Appendix 1 zu den Allgemeinen Geschäftsbedingungen für Geschäftskunden
PRÄAMBEL
JobCloud bearbeitet die personenbezogenen Daten des Geschäftskunden (im Folgenden auch «Kunde» genannt) gemäss JobClouds Allgemeinen Geschäftsbedingungen für Geschäftskunden (nachfolgend: “AGB”).
In diesem Anhang zu den AGB werden die Pflichten der Vertragsparteien in Bezug auf den Datenschutz festgelegt. Sie gilt für alle Bearbeitungstätigkeiten durch JobCloud im Auftrag des Kunden.
Mit dieser Vereinbarung zur Auftragsbearbeitung von Personendaten soll sichergestellt werden, dass die Auftragsbearbeitung im Einklang mit den geltenden Datenschutzgesetzen (insbesondere dem Schweizerischen Datenschutzgesetz) steht.
Die folgenden Anhänge sind integraler Bestandteil dieser Vereinbarung über die Auftragsdatenbearbeitung:
Anhang 1: Beschreibung der Datenbearbeitung
Anhang 2: Unterauftragsbearbeiter
Anhang 3: Technische und organisatorische Massnahmen
1. GEGENSTAND UND DAUER DER VEREINBARUNG
Die folgenden Dienstleistungen, die im Rahmen von JobClouds AGB erbracht werden, beinhalten die Bearbeitung von Personendaten durch JobCloud als Autragsbearbeiterin:
– Programmatic Job Advertising: Wenn der Kunde einen Vertrag zur programmatischen Stellenwerbung abschliesst, werden personenbezogene Daten für die leistungsbezogene Abrechnung, die Kontrolle der Verbreitung und die Optimierung der Wirksamkeit von Stellenanzeigen auf der Grundlage von Leistungsdaten bearbeitet, z. B. die IP-Adressen und der Gerätetyp der Personen, die auf die Stellenanzeigen klicken oder sich auf ein Stellenangebot bewerben. Siehe Anhang 1 A.
– Bewerbermanagement System (Applicant Tracking System (ATS)): Wenn der Kunde ein von JobCloud bereitgestelltes ATS-Bewerbermanagement-Tool verwendet oder ein in die Plattformen von JobCloud integriertes ATS des Kunden verwendet, bearbeitet JobCloud die Personendaten des Bewerbers. Siehe Anhang 1 B.
Die Datenbearbeitungsaktivitäten, welche oben aufgelistet sind, sind in Anhang 1 spezifiziert. Welche Aktivitäten im Einzelfall genutzt werden, richtet sich nach den vom Kunden in Anspruch genommenen Leistungen gemäss den AGB.
Dieser Vertrag wird auf unbestimmte Zeit geschlossen und bleibt so lange in Kraft, wie der Kunde die Dienste von Job Cloud nutzt.
2. RECHTE UND PFLICHTEN VON JOBCLOUD
JobCloud bearbeitet Personendaten ausschliesslich nach Massgabe der gemäss den AGB getroffenen Vereinbarungen und der schriftlich oder elektronisch dokumentierten Weisungen des Kunden. Mündliche Weisungen müssen unverzüglich schriftlich oder elektronisch bestätigt werden. Der Kunde ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz verantwortlich, insbesondere für die Rechtmässigkeit der Datenbearbeitung durch JobCloud. JobCloud informiert den Kunden unverzüglich, sobald JobCloud der Meinung ist, dass eine Weisung geltendes Recht verletzt.
JobCloud wird Daten, die Gegenstand dieses Vertrages sind, auf Anweisung des Kunden unverzüglich berichtigen oder löschen, es sei denn, JobCloud ist nach geltendem Recht verpflichtet, die Daten weiter zu bearbeiten.
JobCloud wird in ihrem Verantwortungsbereich ihre interne Organisation so gestalten, dass JobCloud den besonderen Anforderungen des Datenschutzes gerecht wird. JobCloud wird die in Anhang 3 zu diesem Vertrag genannten technischen und organisatorischen Massnahmen ergreifen, um einen angemessenen Schutz der Daten des Kunden zu gewährleisten. JobCloud ist berechtigt, die Sicherheitsmassnahmen zu ändern, muss aber sicherstellen, dass sie nicht unter das vereinbarte Schutzniveau fallen. JobCloud sichert zu, die Verpflichtungen nach den geltenden Datenschutzgesetzen einzuhalten und ein Verfahren zur regelmässigen Überprüfung der Wirksamkeit der technischen und organisatorischen Massnahmen einzuführen.
JobCloud unterstützt den Kunden im Rahmen ihrer Möglichkeiten bei der Erfüllung von Anfragen und Ansprüchen betroffener Personen nach den geltenden Datenschutzgesetzen sowie bei der Erfüllung gesetzlicher Pflichten im Zusammenhang mit Meldungen von Verletzungen der Datensicherheit und Datenschutz-Folgenabschätzungen sowie sonstiger Pflichten, soweit JobCloud nach den geltenden Datenschutzgesetzen dazu verpflichtet ist.
JobCloud gewährleistet, dass die an der Bearbeitung der Personendaten des Kunden beteiligten Personen sich zur Verschwiegenheit verpflichtet haben oder einer entsprechenden gesetzlichen Schweigepflicht unterliegen.
JobCloud benachrichtigt den Kunden unverzüglich, wenn JobCloud Kenntnis von einer Verletzung der Datensicherheit von Personendaten des Kunden erhält. JobCloud ergreift die erforderlichen Massnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und spricht sich diesbezüglich unverzüglich mit dem Kunden ab. Für den Fall, dass der Kunde von einer betroffenen Person wegen datenschutzrechtlicher Ansprüche in Anspruch genommen wird, verpflichtet JobCloud sich, den Kunden bei der Abwehr der Ansprüche im Rahmen ihrer Möglichkeiten zu unterstützen.
3. PFLICHTEN DES KUNDEN
Der Kunde ist verpflichtet, JobCloud unverzüglich und umfassend zu informieren, wenn er in den Ergebnissen der Bearbeitung Fehler oder Unregelmässigkeiten im Hinblick auf die Datenschutzbestimmungen feststellt.
4. ANTRÄGE BETROFFENER PERSONEN
Wendet sich eine betroffene Person mit einem Antrag auf Berichtigung, Löschung oder Auskunft an JobCloud, so verweist JobCloud die betroffene Person an den Kunden, sofern JobCloud in der Lage ist, die betroffene Person dem Kunden zuzuordnen. JobCloud leitet die Anfrage der betroffenen Person unverzüglich an den Kunden weiter. JobCloud haftet nicht, wenn die Anfrage der betroffenen Person vom Kunden nicht, nicht richtig oder nicht rechtzeitig beantwortet wird.
5. OPTIONEN ZUR ERBRINGUNG VON NACHWEISEN
JobCloud hat dem Kunden durch geeignete Massnahmen nachzuweisen, dass JobCloud die Verpflichtungen aus diesem Vertrag erfüllt.
Sollten im Einzelfall Prüfungen durch den Kunden oder einen von ihm beauftragten Prüfer erforderlich sein, so werden diese während der üblichen Geschäftszeiten, nach angemessener Vorankündigung und ohne Störung von JobClouds Geschäftsbetrieb durchgeführt. JobCloud ist berechtigt, für solche Prüfungen die Unterzeichnung einer Vertraulichkeitsvereinbarung zu verlangen.
6. UNTERAUFTRAGSBEARBEITER
Der Kunde erklärt sich damit einverstanden, dass JobCloud Unterauftragnehmer (Unterauftragsbearbeiter) einsetzen kann. JobCloud wird den Kunden vor der Beauftragung oder dem Ersetzen eines Unterauftragsbearbeiters benachrichtigen und ihm eine Frist von 30 Tagen setzen, innerhalb derer er Einspruch erheben kann.
Der Kunde kann der Änderung innerhalb der 30-tägigen Mitteilungsfrist aus wichtigem Grund widersprechen. Erhebt der Kunde innerhalb dieser Frist keinen Widerspruch, so wird davon ausgegangen, dass er der Änderung zugestimmt hat.
Beauftragt JobCloud Unterauftragsbearbeiter, ist JobCloud verpflichtet, diesen die Datenschutzverpflichtungen aus diesem Vertrag aufzuerlegen.
7. VERSCHIEDENES
Änderungen oder Ergänzungen dieser Vereinbarung und ihrer Bestandteile bedürfen der Schriftform, die auch elektronisch (in Textform) eingehalten ist; die Bestimmungen zur Änderung der AGB gelten nicht.
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
Zürich, September 2023
ANHANG 1 – BESCHREIBUNG DER DATENBEARBEITUNG
ANHANG 1 A – PROGRAMMATIC JOB ADVERTISING
1. KATEGORIEN BETROFFENER PERSONEN
☒ Mitarbeiter/Kontaktperson des Kunden
☒ Stellensuchende Person
2. KATEGORIEN VON PERSONENDATEN
☒ Informationen über den Mitarbeiter/die Kontaktperson des Kunden: Kontaktdaten wie Namen, Stellenbezeichnung, E-Mailadresse und Telefonnummer; Dashboard-Passwort (einseitig verschlüsselt/hashed), verwendete Geräte und Browser, Verhaltensdaten (Anzahl und Dauer der Besuche)
☒ Stellensuchende Person: IP Adresse (anonymisiert nach 30 Tagen), Verhaltensdaten (auf der Webseite des Kunden: Anzahl und Dauer der Besuche, auf die vom Kunden angegebenen und mit dem Bewerbungsformular verbundenen Seiten beschränkt, verwendete Geräte und Browser, zuletzt besuchte Seite)
3. ZWECK DER BEARBEITUNG
Leistungsabhängige Veröffentlichung und Bezahlung von Stellenanzeigen.
4. ART DER BEARBEITUNG
☒ Empfang
☒ Aufbewahrung
☒ Bekanntgabe
☒ Löschen (gemäss Instruktion)
☒ Anonymisierung (gemäss Instruktion)
☒ Verändern (gemäss Instruktion)
☒ Beschränken (gemäss Instruktion)
☒ Verwenden
5. DATENAUFBEWAHRUNG /AUFBEWAHRUNGSFRISTEN
Wir bearbeiten die Personendaten so lange, wie es für die Erbringung der Dienstleistungen erforderlich ist.
ANHANG 1 B – BEWERBERMANAGEMENT SYSTEM (APPLICANT TRACKING SYSTEM (ATS))
1. KATEGORIEN BETROFFENER PERSONEN
☒ Stellensuchende Person
2. KATEGORIEN VON PERSONENDATEN
☒ Informationen über die arbeitssuchende Person entsprechend der spezifischen Bekanntgabe durch die arbeitssuchende Person; insbesondere können die folgenden Personendaten betroffen sein:
· Postadresse:
Hausnummer und Strasse, zusätzliche Addresszeilen, Postleitzahl, Ortschaft, Kanton, Land
· Persönliche Informationen:
Vornahme, Nachname, akademische Titel, Geschlecht, Geburtsdatum, Geburtsort Telefonnummern, Faxnummern, E-Mailadressen, Webseiten, Social Media Links
· Arbeits- und Projektphasen:
Datum des Unternehmensbeitritts, Datum des Unternehmensaustritts, Namen des Unternehmens, Postadresse des Unternehmens, Anstellung, Wochenarbeitszeit, Branche (NACE), Tätigkeitsbereich, Qualifikationen, Websites, Internetquellen
· Ausbildungsphasen:
Datum des Schulbeginns, Datum der Schulbeendigung, Namen der Schule/akademischen Institution, Postadresse, Fachbereich/ Kurse/ Schwerpunkt, Art des Bildungsprogrammes, ISCED Klassifikation
· Akademische Publikationen:
Datum der Publikation, Titel, Thema, Institut, Konferenzprotokolle, Liste der Autoren, Postadresse der Konferenz, Qualifikationen, Tätigkeitsbereich, Branche (NACE), Websites und Internetquellen
· Weitere Information:
Andere Qualifikationen, persönliche Interessen/Hobbies, schriftliche Referenzen und Empfehlungen, andere Websites und Internetquellen
· Berufsziele:
Gehalt, Datum der Verfügbarkeit, Position, Postadresse
3. ZWECK DER BEARBEITUNG
Bereitstellung des Systems zur Bewerberverfolgung (ATS) und Unterstützung durch das Management der Bewerbungen.
4. ART DER BEARBEITUNG
☒ Empfang
☒ Aufbewahrung
☒ Bekanntgabe
☒ Löschen (gemäss Instruktion)
☒ Anonymisierung (gemäss Instruktion)
☒ Verändern (gemäss Instruktion)
☒ Beschränken (gemäss Instruktion)
☒ Verwenden
5. DATENAUFBEWAHRUNG /AUFBEWAHRUNGSFRISTEN/VERSCHIEDENES
Die Daten werden vom Kunden manuell oder gemäss den Löscheinstellungen in dem vom Kunden verwendeten System zur Bewerberverfolgung (ATS) gelöscht.
ANHANG 2 – UNTERAUFTRAGSBEARBEITER
JobCloud verwendet Dienste von Drittparteien, welche Daten in ihrem Auftrag bearbeiten («Unterauftragsbearbeiter»), um Daten im Auftrag des Kunden zu bearbeiten.
| Unternehmen | Ort der Datenbearbeitung | Dienstleistungen |
|---|---|---|
| Aiven Oy Ltd | EU | Datentransfer zwischen verschiedenen technischen Anwendungen, inklusive Stellenanzeigen und Bewerbungen |
| Amazon Web Services, Luxembourg | EU | Hosting; Abruf von Daten (Bewerbungsdaten und Referenzen auf Lebensläufe) |
| eRecruiter GmbH | EU | ATS Anbieter (für jobcloud.ai Plattform) |
| IP-Max SA | Schweiz | Hosting für ATS (jobup.ch Plattform) |
| SMG Swiss Marketplace Group AG | Schweiz | Hosting für ATS (jobscout24.ch Plattform) |
| Netiva GmbH | Schweiz | Product Development (jobscout24.ch Plattform) |
| Joveo Inc. | US | Klickpixel (für Programmatic Kunden, in Fällen, in denen die Stellenanzeige auf einer externen Jobplattform angezeigt wird) |
| Snowflake Computing Netherlands B.V. | EU | Data Warehouse; Statistikdaten aus Stellenanzeigen (für Programmatic Kunden) |
| ScyllaDB ltd Israel | EU | Datenbank, Datenspeicherung für Jobdaten (für Programmatic Kunden) |
ANHANG 3 – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Physische Zugangskontrolle:
· Durch den Server Hosting Provider sichergestellt (DPA ist verfügbar).
Systemzugangskontrolle:
· Das System generiert bei der Registrierung des Kunden automatisch ein Passwort für die Plattform(en) nach Richtlinien, die nach dem derzeitigen Stand der Technik als sicher gelten, und das Passwort wird nur dem Kunden mitgeteilt. Die erste Übermittlung des Passworts erfolgt über einen sicheren Kanal.
· Der Kunde kann das Passwort ändern, nachdem er sich über eine sichere Verbindung bei der Plattform angemeldet hat, oder das Passwort kann von seinem Vorgesetzten oder einem Systemadministrator zurückgesetzt werden. Der Zugang wird mindestens durch eine 2-Faktor-Authentifizierung und ein Passwort gewährleistet, das Mindestanforderungen hinsichtlich der Länge und Komplexität erfüllen muss.
· Neben der Passwort-Authentifizierung wird für den Zugriff auf den Webdienst auch eine Token-basierte Authentifizierung verwendet.
· Der Zugang zu diesen Servern ist auf bestimmte Netzwerke und Computer beschränkt. Zur Authentifizierung wird entweder die Public-Key-Authentifizierung oder ein Passwortverfahren verwendet. Beide Verfahren entsprechen den Richtlinien, die nach dem derzeitigen Stand der Technik als sicher gelten.
· Die gespeicherten Daten werden ausschliesslich in verschlüsselter Form gespeichert. Darüber hinaus gibt es Prozesse, Richtlinien und ein Schlüsselmanagement. Es gibt ein schriftliches Berechtigungskonzept, das intern verwendet und einer regelmässigen Überprüfung unterzogen wird.
Datenzugriffskontrolle:
· Teilweise durch den Sever Hosting Provider sichergestellt.
· Mitarbeiter, die mit Verwaltungsaufgaben betraut sind, haben nur Zugriffsrechte und Berechtigungen für die Daten, die für sie bestimmt sind. Es werden Regeln für Stellvertreter festgelegt.
· Massnahmen, die sicherstellen, dass die zur Nutzung der Daten für Datenbearbeitungsprozesse befugten Personen nur entsprechend ihrer Datenzugriffsberechtigung auf die Daten zugreifen können, umfassen:
· Genehmigungsmechanismen mit der Möglichkeit, genaue Unterscheidungen zu treffen
· Revisionssicherer, verbindlicher Prozess zur Vergabe von Berechtigungen an JobCloud-Mitarbeiter
· Trennung von Genehmigung der Berechtigung (organisatorisch) zwischen Abteilungsleiter/Geschäftsführung/Führungskräfte und Vergabe der Berechtigung (technisch) durch die IT-Abteilung
· Es wurden Massnahmen definiert, um unberechtigte Zugriffsversuche und Angriffe Dritter über das Internet zu erkennen (z.B. Firewall-Logs). Darüber hinaus wurden Plattform-Screenings implementiert, um auffälliges oder potenziell missbräuchliches Verhalten zu erkennen und zu verhindern (z.B. Einbruchserkennung).
· Es gibt Verfahren, die den Umgang mit möglichen Verletzungen der Datensicherheit und anderen Vorfällen regeln.
Transportkontrolle:
· Die Kommunikation zwischen der/den Plattform(en) und Drittquellen erfolgt ausschliesslich über https oder über SSL oder TLS.
· Für jedes IT-System mit Personendaten in einem oder mit einem extern angeschlossenen Netzwerk werden die Übertragungsdaten protokolliert und kontrolliert.
Eingabekontrolle:
· Alle erfolgreichen Versuche, die Webdienste zu nutzen, werden zu Abrechnungszwecken im Benutzerverwaltungssystem gespeichert. Ungültige Zugriffsversuche werden 72 Stunden lang gespeichert, um Missbrauch oder Schäden zu verhindern.
· Eingaberechte werden dokumentiert und folgen den internen Anweisungen der Geschäftsleitung.
Bearbeitungskontrolle:
· Der Vertrag enthält detaillierte Informationen über die Zweckbindung der Personendaten des Kunden.
Verfügbarkeitskontrolle:
· Teilweise durch den Server Hosting Provider sichergestellt.
· Es gibt ein Backup- und Recovery-Konzept mit periodischen Backups aller relevanten Daten und einer katastrophensicheren Speicherung der verschlüsselten Datenträger.
· Fachkundiger Einsatz von Datensicherungssoftware (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter) und Überwachung aller relevanten Server.
· Es gibt physische Kontrollen in Bezug auf unbefugte Zugangsversuche, Feuer, Überschwemmung und Stromausfall.
· Die Wirksamkeit dieser Vorkehrungen wird in regelmässigen Abständen überprüft und dokumentiert (Schwachstellentest).
· Es gibt ein schriftliches Konzept zur Überwachung sicherheitsrelevanter Vorfälle (Security Event Monitoring).
· Es gibt Verfahren für den Umgang mit potenziellen Zwischenfällen (Incident Response).
Grundsatz der Trennbarkeit
· Die Daten werden bei der Bearbeitung logisch von anderen Daten getrennt. Es ist jederzeit sichergestellt, dass die Kunden nur Zugriff auf ihre eigenen Daten haben.
· Es wurden Massnahmen ergriffen, um die Integrität der Daten während der Bearbeitung und Übermittlung jederzeit zu gewährleisten.
Tests und Audits:
· JobCloud unterzieht die oben beschriebenen technischen und organisatorischen Maßnahmen regelmäßigen Tests und Audits, um deren Wirksamkeit und Angemessenheit zu bewerten (z. B. Penetrationstests von Webanwendungen).