Dokumentation GDPR / DSGVO (Stand 07/2021)

1. Zweck der Datenverarbeitung

Die Convidis AG ist ein Gesamtdienstleister im Personalbereich. Der Hauptsitz des Unternehmens befindet sich in Glattbrugg. Die angebotenen Dienstleistungen sind Assessments.

Als Personaldienstleister ist die Convidis AG im Besitz von einer Vielzahl an Datensätzen von Personen und Unternehmen. Die gesamte IT der Convidis AG ist an einen externen Dienstleister, die Aproda AG auf Basis von Microsoft 365 Services der Microsoft Schweiz AG, ausgelagert. Zusätzlich nutzt sie das CRM-Tool HR4YOU. Die Daten werden dabei redundant in Deutschland und Irland gespeichert.

2. Auflistung der beteiligten Provider / Offenlegung der Datenverarbeitungs-Kette

 

Beteiligte Provider sind:

 

HR4YOU AG

Ulbarger Strasse 52

D-26629 Grossefehn

www.hr4you.de

 

Aproda AG

Birkenstrasse 43B

CH-6343 Rotkreuz​

www.aproda.ch

 

Microsoft Schweiz AG.

Richtistrasse 3

8304 Wallisellen

www.microsoft.ch

 

Scharley & Partner MDC GmbH

Döbelestrasse 16

D-78462 Konstanz

www.scharley.com

 

papilio AG

Bellerivestrasse 16

CH-8008 Zürich​

www.papilio.ch

 

 

3. Verträge zwischen Convidis und Datenverarbeitern

 

3.1. HR4YOU AG

Der Auftrag zur Datenverarbeitung gem. §11 BDSG und die Dokumentation der „Technischen und organisatorischen Massnahmen“ gem. §9 BDSG sind in das Vertragsverhältnis zwischen der Convids AG und HR4YOU AG inkludiert. Damit auch in Zukunft alle formalen und datenschutzrechtlichen Verpflichtungen nach DSGVO erfüllt sind, hat HR4YOU der Convidis AG eine Vertragsergänzung per 25.05.2018 überlassen.

Diese Vereinbarung ersetzt ab 25.05.2018 die bisherigen vertraglichen Regelungen, die zur Auftragsdatenverarbeitung gem. §11 BDSG nebst technisch-organisatorischen Maßnahmen nach § 9 BDSG getroffen wurden. Die Vereinbarung besteht aus dem "Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO" und den "Technische und organisatorische Maßnahmen nach Art. 32 EU-DS-GVO".

 

3.2. Aproda AG

Die Aproda AG hat im Rahmen der DSGVO ein Datenschutz- und Datensicherheitskonzept definiert und der Convidis AG überlassen. Auch hat sie im Rahmen der ISO Zertifizierung am Standort St.Gallen technische und organisatorische Massnahmen definiert und implementiert.

 

3.3. Microsoft Schweiz AG

Microsoft befolgt alle für die Bereitstellung der Services durch Microsoft geltenden Gesetze und Vorschriften, einschließlich Gesetzen zur Meldung von Sicherheitsverletzungen sowie Datenschutzvorschriften. Microsoft ist jedoch nicht für die Einhaltung von Gesetzen oder Regelungen verantwortlich, die für den Kunden oder seine Branche und nicht allgemein für Serviceprovider im Bereich Informationstechnologie gelten. Microsoft ermittelt nicht, ob die Professional Services Daten Informationen enthalten, die bestimmten Gesetzen oder Vorschriften unterliegen. Alle Sicherheitsvorfälle unterliegen den Bestimmungen für die Meldung von Sicherheitsvorfällen weiter unten.

 

3.4. Scharley & Partner MDC GmbH

Der Auftragnehmer stellt dem Auftraggeber eine Online‐Plattform mit elektronischen Tests

und/oder Fragebögen zur Selbst‐ und Fremdeinschätzung im beruflichen Kontext zur

Verfügung. In diesen Tests und/oder Fragebögen werden persönliche Daten des Auftraggebers bzw. der Kandidaten erhoben. Diese Daten werden elektronisch ausgewertet, statistisch aufbereitet und dem Auftraggeber in Form eines Ergebnisberichtes zur Verfügung gestellt. Der Auftragnehmer verarbeitet dabei in allen obengenannten Fällen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS‐GVO für den Auftraggeber gem. Art. 4 Nr. 2 und Art. 28 DS‐GVO.

 

3.5. papilio AG

papilio beachtet die gesetzlichen Bestimmungen des Datenschutzes. Alle im Rahmen der Anmeldung erfassten bzw. während der Nutzung entstehenden und durch das schweizerische Datenschutzgesetz bzw. die Europäische Datenschutz-Grundverordnung geschützten Personendaten werden ausschliesslich für den Zweck der Vertragserfüllung genutzt.

 

4. Definition der Zustimmung des Kandidaten zur Speicherung und Verarbeitung seiner persönlichen Daten

 

Mit der Zustimmung und dem aktiven Interesse an einer unserer Dienstleistungen stimmt der Kandidat (Bewerber) per se der Datenspeicherung und -verarbeitung zu. Wünscht eine Person, dass die Daten nicht länger in unserem System gespeichert bleiben, wird die Löschung zuerst per E-Mail bestätigt und die Daten anschliessend gelöscht. Wobei die Hauptverantwortung bei den jeweiligen Consultants liegt.

Kandidaten, die zum Assessment kommen, informieren wir bei der Einladung zum Assessment, die über HR4YOU versandt wird wie folgt:

 

„Mit der Teilnahme am Assessment erklären Sie sich bereit, dass wir Ihre Daten und Dokumente elektronisch speichern und auswerten. Wir garantieren Ihnen, dass wir sämtliche Angaben zu Ihrer Person streng vertraulich behandeln.“

Button_BACK.png