Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Zoho Recruit

PraeferenzenWebsite

Was macht Zoho Recruit?

Zoho Recruit ist eine Bewerbermanagement Plattform der Zoho Corporation. Werden Karriereseiten oder Bewerbungsformulare in eine Website eingebettet, setzt der Dienst Erst und Drittanbieter Cookies, erfasst Lebensläufe, Namen, Adressen und E Mail Kennungen und kann Bewerberdaten je nach Tenant Konfiguration in Rechenzentren in den USA, Indien oder Australien übertragen.

Was Zoho Recruit ist und wie es auf der Website erscheint

Zoho Recruit ist das Bewerbermanagementsystem der Zoho Corporation, eines indischen Unternehmens mit Regionalbüros in den USA, in der EU, in den Vereinigten Arabischen Emiraten, in Japan und in Australien. Europäische Websites binden Zoho Recruit meist auf drei Wegen ein: als gehostete Karriereseite unter einer Subdomain wie recruit.zoho.eu, als JavaScript Widget, das Bewerbungsformulare in die Unternehmensseite injiziert, oder als iframe Einbettung der Zoho Stellenseite.

In jeder Variante tauscht der Browser der Bewerberin direkte Anfragen mit der Zoho Infrastruktur aus, womit die Plattform aus Sicht von Art. 5(3) der ePrivacy Richtlinie und § 25 TDDDG ein nicht unbedingt erforderlicher Drittanbieter ist.

Erfasste Daten und Cookies beim Laden des Widgets

Zoho Recruit setzt persistente und Sitzungs Cookies auf den Domains zoho.com, zoho.eu und zohopublic.com, darunter CSRF Tokens, JSESSIONID, ZCAMPAIGN_CSRF_TOKEN und der Authentifizierungs Cookie iamcsr. Der Dienst liest außerdem die IP Adresse, den User Agent, den Referrer und die ungefähre Geolocation jedes Besuchers, der eine Stellenanzeige oder ein Bewerbungsformular öffnet.

Sobald eine Bewerbung abgeschickt wird, verarbeitet Zoho den vollständigen Lebenslauf, die Kontaktdaten, den beruflichen Werdegang, Referenzen und alle hochgeladenen Dokumente. Manche Dokumente (z. B. Pass oder Aufenthaltstitel) können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten.

DSGVO und TDDDG Auswirkungen

Da die Zoho Recruit Cookies für die Unternehmenswebsite nicht unbedingt erforderlich sind, verlangen § 25 TDDDG und Art. 5(3) ePrivacy Richtlinie eine vorherige, informierte und freiwillige Einwilligung. Die Bewerbungsverarbeitung stützt sich daneben auf Art. 6(1)(b) DSGVO (vorvertragliche Maßnahmen) sowie Art. 88 DSGVO und § 26 BDSG für den Beschäftigtendatenschutz.

Verantwortliche müssen eine Bewerberinformation veröffentlichen, in der Zoho als Auftragsverarbeiter, die Rechenzentrumsregion, die Aufbewahrungsfrist abgelehnter Bewerbungen und die Logik einer automatisierten Vorauswahl aufgeführt sind.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligung für das eingebettete Widget

Laden Sie das Zoho Recruit Skript erst, nachdem die Besucherin die Kategorie Recruiting oder Funktional in Ihrem Consent Management Tool aktiv bestätigt hat. Verpacken Sie das script Tag in einen bedingten Loader und ersetzen Sie das Attribut type von text/plain durch text/javascript erst nach Opt In. Vorangekreuzte Felder oder die bloße Weiternutzung der Website gelten laut DSK und EuGH nicht als wirksame Einwilligung.

Internationale Datenübermittlung und Schrems II

Zoho betreibt seit 2017 ein EU Rechenzentrum in Dublin und Amsterdam. Europäische Kunden sollten diese Region bei der Tenant Anlage wählen, damit Bewerbungsdaten im Ruhezustand im EWR bleiben. Supportingenieure in Indien und den USA können dennoch zur Störungsbehebung auf Mandantendaten zugreifen, was als Folgeübermittlung gilt.

Schließen Sie das Zoho Datenverarbeitungsabkommen ab, nutzen Sie die EU Standardvertragsklauseln 2021 und dokumentieren Sie zusätzliche Maßnahmen wie Verschlüsselung im Ruhezustand, rollenbasierte Zugriffe und eine Transfer Impact Assessment gemäß den EDSA Schrems II Empfehlungen.

Praktische Umsetzungsschritte

Tragen Sie Zoho Recruit in Ihr Verzeichnis von Verarbeitungstätigkeiten und Ihr Cookie Register ein, blenden Sie auf jeder Stellenanzeige eine Bewerberinformation ein und blockieren Sie das Widget standardmäßig hinter einer CMP Kategorie Recruiting. Konfigurieren Sie in Zoho Recruit die Löschregeln so, dass abgelehnte Bewerbungen nach sechs Monaten anonymisiert oder gelöscht werden, aktivieren Sie Zwei Faktor Authentifizierung für jedes Recruiter Konto und prüfen Sie das Audit Log monatlich.

GDPR consent category

Praeferenzen

Websites using Zoho Recruit must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR + Art. 5(3) ePrivacy) for the embedded widget and cookies; recruitment processing also relies on Art. 6(1)(b) and Art. 88 GDPR in the employment context

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive 2002/58/EC, TDDDG, CNIL Cookie Guidelines, AEPD Guía Cookies, Art. 88 GDPR (employment context)

DPIA considerations

Eine Datenschutz Folgenabschätzung ist empfehlenswert, wenn Zoho Recruit in großem Umfang eingesetzt wird, wenn automatisierte Screening oder Scoring Funktionen genutzt werden, wenn sensible Daten wie Ausweisdokumente oder Background Checks hochgeladen werden oder wenn Bewerberdaten den EWR verlassen. Dokumentieren Sie die Region des gewählten Zoho Rechenzentrums, die Aufbewahrungsfrist für abgelehnte Bewerbungen (laut DSK in der Regel sechs Monate, mit Einwilligung länger), die zugriffsberechtigten Personalabteilungsrollen und die Logik etwaiger automatisierter Filter nach Art. 22 DSGVO.

Sample consent text

Wir nutzen Zoho Recruit, um unser Bewerbungsformular anzuzeigen und Ihre Bewerbung zu bearbeiten. Mit Ihrer Einwilligung setzt Zoho Cookies, erhält Ihren Lebenslauf und Ihre Kontaktdaten und kann diese Daten in Rechenzentren außerhalb der Europäischen Union übertragen. Sie können Ihre Einwilligung jederzeit über den Link Cookie Einstellungen im Footer widerrufen.

Technical details

Tracking methodClient-side JavaScript, Cookies, iFrame embed, First-party script

Server locationMulti-region (United States, European Union (Dublin/Amsterdam), India, Australia) depending on data centre chosen by the tenant

Data transferred outside the EUDepending on the Zoho data centre selected at sign up, applicant data may be processed in the United States, India or Australia. EU customers can elect the EU data centre (eu.zoho.com) to keep data in Ireland and the Netherlands. Cross border transfers rely on Standard Contractual Clauses and the EU US Data Privacy Framework, with supplementary measures required under the Schrems II ruling.

Third-party domains contacted

zoho.comzoho.eurecruit.zoho.comrecruit.zoho.euzohopublic.com

Cookies placed

Name	Type	Duration	Purpose
iamcsr	Persistent	1 year	Identity and access management CSRF token used by the Zoho authentication layer to protect form submissions on Zoho Recruit pages.
JSESSIONID	Session	Browser session	Java application server session identifier used by Zoho Recruit to bind candidate requests to the same backend session during a visit.
zccpn	Persistent	1 year	Anti CSRF token deposited by Zoho on its public job pages and embedded widgets to prevent cross site request forgery on application forms.
ZCAMPAIGN_CSRF_TOKEN	Persistent	1 year	CSRF protection token used when the careers page exposes Zoho Campaigns sign up to receive future job alerts.
_zcsr_tmp	Session	Browser session	Temporary session token used to authenticate candidate interactions with embedded Zoho Recruit forms.

Zoho Recruit verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Daten und Cookies erfasst Zoho Recruit auf einer Karriereseite?

Beim Laden des Zoho Recruit Widgets werden Erst und Drittanbieter Cookies auf den Domains zoho.com, zoho.eu und zohopublic.com gesetzt, darunter CSRF Tokens, JSESSIONID, ZCAMPAIGN_CSRF_TOKEN und der Authentifizierungs Cookie iamcsr. Die Plattform liest außerdem die IP Adresse, den User Agent und den Referrer der Besucherin. Bei einer Bewerbung verarbeitet Zoho den vollständigen Lebenslauf, die Kontaktdaten, den beruflichen Werdegang, Referenzen und alle hochgeladenen Dateien. Dokumente wie Pass oder Aufenthaltstitel können besondere Datenkategorien im Sinne von Art. 9 DSGVO enthalten.

Ist eine Einwilligung erforderlich, bevor das Zoho Recruit Widget geladen wird?

Ja. Die Cookies und Remote Ressourcen von Zoho Recruit sind für die Unternehmenswebsite nicht unbedingt erforderlich. § 25 TDDDG, Art. 5(3) ePrivacy Richtlinie sowie die Orientierungshilfe der DSK verlangen daher eine vorherige, informierte und freiwillige Einwilligung. Das script Tag muss blockiert bleiben, bis die Besucherin aktiv die Kategorie Recruiting oder Funktional bestätigt. Vorangekreuzte Felder oder die bloße Weiternutzung gelten nicht als wirksame Einwilligung. Der Widerruf muss genauso einfach möglich sein wie die Erteilung.

Welche Rechtsgrundlage gilt für Bewerbungen über Zoho Recruit?

Die Cookie und Tracking Ebene stützt sich auf Art. 6(1)(a) DSGVO (Einwilligung) in Verbindung mit Art. 5(3) ePrivacy. Die eigentliche Bewerbungsverarbeitung beruht meist auf Art. 6(1)(b) DSGVO (vorvertragliche Maßnahmen). Im Beschäftigungskontext erlauben Art. 88 DSGVO und § 26 BDSG zusätzliche Garantien. Art. 9 greift, wenn Bewerbende Gesundheits oder biometrische Daten hochladen. Soll der Lebenslauf über die konkrete Stelle hinaus in einem Talent Pool bleiben, ist die ausdrückliche Einwilligung die belastbarste Grundlage.

Übermittelt Zoho Recruit Daten in Drittländer?

Ja, potenziell. Die Zoho Corporation hat ihren Sitz in Indien und betreibt Rechenzentren in den USA, Indien, Australien und der EU (Dublin und Amsterdam). Der Tenant Administrator wählt die Region bei der Registrierung. Selbst bei EU Region können Supportingenieure außerhalb des EWR auf Mandantendaten zugreifen, was nach Schrems II als Folgeübermittlung gilt. Schließen Sie das Zoho Datenverarbeitungsabkommen ab, nutzen Sie die EU Standardvertragsklauseln 2021 und führen Sie ein Transfer Impact Assessment durch, das Verschlüsselung, Zugriffsbeschränkungen und Audit Logging dokumentiert.

Brauche ich für den Einsatz von Zoho Recruit eine Datenschutz Folgenabschätzung?

Eine DSFA ist empfehlenswert, sobald Zoho Recruit in großem Umfang eingesetzt wird, automatisiertes Screening, Scoring oder KI gestütztes Matching erfolgt, sensible Dokumente hochgeladen werden oder Bewerberdaten den EWR verlassen. Die DSK Muss Liste und die EDSA Kriterien stufen automatisierte Bewertung von Personen, umfangreiche Verarbeitung und innovative Technologien als Auslöser ein. Die DSFA dokumentiert Datenflüsse, Rechtsgrundlage, Aufbewahrungsfristen, Empfängerkategorien, den Anteil menschlicher Kontrolle und die Schutzmaßnahmen bei internationalen Übermittlungen.

Wie binde ich Zoho Recruit datenschutzkonform auf meiner Website ein?

Blockieren Sie das Widget standardmäßig in Ihrem Consent Management Tool unter einer Kategorie Recruiting. Laden Sie das script Tag erst nach aktiver Zustimmung. Veröffentlichen Sie auf jeder Stellenanzeige eine Bewerberinformation, die Zoho als Auftragsverarbeiter, die Rechenzentrumsregion, die Aufbewahrungsfrist abgelehnter Bewerbungen und die Logik einer automatisierten Vorauswahl benennt. Aktivieren Sie in Zoho Zwei Faktor Authentifizierung für jedes Recruiter Konto, schränken Sie Exportrechte ein und konfigurieren Sie automatische Löschregeln.

Welche datenschutzfreundlicheren Alternativen zu Zoho Recruit gibt es?

In Europa gehostete Bewerbermanagementsysteme sind unter anderem Teamtailor (Schweden), Recruitee (Niederlande), SmartRecruiters EU Instanz, Greenhouse mit EU Datenresidenz, Personio (Deutschland) und das Welcome to the Jungle ATS (Frankreich). Alle speichern Bewerbungen im EWR, schließen ein DSGVO konformes Auftragsverarbeitungsverhältnis ab und bieten rollenbasierte Zugriffe. Der Compliance Gewinn hängt vor allem davon ab, einen Anbieter mit EU Speicherung, transparenter Subunternehmerliste und einem Schrems II tauglichen Übermittlungsmechanismus für Supportzugriffe außerhalb des EWR zu wählen.

Wie aktualisiere ich Cookie Richtlinie und Datenschutzhinweis für Zoho Recruit?

Fügen Sie einen Abschnitt ein, der Zoho Corporation als Drittanbieter benennt, die auf zoho.com, zoho.eu und zohopublic.com gesetzten Cookie Familien mit Zweck und Laufzeit auflistet und darauf hinweist, dass das Widget bis zur Einwilligung blockiert bleibt. Die Bewerberinformation muss zusätzlich Rechtsgrundlage (Art. 6(1)(b) und Art. 88 DSGVO, § 26 BDSG), Empfängerkategorien bei Zoho, Rechenzentrumsregion, Aufbewahrungsfrist, Übermittlungsmechanismus (SCC und ergänzende Maßnahmen) sowie die Rechte auf Auskunft, Berichtigung, Löschung und Widerspruch enthalten.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note