Datenschutzerklärung
Die inclusy 4 all gmbh erbringt Dienstleistungen im Bereich der Personalvermittlung und des Personalverleihs für Sozialberufe in der Schweiz. Der Schutz Ihrer Personendaten ist uns ein zentrales Anliegen, diese Erklärung informiert Sie darüber, welche Personendaten wir bearbeiten, zu welchen Zwecken und welche Rechte Ihnen zustehen.
Überblick und verantwortliche Stelle
Die inclusy 4 all gmbh (nachfolgend «inclusy 4 all», «wir» oder «uns») erbringt Dienstleistungen im Bereich der Personalvermittlung und des Personalverleihs für Sozialberufe in der Schweiz. Der Schutz Ihrer Personendaten ist uns ein zentrales Anliegen. Diese Datenschutzerklärung (nachfolgend «DSE») informiert Sie darüber, welche Personendaten wir bearbeiten, zu welchen Zwecken dies geschieht, an wen sie übermittelt werden und welche Rechte Ihnen zustehen.
Diese DSE gilt für sämtliche von uns betriebenen Oberflächen, namentlich die Website inclusy.ch, das interne Administrationsdashboard (app.inclusy.ch beziehungsweise intern.inclusy.ch), die Backend-Schnittstellen (api.intern.inclusy.ch), die Mobile App für Springer:innen (iOS) sowie die öffentlich zugänglichen Response- und Onboarding-Seiten, die ausschliesslich über einen per E-Mail versandten Token-Link aufrufbar sind.
Die Bearbeitung Ihrer Personendaten richtet sich primär nach dem schweizerischen Bundesgesetz über den Datenschutz (revDSG) sowie ergänzend nach der EU-Datenschutz-Grundverordnung (DSGVO), soweit deren räumlicher Anwendungsbereich für Sie eröffnet ist, namentlich als betroffene Person mit Aufenthalt in der EU oder im EWR. Für unsere Tätigkeit als Personalverleiher beachten wir darüber hinaus die datenschutzrechtlich relevanten Bestimmungen des Bundesgesetzes über die Arbeitsvermittlung und den Personalverleih (AVG) sowie der zugehörigen Verordnung (AVV).
1.1 Verantwortliche Stelle
Verantwortlich für die Bearbeitung Ihrer Personendaten im Sinne von Art. 5 lit. j revDSG beziehungsweise Art. 4 Ziff. 7 DSGVO ist:
- Firma
- inclusy 4 all gmbh
- Sitz
- Stadthausstrasse 14, 8400 Winterthur, Schweiz
- UID
- CHE-276.782.175
- CH-ID
- CH-020-4083969-7
- FCRO-ID
- 1632490
- Rechtsform
- Gesellschaft mit beschränkter Haftung (GmbH)
- Vertretung
- Markus Dietrich
- datenschutz@inclusy.ch
- Website
- https://inclusy.ch
Weitere Firmenbezeichnungen in anderen Landessprachen: inclusy 4 all sàrl (französisch), inclusy 4 all sagl (italienisch), inclusy 4 all ltd liab co (englisch).
1.2 Kontakt in Datenschutzangelegenheiten
Für Anliegen rund um den Datenschutz erreichen Sie uns unter datenschutz@inclusy.ch. Eine Meldestelle im Sinne von Art. 10 revDSG beziehungsweise eine Datenschutzberaterin oder ein Datenschutzberater ist bei uns aufgrund von Unternehmensgrösse und Bearbeitungsumfang aktuell nicht zwingend zu bezeichnen. Wir prüfen diese Einschätzung laufend und passen diese DSE bei einer Benennung entsprechend an.
1.3 Anwendbarkeit der DSGVO
Unsere Tätigkeit ist auf den Schweizer Markt ausgerichtet. Wir vermitteln und verleihen Fachkräfte an Einsatzbetriebe in der Schweiz; wir bieten unsere Dienstleistungen nicht aktiv in der Europäischen Union oder im Europäischen Wirtschaftsraum an und beobachten auch kein Verhalten von Personen in der EU oder im EWR im Sinne von Art. 3 Abs. 2 DSGVO. Die primär anwendbare Rechtsgrundlage für unsere Datenbearbeitung ist daher das schweizerische Bundesgesetz über den Datenschutz (revDSG).
Personen aus der EU oder dem EWR, die sich als Fachkräfte bei uns bewerben oder registrieren, um in der Schweiz zu arbeiten (zum Beispiel im Rahmen einer Einwanderung oder als Grenzgänger:innen), reichen uns im Regelfall Unterlagen ausschliesslich im Hinblick auf einen Einsatz in der Schweiz ein. Auch für solche Bearbeitungen gilt das revDSG.
Wir nennen in dieser DSE dennoch jeweils die entsprechenden Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO), damit Betroffene aus dem EU- oder EWR-Raum die ihnen vertrauten Rechtsgrundlagen wiederfinden und ihre Rechte zuordnen können. Daraus ergibt sich keine direkte Unterwerfung unter die DSGVO; die DSGVO wird nur dann einschlägig, wenn dies im konkreten Einzelfall rechtlich geboten ist. Einen Vertreter in der Europäischen Union nach Art. 27 DSGVO haben wir nach heutiger Einschätzung nicht zu bestellen, da die Voraussetzungen von Art. 3 Abs. 2 DSGVO nicht erfüllt sind. Wir prüfen diese Einschätzung laufend und passen diese DSE an, falls sich Geschäftstätigkeit oder Rechtslage wesentlich ändern.
Zentrale Begriffe in Kurzform
Zur besseren Lesbarkeit verwenden wir in dieser DSE folgende Begriffe:
- Personendaten: Alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
- Bearbeiten: Jeder Umgang mit Personendaten, insbesondere Beschaffen, Speichern, Verwenden, Verändern, Weitergeben und Löschen.
- Springer:in: Fachkraft im Sozial- und Pflegewesen, die sich bei uns für eine Vermittlung oder einen Personalverleih registriert und von uns an Einsatzbetriebe vermittelt beziehungsweise verliehen werden kann.
- Organisation oder Einsatzbetrieb: Einrichtung (zum Beispiel Heim, Spitex-Dienst, soziale Institution), die bei uns Personal sucht oder entleiht.
- Contact: Ansprechperson innerhalb einer Organisation.
- Lead: Potenzielle zukünftige Auftraggeberin oder zukünftiger Auftraggeber im Rahmen unserer B2B-Akquise.
- Personalverleih: Arbeitsrechtliches Dreiparteienverhältnis, in dem wir als Verleiher Arbeitgeber der Springer:in sind und diese an einen Einsatzbetrieb überlassen, der das Weisungsrecht während des Einsatzes ausübt.
- Personalvermittlung: Tätigkeit, bei der wir eine Springer:in einer Organisation zur direkten Anstellung zuführen, ohne selbst Arbeitgeber zu werden.
Welche Personendaten wir bearbeiten
Welche Personendaten wir bearbeiten, hängt von Ihrer Rolle im Verhältnis zu uns ab. Nachfolgend finden Sie eine Übersicht nach Betroffenengruppen.
3.1 Springer:innen (Fachkräfte)
Im Rahmen der Registrierung, des Profils, der Vermittlung und des Verleihs von Einsätzen sowie der Lohnabrechnung bearbeiten wir insbesondere folgende Kategorien:
Stammdaten und Identifikation
- Vor- und Nachname, akademische Titel, Geschlecht
- Kontaktangaben: E-Mail, Telefon, Adresse (Strasse, PLZ, Ort, Kanton)
- Geburtsdatum, Nationalität, Heimatort
- Zivilstand, Konfession (soweit für den Lohnausweis und allfällige Kirchensteuerabzüge erforderlich)
- AHV-Nummer
- Aufenthaltsstatus beziehungsweise Bewilligungsart
- Kopie eines amtlichen Ausweisdokuments
Finanz- und Abrechnungsdaten
- IBAN und Bankname
- Quellensteuerpflicht und Quellensteuerparameter
- Angaben zu Kindern sowie Bezug von Familienzulagen
- Weitere Erwerbstätigkeiten und Bruttolöhne zur korrekten Quellensteuerberechnung
- Ersatzeinkünfte (zum Beispiel Taggelder der Arbeitslosenversicherung)
- Lohn- und Spesenabrechnungen
Berufliche Daten und Qualifikationen
- Lebenslauf (CV) als Volltext sowie geparste strukturierte Daten
- Qualifikationen und Abschlüsse (zum Beispiel Fachhochschule, Höhere Fachschule, Berufslehre)
- Tätigkeitssektoren und Spezialisierungen
- Verfügbarkeit und Pensum, Standby-Status, Pflegelevel (Selbstauskunft)
- Führerausweis und verfügbare Transportmittel
- Kenntnisse von Branchensoftware (zum Beispiel Case-Software wie Klibe, Quali-Medic, nursIT u. a.)
- Arbeitszeugnisse und Referenzen (als PDF oder Scan)
- Ausbildungsnachweise, Diplome, Weiterbildungsbestätigungen
- Vorgegebene Selbstauskünfte zu Kenntnissen und Erfahrungen
Compliance-Dokumente
- Personalstammblatt (PSB)
- Selbstauskunft (SPA)
- Identifikationsdokument (Kopie)
- Elektronisch signiertes Rahmenreglement
- Wohnsitzbestätigung
Kommunikations- und Trackingdaten
- E-Mail-Verläufe im Rahmen von Anfragen und Einsatzvermittlung
- Chat-Nachrichten zwischen Ihnen und unserem Team
- Tokens für Push-Benachrichtigungen (FCM)
- Login- und Aktivitätsprotokolle
- Einsatzhistorie und Vertragsdaten
- Zeiterfassung (Schichten, Pikett, Spesen)
- Fahr- und Pendelzeiten zu Einsatzorten
Authentisierungsdaten
- Passwort-Hash (bcrypt)
- Optionaler TOTP-Seed für Zwei-Faktor-Authentisierung (verschlüsselt gespeichert)
- JWT-Refresh-Token, Magic-Link-Token
3.2 Bewerbungen und Talentpool
Bewerben Sie sich bei uns als Springer:in oder direkt auf eine ausgeschriebene Stelle, bearbeiten wir Ihre Bewerbungsunterlagen (Lebenslauf, Anschreiben, Zeugnisse, Diplome, allfällige Referenzen) sowie die Angaben, die Sie uns im Laufe des Bewerbungs- und Abklärungsprozesses zur Verfügung stellen. Dies umfasst Angaben, die Sie freiwillig mitteilen oder öffentlich zugänglich gemacht haben (zum Beispiel auf beruflichen Netzwerken wie LinkedIn oder Xing).
Kommt eine Vermittlung oder ein Personalverleih nicht zustande, fragen wir Sie, ob wir Ihre Bewerbungs- und Profildaten in unseren Talentpool aufnehmen dürfen, um Sie bei zukünftigen passenden Einsätzen erneut berücksichtigen zu können. Eine solche Aufnahme erfolgt ausschliesslich mit Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO beziehungsweise Art. 6 revDSG), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.
Ohne Ihre Einwilligung zur Aufnahme in den Talentpool löschen beziehungsweise anonymisieren wir Ihre Bewerbungsunterlagen spätestens sechs Monate nach Abschluss des Bewerbungsprozesses, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
3.3 Organisationen und deren Ansprechpersonen
Bei Einsatzbetrieben und zugehörigen Ansprechpersonen bearbeiten wir insbesondere:
- Name der Organisation, Adressen (Hauptsitz und Filialen)
- Telefon und Website
- Sektor und Rechtsform
- Vereinbarte Lohn- und Verleihsätze sowie Gehaltsvereinbarungen
- Vor- und Nachname, berufliche E-Mail, berufliches Telefon sowie Funktion der Ansprechpersonen
- Kommunikationshistorie und Status der Geschäftsbeziehung
3.4 Leads (potenzielle Einsatzbetriebe)
Im Rahmen unserer B2B-Akquise identifizieren wir potenzielle Einsatzbetriebe und erhalten dabei auch Personendaten aus Quellen, die nicht die betroffene Person selbst ist (Art. 19 Abs. 2 lit. f revDSG beziehungsweise Art. 14 DSGVO). Wir nutzen dafür ausschliesslich öffentlich zugängliche oder geschäftlich gewidmete Quellen:
- Veröffentlichte Stellenausschreibungen auf Karriereseiten und öffentlichen Jobportalen
- Unternehmenswebsites (Impressum, Team-Seiten, Kontaktverzeichnisse)
- Beruflich orientierte Netzwerke (zum Beispiel LinkedIn, Xing), soweit die Profile öffentlich einsehbar sind
- Handelsregister- und vergleichbare öffentliche Unternehmensverzeichnisse
Diese Informationen reichern wir über spezialisierte Anbieter um berufliche Kontaktangaben an und lassen die Zustellbarkeit der E-Mail-Adresse prüfen, bevor wir Ansprachen versenden (vgl. Ziffer 7.3). Wir bearbeiten dabei:
- Angaben zur ausgeschriebenen Stelle (Titel, Beschreibung) und zur Organisation inkl. Domain
- Berufliche Kontaktdaten der Ansprechperson (Vor- und Nachname, berufliche E-Mail, ggf. Telefon, berufliche Funktion)
- Quelle der Daten und Quell-URL sowie Importdatum
- Status der Validierung (Erreichbarkeit der E-Mail-Adresse) und der Ansprache (Outreach-Status)
Sofern wir eine Lead-Ansprache durchführen, informieren wir die betroffene Person spätestens in der ersten Kontaktaufnahme über die Bearbeitung ihrer Daten und ihre Rechte und stellen einen einfachen Weg zur Abmeldung bereit.
3.5 Einsatzanfragen, Formulare und Terminbuchungen
Über unsere Website sowie über verlinkte Formular- und Termintools verarbeiten wir die jeweils angegebenen Kontakt- und Anfragedaten (zum Beispiel Firma, Name, E-Mail, Telefon, Anliegen, Terminwunsch). Diese Daten werden direkt in unser Administrationssystem überführt und dort bearbeitet.
3.6 Mitarbeitende und interne Nutzerinnen und Nutzer
Für unsere Mitarbeitenden, die das interne Dashboard nutzen, bearbeiten wir Name, E-Mail-Adresse, Passwort-Hash, optional einen TOTP-Seed für 2FA, Profilbild, zugewiesene Rolle (zum Beispiel Super-Admin, Administrator, Auftragsverwaltung, Stelleninserate, Support) sowie Aktivitätsprotokolle.
Zwecke der Datenbearbeitung und Rechtsgrundlagen
Wir bearbeiten Ihre Personendaten zu den nachfolgend genannten Zwecken. Soweit die DSGVO auf Sie Anwendung findet, nennen wir zusätzlich die jeweilige Rechtsgrundlage.
4.1 Vermittlung, Personalverleih, Vertragsabwicklung und Abrechnung
Wir bearbeiten Stamm-, Qualifikations-, Einsatz- und Finanzdaten, um Sie für Einsätze zu berücksichtigen, Verträge zwischen Springer:innen und Einsatzbetrieben anzubahnen und zu erfüllen, Personalverleihverträge abzuschliessen und durchzuführen, Einsätze zu koordinieren sowie Löhne und Spesen abzurechnen. Rechtsgrundlage: Anbahnung und Erfüllung eines Vertrages (Art. 31 Abs. 1 revDSG beziehungsweise Art. 6 Abs. 1 lit. b DSGVO).
4.2 Erfüllung gesetzlicher Pflichten
Für die Einhaltung arbeits-, steuer- und sozialversicherungsrechtlicher Vorgaben (AHV, IV, EO, ALV, BVG, UVG, Quellensteuer, Familienzulagen, Lohnausweis, Personalverleihgesetz, Obligationenrecht, BGSA) sowie handels- und buchhaltungsrechtlicher Aufbewahrungspflichten (Art. 958f OR) bearbeiten wir insbesondere AHV-Nummer, Aufenthaltsstatus, Konfession (soweit für Kirchensteuerabzug erforderlich), Familienstand sowie Lohn- und Abrechnungsdaten. Rechtsgrundlage: Erfüllung rechtlicher Verpflichtungen (Art. 31 Abs. 1 revDSG beziehungsweise Art. 6 Abs. 1 lit. c DSGVO).
4.3 Kommunikation
E-Mail-Verkehr, Chat-Nachrichten und Push-Benachrichtigungen bearbeiten wir, um mit Ihnen in Verbindung zu treten, Einsatzdetails abzustimmen und relevante Informationen zu übermitteln. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), ergänzend berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) sowie bei Push-Benachrichtigungen Ihre Einwilligung gemäss Systemdialog Ihres Geräts (Art. 6 Abs. 1 lit. a DSGVO).
4.4 Betrieb, Sicherheit und Fehleranalyse
Zur Gewährleistung des sicheren Betriebs unserer Systeme bearbeiten wir technische Protokolldaten, Fehlerberichte, Authentisierungs-Token und Zugriffszeitpunkte. Rechtsgrundlage: berechtigtes Interesse an IT-Sicherheit und Verfügbarkeit (Art. 31 Abs. 1 revDSG i. V. m. Art. 31 Abs. 2 lit. a revDSG beziehungsweise Art. 6 Abs. 1 lit. f DSGVO).
4.5 Akquise und Geschäftsanbahnung (B2B)
Wir sprechen potenzielle Einsatzbetriebe, die in ihren Organisationen mit der Personalgewinnung befasst sind, gezielt über ihre beruflichen Kontaktdaten an. Grundlage dafür sind öffentlich zugängliche Informationen, die wir über spezialisierte Anbieter um berufliche Kontaktangaben anreichern. Rechtsgrundlage: berechtigte Interessen an der Geschäftsanbahnung und Kundenakquise im B2B-Bereich (Art. 31 Abs. 1 revDSG i. V. m. Art. 31 Abs. 2 lit. a revDSG beziehungsweise Art. 6 Abs. 1 lit. f DSGVO).
Betroffene Personen können der Kontaktaufnahme jederzeit formlos widersprechen. Dafür steht in jeder Outreach-E-Mail ein Abmeldelink zur Verfügung; zudem ist eine Abmeldung per E-Mail an datenschutz@inclusy.ch möglich. Nach einem Widerspruch werden wir den betroffenen Kontakt beziehungsweise die betroffene Organisation intern entsprechend kennzeichnen und von weiteren Ansprachen ausschliessen.
4.6 Produktentwicklung und Qualitätssicherung
In eingeschränktem Umfang bearbeiten wir aggregierte oder pseudonymisierte Nutzungsdaten, um unsere Dienste fortlaufend zu verbessern. Rechtsgrundlage: berechtigte Interessen an einer bedarfsgerechten Weiterentwicklung (Art. 31 Abs. 1 revDSG beziehungsweise Art. 6 Abs. 1 lit. f DSGVO).
Besonders schützenswerte Personendaten
Besonders schützenswerte Personendaten im Sinne von Art. 5 lit. c revDSG (beziehungsweise Art. 9 DSGVO) bearbeiten wir nur, soweit dies unbedingt erforderlich ist:
- Angaben zur Religionszugehörigkeit werden ausschliesslich zum Zweck der korrekten Lohnabrechnung (Kirchensteuerabzug) bearbeitet.
- Angaben zu Nationalität und Aufenthaltsstatus bearbeiten wir zur Erfüllung arbeits-, sozialversicherungs- und ausländerrechtlicher Pflichten.
- Gesundheitsdaten der Springer:innen bearbeiten wir grundsätzlich nicht. Der in unseren Systemen erfasste sogenannte «Pflegelevel» ist eine fachliche Selbstauskunft zu Kompetenzen und stellt keine Angabe zur Gesundheit der Springer:in dar.
- Biometrische Daten werden nicht auf unsere Server übertragen. Nutzt eine Springer:in die Face-ID, Touch-ID oder eine vergleichbare biometrische Entsperrung der Mobile App, verbleibt die biometrische Information ausschliesslich auf dem Endgerät (Secure Enclave).
- Gewerkschaftliche Tätigkeit: Solche Angaben bearbeiten wir nur, soweit sie uns von den Betroffenen selbst mitgeteilt werden (zum Beispiel im Rahmen eines GAV-relevanten Sachverhalts) und für die Vertragsabwicklung erforderlich sind.
Personalverleih nach dem Arbeitsvermittlungsgesetz (AVG)
Wir betreiben nebst der Personalvermittlung auch Personalverleih im Sinne des Bundesgesetzes über die Arbeitsvermittlung und den Personalverleih (AVG, SR 823.11) und der zugehörigen Verordnung (AVV, SR 823.111). Personalverleih ist datenschutzrechtlich besonders relevant, weil hier ein Dreiparteienverhältnis besteht und in grossem Umfang Daten zwischen Verleiher, Einsatzbetrieb und Leihnehmer:in fliessen.
6.1 Bewilligung und Aufsicht
Für die Ausübung des Personalverleihs ist nach Art. 12 AVG eine Bewilligung erforderlich. Da wir unseren Sitz in Winterthur haben, ist für uns das Amt für Wirtschaft und Arbeit (AWA) des Kantons Zürich, Volkswirtschaftsdirektion, die zuständige kantonale Bewilligungsbehörde. Für die grenzüberschreitende Tätigkeit ist zusätzlich eine Bewilligung des Staatssekretariats für Wirtschaft (SECO) erforderlich; dies gilt insbesondere beim Verleih von Arbeitnehmenden ins Ausland sowie beim Verleih von EU- und EFTA-Staatsangehörigen mit erstmaliger Aufenthaltsbewilligung B, Grenzgängerbewilligung G, Kurzaufenthaltsbewilligung L oder im ausländerrechtlichen Meldeverfahren.
Rechtliche Grundlagen sind das Bundesgesetz über die Arbeitsvermittlung und den Personalverleih (AVG, SR 823.11), die zugehörige Verordnung (AVV, SR 823.111) sowie die Verordnung über Gebühren, Provisionen und Kautionen im Bereich des Arbeitsvermittlungsgesetzes (GebV-AVG, SR 823.113). Der allgemeinverbindlich erklärte Gesamtarbeitsvertrag Personalverleih (GAV Personalverleih) ist seit 1. Januar 2012 in Kraft.
Die kantonale Bewilligung zum Personalverleih (Art. 12 AVG) wurde uns am 29. Juni 2026 vom Amt für Wirtschaft des Kantons Zürich unbefristet erteilt; eine Bewilligung zur privaten Arbeitsvermittlung (Art. 2 AVG) besteht ebenfalls. Den aktuellen Bewilligungsstatus führen wir im Impressum unserer Website. Das öffentliche Verzeichnis der bewilligten Arbeitsvermittlungs- und Personalverleihbetriebe (VZAVG) ist unter www.vzavg1.admin.ch einsehbar (Betrieb 10078).
6.2 Dreiparteienverhältnis
Im Personalverleih bestehen drei Vertragsverhältnisse:
- Arbeitsvertrag zwischen uns (Verleiher) und der Springer:in (Leihnehmer:in): Wir sind Arbeitgeber im arbeitsrechtlichen Sinne und bearbeiten entsprechend arbeitgebertypische Personendaten (Lohn, Sozialversicherungsbeiträge, Quellensteuer, Zeugnisse).
- Verleihvertrag zwischen uns und dem Einsatzbetrieb: Der Einsatzbetrieb schuldet uns eine Verleih-Gebühr und übt während des Einsatzes das Weisungsrecht gegenüber der Leihnehmer:in aus. Im Rahmen dieses Vertrages bekommen Einsatzbetriebe Zugriff auf die für den Einsatz relevanten Profilangaben.
- Faktisches Einsatzverhältnis zwischen Springer:in und Einsatzbetrieb: Während des Einsatzes entsteht eine faktische Arbeitsbeziehung, bei der der Einsatzbetrieb zusätzliche Personendaten erhebt (zum Beispiel Zeiterfassung, Zutrittsberechtigungen).
6.3 Datenflüsse im Personalverleih
Für den Abschluss eines Verleihvertrages und die Durchführung des Einsatzes werden folgende Personendaten an den Einsatzbetrieb übermittelt:
- Name, Kontaktangaben und Profilbild der Springer:in
- Qualifikationen, Erfahrungen, Sprachkenntnisse, Spezialisierungen und Pflegelevel-Selbstauskunft
- Auf Anfrage des Einsatzbetriebs und mit Zustimmung der Springer:in: Lebenslauf, Arbeitszeugnisse, Diplome
- Für die Einsatzkoordination notwendige Angaben zur Verfügbarkeit und zum Pensum
- Stundennachweise und Abwesenheiten im Rahmen der Rapportierung
Finanzielle Angaben (IBAN, AHV-Nummer, Quellensteuerdaten) werden grundsätzlich nicht an den Einsatzbetrieb weitergegeben, da die Lohnzahlung über uns als Verleiher erfolgt. Der Einsatzbetrieb erhält lediglich die Verleih-Rechnung ohne lohnrelevante Einzelangaben.
Vom Einsatzbetrieb erhalten wir folgende Personendaten zurück: Rapporte, Rückmeldungen zur Leistung, Abwesenheitsmeldungen, Arbeitszeugnis-Entwürfe sowie gegebenenfalls Informationen zu einem Unfall oder einer Absenz (zur Meldung an Unfall- beziehungsweise Krankentaggeldversicherung).
6.4 Spezifische Aufbewahrungsfristen im Personalverleih
Nach Art. 29 AVV sowie nach handels- und steuerrechtlichen Vorgaben gelten für Personalverleiher besondere Aufbewahrungsfristen:
- Bewerbungsunterlagen und Korrespondenz: 5 Jahre ab letzter Bearbeitung
- Arbeits- und Verleihverträge sowie Rapporte: 10 Jahre nach Beendigung des Einsatzes
- Lohnbuchhaltung und Sozialversicherungsunterlagen: 10 Jahre (Art. 958f OR)
- AHV-relevante Unterlagen: 5 Jahre (Art. 143 AHVV)
- Unfall-Dokumentationen: bis zum Abschluss allfälliger Leistungsfälle, längstens 10 Jahre
6.5 Gesamtarbeitsvertrag Personalverleih
Sobald wir als Personalverleiher tätig sind, gelten für unsere Leihnehmer:innen je nach Einsatzbranche die einschlägigen allgemeinverbindlich erklärten Gesamtarbeitsverträge (GAV) der Einsatzbranche sowie gegebenenfalls der GAV Personalverleih. Dies hat datenschutzrechtliche Implikationen für die Bearbeitung und den Austausch von Lohn- und Arbeitszeitdaten mit paritätischen Kommissionen (PK) zur Durchsetzung des jeweiligen GAV. Die Übermittlung von Daten an die paritätischen Kommissionen erfolgt auf Grundlage der gesetzlichen beziehungsweise GAV-vertraglichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO / Art. 31 Abs. 1 revDSG).
Empfänger und Auftragsbearbeiter
Um unsere Dienste zu erbringen, setzen wir sorgfältig ausgewählte Dienstleister ein, die Personendaten in unserem Auftrag bearbeiten (Auftragsbearbeiter im Sinne von Art. 9 revDSG beziehungsweise Art. 28 DSGVO). Mit diesen Dienstleistern bestehen oder werden Auftragsbearbeitungsverträge (AVV) abgeschlossen; bei Transfers in Drittländer stützen wir uns auf Standardvertragsklauseln (SCC), Angemessenheitsbeschlüsse (einschliesslich EU-U.S. Data Privacy Framework, sofern zertifiziert) oder ausdrückliche Einwilligungen, jeweils ergänzt um technische und organisatorische Schutzmassnahmen.
7.1 Hosting und Infrastruktur
| Dienstleister | Zweck | Sitz / Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Railway | Hosting Backend, Frontend, PostgreSQL-DB | USA | SCC bzw. DPF; Serverregion wird geprüft |
| Cloudflare R2 | Objektspeicher für CVs, PDFs, Fotos, Signaturen | EU-Region (EEUR / WEUR) konfigurierbar | SCC / AVV |
| Cloudflare (DNS/CDN) | DNS und Content-Delivery | USA (globales Anycast) | SCC / AVV |
7.2 E-Mail-Versand und Kommunikation
| Dienstleister | Zweck | Sitz / Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| SendGrid (Twilio) | Versand transaktionaler E-Mails und Event-Tracking (Öffnungs- und Klick-Ereignisse) | USA | SCC / DPF |
| SmartLead | Ausführen von Outreach-Kampagnen an Leads im B2B-Bereich | USA | SCC |
7.3 Anreicherung und Validierung geschäftlicher Kontaktdaten
| Dienstleister | Zweck | Sitz / Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Hunter.io | Ermittlung beruflicher E-Mail-Adressen | Frankreich (EU) | AVV (innerhalb EU/EWR) |
| Dropcontact | E-Mail-Finder als Fallback | Frankreich (EU) | AVV (innerhalb EU/EWR) |
| Snov | E-Mail-Finder als Fallback | Litauen (EU) / USA | AVV, SCC |
| Prospeo | E-Mail-Finder als Fallback | Sitz in Prüfung | SCC (sofern ausserhalb EU/EWR) |
| ZeroBounce | Prüfung der Zustellbarkeit von E-Mail-Adressen | USA | SCC |
| BounceBan | Zweitprüfung der Zustellbarkeit (SMTP-Probing) | USA | SCC |
7.4 Dokumente, CV-Parsing und KI-Dienste
| Dienstleister | Zweck | Sitz / Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Skribble | Qualifizierte elektronische Signatur des Rahmenreglements | Schweiz (Zürich) | Innerhalb CH; Datenschutzniveau gemäss revDSG |
| Textkernel (Sovren) | Automatisiertes Auslesen strukturierter Angaben aus CV-Dokumenten | Niederlande (EU) | AVV (innerhalb EU/EWR) |
| Anthropic (Claude API) | KI-gestützte Unterstützung bei Übersetzungen, Textprüfung und Verifikation von CV-Inhalten | USA | SCC; EU-Routing wird geprüft |
| Google Maps | Berechnung von Fahr- und Pendelzeiten zwischen Wohnadresse und Einsatzort | USA | SCC / DPF |
7.5 Buchungs- und Formulardienste
| Dienstleister | Zweck | Sitz / Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Calendly | Terminbuchungen für Erstgespräche | USA | SCC / DPF |
| Fillout | Formulardienst für Einsatzanfragen | USA | SCC |
| monday.com | Legacy-CRM-Synchronisation; wird abgelöst | Israel (Angemessenheitsbeschluss) | Angemessenheitsbeschluss |
7.6 Mobile App
| Dienstleister | Zweck | Sitz / Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Firebase Cloud Messaging (Google) | Zustellung von Push-Benachrichtigungen | USA | SCC / DPF |
| Apple Sign-In | Optionaler Login via Apple-ID | USA | Apple Developer Terms / SCC |
| Google Sign-In | Optionaler Login via Google-Konto (in Vorbereitung) | USA | SCC / DPF |
| Expo / EAS | Build- und Submission-Dienst für die iOS-App; keine produktiven Nutzerdaten | USA | SCC |
7.7 Entwicklung und Betrieb
| Dienstleister | Zweck | Sitz / Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Sentry | Fehlerprotokollierung und Performance-Überwachung | EU-Region (Deutschland) | Innerhalb EU/EWR |
| GitHub | Quellcode-Hosting (ohne produktive Geheimnisse) | USA | SCC / DPF |
| 1Password | Verwaltung interner Zugangsdaten | Kanada | Angemessenheitsbeschluss |
Wir übermitteln Ihre Personendaten nur insoweit an diese Dienstleister, wie dies für den jeweiligen Bearbeitungszweck erforderlich ist. Eine darüber hinausgehende Weitergabe an Dritte, insbesondere an Werbenetzwerke oder Datenhändler, findet nicht statt.
Datenübermittlung ins Ausland
Einige der unter Ziffer 7 genannten Dienstleister haben ihren Sitz beziehungsweise verarbeiten Daten in Ländern ausserhalb der Schweiz und des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA. Für Datentransfers in Länder, für die weder eine Angemessenheitsentscheidung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) beziehungsweise der Europäischen Kommission vorliegt noch eine Selbstzertifizierung unter dem EU-U.S. Data Privacy Framework (beziehungsweise dessen Schweizer Erweiterung) besteht, stützen wir uns auf geeignete Garantien. Dazu zählen insbesondere die Standardvertragsklauseln (SCC) der Europäischen Kommission in der Fassung vom 4. Juni 2021, ergänzt um zusätzliche technische und organisatorische Massnahmen (zum Beispiel Verschlüsselung, Pseudonymisierung, Zugriffskontrollen).
Für Datentransfers in die USA nutzen wir, soweit der Dienstleister entsprechend zertifiziert ist, den EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023). Dieser wurde durch das Gericht der Europäischen Union (EuG) mit Urteil vom 3. September 2025 in erster Instanz bestätigt; eine Berufung vor dem Gerichtshof der Europäischen Union (EuGH) ist seit Oktober 2025 hängig und zum Zeitpunkt dieser DSE-Fassung noch nicht entschieden. Als zusätzliche Absicherung schliessen wir mit Dienstleistern in den USA parallel Standardvertragsklauseln ab, damit Datentransfers auch bei einer allfälligen Aufhebung des Angemessenheitsbeschlusses auf einer weiteren Rechtsgrundlage abgestützt bleiben.
Sie können die genauen Garantien und ergänzenden Massnahmen im Einzelfall auf Anfrage bei uns einsehen. Wenden Sie sich dazu bitte an datenschutz@inclusy.ch.
Aufbewahrungsdauer
Wir bearbeiten Ihre Personendaten so lange, wie dies für den jeweiligen Zweck erforderlich ist, und halten uns darüber hinaus an die gesetzlichen Aufbewahrungsfristen (vgl. auch Ziffer 6.4). Als Orientierung gilt:
- Vertragsbezogene Daten von Springer:innen und Organisationen bearbeiten wir während der Dauer der Geschäftsbeziehung und anschliessend bis zum Ablauf der gesetzlichen Aufbewahrungsfristen (insbesondere zehn Jahre für Geschäftsunterlagen gemäss Art. 958f OR).
- Lohn- und Sozialversicherungsunterlagen bewahren wir gemäss steuer- und sozialversicherungsrechtlichen Vorgaben auf (in der Regel zehn Jahre).
- Bewerbungsunterlagen ohne Aufnahme in den Talentpool werden spätestens sechs Monate nach Abschluss des Bewerbungsprozesses gelöscht oder anonymisiert.
- Daten von Leads und nicht aktiven Contacts bearbeiten wir grundsätzlich so lange, wie ein berechtigtes Interesse an einer (erneuten) Kontaktaufnahme besteht, längstens jedoch 24 Monate nach der letzten relevanten Interaktion. Nach einem Widerspruch bleibt ausschliesslich ein minimaler Sperrdatensatz bestehen, um die erneute Ansprache zuverlässig ausschliessen zu können.
- Kommunikationsinhalte (E-Mails, Chats) bewahren wir so lange auf, wie sie zur Dokumentation der Geschäftsbeziehung oder zur Beweissicherung erforderlich sind.
- Authentisierungs-Token: Refresh-Token 30 Tage, Magic-Link 15 Minuten, Response-Links 30 Tage, Onboarding-Links 14 Tage.
- Server-Logdateien (Webserver-Zugriffsprotokolle): in der Regel 30 Tage.
- Fehlerprotokolle bei Sentry werden standardmässig nach 90 Tagen gelöscht.
Nach Wegfall des Zwecks werden Personendaten gelöscht oder anonymisiert, soweit keine entgegenstehenden gesetzlichen Aufbewahrungspflichten bestehen.
Ihre Rechte
Nach revDSG und, soweit anwendbar, nach DSGVO stehen Ihnen insbesondere folgende Rechte zu:
- Auskunftsrecht (Art. 25 revDSG / Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche Personendaten wir über Sie bearbeiten.
- Berichtigung (Art. 32 Abs. 1 revDSG / Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Personendaten verlangen.
- Löschung und Einschränkung (Art. 32 Abs. 2 revDSG / Art. 17, 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Löschung oder die Einschränkung der Bearbeitung verlangen.
- Datenherausgabe und Datenübertragbarkeit (Art. 28 revDSG / Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in einem gängigen elektronischen Format verlangen beziehungsweise deren Übertragung an einen anderen Verantwortlichen.
- Widerspruchsrecht (Art. 30 Abs. 2 lit. b revDSG / Art. 21 DSGVO): Sie können der Bearbeitung Ihrer Personendaten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen, insbesondere bei Bearbeitungen auf Grundlage berechtigter Interessen.
- Widerruf von Einwilligungen (Art. 6 Abs. 7 revDSG / Art. 7 Abs. 3 DSGVO): Haben Sie in eine bestimmte Bearbeitung eingewilligt, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
- Beschwerderecht bei einer Aufsichtsbehörde. In der Schweiz ist dies der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB, www.edoeb.admin.ch). Soweit die DSGVO Anwendung findet, steht Ihnen zusätzlich das Recht auf Beschwerde bei der Datenschutzbehörde Ihres Wohnsitzstaates zu.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte formlos an datenschutz@inclusy.ch. Wir weisen darauf hin, dass wir berechtigt und gegebenenfalls verpflichtet sind, vor einer Auskunfts- oder Löschanfrage Ihre Identität in angemessener Weise zu prüfen, um eine unberechtigte Offenlegung zu verhindern.
Wir können die Ausübung der Rechte im rechtlich zulässigen Rahmen aufschieben, einschränken oder verweigern, etwa mit Verweis auf Geschäftsgeheimnisse, den Schutz anderer Personen oder gesetzliche Aufbewahrungspflichten. Wir informieren Sie in einem solchen Fall über die Gründe.
Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen, um Ihre Personendaten gegen unberechtigten Zugriff, Verlust, Veränderung oder Weitergabe zu schützen (Art. 8 revDSG / Art. 32 DSGVO). Wir können aber keine absolute Datensicherheit gewährleisten. Zu unseren Massnahmen zählen insbesondere:
- Verschlüsselte Übertragung (TLS / HTTPS) bei allen Oberflächen und Schnittstellen
- Verschlüsselung gespeicherter Daten (Datenbankverschlüsselung, serverseitige AES-256-Verschlüsselung beim Objektspeicher)
- Zwingende Zwei-Faktor-Authentisierung (TOTP) für sämtliche Mitarbeitenden
- Rollenbasiertes Berechtigungskonzept mit Funktionstrennung
- Session-Timeout nach 60 Minuten Inaktivität im Administrationsdashboard
- Rate-Limiting für sicherheitskritische Endpunkte (Login, 2FA, Magic-Link)
- CORS-Whitelist und signierte Webhooks (HMAC-Validierung)
- Filterung personenbezogener Inhalte aus Logs und Fehlerberichten
- Tägliche Backups der PostgreSQL-Datenbank
- Sichere Verwahrung von Zugangsdaten über 1Password
- Hardware-gestützte Speicherung des Authentisierungs-Tokens auf iOS-Geräten (Keychain)
Unsere digitale Kommunikation unterliegt, wie grundsätzlich jede digitale Kommunikation, auch der anlass- und verdachtsunabhängigen Überwachung durch Sicherheitsbehörden in der Schweiz, im übrigen Europa, in den USA und in anderen Staaten. Wir können auf die entsprechende Bearbeitung von Personendaten durch Geheimdienste, Polizeistellen und andere Sicherheitsbehörden keinen direkten Einfluss nehmen.
Sollten wir in der Kommunikation mit Ihnen (zum Beispiel in Chat-Nachrichten, E-Mails, auf der Website oder in Marketing-Materialien) Datensicherheit in vereinfachter Form beschreiben (etwa als «sicher» oder «verschlüsselt»), bezieht sich das stets auf die in dieser Ziffer beschriebenen Massnahmen nach aktuellem Stand der Technik. Eine absolute oder lückenlose Sicherheit kann nach dem Stand der Technik nicht zugesichert werden. Massgebend für die rechtliche Einordnung unserer Sicherheitsmassnahmen ist stets diese DSE.
Website: Cookies, Server-Logdateien und vergleichbare Technologien
12.1 Übersicht
Beim Besuch unserer Website inclusy.ch werden technische Daten erhoben und Technologien wie Cookies und vergleichbare lokale Speichertechnologien eingesetzt. Nachfolgend erläutern wir, welche Technologien wir einsetzen und welche Rechtsgrundlage jeweils gilt.
12.2 Einsatz auf inclusy.ch
Unsere Website inclusy.ch ist als statische Website ohne Tracking aufgebaut. Wir setzen keine Analyse-, Statistik- oder Marketing-Technologien ein, insbesondere keine Werbe- oder Retargeting-Pixel von Meta, LinkedIn, TikTok oder Google, und binden keine Social-Media-Tracker ein. Verwendet werden ausschliesslich technisch notwendige Cookies, die für den sicheren Betrieb und die Auslieferung der Website erforderlich sind und durch unseren Hosting- und CDN-Dienstleister zur Lastverteilung sowie zur Abwehr von Angriffen gesetzt werden können.
Die rechtliche Einordnung richtet sich nach Art. 45c des Fernmeldegesetzes (FMG) sowie nach dem revDSG und, soweit die DSGVO Anwendung findet, nach Art. 6 Abs. 1 DSGVO. Technisch notwendige Cookies dürfen ohne Einwilligung eingesetzt werden. Da wir auf der Website keine einwilligungspflichtigen Technologien einsetzen, blenden wir auch keinen Cookie-Banner ein.
12.3 Eingebundene Drittdienste
Auf der Seite «Springer:in werden» binden wir ein Bewerbungsformular des Anbieters Fillout (USA) ein. Dieses Formular wird erst geladen, wenn Sie es mit einem Klick ausdrücklich aktivieren. Vor der Aktivierung werden keine Daten an Fillout übermittelt. Mit dem Laden können Verbindungsdaten, insbesondere Ihre IP-Adresse, an Fillout übermittelt werden. Einzelheiten und Garantien zur Auslandsübermittlung finden Sie in Ziffer 7.5 sowie in der Ziffer «Datenübermittlung ins Ausland».
12.4 Verwaltung und Löschung von Cookies
Sie können Cookies jederzeit in den Einstellungen Ihres Browsers verwalten, einschränken oder löschen und das Setzen von Cookies generell unterbinden. Werden technisch notwendige Cookies blockiert, kann es sein, dass einzelne Funktionen der Website nicht oder nicht vollständig zur Verfügung stehen.
12.5 Server-Logdateien
Bei jedem Zugriff auf unsere Website erfassen wir in Server-Logdateien automatisch die nachfolgenden Angaben, sofern sie von Ihrem Browser an unsere Server übermittelt werden oder vom Webserver ermittelt werden können:
- Datum, Zeit und Zeitzone des Zugriffs
- IP-Adresse (gekürzt beziehungsweise pseudonymisiert, soweit technisch möglich)
- Zugriffsstatus (HTTP-Statuscode)
- Betriebssystem inkl. Version
- Browser inkl. Sprache und Version
- Aufgerufene Unterseite inkl. übertragener Datenmenge
- Zuvor im gleichen Browser-Fenster besuchte Webseite (Referer)
Die Angaben sind erforderlich, um unsere Website dauerhaft, nutzerfreundlich und sicher bereitzustellen sowie um Angriffe und Missbrauch zu erkennen und abzuwehren. Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 revDSG). Logdateien werden in der Regel nach 30 Tagen gelöscht, es sei denn, eine längere Aufbewahrung ist zur Aufklärung von Sicherheitsvorfällen erforderlich.
12.6 Zählpixel
Wir können in E-Mails, die wir Ihnen senden, Zählpixel (Web-Beacons) einsetzen. Zählpixel sind kleine, in der Regel nicht sichtbare Bilder, die beim Öffnen der E-Mail automatisch abgerufen werden. Damit können wir feststellen, ob und wann eine E-Mail geöffnet und welche Links angeklickt wurden. Dies dient der Erfolgs- und Reichweitenmessung sowie der Verbesserung unserer Kommunikation. Sie können das Laden externer Bilder in Ihrem E-Mail-Programm standardmässig deaktivieren.
12.7 Administrationsdashboard: lokale Speicherung
Im internen Administrationsdashboard (app.inclusy.ch) verwenden wir den lokalen Speicher des Browsers (Local Storage) ausschliesslich zur Authentisierung (Speicherung von Session- und Refresh-Token sowie von Angaben zur angemeldeten Person). Ein Tracking findet nicht statt. Session-Replays sind in unserem Fehlerwerkzeug deaktiviert.
E-Mail-Kommunikation, Newsletter und Messaging
13.1 Versand und Empfang
Wir versenden Benachrichtigungen, Mitteilungen und Informationen per E-Mail und über andere Kommunikationskanäle wie Instant Messaging oder SMS. Dies umfasst transaktionale Mitteilungen im Rahmen der Vertragsabwicklung (zum Beispiel Einsatzbestätigungen, Rechnungen, Systembenachrichtigungen) sowie auf ausdrücklichen Wunsch auch periodische Newsletter.
13.2 Double-Opt-In und Protokollierung
Für Newsletter und vergleichbare werbliche Mitteilungen setzen wir nach Möglichkeit das Double-Opt-In-Verfahren ein: Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail mit einem Weblink, den Sie zur Aktivierung anklicken müssen. Ihre Anmeldung wird zusammen mit IP-Adresse, Zeitstempel und Bestätigungs-Zeitpunkt aus Beweis- und Missbrauchsgründen protokolliert. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 6 revDSG).
13.3 Erfolgs- und Reichweitenmessung
Unsere E-Mails können Zählpixel und personalisierte Weblinks enthalten (vgl. Ziffer 12.6), über die wir erfassen, ob eine E-Mail geöffnet und welche Links angeklickt wurden. Diese Auswertung erfolgt auch personenbezogen, um Inhalte nutzerfreundlich auszurichten. Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 revDSG) bei transaktionalen Mitteilungen, Einwilligung bei Newslettern.
13.4 Widerspruch und Abmeldung
Sie können dem Erhalt werblicher Mitteilungen jederzeit widersprechen. In jeder werblichen E-Mail finden Sie hierzu einen Abmeldelink. Alternativ erreichen Sie uns unter datenschutz@inclusy.ch. Von notwendigen transaktionalen Mitteilungen im Zusammenhang mit einem bestehenden Vertrag (zum Beispiel Einsatzbestätigungen, Lohnabrechnungen) können Sie sich nicht abmelden, solange das entsprechende Vertragsverhältnis besteht.
Mobile App für Springer:innen
14.1 Übersicht
Wir bieten Springer:innen eine native Mobile App für iOS an (Einreichung im App Store von Apple; zusätzlich verfügbar via TestFlight für Beta-Tests). Eine Android-Version befindet sich derzeit nicht im Angebot. Die App unterstützt insbesondere das Profilmanagement, das Einsehen und Annehmen von Einsatzanfragen, die Chat-Kommunikation mit unserem Team sowie die Zeiterfassung.
14.2 Download, Installation und Registrierung
Der Download erfolgt über den App Store von Apple (Anbieter: Apple Inc., USA beziehungsweise Apple Distribution International Ltd., Irland). Apple bearbeitet im Rahmen des Download- und Update-Prozesses eigene Nutzungsdaten, auf die wir keinen Einfluss haben. Die Registrierung in der App erfolgt über einen Magic-Link per E-Mail oder ein Passwort. Optional steht «Sign in with Apple» zur Verfügung; «Sign in with Google» ist in Vorbereitung.
14.3 Geräteberechtigungen
Die App fragt über die Systemdialoge von iOS Berechtigungen ab, die wir ausschliesslich für die unten genannten Zwecke verwenden. Sie können alle Berechtigungen jederzeit in den iOS-Systemeinstellungen erteilen oder widerrufen. Rechtsgrundlage: Einwilligung über den Systemdialog (Art. 6 Abs. 1 lit. a DSGVO / Art. 6 revDSG).
| Berechtigung | Zweck | Verweigerbar | Folge bei Verweigerung |
|---|---|---|---|
| Mitteilungen (Push) | Zustellung von Benachrichtigungen zu neuen Einsätzen, Chats, Erinnerungen | Ja | Keine Push-Benachrichtigungen; Abruf nur manuell in der App |
| Kamera | Aufnahme von Profilbild und Fotos von Dokumenten für den Upload | Ja | Upload nur über Fotomediathek möglich |
| Fotomediathek | Auswahl bestehender Bilder und Dokumente für den Upload | Ja | Kein Foto- oder Dokumenten-Upload aus der Mediathek möglich |
| Face ID / Touch ID | Biometrische Entsperrung der App (optional) | Ja | Entsperrung ausschliesslich per Passwort / Magic-Link |
| Standort (nur während Nutzung) | Berechnung der Fahrzeit zu Einsatzorten und Anzeige von Einsätzen in der Nähe | Ja | Keine automatische Fahrzeitberechnung; Adresse muss manuell gesucht werden |
Wir fragen keine Berechtigungen für Kontakte, Kalender, Mikrofon oder Hintergrund-Standort ab.
14.4 Daten auf dem Gerät
Folgende Daten werden lokal auf Ihrem Gerät gespeichert:
- Authentisierungs-Token im hardwaregestützten iOS-Schlüsselbund (Keychain) via expo-secure-store
- Zwischenspeicher für die Offline-Nutzung einzelner Funktionen
- App-Einstellungen (Sprache, Benachrichtigungspräferenzen)
- Biometrische Merkmale (Face ID / Touch ID) verbleiben ausschliesslich im Secure Enclave des Geräts und werden nie an uns übertragen
14.5 Push-Benachrichtigungen
Push-Benachrichtigungen werden über Firebase Cloud Messaging (FCM) des Anbieters Google Ireland Ltd. zugestellt (vgl. Ziffer 7.6). Beim erstmaligen Zulassen von Mitteilungen wird Ihrem Gerät ein FCM-Token zugewiesen, das wir mit Ihrem Nutzerkonto verknüpfen, um Ihnen gezielt Benachrichtigungen senden zu können. Inhalte von Push-Benachrichtigungen sind typischerweise: Einsatzanfragen, Chat-Nachrichten, Erinnerungen an offene Aufgaben. Sie können Push-Benachrichtigungen jederzeit in den iOS-Einstellungen oder in den App-Einstellungen deaktivieren.
14.6 Biometrische Entsperrung
Wenn Sie die App mit Face ID oder Touch ID entsperren möchten, speichert Ihr Gerät diese Präferenz lokal. Die biometrische Prüfung erfolgt ausschliesslich auf Ihrem Gerät durch das Betriebssystem; weder der biometrische Scan noch die daraus abgeleiteten Daten werden an uns übertragen. Wir erhalten lediglich das binäre Ergebnis «erfolgreich entsperrt» oder «nicht erfolgreich» von iOS.
14.7 App Tracking Transparency (iOS)
Unsere App nutzt kein plattformübergreifendes Tracking und keinen Identifier for Advertisers (IDFA). Aus diesem Grund zeigt die App keinen Systemdialog nach dem App Tracking Transparency Framework (ATT) von Apple an. Es findet insbesondere kein Tracking über Apps oder Websites von Dritten hinweg statt.
14.8 Apple App Store Privacy Nutrition Labels
Im App Store deklarieren wir gemäss Apples Vorgaben nachfolgende Kategorien von Daten. Diese Deklaration ergänzt, ersetzt aber nicht diese DSE:
- Data Used to Track You: keine
- Data Linked to You: Kontaktangaben, Identifikatoren (Nutzer-ID), Nutzungsdaten im App-Kontext, Diagnosedaten, Standort (nur bei Einwilligung), Finanzdaten (für die Lohnabrechnung im Hintergrund bearbeitet, nicht in der App angezeigt)
- Data Not Linked to You: aggregierte Absturzberichte und Performance-Daten
14.9 Deinstallation und Datenlöschung
Deinstallieren Sie die App, werden die lokal auf Ihrem Gerät gespeicherten Daten mit dem Betriebssystem entfernt. Die auf unseren Servern gespeicherten Personendaten werden davon nicht berührt. Eine Löschung dieser Daten können Sie jederzeit durch eine E-Mail an datenschutz@inclusy.ch veranlassen; wir prüfen die Löschung im Rahmen der gesetzlichen Aufbewahrungspflichten (vgl. Ziffer 9).
Präsenzen in sozialen Medien und Werbung auf Drittplattformen
15.1 Überblick und Zwecke
Wir betreiben Präsenzen auf verschiedenen sozialen Netzwerken und Content-Plattformen und schalten auf diesen Plattformen bezahlte Werbung. Dies dient dazu, über unsere Dienstleistungen zu informieren, Fachkräfte und Einsatzbetriebe anzusprechen, Employer Branding zu betreiben, offene Einsätze und Stellen zu kommunizieren, Reichweite für Inhalte und Kampagnen zu erzielen sowie in Dialog mit der Community zu treten.
Rechtsgrundlage für das Betreiben dieser Präsenzen und die Werbung ist unser berechtigtes Interesse an Sichtbarkeit, Personalgewinnung und geschäftlicher Kommunikation (Art. 31 revDSG i. V. m. Art. 31 Abs. 2 lit. a revDSG beziehungsweise Art. 6 Abs. 1 lit. f DSGVO). Treten Sie freiwillig mit uns in Kontakt (zum Beispiel durch Folgen unserer Profile, Kommentare, Direktnachrichten oder Teilen von Beiträgen), bearbeiten wir die damit zusammenhängenden Daten zusätzlich auf Grundlage Ihres schlüssig erteilten Einverständnisses durch die Kontaktaufnahme.
Mit der Interaktion über diese Plattformen verlassen Sie den technischen Verantwortungsbereich, den wir unmittelbar beeinflussen können. Die Plattformbetreiber erheben in erheblichem Umfang eigene Nutzungsdaten (Cookies, Device-IDs, IP-Adressen, Nutzungs- und Klickverhalten) und bearbeiten diese auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbestimmungen. Auf diese Bearbeitungen haben wir keinen oder nur beschränkten Einfluss.
15.2 Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Beim Betrieb unserer Unternehmensseiten auf Meta-Plattformen (Facebook, Instagram, Threads) sowie unserer Unternehmensseite auf LinkedIn sind wir und der jeweilige Plattformbetreiber nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urteil vom 05.06.2018, Rs. C-210/16 «Wirtschaftsakademie Schleswig-Holstein») gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Dies betrifft insbesondere die aggregierten Seitenstatistiken (Page Insights), die uns die Plattformen auf Grundlage personenbezogener Daten der Nutzenden zur Verfügung stellen.
Mit den Plattformbetreibern bestehen entsprechende Vereinbarungen zur gemeinsamen Verantwortlichkeit:
- Meta (Facebook, Instagram, Threads): Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland. «Page Insights Controller Addendum», abrufbar unter facebook.com/legal/terms/page_controller_addendum
- LinkedIn: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. «Page Insights Joint Controller Addendum», abrufbar unter legal.linkedin.com/pages-joint-controller-addendum
Im Rahmen dieser gemeinsamen Verantwortlichkeit übernehmen die Plattformen gegenüber den Nutzenden die primären Informations- und Auskunftspflichten, da die technische Bearbeitung auf ihrer Infrastruktur erfolgt. Ihnen stehen Betroffenenrechte sowohl uns gegenüber als auch direkt gegenüber den Plattformen zu. Wir empfehlen, diese Rechte vorrangig bei der Plattform geltend zu machen, da die zugrundeliegende Datenbearbeitung dort stattfindet und wir, insbesondere im Hinblick auf Cookies und Profilbildung, keinen unmittelbaren technischen Zugriff haben.
15.3 Genutzte Plattformen im Einzelnen
Nachfolgend finden Sie eine Übersicht der Plattformen, auf denen wir aktiv sind oder eine Präsenz aufbauen. Die jeweiligen Datenschutzerklärungen der Anbieter gelten ergänzend und können über die angegebenen Links eingesehen werden.
| Plattform | Anbieter (EWR-Verantwortlicher) | Hauptsitz / Konzernmutter | Datenschutzerklärung |
|---|---|---|---|
| LinkedIn Ireland Unlimited Company | Dublin, Irland (Microsoft Corp., USA) | linkedin.com/legal/privacy-policy | |
| New Work SE | Hamburg, Deutschland | privacy.xing.com | |
| Meta Platforms Ireland Ltd. | Dublin, Irland (Meta Platforms Inc., USA) | facebook.com/privacy/policy | |
| Meta Platforms Ireland Ltd. | Dublin, Irland (Meta Platforms Inc., USA) | privacycenter.instagram.com | |
| Threads | Meta Platforms Ireland Ltd. | Dublin, Irland (Meta Platforms Inc., USA) | help.instagram.com/515230437301944 |
| WhatsApp (Business) | WhatsApp Ireland Ltd. | Dublin, Irland (Meta Platforms Inc., USA) | whatsapp.com/legal/privacy-policy-eea |
| TikTok | TikTok Technology Ltd. | Dublin, Irland (ByteDance Ltd.; operativ China / Singapur) | tiktok.com/legal/privacy-policy-eea |
| YouTube | Google Ireland Ltd. | Dublin, Irland (Alphabet Inc., USA) | policies.google.com/privacy |
| X (vormals Twitter) | Twitter International Unlimited Company | Dublin, Irland (X Corp., USA) | x.com/privacy |
Je nach Ausrichtung unserer Kampagnen können im Einzelfall weitere vergleichbare Plattformen hinzukommen. Wir aktualisieren diese DSE entsprechend, wenn sich der Kreis der regelmässig genutzten Plattformen wesentlich ändert.
15.4 Bezahlte Werbung und zielgruppenbasierte Kampagnen
Wir schalten bezahlte Werbung und Sponsored Content auf den genannten Plattformen, um Springer:innen, Einsatzbetriebe und Interessierte gezielt anzusprechen. Dabei setzen wir folgende Werbefunktionen der Plattformen ein:
- Zielgruppenbasiertes Targeting: Wir definieren Zielgruppen anhand der von der jeweiligen Plattform bereitgestellten Kriterien (zum Beispiel Region, Berufsfeld, Interessen, Berufserfahrung). Die Zuordnung einzelner Nutzender zu diesen Kriterien erfolgt ausschliesslich durch die Plattform; wir selbst erhalten dabei keine personenbezogenen Daten.
- Custom Audiences / passende Zielgruppen: Soweit wir eigene Kontaktlisten in kryptografisch gehashter Form an eine Plattform übermitteln, um diese Kontakte anzusprechen oder von Kampagnen auszuschliessen, erfolgt dies nur im Rahmen der rechtlichen Vorgaben, insbesondere nur auf Grundlage einer vorherigen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) beziehungsweise in engen Grenzen auf Grundlage unseres berechtigten Interesses unter Beachtung der jeweiligen Plattformvorgaben.
- Lookalike- und ähnliche Zielgruppen: Die Plattform bildet auf Basis von Muster-Ähnlichkeiten zu einer Ausgangszielgruppe weitere Zielgruppen. Dieser Vorgang findet innerhalb der Plattform statt; wir erhalten dabei keine individuellen personenbezogenen Daten.
- Retargeting und Website-Tracking: Ein Einsatz von plattformseitigen Tracking-Technologien (Meta Pixel, LinkedIn Insight Tag, TikTok Pixel) auf unseren eigenen Webseiten setzt eine vorherige, granulare und freiwillige Einwilligung über ein Consent-Management-Tool voraus (Art. 6 Abs. 1 lit. a DSGVO, Art. 45c FMG). Den aktuellen Einsatz solcher Technologien können Sie jederzeit über unser Consent-Tool einsehen und ändern. Ohne Ihre Einwilligung werden keine derartigen Tracking-Pixel geladen.
- Conversion Tracking: Wir können feststellen, ob unsere Werbung zu Interaktionen auf unserer Website oder in unserer App geführt hat. Dies erfolgt aggregiert und, soweit personenbezogen, nur auf Basis einer Einwilligung.
15.5 Datenübermittlung in Drittländer bei Social-Media-Nutzung
Die Plattformbetreiber übermitteln Nutzungsdaten typischerweise an ihre Konzerngesellschaften ausserhalb der EU und des EWR sowie der Schweiz, insbesondere in die USA. Für diese Transfers stützen sich die Plattformen je nach Anbieter insbesondere auf folgende Garantien:
- Zertifizierung unter dem EU-U.S. Data Privacy Framework (zum Beispiel Meta, Microsoft / LinkedIn, Google, X)
- Standardvertragsklauseln der Europäischen Kommission
- Ergänzende technische und organisatorische Massnahmen auf Plattformseite
Details zu den jeweiligen Garantien finden Sie in den unter Ziffer 15.3 verlinkten Datenschutzerklärungen.
15.6 Ihre Rechte gegenüber den Plattformen
Sie können Ihre Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit) sowohl uns gegenüber als auch unmittelbar gegenüber den Plattformbetreibern geltend machen. Für plattformseitige Bearbeitungen (Cookies, Profilbildung, personalisierte Werbung, Reichweitenmessung) ist der direkte Weg zur Plattform in der Regel wirksamer, da die zugrundeliegenden Daten dort verarbeitet werden und nur dort vollständig eingesehen und angepasst werden können. Die entsprechenden Einstellungen und Formulare finden Sie in den unter Ziffer 15.3 verlinkten Datenschutzerklärungen.
Automatisierte Einzelentscheidungen und Profiling
Eine ausschliesslich auf einer automatisierten Bearbeitung beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 21 revDSG / Art. 22 DSGVO), findet nicht statt. Zwar setzen wir zur Unterstützung unserer Arbeit Werkzeuge zum Auslesen von Lebenslaufinhalten und KI-Dienste zur Textprüfung ein; die Vermittlungs- beziehungsweise Verleih-Entscheidung selbst trifft jedoch ausnahmslos ein Mensch.
Meldung von Verletzungen der Datensicherheit
Bei Verletzungen der Datensicherheit, die voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen nach sich ziehen, informieren wir den EDÖB sowie, soweit anwendbar, die zuständige EU-Aufsichtsbehörde innerhalb der gesetzlich vorgesehenen Fristen (Art. 24 revDSG / Art. 33, 34 DSGVO). Die betroffenen Personen werden informiert, soweit dies zu ihrem Schutz erforderlich oder gesetzlich vorgeschrieben ist.
Pflicht zur Bereitstellung von Personendaten
Die Bereitstellung Ihrer Personendaten erfolgt weder gesetzlich noch vertraglich zwingend. Sie sind nicht verpflichtet, uns Personendaten zur Verfügung zu stellen. Ohne die zur Durchführung eines Einsatzes, Vermittlung oder Personalverleihs notwendigen Angaben können wir unsere Dienstleistungen jedoch nicht oder nur eingeschränkt erbringen.
Änderungen dieser Datenschutzerklärung
Wir passen diese DSE an, wenn sich die von uns angebotenen Dienste oder die geltenden rechtlichen Rahmenbedingungen ändern. Es gilt jeweils die auf unserer Website unter inclusy.ch veröffentlichte Fassung. Wesentliche Änderungen werden wir, soweit erforderlich, gesondert kommunizieren.
Kontakt
Für Fragen, Anregungen und zur Ausübung Ihrer Rechte erreichen Sie uns unter:
inclusy 4 all gmbh
Stadthausstrasse 14
8400 Winterthur, Schweiz
UID: CHE-276.782.175
Vertretungsberechtigte Person: Markus Dietrich
E-Mail: datenschutz@inclusy.ch