Verpflichtung von Bullhorn zur General Data Protection Regulation (GDPR / DSGVO)

Version: August 2017

Verpflichtungserklärung

Die EU General Data Protection Regulation (GDPR) ist die bedeutendste europäische Datenschutzgesetzgebung der letzten 20 Jahre. Sie ersetzt die EU-Richtlinie für den Datenschutz von 1995 (Europäische Richtlinie 95/46/EG), stärkt die Rechte von EU-Bürgern über die eigenen Daten und vereinheitlicht somit das Datenschutzrecht in Europa.

Bullhorn wird als Datenverarbeiter die geltenden GDPR-Vorschriften erfüllen, wenn diese am 25. Mai 2018 in Kraft treten. In Zusammenarbeit mit unseren Kunden werden wir untersuchen, inwiefern wir im Rahmen unserer Serviceleistungen Kunden dabei unterstützen können, ihre Verpflichtungen gemäß der GDPR zu erfüllen.

 

Unsere Position

Wir haben uns dazu verpflichtet, die für uns als Datenverarbeiter geltenden EU-Datenschutz-Anforderungen zu erfüllen. Folgende Maßnahmen stehen bei unseren laufenden Vorbereitungen für die GDPR im Mittelpunkt:

Datenverarbeitung: Unsere Fähigkeit zur Erfüllung unsere Verpflichtungen als Datenverarbeiter gegenüber unseren Kunden, den Datenverantwortlichen, ist Bestandteil unserer Einhaltung der GDPR in den Fällen, in denen Datenverantwortliche einen Dritten wie uns mit der Verarbeitung personenbezogener Daten beauftragen. Aufgrund dieser Anforderung hat Bullhorn eng mit einen lokalen EU-Berater zusammengearbeitet, um sicherzustellen, dass unser Master Subscription Agreement (Hauptabonnement-Vereinbarung) und zugehörige Vereinbarungen geeignete Bestimmungen für die von uns gespeicherten personenbezogenen Daten umfassen und bei den Risiken und Verantwortlichkeiten von Datenverantwortlichen und Datenverarbeitern ein ausgewogenes Verhältnis gewahrt wird.

Prüfungen und Zertifizierungen durch Dritte: Bullhorn ist eines der ersten Applicant-Tracking-Systeme (ATS), das gemäß der SOC-1-Standardklassifikation für Berufe geprüft wird. Auch ist Bullhorn eines der ersten SaaS-Unternehmen (Software-as-a-Service) außerhalb der Finanzindustrie, das Sicherheitsprüfungen gemäß dem SSAE-16/18-Rahmenwerk durchführt. Einmal im Jahr unterzieht sich Bullhorn einem Audit gemäß SOC 1, Typ 2 durch einen unabhängigen Dritten, bei dem bestimmte interne Kontrollen und Prozesse überprüft werden. Geprüft werden dabei interne Führungsstrukturen (Governance), Produktionsabläufe, das Change Management, die Datensicherung (Backups) und Prozesse der Software-Entwicklung. Dabei wird bewertet, ob bei uns angemessene Kontrollen und Prozesse in Kraft sind und ob diese aktiv und im Einklang mit den entsprechenden Standards ordnungsgemäß funktionieren.

Das SOC-Programm sorgt für den Nachweis von unabhängiger Stelle, dass unsere Sicherheitspraktiken einen anerkannten Standard an Sicherheitsmaßnahmen bieten. Zudem ist das Programm so gestaltet, dass wichtige Elemente der Datenverarbeitung und -integrität abgedeckt werden, während gleichzeitig Prüfungspraktiken innerhalb unserer geschäftlichen und operativen Prozesse beibehalten werden. Da alle Kunden sich mit ihren Daten und deren Sicherheit befassen müssen, hat Bullhorn seine SOC-Kontrollen in seine Arbeitsabläufe integriert. Diese Verfahren umfassen das Unternehmen, Teams oder Funktionen, die für unsere Kunden Serviceleistungen erbringen oder unsere Kunden auf unserer Plattform unterstützen. Die Hauptkomponenten unseres SOC-Kontrollumfelds sind:

  • Corporate Governance: wie wir unser Geschäft und unsere Mitarbeiter führen und beaufsichtigen
  • Change Management:wie wir sicherstellen, dass Änderungen nachverfolgt und ordnungsgemäß überprüft werden
  • Zugriffskontrolle und -regelung: wer Zugang zum Betrieb unserer Plattform hat und wie dieser Zugriff gehandhabt wird
  • Datenredundanz und Backups: wie Daten für den Notfall gesichert und gespeichert werden
  • Software-Architektur und -Entwicklung: Kontrolle der Entwicklungsarbeiten im Zusammenhang mit unserer Plattform

Internationale Datenübermittlungen: Bullhorn, Inc. erfüllt die Bestimmungen des zwischen der EU und den USA sowie zwischen der Schweiz und den USA vereinbarten Datenschutzschildes entsprechend den Darlegungen des US-Handelsministeriums bezüglich der Sammlung, Nutzung und Aufbewahrung personenbezogener Daten, die von der Europäischen Union bzw. der Schweiz in die Vereinigten Staaten übertragen werden. Bullhorn, Inc. hat gegenüber dem Handelsministerium bestätigt, dass das Unternehmen die Grundsätze des Datenschutzschildes befolgt. Weitere Informationen zu unseren Datenschutzschild-Programmen und unsere Zertifizierung erhalten Sie unter https://www.privacyshield.gov. Bullhorn, Inc. verpflichtet sich, alle personenbezogenen Daten, die das Unternehmen von Datenexporteuren aus einem der Mitgliedsstaaten der Europäischen Union (EU), aus der Schweiz oder aus einem Mitgliedsstaat aus dem Europäischen Wirtschaftsraum (EWR) erhält und die unter den Datenschutzschild fallen, gemäß den anwendbaren Grundsätzen des Datenschutzschildes zu behandeln. Weitere Informationen zum Datenschutzschild und dessen Grundsätzen erhalten Sie auf der Datenschutzschild-Website des US-Handelsministeriums unter https://www.privacyshield.gov.

Datenübertragbarkeit: Die GDPR stellt gewisse Anforderungen an Datenverantwortliche hinsichtlich der Übertragbarkeit von personenbezogenen Daten. Die Daten, die unsere Kunden bei Bullhorn speichern, gehören den Kunden. Wir bieten die Übertragbarkeit und arbeiten fortlaufend an der Verbesserung der Zuverlässigkeit unserer Datenexportfunktionen.

 

Ihre Position

Für bestehende oder künftige Kunden von Bullhorn ist jetzt ein guter Zeitpunkt, um sich auf die Anforderungen an Datenverantwortliche gemäß der GDPR vorzubereiten. Folgendes sollten Sie dabei berücksichtigen:

Machen Sie sich mit der GDPR vertraut: Machen Sie sich mit den Bestimmungen der neuen Verordnung vertraut. Besonderes Augenmerk sollte dabei den Unterschieden zu den bisherigen Datenschutzpflichten gelten. Auch Beziehungen zu Ihren Kunden und Kandidaten sollten berücksichtigt werden. Zudem können die Bestimmungen, die durch die neuen Vorschriften ersetzt werden, von Land zu Land variieren, wenn das EU-Gesetz nächstes Jahr im Mai in Kraft tritt. Seien Sie sich dessen bewusst, dass neue Anforderungen auch neue Lösungen erfordern können, die die strengeren künftigen Regelungen erfüllen.

Überprüfen Sie Ihre Daten und Prozesse für die Datenerfassung: Erwägen Sie die Erstellung eines aktualisierten, genauen Bestands der personenbezogenen Daten, für die Sie verantwortlich sind. Überprüfen Sie Ihre jetzigen Kontrollen und Prozesse, um sicherzustellen, dass diese ausreichend sind, und entwickeln Sie einen Plan, wie eventuelle Lücken anzugehen sind. Folgende Schritte können Sie sofort in Angriff nehmen:

1. Überprüfung Ihrer Feldzuordnungen
2. Überprüfung Ihrer Prozessdokumentation
3. Klärung der bestehenden Rechtsgrundlage für die Datenverarbeitung

Abhängig von Ihrer Nutzung von Bullhorn müssen Sie ggf. die Daten in gewissem Umfang pflegen, um die GDPR zu erfüllen. Unser Expertenteam steht Ihnen gern dabei zur Seite, diesen Anforderungen bis zum 25. Mai gerecht zu werden.

Informieren Sie sich regelmäßig: Halten Sie sich auf dem Laufenden, ob es Neuerungen bei behördlichen Auflagen gibt, und erwägen Sie das Hinzuziehen eines Rechtsberaters für Ihre speziellen Anforderungen. Wir empfehlen auch die regelmäßige Überprüfung der Website des Information Commissioner, der britischen Vertretung in der EU-Arbeitsgruppe: Artikel 29.

 

Was kommt als nächstes?

Ein ausgezeichnetes Kundenerlebnis steht für Bullhorn an erster Stelle, um das Vertrauen von hunderttausenden Benutzern überall auf der Welt zu verdienen. Wir werden weiterhin notwendige operative Anpassungen vornehmen, die sich durch die neue Rechtslage ergeben. Auch werden wir Kunden, Partner und Behörden während dieses Prozesses fortwährend informieren. Wir verfügen über ein internes, funktionsübergreifendes Team, das die Konkretisierung der GDPR in den nächsten Monaten verfolgen und Sie regelmäßig über unsere Strategie für die GDPR auf dem Laufenden halten wird.
 

Copyright Bullhorn, Inc. 2017. Dieses Dokument bezieht sich auf dem im August 2017 bekannten Stand. Es dient ausschließlich zu Informationszwecken und darf nicht als verlässliche Quelle herangezogen werden. Es kann ohne Vorankündigung geändert oder gelöscht werden.

Starten Sie das Wachstum Ihres Unternehmens

Live Demo