789 Berlin
- Standort Saarbrücken: Europaallee 29, 66113 Saarbrücken
- WIIT AG (ehemals myLoc managed IT AG), Am Gatherhof 44 40472 Düsseldorf (Firmensitz)
- Standort des Dienstleisters: Am Gatherhof 44 40472 Düsseldorf (Rechenzentrum D1)
- Equinix Germany GmbH, Rebstücker Straße 33, 60326 Frankfurt am Main (Firmensitz)
- Standorte des Dienstleisters:
- Kruppstraße 121-127, 60388 Frankfurt am Main (Rechenzentrum FR2)
- Albertstraße 27, 40233 Düsseldorf (Rechenzentrum DU1)
- Standorte des Dienstleisters:
Weisungsempfangende Personen des Auftragnehmers
Folgende Personen des Auftragnehmers sind berechtigt, Weisungen des Auftraggebers entgegenzunehmen: Team Customer Service, support@softgarden.de
Datenschutzbeauftragter des Auftragnehmers
Herting Oberbeck Datenschutz GmbH, Hallerstraße 76,
20146 Hamburg, Tel.: +49 40 226 34 56 0; E-Mail: datenschutzbeauftragter@softgarden.de
Beauftragte Subunternehmer
Die Bestätigung des Einsatzes von Subunternehmern, bzw. von optionalen und/oder kostenfreien Leistungen, erfolgt i. d. R. über das Recruitingsystem durch ein sog. „Opt-In-Verfahren“ des Nutzers. Um die Bereitstellung und Nutzung der Software nicht von Drittanbieter-Diensten abhängig zu machen, wird der Auftragnehmer dem Auftraggeber zudem die Möglichkeit bieten, Dienste von Drittanbietern im Auftrag des Auftraggebers in das System zu implementieren, die insbesondere über den Marketplace des Auftragnehmers und – soweit möglich – auch individuell gebucht werden können.
Folgende Subunternehmer werden zum Zeitpunkt des Vertragsschlusses eingesetzt:
Name und Anschrift des Unterauftragnehmers | Auftragsinhalt |
---|---|
WIIT AG (ehemals myLoc managed IT AG) Am Gatherhof 44 40472 Düsseldorf | Colocation und Managed Services Rackvermietung und Zurverfügungstellung von: redundanten Firewalls und Loadbalancern, redundanter Stromversorgung mittels Notstromgenerator, USV (n+1 Redundanz) und A/B-Zuführung in den Serverracks, mehrfachen redundante IP-Anbindungen und redundante Netzwerkinfrastruktur, separaten Backup-und Administrationsnetzen, redundanter, energieeffizienter Kühlung (n+1 Redundanz), dedizierten Servern, SSL-Zertifikaten, Austausch defekter Server-Hardware, sonstigen Support-Tätigkeiten für sämtliche Server-Systeme (z.B. im Rahmen des proaktiven Monitorings) |
Equinix (Germany) GmbH Rebstöcker Straße 33 60326 Frankfurt am Main | Siehe oben: Zusätzliche Colocation und Managed Services wie oben beschrieben. Serverstandort ist Kruppstraße, Frankfurt, Deutschland und Albertstraße 27, Düsseldorf, Deutschland. |
Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA; Cloudflare Germany GmbH, Rosenthal 7, c/o Mindspace, 80331 München | Bereitstellung DDoS-Schutz/WAF Data Localization Suite mit „Regional Services“ und „Metadata Boundary for Customers“ zur Sicherstellung einer Datenlokalisierung auf Deutschland. Die „Regionalen Dienste“ stellen sicher, dass der Endkunden-Content-Traffic sicher an Cloudflare-PoPs innerhalb der von softgarden ausgewählten Region übertragen wird und innerhalb eines Point of Presence (PoP) in dieser definierten Region geprüft wird (Entschlüsselung dieses Contents zur Prüfung und anschließende Neuverschlüsselung). softgarden hat Deutschland als ausgewählte Region gewählt, daher wird der gesamte Datenverkehr des Endkunden ausschließlich auf Servern in Deutschland geprüft und der Datenverkehr des Endkunden wird nicht außerhalb von Deutschland geprüft. Metadata Boundary stellt sicher, dass Cloudflare keine Kundenprotokolle, die aus abgedeckten Services stammen, außerhalb der Eu-ropäischen Union überträgt. |
Textkernel B.V. Nieuwendammerkade 26a5 NL-1022 AB Amsterdam (Serverstandort Deutschland) | CV-Parsing (optionales Opt-In): Konvertieren von hochgeladenen Lebensläufen in strukturierte Form, Wartungs- und Supportdienstleistungen für den CV-Parsing Service |
Cronofy B.V. Mr. Treublaan 7, 1097 DP Amsterdam, Niederlande (Serverstandort Deutschland) | Kalenderintegration (optionales Opt-In): zur Vereinbarung von Meetings, Terminen und Tasks, Verarbeitung von Kalenderstrukturen und Ereignissen |
SBB Software und Beratung GmbH Bahnhofstrasse 7, 95119 Naila, Deutschland (Serverstandort Gunzenhausen, Deutschland) | Pitchyou (WhatsApp-Anbindung): Versendung einer Bewerbung über WhatsApp, aktiviert im JustHire System, Nutzung der Messenger Kommunikation per WhatsApp, ohne eigene Telefonbuchkontakte an WhatsApp zu senden. |
MessengerPeople GmbH St.-Martin-Straße 63, 81669 München, Deutschland (Hosting der Daten abhängig vom Standort, näheres unter der Subunternehmerliste ) | Produkt „Recruiting per Kurznachricht“ (optionales Opt-In) durch Nutzung des Produkts „Unified Messaging API“ von MessengerPeople GmbH: Versendung einer Bewerbung an WhatsApp, Te-legram oder Facebook Messenger, soweit dies gebucht wurde (optionales Modul); Nutzung der Messenger Kommunikation. MessengerPeople verarbeitet zur Bereitstellung des Dienstes die von den Bewerber:innen bei dem jeweiligen Messenger-Dienst hinterlegten perso-nenbezogenen Daten, insbesondere Vor- und Nachname, Endgerät, Profilbild. Darüber hinaus werden die über den Messenger-Dienst übertragenen Nachrichten durch die API in das Recruiting-System übermittelt. |
Anlage 2: Technische und organisatorische Maßnahmen
Anlage 1 und Anlage 2 (TOMs) können Sie hier als PDF herunterladen: Anlage 1 und 2 zur Vereinbarung zur Datenverarbeitung im Auftrag (PDF).
Technische und organisatorische Maßnahmen
Die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen beschreiben den Stand zum Zeitpunkt des Vertragsschlusses. Die Vertragspartner sind sich gemäß § 11 Abs. 2 des Vertrages einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Änderungen der technisch-organisatorischen Maßnahmen dürfen nicht zu einer Unterschreitung des bestehenden Schutzniveaus führen. Eine aktuelle Übersicht der getroffenen technischen und organisatorischen Maßnahmen kann jederzeit auf unserer Website unter https://softgarden.com/de/datenschutz-software-und-service/ abgerufen werden.
Abkürzungen
- RZ: Rechenzentren
- B: softgarden Büro Berlin
- SB: softgarden Büro Saarbrücken
Vertraulichkeit
Zutrittskontrolle
softgarden stellt sicher, dass Unbefugte keinen Zutritt zu den Büro-, Server- und Archivräumen haben. Dies geschieht durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Zentraler Empfangsbereich | ✓ | ✓ | ||
Alarmanalage mit aufgeschaltetem Wachschutz | ✓ | |||
Codierte Schlüssel und Schlüsselausgabe nur an Befugte | ✓ | ✓ | ✓ | |
Protokollierung von Schließungen | ✓ | ✓ | ✓ | |
Festlegung und Dokumentation der Zutrittsberechtigungen | ✓ | ✓ | ✓ | |
Dokumentation Zutritt Firmenfremde (z.B. Wartungspersonal, Kunden, Dienstleister, Partner, Besucher) | ✓ | ✓ | ✓ | |
Betreten der Räumlichkeiten durch Firmenfremde nur in Begleitung eines Mitarbeiters | ✓ | ✓ | ✓ | |
Legitimation der Zutrittsberechtigten (Schlüssel, PinCode) | ✓ | ✓ | ✓ | |
Zwei-Faktor-Authentifizierung beim Zutritt | ✓ | |||
Rücknahme von Zugangsmitteln nach Ablauf der Berechtigung | ✓ | ✓ | ✓ | |
Sicherheitsbereiche mit unterschiedlichen Zutrittsberechtigungen | ✓ | ✓ | ✓ |
Zugangskontrolle
softgarden verhindert, dass EDV-Systeme von Unbefugten genutzt werden können. Dies geschieht durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Einrichtung eines Benutzerkontos pro Nutzer | ✓ | ✓ | ✓ | Nutzung von personenungebundenen Support-Accounts für Zugriff auf Kundensysteme, Zugangsdaten sind nur berechtigten Mitarbeitern zugänglich |
Authentifikation der mit der Datenverarbeitung befugten Personen durch ein Kennwortverfahren (mit Sonderzeichen, Mindestlänge acht Zeichen, regelmäßiger Wechsel des Kennworts | ✓ | ✓ | ✓ | |
Verschlüsselte Speicherung von Passwörtern | ✓ | ✓ | ✓ | |
Automatische Sperrung des Benutzerkontos bei mehrfacher fehlerhafter Eingabe der Zugangsdaten | ✓ | ✓ | ✓ | |
Automatische Sperrung des Arbeitsplatzes bei Inaktivität | ✓ | ✓ | ✓ | |
Umgehende Sperrung von Berechtigungen beim Ausscheiden von Mitarbeitern (Richtlinie/Arbeitsanweisung) | ✓ | ✓ | ✓ | |
Regelmäßige Kontrolle der Gültigkeit von Berechtigungen | ✓ | ✓ | ✓ | |
Nutzung von abschließbaren Schränken zur Aufbewahrung von Papierakten | ✓ | ✓ | keine Papieraktenlagerung im Büro Saarbrücken | |
Gesicherte Übertragung von Authentisierungsgeheimnissen (Credentials) im Netzwerk mittels TLS/HTTPS, SSH, VPN (IPSec, openVPN) | ✓ | ✓ | ✓ | |
Manuelle Sperrung von Zugangskennungen zu Arbeitsplatzrechnern bei längerer Abwesenheit des entsprechenden Mitarbeiters (30 Tage) | ✓ | ✓ | ✓ | nach Rückkehr müssen die Zugangskennungen wieder manuell durch die IT-Administration entsperrt werden |
Zugriffsbeschränkung auf Office WLAN | ✓ | ✓ | ||
Betrieb eines Office-Gäste-WLANs für mobile Endgeräte und Besucher | ✓ | ✓ |
Zugriffskontrolle
softgarden gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Dies geschieht durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Festlegung von Zugriffsberechtigungen für den Zugriff auf Daten (Erstellung eines Berechtigungskonzeptes) | ✓ | ✓ | ✓ | |
Speicherung der Daten auf verschlüsselten Datenträgern und individuelle Verschlüsselung der Dateien (Lebensläufe, Anschreiben, Zeugnisse) | ✓ | |||
Festlegung von Befugnissen zur Kenntnis, Eingabe, Veränderung und Löschung von Daten, die im Rahmen der Auftragserfüllung durch den Auftragnehmer verarbeitet werden | ✓ | ✓ | ✓ | |
Regelmäßige Kontrolle von Zugriffen, der Eingaben, Veränderungen und Löschungen | ✓ | |||
Entsorgung nicht mehr benötigter Datenträger (Richtlinie/ Arbeitsanweisung) | ✓ | ✓ | ✓ | |
Schriftliche Regelung zum Kopieren von Daten (ITSicherheitsrichtlinie/ Arbeitsanweisung) | ✓ | ✓ | ✓ | |
Vergabe minimaler Berechtigungen (Need-to-know-Prinzip) | ✓ | ✓ | ✓ | |
Keine Vergabe von generischen Passwörtern Gruppenkennungen | ✓ | Nutzung von personenungebundenen Support-Accounts für Zugriff auf Kundensysteme, Zugangsdaten sind nur berechtigten Mitarbeitern zugänglich | ||
Vermeidung der Konzentration von Funktionen/Funktionstrennung von Administratorentätigkeiten auf unterschiedliche qualifizierte Personen | ✓ | ✓ | ✓ | |
Führen einer Historie durchgeführter administrativer Änderungen | ✓ | ✓ | ✓ | |
Zugriff auf die Produktionsinfrastruktur über VPN | ✓ | ✓ |
Trennungskontrolle
softgarden gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Es besteht keine Notwendigkeit zu einer physischen Trennung; eine logische Trennung der Daten ist ausreichend. Dies geschieht durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Kennzeichnung der erfassten Daten (Aktenzeichen, ID, Kunden/Vorgangsnummer) | ✓ | ✓ | ✓ | |
Logische Trennung der für unterschiedliche Auftraggeber verarbeiteten Daten; Funktionstrennung/ Produktion/ Test | ✓ | ✓ | ✓ | |
Logische Trennung der personenbezogenen Daten der jeweiligen Auftraggeber durch Zuordnung zu den jeweiligen Benutzer-Accounts | ✓ | ✓ | ✓ | Softwareseitige Trennung der Mandanten |
Integrität
Weitergabekontrolle
softgarden gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist. Dies geschieht durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Festlegung der zur Übermittlung bzw. den Transport (elektronisch, manuell) befugten Personen | ✓ | ✓ | ✓ | |
Prüfung der Daten auf Vollständigkeit nach Datentransport, -übertragung und Datenübermittlung oder -speicherung | ✓ | ✓ | ✓ | Manueller Abgleich mit Checksummen |
Implementation von Sicherheitsgateways an den Netzübergabepunkten | ✓ | ✓ | ✓ | |
DDoS-Protection/ WAF (Cloudflare) | ✓ | SaaS | ||
Einsatz eines anerkannten Verschlüsselungsverfahrens, welches sämtliche Kommunikation zwischen dem Bewerber und den Servern des Auftragnehmers verschlüsselt. | ✓ | ✓ | ✓ | |
Ein- und ausgehende Datenströme werden durch eine moderne, kaskadiert aufgebaute Firewall-Lösung gefiltert | ✓ | ✓ | ✓ | |
Soweit Datenträger durch Transportunternehmen übermittelt werden, werden die Datenträger nur nach vorheriger Authentisierung des Transportunternehmens weitergegeben. | ✓ | ✓ | ✓ | |
Papier- und Datenträger mit personenbezogenen Daten werden durch ein qualifiziertes Entsorgungsunternehmen datenschutzgerecht entsorgt. | ✓ | ✓ | ✓ | |
Die vollständige, datenschutzgerechte und dauerhafte Löschung von Datenträgern mit personenbezogenen Daten wird protokolliert. Die Protokolle werden mindestens 12 Monate revisionssicher aufbewahrt. | ✓ | ✓ | ✓ |
Eingabekontrolle
softgarden gewährleistet, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Dies geschieht durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Dokumentation der Zugriffsberechtigungen (Arbeitsanweisung Zugriffsgruppen und Zugriffsberechtigung) | ✓ | ✓ | ✓ | |
Erfassung der Tätigkeiten im Rahmen des Auftrags | ✓ | ✓ | ✓ | Manueller Abgleich mit Checksummen |
Stichprobenartige Kontrolle und Auswertung der Protokolldaten auf Missbrauch | ✓ | ✓ | Auswertung Protokolldateien über SysOps Team in Saarbrücken | |
Vorhaltung einer Historie für alle Nutzer, welche die entsprechenden Anwendungsprogramme zur Verarbeitung der personenbezogenen Daten nutzen, die erfasst, welcher Nutzer wann welche Aktion ausgeführt hat, sofern diese Aktion persönliche Daten modifiziert | ✓ | ✓ | ✓ | Erfassung der Historie in der Anwendung „Just Hire“ |
Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle
softgarden gewährleistet, dass personenbezogene Daten gegen zufällige oder vorsätzliche Zerstörung oder Verlust geschützt sind. Dies geschieht durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Unterbrechungsfreie Stromversorgung (USV) | ✓ | ✓ | ✓ | |
Virenschutz (auf den Arbeitsplätzen) | ✓ | ✓ | ✓ | Virenschutz auf Windows Arbeitsplätzen |
Virenschutz (auf den Servern) | ✓ | ✓ | ✓ | |
Firewall | ✓ | ✓ | ✓ | |
Notfallplan | ✓ | ✓ | ✓ | |
DDoS-Protection/ WAF (Cloudflare) | ✓ | SaaS | ||
Georedundante Rechenzentren | ✓ | |||
Zentrale Brandmeldeanlage | ✓ | ✓ | ✓ | |
Überwachung der Verfügbarkeit (Monitoring) | ✓ | ✓ | ✓ | 24/7-Überwachung aller kritischen Systeme durch automatisierte Monitoring-Verfahren |
Wiederherstellbarkeit
softgarden gewährleistet die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu diesen bei einem physischen oder technischen Zwischenfall durch die folgenden Maßnahmen rasch wiederherzustellen:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Backup-Verfahren gem. Backupkonzept (täglich, wöchentlich, monatlich) | ✓ | ✓ | ✓ | |
Aufbewahrung der Backup-Daten in Datensicherungsschränken, Tresoren, in anderem Brandabschnitt | ✓ | ✓ | ✓ |
Belastbarkeit
softgarden gewährleistet Verfügbarkeit und Belastbarkeit geschäftskritischer Systeme und der Systeme zur Verarbeitung personenbezogener Daten durch folgende technische und organisatorische Maßnahmen:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Virtualisierung und Betrieb in Container-Infrastruktur mit Loadbalancern | ✓ | |||
Regelmäßige Penetrationstests der softgarden-Produkte auf Sicherheitsschwachstellen | ✓ | Getestet werden die softgarden-Produkte in der Umgebung der Rechenzentren. Nicht anwendbar in der Umgebung der Büroräume. Penetrationstests durch Kunden können nach Rücksprache mit softgarden auf der Staging-Umgebung durchgeführt werden. Eine Durchführung in der Produktionsumgebung wird nicht erlaubt. Die Kosten für die Bereitstellung einer Staging-Umgebung werden ggfs. nach branchenüblichen Stundensätzen in Rechnung gestellt. | ||
DDoS-Protection/ WAF (Cloudflare) | ✓ | SaaS |
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Zur Sicherstellung der Aufrechterhaltung und kontinuierlichen Verbesserung des Datenschutz- und Informationssicherheitsniveaus unterzieht sich softgarden regelmäßig (mindestens jährlich) internen und externen Audits.
softgarden ist zertifiziert nach
- DIN EN ISO 9001:2015
- DIN EN ISO/IEC 27001:2017 einschließlich der Forderungen der Normen ISO/IEC 27017:2015 und ISO/IEC 27018:2019
Datenschutz- und Informationssicherheitsmanagement
softgarden gewährleistet einen Prozess zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Schutzmaßnahmen. Dies geschieht durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO | ✓ | ✓ | ✓ | |
Regelmäßige Bewertung des Datenschutzniveaus durch ein Datenschutzteam | ✓ | ✓ | ✓ | |
Dritte müssen eine Verschwiegenheitserklärung abgeben. | ✓ | ✓ | ✓ | |
Wenn aus organisatorischen Gründen Funktionsüberschneidungen bestehen, wird das Vier-Augen-Prinzip angewendet und dokumentiert. | ✓ | ✓ | ||
Es existiert eine definierte Vertreterregelung innerhalb der Funktionsgruppen. | ✓ | ✓ | ||
Regelmäßige Überprüfung des Datenschutz- und Informationssicherheitsmanagementsystems durch interne und externe Audits | ✓ | ✓ | ✓ |
Beurteilung des angemessenen Schutzniveaus (Art. 32 Abs. 2 DS-GVO)
softgarden gewährleistet eine dokumentierte Beurteilung eines angemessenen Schutzniveaus, bezüglich der Risiken, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang – der im Auftrag verarbeiteten personenbezogenen Daten. Dies geschieht durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Durchführung einer Risikoanalyse für die Verarbeitungen personenbezogener Daten | ✓ | ✓ | ✓ | |
Erstellung von Schutzbedarfskategorien | ✓ | ✓ | ✓ | |
Ausrichtung der Prozesse nach Privacy by Design und Privacy Default | ✓ | ✓ | ||
Durchführung von DatenschutzFolgenabschätzungen (soweit gesetzlich vorgeschrieben) | ✓ | ✓ |
Auftragskontrolle (Art. 32 Abs. 3 und 4 DS-GVO)
softgarden gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers und zur Erfüllung des vertraglich definierten Verwendungszweckes verarbeitet werden. Der Auftragnehmer kann dies durch ein gemäß Art. 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DSGVO nachweisen. Sollte keine Zertifizierung vorliegen, geschieht der Nachweis durch:
Maßnahmen | RZ | B | SB | Anmerkungen |
---|---|---|---|---|
Eindeutige Vertragsgestaltung mit Unterauftragnehmern | ✓ | ✓ | ✓ | |
Formalisierung der Auftragserteilung (Formularwesen) | ✓ | ✓ | ✓ | |
Regelmäßige Kontrolle der Tätigkeiten | ✓ | ✓ | ✓ | Überwachung der softgarden-Prozesse durch interne Audits |
Die Weisungsberechtigten des Auftraggebers und die zur Entgegennahme von Weisungen befugten Personen sind vertraglich definiert, Weisungen erfolgen immer in Textform (z.B. per E-Mail oder Ticketsystem). | ✓ | ✓ | ✓ | |
softgarden informiert den Auftraggeber unverzüglich über Fälle von schwerwiegenden Betriebsstörungen, bei Verdacht auf Datenschutzverletzungen, wenn Fehler festgestellt werden oder andere Unregelmäßigkeiten beim Umgang mit Daten des Auftraggebers. | ✓ | ✓ | ✓ | |
Aufträge werden als Support-Ticket (Mindestangaben: Auftraggeber/ Kunde, Aktion/Teilauftrag, genaue Spezifikation der Verarbeitungsschritte/-parameter, Bearbeiter, Termine, ggf. Empfänger) erfasst, dort werden die durchgeführten Arbeiten dokumentiert. Es gibt eine eindeutige Zuordnung zwischenSupport-Ticketnummer und Kundenauftrag. | ✓ | ✓ |
Datenlöschung/Anonymisierung:
Datenlöschung
Abgesagte und eingestellte Bewerbungen werden zunächst auf den Status „abgesagt/eingestellt“ gesetzt und in der Standardkonfiguration, sofern nicht anders durch den Auftraggeber eingestellt, 6 Monate nach Absage bzw. Einstellung gelöscht bzw. anonymisiert. Die Anonymisierung der abgesagten Bewerber, die nicht im Talentpool aufgenommen werden wollen, erfolgt automatisch. Eine darüberhinausgehende Löschung/Anonymisierung einzelner Bewerber (z.B. nach Aufforderung durch den Bewerber) erfolgt manuell. Bewerberdaten können auch manuell von Benutzern mit entsprechender Berechtigung gelöscht werden.
Anonymisierung gelöschter Bewerber:
Nach Ablauf der Frist werden die Bewerbungen im softgarden Papierkorb vollständig anonymisiert:
- Alle Anhänge der Bewerbung werden mit einem Dummy-Inhalt überschrieben. Dateiname, Größe und Inhalt werden dabei gelöscht. Lediglich die Tatsache, dass und wie viele Anhänge zu einer Bewerbung vorhanden waren, bleibt für Reportingzwecke erhalten.
- Korrespondenzdaten werden anonymisiert. Dabei werden
- Anhänge anonymisiert
- Betreff, Text und HTML, CC und BCC der Nachricht mit einem Blindtext „deleted text“ überschrieben
- bei eingehenden Mails die Absenderadresse und bei ausgehenden die Empfängeradresse mit einer Zufallszeichenkette überschrieben
- Stammdaten der Bewerbung werden anonymisiert
- alle vom Kunden festgelegten Daten der Bewerbung werden dabei mit einer Zufallszeichenkette überschrieben
- Die Bewerbung wird aus dem Index der Bewerbungssuche entfernt
Wenn die zu löschende Bewerbung die letzte Bewerbung des Bewerberaccounts war, werden zusätzlich folgende Daten mit einer Zufallszeichenkette überschrieben:
- Loginname
- Passwort
- Vor- und Nachname
- E-Mail-Adresse
- IP-Adresse, von der der Account angelegt wurde
- IP-Adresse, von der die Datenschutzerklärung bestätigt wurde
- Außerdem werden alle Tags des Bewerbers gelöscht
Es gibt die Möglichkeit, dass quantitative Auswertungen zu den Teilnehmern durchgeführt werden, um zu ermitteln, welche Bewerber, an welchem Ort, welches Interesse hatten. Dazu werden die anonymisierten Daten verwendet. Die Anonymisierung ersetzt alle Daten mit Personenbezug durch Blindtexte, so dass ein Rückschluss bzw. eine Identifikation hinterher nicht mehr möglich ist.