Datenschutzhinweise für die Nutzung von softgarden Software as a Service

Datenschutz und Informationssicherheit sind zentraler Bestandteil der Produkte und Dienstleistungen von softgarden. Der Schutz Ihrer Daten und Ihr Vertrauen sind uns sehr wichtig.

Daher haben wir technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung implementiert, welche wir kontinuierlich weiterentwickeln.

softgarden macht Datenschutz einfach und ermöglicht Ihnen nach den Anforderungen der EU-Datenschutz-Grundverordnung zu recruiten.

1. Allgemein

Wie geht softgarden mit Datenschutzanfragen von Betroffenen um?​

Als Auftragsverarbeiter haben wir ein hohes Interesse an einem datenschutzkonformen Umgang mit vertraulichen Informationen und personenbezogenen (Bewerber-)Daten. Dies schließt auch die Wahrung der Rechte, insbesondere die Bearbeitung und Erfüllung von Anfragen betroffener Personen ein. Aufgrund gesetzlicher Verpflichtungen müssen sämtliche Anfragen betroffener Personen binnen vier Wochen vom Verantwortlichen beantwortet und erfüllt werden. Anfragen werden an unser Datenschutzteam weitergeleitet und nach den etablierten Prozessen geprüft. Bevor Sie ein bei uns eingegangene Anfrage erhalten, wird diese von uns vorqualifiziert.

Wie geht softgarden mit potenziellen Datenpannen und Sicherheitsvorfällen um?

Die hohen Integritätsinteressen unserer Kunden schließen auch den Umgang mit Datenschutz- und Sicherheitsvorfällen ein. Aufgrund der gesetzlichen Verpflichtung, sämtliche Datenschutzvorfälle binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden, sofern der Datenschutzvorfall voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist eine zügige, strukturierte Überprüfung von Sicherheitsvorfällen wichtig und Sie werden unverzüglich informiert. Potenzielle Verstöße können durch die Strukturen der Informationssicherheit entdeckt oder über die dafür vorgesehenen internen Prozesse an das Informationssicherheits- und Datenschutzteam gemeldet und von diesem detailliert geprüft werden. So prüfen wir auch vermeintlich unbedeutende Vorfälle und schulen unsere Mitarbeiter regelmäßig auf die Einhaltung von Datenschutz- und IT-Sicherheit.

Wie setzt softgarden die Informationspflichten gem. Art 13 und 14 DSGVO um?

softgarden stellt umfangreiche Datenschutzinformationen für die Talent Acquisition Suite (Recruiter) und die Karriereseiten (Bewerber) zur Verfügung. Die Informationen sind modular aufgebaut, richten sich inhaltlich nach dem gebuchten Produktumfang und werden regelmäßig von softgarden aktualisiert. Nach der DSGVO fallen die datenschutzrechtlichen Informationspflichten in den Verantwortungsbereich des Kundenunternehmens (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO). Wir bieten aus diesem Grunde die Option, dass unsere Kunden eine eigene Datenschutzerklärung verwenden können. Letztere Option wird insbesondere in Anspruch genommen, wenn unternehmensspezifische Anforderungen an die Informationspflichten aufgrund der Verarbeitungstätigkeit bestehen.
Bitte wenden Sie sich an unseren Customer Service unter support@softgarden.de.

Wie werden Datenschutz und Informationssicherheit im Home-/Mobile-Office gewährleistet?

softgarden hat umfassende Sicherheitsmaßnahmen etabliert. Für den Bereich des Home- und Mobile-Office wurden spezielle technische und organisatorische Vorkehrungen getroffen, um Datenschutz und Datensicherheit zu gewährleisten. Die Arbeitsgeräte sind zusätzlich mit eine Virtual Private Network (VPN) ausgestattet und verschlüsselt. Kundendaten werden nur in den Rechenzentren vorgehalten, Zugriff auf die Software erfolgt über https, Zugriff auf Systemebene durch Administratoren ist nur ausgewählten Administratoren über VPN möglich. Für den Bereich des Home-/Mobile-Office existieren spezielle Arbeitsrichtlinien.

2. Auftragsverarbeitung (AV)

Welche Daten werden verarbeitet?

Der Umfang der Verarbeitung personenbezogener Daten ergibt sich hauptsächlich aus der Beschreibung verarbeiteter Datenkategorien (Anlage 1 des Vertrages zur Auftragsverarbeitung). In der Anlage zu unserem Vertrag zur Auftragsdatenverarbeitung werden auch besondere Kategorien personenbezogener Daten erfasst. Der genaue Umfang der von Ihnen verarbeiteten Daten richtet sich zum einen nach den Anforderungen der Stellenausschreibungen sowie nach dem Umfang der vom Bewerber zur Verfügung gestellten Daten. Die in Anlage 1 beschriebenen Datenkategorien sind daher „weit gefasst“.

Wo finde ich eine Beschreibung zu den technischen und organisatorischen Maßnahmen?

Eine Beschreibung der technischen und organisatorischen Maßnahmen (kurz: TOMs) befindet sich in Anlage 2 zu unserem Vertrag zur Auftragsverarbeitung. Zum Nachweis der Einhaltung und Weiterentwicklung dieser Maßnahmen führt softgarden neben einem Datenschutz- und Informationssicherheitsmanagement (DSMS/ISMS) regelmäßige interne und externe Audits und Prüfungen durch.

Wer ist für die Datenverarbeitung verantwortlich?

softgarden erbringt sämtliche Leistungen rund um die Talent Acquisition Suite (Bewerbermanagementsystem) als Auftragsverarbeiter, soweit personenbezogene Daten nicht ausdrücklich für eigene geschäftliche Zwecke verarbeitet werden und berechtigterweise verarbeitet werden dürfen. Verantwortlicher für Datenschutz ist nach Art. 4 Nr. 7 DSGVO im Rahmen der Nutzung der softgarden Talent Acquisition Suite (Bewerbermanagement) das Kundenunternehmen. Darüber hinaus sind auch Auftragsverarbeiter (softgarden) Verantwortliche im Sinne der DSGVO, beispielsweise was die eigenen Subunternehmer oder die Verarbeitung für eigene geschäftliche Zwecke betrifft.

Werden Daten in Drittländer transferiert?

Ein Drittlandtransfer von Bewerberdaten im Bewerbermanagementsystem erfolgt nicht und ist nicht vorgesehen. Unsere Software wird in Rechenzentren in Deutschland gehostet. Wartung und Betrieb erfolgen ebenfalls aus Deutschland durch Mitarbeiter von softgarden. Ein Drittlandtransfer kommt darüber hinaus nur in Betracht, wenn die besonderen Datenschutzanforderungen gewährleistet sind.

Gibt es bei der Auftragsverarbeitung durch softgarden Unterauftragnehmer und wenn ja welche?

Uns ist wichtig, dass unsere Subunternehmer adäquate Sicherheitsstandards erfüllen. So achten wir im Rahmen der Auftragsverarbeitung besonders auf die Einhaltung der DSGVO und zusätzlich auf gängige Sicherheitsstandards, wie etwa eine Zertifizierung nach ISO27001.
Unsere Rechenzentren bieten uns Housing Dienste, d.h. sie stellen uns Strom, Rack-Space und Internet zur Verfügung, einschl. Firewalls, Loadbalancer und sichere SSL-Zertifikate. Wartung und Installation von Hard- und Software erfolgen durch softgarden. Die genutzten Rechenzentren werden von softgarden in regelmäßigen Abständen geprüft und auditiert. Die Rechenzentren sind unbedingter Vertragsbestandteil der Leistung und Auftragsverarbeitung, ohne den wir unsere Produkte nicht zur Verfügung stellen können. Derzeit werden Rechenzentren der folgenden Anbieter eingesetzt.

  • myLoc managed IT AG, Am Gatherhof 44, 40472 Düsseldorf
  • PlusServer GmbH, Welserstraße 14, 51149 Köln
  • Equinix Germany GmbH, Kruppstraße, 60388 Frankfurt am Main

Für das sog. „CV-Parsing“ nutzen wir einen Dienst der Textkernel B.V. Nieuwendammerkade 26 A 5, (1022AB) Amsterdam, Niederlande. Textkernel ist ein von softgarden geprüfter Subunternehmer im Rahmen der Auftragsverarbeitung. Da das „CV-Parsing“ optionaler und kein unbedingter Vertragsbestandteil ist, muss die Nutzung durch unsere Kunden im Recruiter-Backend gesondert bestätigt werden (sog. „Opt-In“). Textkernel nutzt KI-Technologien für die Auswertung von Lebensläufen und um diese in ein strukturiertes Format zu bringen. Diese Daten werden von Textkernel auf einem Server in Deutschland temporär gespeichert und 1x wöchentlich bereinigt.

Für die Kalenderintegration nutzt softgarden einen Dienst der Cronofy Limited, 1 Broadway, Nottingham, NG1 1PR, England. Cronofy ist Subunternehmer von softgarden im Rahmen der Auftragsverarbeitung und stellt einen optionalen vertraglichen Bestandteil des Bewerbermanagementsystems dar. Cronofy kann nach gesondertem „Opt-In“ im Recruiter Backend von unseren Kunden genutzt werden. Die Leistung ist nicht standardmäßig freigeschaltet. Weitere Informationen zur Technologie und zum Datenschutz können in den von Cronofy zur Verfügung gestellten Nachweisen entnommen werden.

Die Nachweise und Zertifizierungen unserer Subunternehmer finden Sie hier:

softgarden nutzt Zendesk zur Supportbearbeitung. Warum ist Zendesk kein Unterauftragnehmer?

softgarden nutzt Zendesk als Tool, um Supportanfragen zu bearbeiten. Im Verhältnis zu Zendesk sehen wir uns als Verantwortlicher im Sinne der Datenschutzgesetze. Damit ist Zendesk kein Unterauftragnehmer im Sinne der Auftragsverarbeitung. Die Nutzung von Zendesk im Rahmen des Supports und damit die Weitergabe der Daten unserer Kunden (konkret der geschäftlichen Mailadresse des Benutzers, der die Anfrage stellt), stützen wir auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Es besteht alternativ die Möglichkeit, sich mit einem Anliegen an die direkten Ansprechpartner zu wenden, z. B. per E-Mail. Zendesk speichert Daten in den USA.

Werden die Mitarbeiter von softgarden regelmäßig im Datenschutz geschult und auf die Vertraulichkeit verpflichtet?

Die Schulung und Verpflichtung der Mitarbeiter auf die Vertraulichkeit von personenbezogenen Daten und Kundeninformationen ist sowohl Bestandteil des On- und Offboardings als auch des Datenschutz- und Informationssicherheitsmanagements bei softgarden. Zu diesem Zweck führen wir regelmäßig interne Datenschutz- und Awareness-Trainings mit den Schwerpunkten Datenschutz und Informationssicherheit durch. Allen Kolleginnen und Kollegen stehen unsere Experten in dem Bereich als Ansprechpartner zur Verfügung.

Ist ein Backup-Konzept vorhanden und welche Tools werden eingesetzt? Wurden Restoretests durchgeführt?

Ein Restore kann bei einem Ausfall in aller Regel unmittelbar oder taggleich erfolgen. Gesichert werden Files, Datenbanken und komplette Festplatten. Es gibt redundante Spiegelungen der Produktivumgebung, sodass auch bei einem Ausfall eines Rechenzentrums der Produktivbetrieb in einem anderen Rechenzentrum hochgefahren werden kann. Backups werden georedundant auf verschlüsselten Datenträgern gesichert. Unter anderem kommen rsnapshot und cepth rbd zum Einsatz. Restoretests werden stichprobenartig durchgeführt. Backups werden überwacht und verifiziert.

3. Bewerbermanagement (Just Hire)

Wie lange werden Daten aufgehoben?

Um den gesetzlichen Anforderungen an die Datenlöschung gerecht zu werden, wurde ein globales Löschkonzept auf Prozess- und Produktebene etabliert. Ein Schwerpunkt liegt somit auf den softgarden-Produkten, die, um den Anforderungen des „privacy by design“ gerecht zu werden, Implementierungen für die Datenlöschung enthalten. Wesentlicher Bestandteil ist die automatisierte Löschung von Bewerberdaten, die vom Verantwortlichen nach den betrieblichen Anforderungen eingestellt werden können. softgarden empfiehlt die Festlegung der Aufbewahrungsfrist für Bewerberdaten von sechs Monaten.

Gibt es eine Beschreibung für das Verzeichnis der Verarbeitungstätigkeiten?

Wir stellen unseren Kunden gerne auf Anfrage die Informationen für das gesetzlich verpflichtende Verzeichnis der Verarbeitungstätigkeiten zur Verfügung. Die Beschreibung der Verarbeitungstätigkeit von softgarden hinsichtlich der Auftragsverarbeitung ersetzt allerdings nicht die Pflicht des Verantwortlichen, die Verarbeitung in das eigene Verzeichnis aufzunehmen.

Social Share Buttons bei Stellenanzeigen

Innerhalb der Stellenanzeigen besteht die Möglichkeit, sog. „Social Share Buttons“ (XING, LinkedIn, Facebook etc.) zu aktivieren. Bei den Buttons handelt es sich nicht um Plugins der Sozialen Netzwerke. Es werden, soweit nicht ausdrücklich festgelegt, ausschließlich externe Links genutzt. Das bedeutet, dass erst Daten an die sozialen Netzwerke übertragen werden, wenn der Webseitenbenutzer auf den Link klickt.

Video-Interview mit Jitsi

Wir stellen unseren Kunden im Bewerbermanagement die Möglichkeit zur Verfügung, schnell und einfach Bewerbungsgespräche über Video-Interviews durchzuführen. Dazu nutzen wir die Software Jitsi, die in einer eigenen Installation innerhalb der softgarden Infrastruktur betrieben wird. Bei zwei Kommunikationspartnern wird die Verbindung über eine sog. „P2P“-Technologie („Peer to peer“) aufgebaut, die Verbindung läuft also nicht über die Server von softgarden, sondern nur direkt zwischen den Gesprächspartnern. Bei mehr als zwei Teilnehmern im Interview fungiert der softgarden Server als Vermittlungsstelle. Es erfolgen keinerlei Mitschnitte oder Aufzeichnungen. Die Videodaten werden direkt zwischen den Kommunikationspartnern ausgetauscht.

Da der Jitsi Server von softgarden betrieben wird, gibt es hier auch kein Unterauftragsverhältnis mit einem Sub-Unternehmer.

Werden im System Zugriffe / Tätigkeiten protokolliert?

Die Systemhistorie protokolliert Zugriffsversuche auf das Bewerbermanagementsystem sowie ändernde Operationen an Datensätzen.

Protokolliert werden außerdem Downloads von PDF-Zusammenfassungen von Bewerbungen.

4. Jobportal (Standard)

Welche Cookies werden im Standardfrontend gesetzt?

Im Standardfrontend gibt es nur das Sessioncookie JSessionID. Das Cookie ist technisch notwendig und bleibt so lange gespeichert, wie die Session des Benutzers aktiv ist.

Warum gibt es kein Cookie Banner auf dem Standardfrontend?

Hier werden nur technisch notwendige Cookies eingesetzt.

Wie zählt softgarden, wie oft eine Stellenanzeige angesehen / angeklickt wurde?

Auf den auf Karriereseiten und verschiedenen Portalen ausgespielten Stellenanzeigen befindet sich ein Zählpixel, ein kleines Bild, das mit jedem Abruf der Stellenanzeige von unserem Server tracker.softgarden.de abgerufen wird. Dabei werden weder personenbezogene Daten erfasst noch getrackt, es wird lediglich gezählt, wie oft eine Stellenanzeige angezeigt wurde. Die Zahl ist im Bewerbermanagement unter der Kennzahl „Views“ einsehbar. Die Kennzahl „Clicks“ berechnet sich aus der Anzahl, wie oft der Online-Bewerben-Button geklickt wurde. Auch hier werden keine personenbezogenen Daten erfasst oder getrackt. Ein Rückschluss auf einen konkreten Nutzer ist nicht möglich.

5. Auf einen Blick

Hosting made in Germany

Bei softgarden ist das gesamte Hosting “Made in Germany”. Unsere zertifizierten Rechenzentren Plusserver GmbH in Köln und Düsseldorf, die myLoc Managed IT AG in Düsseldorf und Equinix Germany GmbH in Frankfurt am Main, bieten höchste Sicherheitsstandards für die Speicherung und die Verfügbarkeit Ihrer Daten. Die Erfüllung der Forderungen von ISO 27001 bestätigt die TÜV Süd Management Service GmbH.

Datenschutzerklärung

Für softgarden ist der Schutz und die Vertraulichkeit Ihrer Daten von besonderer Bedeutung. Hier geht es zur Datenschutzerklärung der softgarden Produkte.
Für Ihr eigenes Karriereportal haben wir eine Musterdatenschutzerklärung vorbereitet: Prüfen, individualisieren und hinterlegen Sie diese ganz einfach.

Datenschutzgrundverordnung

Die E-Recruiting Lösungen von softgarden bieten Ihnen die Möglichkeit DSGVO-konform zu arbeiten. Dies bestätigt auch eine externe Datenschutzbegutachtung durch die procado Consulting, IT- & Medienservice GmbH. Unser Datenschutzmanagement wurde von der DEKRA geprüft und zertifiziert.

Zertifiziertes Qualitätsmanagement

softgarden ist zertifiziert nach ISO 9001ISO 27001 und erfüllt zusätzlich die Forderungen der ISO 27017 und ISO 27018.

Damit zeichnet die DEKRA softgarden für seine hohe Produkt- und Dienstleistungsqualität sowie für einen hohen Standard im Bereich der Informationssicherheit aus. Die stetige Verbesserung von Qualität und Sicherheit steht für softgarden an erster Stelle.

DEKRA zertifiziert: Qualitätsmanagement, Informationssicherheitsmanagement ISO9001, ISO/IEC 27001
Nutzungsbedingungen und Vertragsvorlagen

Lesen Sie hier die Nutzungsbedingungen der softgarden e-recruiting GmbH für die Nutzung des E-Recruiting Systems “softgarden”.

Unseren Vertrag zur Auftragsverarbeitung können Sie hier zum Ausfüllen herunterladen oder hier digital unterschreiben.

Wir sichern dich ab

Die Software von softgarden unterläuft regelmäßigen Sicherheitstests. Hier geht’s zum aktuellen Penetrationstest-Zertifikat.

6. Fragen zum Thema Datenschutz- und Sicherheit?