Dualoo Logo farbig
Menü anzeigen >

Technische und organisatorische Massnahmen

In den technischen und organisatorischen Massnahmen (TOM) ist dargelegt, welche geeigneten Massnahmen Dualoo (nachfolgend Provider genannt) im Sinne der anwendbaren  Datenschutzbestimmungen (u.a. Art. 8 DSG) insbesondere ergreift, um eine dem Risiko angemessene Datensicherheit zu gewährleisten. Diese werden vom Provider regelmässig überprüft und bei Bedarf aktualisiert.

Die technischen und organisatorischen Massnahmen (TOM) können hier als PDF heruntergeladen werden.

Updated: 4. Dezember 2025

Inhaltsverzeichnis

1. Technische Voraussetzungen

Der Provider bietet die Software Dualoo (nachfolgend Applikation genannt) als Software as a Service (SaaS) an. Die Applikation wird über den Browser (https://login.dualoo.com) ausgeführt. Von der Applikation generierte Dokumente werden als Microsoft Office (docx) und als Adobe (PDF) auf dem Server gespeichert. Alle Daten werden im Zeichensatz UTF-8 abgespeichert, wodurch alle Sprachen abgebildet werden können. Um die Applikation verwenden zu können, wird ein Internetzugang mit einem unterstützten Webbrowser und eine E-Mail Adresse benötigt. Ansonsten ist keine Installation notwendig.

2. Unterstütze Desktop Browser

Chrome: neueste Version
Firefox: neueste Version
Edge: neueste Version
Safari: neueste Version

3. Datenverarbeitung nach DSGVO und DSG

Werden durch den Nutzer personenbezogene Daten durch die Applikation bearbeitet oder genutzt, ist die innerbetriebliche Organisation gemäss Datenschutzgesetz (DSGVO und DSG) so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei unterstützt der Provider die Nutzer.


Durch den Provider wird per Definition eine Auftragsdatenverarbeitung vorgenommen. Da der Provider unter die Auftragsdatenverarbeitung fällt, sind in diesem Dokument nachfolgende Punkte, welche für die Auftragsdatenverarbeitung wichtig sind, aufgeführt.


Der Dualoo Standardvertrag zur Auftragsdatenverarbeitung basiert auf den Dualoo Nutzungsbedingungen, Datenschutzerklärung und den technischen und organisatorischen Massnahmen. Dieser wird mit der Zustimmung zu den Nutzungsbedingungen geschlossen.


Sind abweichende Änderungen oder ein eigenes Vertragswerk gefordert, belaufen sich die Kosten auf 300 CHF / Stunde (nach Aufwand), welche zur Prüfung oder Erstellung eines Vertrages von Seiten des Providers nötig sind.

4. Zutrittskontrolle / Zugangskontrolle

Zutritt zu den Räumlichkeiten des Providers wird durch Mitarbeiterausweis und persönliche Schlüssel sichergestellt. Zugang zur Applikation, respektiv zu den Daten, funktioniert nur über ein persönliches Login mittels Benutzername (E-Mail Adresse) und Passwort. Das Passwort jedes einzelnen Nutzers wird verschlüsselt (Hashfunktion) in der Datenbank gespeichert.
Nutzerdaten werden auf dem durch ISO-27001 geschützten Server und nicht auf lokalen Geräten der Mitarbeitenden gespeichert, was die Datensicherheit erhöht. Der Provider hat grundsätzlich keinen Zugang zu den Nutzerdaten, ausser es liegt eine ausdrückliche Genehmigung vor.

 

MFA (Multi-Faktor-Authentifizierung): Der Provider ermöglicht es, jedes Nutzerkonto mit MFA zu schützen und ermöglicht seinen Kunden (Unternehmen), dies für ihre Mitarbeitenden (Nutzer) zu erzwingen.

 

Schutz der Endgeräte und Zugangsdaten: Die Nutzer sind verantwortlich für einen angemessenen Schutz ihrer Geräte (z. B. Computer, Tablets, Smartphones) sowie ihrer Zugangsdaten (Passwörter, Authentifizierungsverfahren). Der Provider kann nicht für Schäden haftbar gemacht werden, die durch unzureichenden Schutz dieser Geräte oder Zugangsdaten entstehen.

5. Zugriffskontrolle

Innerhalb der Applikation können einzelne Rechte vergeben werden (was kann welcher Nutzer). Für die interne Zugriffsberechtigung ist der Kunde (z.B. Administrator im Unternehmen) vollumfänglich verantwortlich. Er steuert, welche Zugriffsberechtigungen die anderen Nutzer (z.B. Mitarbeitende) haben.
Der Provider wiederum ist für den Zugriff der Daten von aussen verantwortlich, indem die Daten angemessen geschützt und verschlüsselt werden.

6. Pseudonymisierung und Verschlüsselung

Alle Daten, welche zwischen Nutzer und Server übertragen werden, werden mittels TLS 1.2 oder höher mit aktueller Konfiguration verschlüsselt und übertragen.


Der Provider anonymisiert persönliche Daten von Bewerbenden automatisiert und unterstützt dabei die Kund*innen, die gesetzlichen Rahmenbedingungen einzuhalten. Dies erfolgt in 2 Schritten:

  1. Anonymisierung der Daten nach eingestellten Fristen siehe: https://help.dualoo.com/de/articles/8153134
  2. Weitere 90 Tage nachdem ein Datensatz anonymisiert wurde, werden alle E-Mails, Dokumente (wie CV, Motivationsschreiben, Handouts von Bewertungen etc.) und Kommentare unwiderruflich von der Datenbank gelöscht.

7. Eingabekontrolle / Protokollierung

Zur Gewährleistung der Nachvollziehbarkeit von Eingaben, Änderungen und Zugriffen auf personenbezogene Daten werden sämtliche relevanten Systemaktivitäten automatisch protokolliert. Der Provider bzw. die Hostinganbieter erfassen dabei insbesondere technische Zugriffsdaten wie IP-Adresse, Zeitpunkt des Zugriffs, Benutzerkennung und Systeminformationen (z. B. Browsertyp und Betriebssystem).

 

Die Protokollierung dient der IT-Sicherheit, Systemintegrität, Fehleranalyse sowie der Aufklärung von Missbrauchs- oder Betrugshandlungen. Logdaten werden geschützt gespeichert, regelmässig überprüft und ausschliesslich von autorisiertem Personal ausgewertet.

 

Die Aufbewahrungsdauer beträgt maximal 12 Monate; anschliessend werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen oder sicherheitsrelevanten Gründe eine längere Aufbewahrung erfordern.

8. Verfügbarkeitskontrolle und Belastbarkeit

Die Speicherung und Verarbeitung von Daten erfolgt in den Rechenzentren des Providers beauftragten Hosting-Provider. Die vom Provider beauftragten Hostinganbieter sind im separaten Dokument „Unterauftragsverarbeiter (Third-Party Subprocessors)“ aufgeführt.

 

Die Rechenzentren verfügen über ein dem Risiko angemessenes technisches und organisatorisches Schutzniveau zur Gewährleistung von Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit der Systeme und Daten (gemäss Art. 32 Abs. 1 lit. b DSGVO / Art. 8 DSG). Der Betrieb erfolgt in ISO 27001- und ISO 9001-zertifizierten Umgebungen mit mehrfach redundanter Energie-, Netzwerk- und Speicherversorgung.

 

Zur Sicherstellung der Systemverfügbarkeit werden regelmässige Datensicherungen, eine kontinuierliche Systemüberwachung sowie automatisierte Failover- und Wiederanlaufmechanismen eingesetzt.

 

Die Wirksamkeit und Funktionsfähigkeit dieser Massnahmen wird regelmässig überprüft und bei Bedarf verbessert.

 

Backups: Zur Gewährleistung der Verfügbarkeit, Integrität und Wiederherstellbarkeit der Kundendaten werden regelmässige, automatisierte Datensicherungen durchgeführt. Backups erfolgen stündlich und werden nach spätestens sieben Tagen gelöscht. Zusätzlich wird monatlich eine Archivkopie erstellt, die maximal sechs Monate gespeichert bleibt. Die Speicherung erfolgt verschlüsselt in Rechenzentren mit Standort in der Schweiz bzw. im EU/EWR-Raum. Die Wiederherstellbarkeit der Sicherungen wird regelmässig überprüft und dokumentiert.

 

Virenschutz: Der Kunde trägt die alleinige Verantwortung und ist verpflichtet, die erhaltenen und übermittelten Daten auf Viren zu prüfen. Der Provider durchsucht die übermittelten Dateien ebenfalls auf Viren. Der Provider kann dafür nicht haftbar gemacht werden, hilft jedoch mit, die Gefahr zu reduzieren.

 

Energieversorgung / Nachhaltigkeit: Der Provider hält seine CO₂-Emissionen so gering wie möglich und gleicht unvermeidbare Emissionen durch Unterstützung von sorgfältig ausgewählten Klimaschutzprojekten aus.

Probieren geht über Studieren.

  • Kostenloser Probemonat
  • Kein automatischer Aboabschluss
  • Kompletter Funktionsumfang
  • Persönliche Produkttour auf Wunsch
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.