Liebe Kundinnen und Kunden, 

wir möchten Sie darüber informieren, dass wir ab dem 1. August 2024 den Service von Cloudflare für unsere Produkte nutzen werden. 

 

Warum Cloudflare? 

Diese Maßnahme wird unsere softgarden Systeme vor Cyber-Angriffen schützen und unseren bereits sehr hohen Sicherheitsstandard weiter erhöhen. Im Besonderen geht es darum, sogenannte DDoS-Attacken („Distributed Denial of Service“) abzuwehren, die darauf abzielen, technische Systeme durch Bot-Angriffe zu überlasten und somit deren Verfügbarkeit einzuschränken. Durch die Einbindung von Cloudflare werden alle Zugriffe auf unsere Systeme durch eine zusätzliche Firewall (WAF) geschützt. 

 

Was ändert sich? Muss die AVV neu unterzeichnet werden?

Cloudflare wird als zusätzlicher Unterauftragsnehmer im Rahmen der Auftragsdatenverarbeitung agieren, die wir im Auftrag und auf Weisung von Ihnen, unseren Kunden, durchführen. Dies bedeutet, dass Cloudflare in die Anlage „TOMs“ zur  AVV (Vereinbarung zur Auftragsdatenverarbeitung) aufgenommen wird.  

Die neuen, bereits unterzeichneten Versionen der AVV stehen auf der  Datenschutz Seite zum Download bereit. 

 

Haben Sie bereits eine AVV mit softgarden abgeschlossen, ist es nicht erforderlich, diese nochmals zu unterzeichnen, sondern ausreichend, wenn Sie sich hier die neue Anlage mit den technisch- organisatorischen Maßnahmen herunterladen.

 

Die Datenschutzhinweise, welche von uns im System ausgespielt werden, werden wir rechtzeitig zum 01.08.2024 anpassen. Die Kunden, die eigene Datenschutzhinweise hinterlegt haben, müssen einen Passus in ihren Datenschutzhinweisen mit aufnehmen.

 

Folgenden Passus können Sie in ihre Datenschutzhinweise aufnehmen:

 

softgarden nutzt den Service des ISO 27001 zertifizierten Anbieters Cloudflare Inc., 101 Townsend St, San Francisco, USA bzw. der Tochtergesellschaft Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München Deutschland („Cloudflare“), um die Sicherheit der Plattform, insbesondere zum Schutz vor DDoS-Angriffen, zu erhöhen und die Auslieferungsgeschwindigkeit zu verbessern. Cloudflare bietet ein Netzwerk aus Servern, das in der Lage ist, optimiert Inhalte an den Endnutzer auszuliefern und virenbelasteten Traffic abzufangen.

Die von Cloudflare bereitgestellten Dienste enthalten das Produkt „Data Localisation Suite“ mit den Komponenten „Regional Services“ und „Metadata Boundary for Customers“. Beide Komponenten stellen sicher, dass die Übertragung personenbezogener Daten bei der Nutzung unserer Plattform ausschließlich innerhalb der EU erfolgt.

Die „Regionalen Dienste“ stellen sicher, dass der Kunden-Content-Traffic, in diesem Fall der Endkunden-Traffic, sicher an Cloudflare-PoPs innerhalb der von softgarden ausgewählten Region übertragen wird und innerhalb eines Point of Presence (PoP) in dieser definierten Region geprüft wird.

softgarden hat Deutschland als ausgewählte Region gewählt, daher wird der gesamte Datenverkehr ausschließlich auf Servern in Deutschland geprüft. Metadata Boundary stellt sicher, dass Cloudflare keine Kundenprotokolle, die aus den genutzten Services stammen, außerhalb der Europäischen Union überträgt.

Die von Cloudflare verarbeiteten personenbezogene Daten umfassen alle von Kunden und Bewerbern übermittelten Inhalte, das heißt über die IP-Adresse hinaus alle Dateien (Bewerbungsunterlagen) und Multimedia-Bilder, Grafiken, Audio oder Video, sowie jede Interaktion ihres Browsers mit dem softgarden System. 

Cloudflare ist Empfänger Ihrer personenbezogenen Daten und als Auftragsverarbeiter für softgarden tätig. Die entspricht dem berechtigten Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO, die Sicherheit und Gefahrenabwehr sowie Nutzerfreundlichkeit auf der Plattform zu gewährleisten.

Ihre personenbezogenen Daten werden von Cloudflare so lange gespeichert, wie es für die beschriebenen Zwecke erforderlich ist, in der Regel 124 Kalendertage.

Weitere Informationen zu Cloudflare finden Sie unter: Cloudflare DPA

 

Wichtiger Hinweis: 

 

Falls unser System am 1. August 2024 für Sie nicht erreichbar sein sollte, könnte dies an der Änderung der IP-Adresse aufgrund der Umleitung liegen. Möglicherweise ist Ihre Firewall nur für bestimmte IP-Adressen freigeschaltet. Die von Cloudflare aktuell genutzten und in diesem Fall freizuschaltenden IP-Adressen finden Sie hier .

 

Bei weiteren Fragen dazu wenden Sie sich bitte an unseren Support unter support@softgarden.de. Unser Kundenservice wird Ihnen dazu gerne weiterhelfen. 

 

Nach den Informationen zu Cloudflare möchten wir Sie noch über eine weitere wichtige Änderung informieren: 

 

Änderung der Adresse eines Rechenzentrums: 

Zudem möchten wir Sie darüber informieren, dass wir in Düsseldorf ein weiteres Rechenzentrum bei unserem Vertragspartner Equinix GmbH in Betrieb genommen haben. Dadurch wird eine zusätzliche Rechenzentrumsadresse in die Vereinbarung zur Auftragsdatenverarbeitung (AVV) aufgenommen. Durch den Umzug entfällt das Rechenzentrum bei Plusserver, welches zukünftig dann in der AVV nicht mehr enthalten sein wird. 

 

Anpassung der Nutzungsbedingungen: 

Aufgrund des Digital Services Acts ist es nun erforderlich, in unseren Nutzungsbedingungen (AGB) einen Hinweis auf eine Beschwerdemöglichkeit für Bewerber und unsere Kunden aufzunehmen. Diese Anpassung werden wir bis zum 10. Juli umsetzen. 

 

Ihr Team von softgarden 

Datenschutzrechtliche-FAQs

 

Q1: Wozu nutzt softgarden Cloudflare? 

A1: Wir nutzen Cloudflare künftig, um unsere Systeme vor Cyber-Angriffen zu schützen und unsere Sicherheitsstandards insgesamt zu erhöhen. Speziell geht es uns darum, sogenannte DDoS-Attacken („Denial of Service“) abzuwehren. Solche Attacken zielen darauf ab, technische Systeme durch Bot-Angriffe zu überlasten und somit deren Verfügbarkeit einzuschränken. Damit dies nicht passiert, schützen wir unsere Systeme mit Cloudflare. 

 

Q2: Welche Vorteile hat der Einsatz von Cloudflare?

A2: Die Nutzung des Services von Cloudflare erhöht den Sicherheitsstandard für die Kundendaten. Cloudflare ist einer der Welt-Marktführer auf dem Gebiet der DDoS Protection und ist ein ISO 27001, 27018 und 27701 sowie C5 zertifiziertes Unternehmen und bietet eine Sicherheitstechnik gegen Cyber-Kriminalität auf höchstem Niveau. Cloudflare wurde vom Bundesamt für Sicherheit und Informationstechnik als qualifizierter DDoS-Mitigation Dienstleister identifiziert.

 

Q3: Welche personenbezogenen Daten werden durch Cloudflare verarbeitet und müssen die Datenschutzhinweise angepasst werden?

A3: Cloudflare agiert wie ein Schutzschild vor unseren Systemen. Das bedeutet, dass der Datenverkehr zu unseren Systemen durch Cloudflare gescannt und auf Angriffe geprüft wird. Das hat zur Folge, dass insbesondere die IP-Adressen der Personen, die unsere Leistungen (z.B. das Bewerbermanagementsystem) nutzen oder sich über eine Karriereseite bewerben, von Cloudflare verarbeitet werden. 

Die Datenschutzhinweise, welche von uns im System bereitgestellt werden, werden wir rechtzeitig zum 01.08.2024 anpassen. Die Kunden, die eigene Datenschutzhinweise hinterlegt haben, müssen den von uns vorbereiteten Passus in ihren Datenschutzhinweisen aufnehmen.

 

Q4: Wie lange werden die personenbezogenen Daten bei Cloudflare gespeichert?

A4:  Kunden Logs sind definiert als Logs der Interaktionen von Endnutzern und dem Service, die dem Kunden über das Service-Dashboard oder eine andere Online-Schnittstelle während der Laufzeit von Cloudflare zur Verfügung gestellt werden. Cloudflare ist ein Data Processor für Kunden Logs (z.B. Logs für DNS, Firewall events, HTTP requests).

Cloudflare bewahrt Kunden Logs, die persönliche Daten von Endnutzern (d.h. IP-Adressen) enthalten, für das letzte Quartal plus einen Monat (ca. 124 Tage) auf. Cloudflare kann verpflichtet sein, gespeicherte Inhalte aufzubewahren, um gesetzliche Verpflichtungen zu erfüllen oder bösartige Aktivitäten/weitere Attacken zu verhindern (so z.B. IP Adressen von Angreifern).

Q5: Werden durch Cloudflare Cookies  gesetzt?

A5: Cloudflare verwendet verschiedene Cookies, um die Netzwerkressourcen zu maximieren, den Datenverkehr zu verwalten und die Websites der Kunden vor bösartigem Datenverkehr zu schützen. Diese sind technisch notwendige Cookies, die zur Gefahrenabwehr und zur sicheren Bereitstellung des Dienstes erforderlich sind, § 25 Abs. 2 Nr. 2 TDDDG.

 

Q6: Wo werden die Daten verarbeitet?

A6: Mit Cloudflare ist die sogenannte "Data Localization Suite" vereinbart. Dies bedeutet, dass wir als Kunde von CloudFlare in unserem Account selbst einstellen können, wo unsere Daten und die dabei anfallenden Logdaten verarbeitet werden. Der Admin des softgarden Accounts bei Cloudflare ist unser Geschäftsführer Stefan Schüffler und ausschließlich das SysOps Team hat darauf Zugriff. Wir haben hierüber auch ein Bestätigungsschreiben der Cloudflare Germany GmbH. 

Dabei wurde das Modul "Metadata Boundary for Customers" aktiviert, welches sicherstellt, dass sämtliche Log-Daten ausschließlich innerhalb der EU verarbeitet werden.

Zusätzlich wurden die "Regional Services" aktiviert, welche sicherstellen, dass der Kunden-Content sicher an Cloudflare-PoPs ("Point-of-presence") innerhalb der von uns gewählten Region (in unserem Fall Deutschland) übertragen wird und innerhalb eines Point of Presence (PoP) in dieser definierten Region (Deutschland), geprüft wird (Entschlüsselung dieses Contents zur Prüfung und anschließende Neuverschlüsselung). Da wir Deutschland als ausgewählte Region gewählt haben, wird der gesamte Datenverkehr mit Endkundeninhalten ausschließlich auf Servern in Deutschland geprüft.

Zusammengefasst stellen die Metadata Boundary sicher, dass Cloudflare keine Kundenprotokolle, die aus abgedeckten Services stammen, außerhalb der Europäischen Union überträgt, und die Regional Services, dass kein Kundenverkehr außerhalb Deutschlands verarbeitet wird.

 

Q7: Welche Sicherheitsvorkehrungen trifft Cloudflare, um die personenbezogenen Daten zu schützen?

A7: Die getroffenen technischen und organisatorischen Maßnahmen von Cloudflare sind in Anhang 2 des Standard-DPAs abrufbar. 

Cloudflare hat sich außerdem verschiedenen sicherheitstechnisch relevanten Zertifizierungen unterworfen, unter anderem der ISO 27001/ 27701/ 27018 und C5. Weitere Informationen zu den Zertifizierungen finden Sie hier. Wir haben die von Cloudflare bereitgestellten Zertifikate gesichtet und werden diese regelmäßig auf ihre Gültigkeit prüfen. 

Darüber hinaus ist Cloudflare vom Bundesamt für Sicherheit in der Informationstechnik als „qualifizierter DDoS-Mitigation Dienstleister“gelistet.

 

Q8: Welche Zertifizierungen oder sonstigen Dokumente bzgl. Datenschutz/Datensicherheit/Informationssicherheit stellt Cloudflare zur Verfügung?

A8: Coudflare ist ISO 27001 und C5 zertifiziert. Nähere Informationen finden Sie hier .

 

Q9: Werden personenbezogene Daten in Drittländer übermittelt und, wenn ja, welche Transfermechanismen gelten?

A9: Grundsätzlich erfolgt die Verarbeitung der personenbezogenen Daten innerhalb der EU bzw. des EWR bzw. Deutschland, da wir dies als Region ausgewählt haben (siehe oben). Eine standardmäßige Übermittlung von Daten in Drittländer, also Länder außerhalb der EU/des EWR, ist nicht vorgesehen. 

Für den unwahrscheinlichen Fall, dass entgegen diesen Vorkehrungen doch personenbezogene Daten in Drittländer übermittelt werden müssen, ist diese Datenübermittlung gemäß Art. 45 DSGVO legitimiert. Cloudflare hat sich nach dem EU-U.S. Data Privacy Framework zertifiziert (nachprüfbar über diese Liste), sodass der von der EU-Kommission erlassene Angemessenheitsbeschluss für die USA für Cloudflare anwendbar ist.

Zusätzlich beinhalten unsere vertraglichen Regelungen mit Cloudflare die EU-Standardvertragsklauseln (Modul 3) für den Fall, dass der Angemessenheitsbeschluss der EU-Kommission künftig für ungültig erklärt werden sollte. Diese stellen eine geeignete Garantie gemäß Art. 46 Abs. 2 Buchst. c DSGVO dar.  Ein TIA ("Transfer Impact Assessment) für die USA wird auf Wunsch zur Verfügung gestellt.