DSGVO – was bei Selectus zu beachten ist

In der neuen Datenschutz-Grundverordnung (DSGVO) der EU werden auf 88 Seiten die Grundlagen für den Datenschutz von Benutzern gelegt (Verordnung als PDF). Eine gute Online-Darstellung findet sich bei DSGVO-Gesetz.de. In Englisch wird die Verordnung „General Data Protection Regulation“ (GDPR) genannt.

Die DSGVO wurde 2016 von der EU beschlossen und gilt ab dem 25. Mai 2018. Bis dahin müssen alle Institutionen, die Daten von Personen verarbeiten, die Verordnung umgesetzt haben.

In den folgenden Abschnitten werden alle Aspekte erläutert, die den Betrieb der Selectus-Installationen bei frentix betreffen. Es besteht jedoch kein Anspruch auf Vollständigkeit, die Betreiber der Selectus-Installationen müssen jeweils selbst die notwendigen Schritte unternehmen.

Definitionen

Die Zuständigkeit für Aufgaben zur Umsetzung der neuen Datenschutzverordnung wird durch die Funktion einer Person, Institution oder Firma bestimmt. Die für Selectus relevanten Funktion sind wie folgt definiert:

  • Anbieter: frentix GmbH
  • Betreiber: frentix-Kunden, die Selectus im Einsatz haben
  • Benutzer: Personen, die in Selectus registriert sind und ein Login haben
  • Bewerber: Personen, die Bewerbungsunterlagen und erforderliche Personendaten in Selectus eingeben (ohne Login)
  • Externe: Experts/Referees, die einen beschränkten Zugriff auf Selectus haben (ohne Login)

Administrative Aspekte

Nutzungsbedingungen

Die Nutzungsbedingungen für Selectus werden vom Betreiber definiert und von frentix in Selectus eingepflegt. Der Betreiber ist somit für den Inhalt der Nutzungsbedingungen selbst verantwortlich.

In Selectus gibt es unterschiedliche Nutzungsbedingungen für Benutzer, Bewerber und Externe. Werden die Nutzungsbedingungen angepasst, muss der Betreiber die Versionen in der Verfahrensbeschreibung mit Datum protokollieren (Selectus hat keine Historisierung integriert).

Gültigkeit der DSGVO

Die neue Datenschutzverordnung betrifft alle Unternehmen, die in der EU ihren Sitz haben oder Dienstleistungen innerhalb der EU oder für Kunden in der EU anbieten.

Die Schweiz hat die europäische Datenschutzverordnung (noch) nicht umgesetzt. Werden die Dienstleistungen nur innerhalb der Schweiz angeboten und wenn es keinen Benutzer aus dem europäischen Ausland gibt, muss die Datenschutzverordnung nicht zwingend umgesetzt werden. Auf Selectus bezogen bedeutet das, dass die Datenschutzverordnung beachtet werden muss, sobald z.B. ein Bewerber in der EU lebt.

Auf der Webseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) finden sich weitere Informationen.

Verarbeitungsverzeichnis

Gemäss DGSVO sind Betreiber von Selectus verpflichtet, Aufzeichnungen über ihre Datenverarbeitungsaktivitäten zu führen. Die Bitkom hat eine umfassende Broschüre über Verarbeitungsverzeichnisse verfasst:

https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf

Löschen der Daten

Mit der neuen Datenschutzverordnung haben die Benutzer ein „Recht auf Vergessen“. Dafür müssen alle zu einer Person gehörenden Daten gelöscht werden können. Bei Selectus wird unterschieden zwischen Benutzern (mit Selectus-Benutzerkonto) und Bewerbern bzw. Externen (ohne Selectus-Benutzerkonto).

In der DSGVO gibt es aber keine definierten Fristen, wann etwas gelöscht werden muss. Einen guten Artikel dazu gibt es beim Expertenforum Arbeitsrecht.

Benutzer (mit Benutzerkonto)

In Selectus werden Benutzer in der Benutzerverwaltung gelöscht. Bei Löschanträgen empfiehlt es sich, auf die Installation des Releases mit den erweiterten Löschfunktionen zu warten, da mit dem aktuellen Release nicht alle Daten anonymisiert werden. Dies ist unproblematisch, das Benutzerdaten nicht umgehend nach Eingang eines Antrages gelöscht werden müssen. Durch die Nutzungsbedingungen müssen Benutzer aber entsprechend darüber informiert werden.

Bewerber und Externe (ohne Benutzerkonto)

Daten von Bewerbern und Externen können in der jeweiligen Position jederzeit gelöscht werden. Durch die Nutzungsbedingungen muss informiert werden, wie lange die Daten nach der Löschung im System aufbewahrt werden (Backup).

Meldepflicht bei Datenleaks

Mit der DSGVO sind auch die Meldepflichten verändert worden. Bei Datenlecks müssen die Kunden innert 72 Stunden informiert werden. Das betrifft sowohl die Beziehung zwischen frentix und dem Betreiber als auch diejenige zwischen dem Betreiber und den Benutzern, Bewerbern und Externen. Wenn hochsensible Daten betroffen sind, muss umgehend informiert werden.

Um Datenlecks entgegen zu wirken, sind alle von frentix gehosteten Systeme über sichere https-Verbindungen verschlüsselt.

Datenschutzbeauftragter

Im Artikel 37 DSGVO wird unter bestimmten Bedingungen die Benennung eines Datenschutzverantwortlichen gefordert. Der Betreiber von Selectus muss abklären, ob es einen Datenschutzbeauftragen braucht.

Technische Aspekte

Verschlüsselung

Ein Login auf die Weboberfläche von Selectus ist ausschliesslich über HTTPS möglich. Die Verschlüsselung ist nicht nur für den Loginprozess sondern für sämtlichen Datenverkehr aktiviert. Die Daten zwischen dem aufrufenden Computer und der Selectus-Installation sind somit verschlüsselt und können nicht eingesehen oder verändert werden.

Datentypen

In Selectus werden verschiedene Daten gespeichert. Es kann folgende Unterteilung vorgenommen werden:

  • Personendaten (z.B. Name, Vorname, Email, Telefonnummer, Geschlecht, Geburtsdatum, Titel)
  • Adressdaten (z.B. private oder geschäftliche Adresse)
  • Bewerbungsdokumente
  • Online-Daten (wie IP-Adresse, Standort, Browser-Version, Datum und Zeit von Zugriffen)

Welche Daten gespeichert werden, ist einerseits technisch durch das System bedingt, andererseits durch die Konfiguration der Selectus-Instanz. In der Konfiguration wird festgelegt, welche Eingaben zwingend erforderlich sind (z.B. Name, Vorname, Email).

Üblicherweise werden in Selectus keine physischen Merkmale, Bankdaten, Herkunft, Parteizugehörigkeit, Religion etc. erfasst.

Datacenter

Die gehosteten Selectus-Instanzen werden von frentix ausschliesslich auf Servern in der Schweiz betrieben. Die produktiven Server als auch die Backup-Server sind im Besitz von frentix. Nur wenige ausgewählte Mitarbeiter haben Zugriff auf die Server. Der Zugriff erfolgt über persönliche Zertifikate.

Das Datacenter verfügt über eine biometrisch gesicherte Vereinzelungsanlage (Fingerabdruckscanner mit Personenschleuse), redundanter Kühlanlage, Rauch- und Brandmelder mit automatischer Löschgasanlage, zwei unabhängigen UPS (Stromunterbruchsanlagen) und redundanten Dieselgeneratoren. Es entspricht damit einem TIER-IV Datacenter Standard. Die Backup-Server werden in einem Hochsicherheits-Datacenter räumlich getrennt zur frentix Hosting Cloud betrieben. Das Datacenter erfüllt die Richtlinien der eidg. Finanzmarktaufsicht (FINMA) – Circular 2008/7 und ist zertifiziert nach ISO/IEC 27001:2013. Das Rechenzentrum bestätigt, DSGVO-konform zu sein.

frentix bietet des Weiteren einen On-premise-Betrieb an. In diesem Fall gehören die Server den Kunden. Die Selectus-Installation läuft vor Ort beim Kunden und wird von frentix betreut. Der Kunde muss entsprechend selbst dafür sorgen, dass bezüglich der Server die Bestimmungen der DSGVO eingehalten werden. Des Weiteren muss sich der Kunde bei Backup und Logging der Daten um die Konformität kümmern.

Drittanbieter

frentix leitet keine Informationen über Benutzer oder Daten an Dritte weiter.

Datenexport von EU nach CH

Ein Transfer von Daten innerhalb der EU ist für EU-Länder problemlos möglich. Auch die Datenübermittlung in den Europäischen Wirtschaftsraum EWR (EU inkl. Norwegen, Island und Liechtenstein) ist darin eingeschlossen.

Schwieriger wird es bei den Drittländern, und die Schweiz fällt in diesem Fall unter diese Regelung. Die EU hat jedoch Länder mit einem angemessenen Datenschutzniveau definiert, wo der Datentransfer kein Problem darstellt. Die Übermittlung der Daten ist in der Richtlinie 95/46/EG des Europäischen Parlaments definiert (Überblick).

Die Bitkom hat eine umfassende Broschüre über Datenübermittlung verfasst.

MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT, 2017: Diese Beschlüsse betreffen Länder, die eng mit der Europäischen Union und ihren Mitgliedstaaten verbunden sind (Schweiz, Andorra, die Färöer, Guernsey, Jersey, Insel Man), wichtige Handelspartner (Argentinien, Kanada, Israel, die Vereinigten Staaten) und Länder, die eine Vorreiterrolle bei der Entwicklung von Datenschutzgesetzen in ihrer Region spielen (Neuseeland, Uruguay).

Eine gute Übersicht gibt es in einem Artikel über Auftragsdatenverarbeitung, in dem auch auf das Schweizer Datenschutzgesetz verwiesen wird. Das Schweizer Datenschutzgesetz ist von 1992 und wird momentan an die DSGVO angepasst und anschliessend aktualisiert werden.

Eventuell müssen Betreiber, falls sie ausserhalb der Schweiz ansässig sind, mit frentix einen Datenverarbeitungsvertrag abschliessen.

Einsatz von LDAP und SSO

Beim Einsatz von LDAP oder SSO (z.B. OAuth2) werden Daten der Benutzer (evtl. ohne ihr Wissen) von einem System auf Selectus übertragen. So werden beim Login auf Selectus die Anmeldeinformationen an den LDAP- oder SSO-Server weitergegeben, dort kontrolliert und beim Rückgeben an Selectus unter Umständen mit zusätzlichen Informationen angereichert.

Sind diese Anwendungen bei einer Selectus-Instanz im Einsatz, muss der Betreiber dafür Sorge tragen, dass Benutzer gemäss DSGVO aufgeklärt werden, welche Daten in Selectus übergeben werden.