Wann waren Sie zuletzt auf der Jobsuche? Ich hoffe es ist schon etwas länger her. Die Art und Weise, wie heute Jobs gesucht werden, wie sie  angeboten werden und über welche Wege man sich heute auf offene Stellen bewirbt, wurde ebenso durch die Eroberung der Gesellschaft durch die Digitalisierung massgeblich verändert.

Was früher das Durchforsten von Zeitungsrubriken mit anschliessendem Drucken und Versand von Bewerbungsmappen bei passenden Stellen war, wird heute durch den Druck in PDF Dateien und den Versand der Daten über Online-Bewerbungsportale erledigt. Das spart Zeit und Geld und verschlankert die Prozesse. HR Verantwortliche bekommen Bewerbungen unmittelbar nach Versand zugestellt und können in digitalen Bewerber-Umgebungen schon am Bildschirm ihre A, B und C Stapel bilden. Der A Stapel sind die Auserwählten für ein Bewerbungsgespräch, B die Backup-Bewerber, und C die, welche eine direkte Absage erhalten werden.

Viele Unternehmen, insbesondere welche, die ohnehin schon ihren Kern-Business rund um die digitale Welt betreiben, greifen dabei auf eingekaufte und in der eigenen IT Landschaft betriebene Karriere-Portale zurück, oder haben Outsourcing betrieben und die Dienstleistung bei eines der vielen Recruiting-Platformanbieter eingekauft. In der Schweiz ist eines der bekannten Namen dieser Dienstleister „Umantis“, welches zur Haufe Gruppe gehört. In Deutschland ist das Angebot weniger überschaubar, da hier die Vielfalt und die Menge an Firmen, Stellen und Bewerber höher ausfällt. Grössere Unternehmen, die ihren Ursprung in den USA haben,  setzen u.a. auch oft successfactors.eu, oder taleo.net ein.

Die Dienstleistung bereits vorhandener Recruiting-Portale in Anspruch zu nehmen statt sich selbst ein Portal zu stricken hat seine Vorzüge. Der Dienstleister gewährleistet die Mandantenfähigkeit, einen gewissen Datenschutz und die Verfügbarkeit der Platform wird gem. den vereinbarten SLAs sichergestellt. Zudem kann es der HR Abteilung egal sein, ob sie nun über ihren Webbrowser ein internes System bedienen, oder eines im WWW, da die Stellenanzeigen des Unternehmens auf das Bewerberportal verlinkt sind und der potenzielle Bewerber oder die Bewerberin bequem auf das Portal weitergeleitet wird, wo die Daten und Fakten hochgeladen und abgeschickt werden. Über das gleiche Portal bekommt dann die HR Abteilung die entsprechende Meldung über dein Eingang einer neuen Bewerbung.

Nun, das hört sich alles toll, schnell und unkompliziert an, währen da nicht einpaar Kleinigkeiten, die sich Gesetze nennen, die man als Unternehmen, insbesondere ganz bestimmter Länder mit Niederlassung in der Schweiz berücksichtigen muss, es aber kaum, in vielen Fällen sogar gänzlich nicht tut.

Es ist schön und gut, wenn sich ausländische Unternehmen in anderen Ländern niederlassen und dort Arbeitsplätze schaffen, die Wirtschaft fördern und global agieren. Doch auch wenn das globale Agieren grenzenlos zu sein scheint, sind die lokalen Bestimmungen entgegen des Globalisierungswunsches so etwas wie eine Anti-Viagra Pille. Wenn wir über Privacy und Datenschutz reden, ist diese Anti-Pille für den Bewerber selbst garnicht mal so schlecht. Wenn man sie denn auch als Unternehmen regelmässig einnehmen würde.

Einfacher erklärt…..

Zur verdeutlichung des Sachverhalts, gehen wir einmal das Szenario eines Bewerbers durch, der sagen wir mal, sich in der ICT Welt bei einpaar namhaften Unternehmen bewerben will. Die Unternehmen haben ihren Ursprung oder ihre Zentrale in den USA, oder sind zumindest strukturell mit Übersee stark verknüpft. Der Bewerber heisst in unserem Beispiel Klaus! Der Name wurde zufällig gewählt, bitte nicht mit „Klauen“ assoziieren. Wobei…… ja nein, lassen wir das 🙂

Klaus stöbert wie so oft in den Schweizer Jobbörsen herum um sich eine neue Herausforderung zu suchen, einen neuen tollen, soliden Arbeitgeber mit spannenden Aufgaben und Weiterbildungsmöglichkeiten. Auf den populärsten und leicht bedienbaren Online-Jobbörsen klickt er auf interessant klingende Titel und lässt sich die Stellenanzeige eingebettet oder per iFrame auf seinen Schirm geben, um mehr über die Stelle und das Unternehmen zu erfahren. Das Unternehmen, welches die für ihn interessante Stelle anbietet ist bekannt und auch der Inhalt hört sich gut an.

Nach einer Weile des Studierens und nach dem Besuch der Webseite des Unternehmes, entscheidet sich Klaus auf den „Jetzt Bewerbern“ Button der Jobbörse zu klicken, welches ihn vermutlich auf das Bewerberportal des Unternehmens weiterleiten wird, mit der Entsprechenden Jobreferenz. Klaus hat bereits seine Unterlagen parat. Auch sein Anschreiben hat er erstellt und ist motiviert, all seine Unterlagen, Lebenslauf, Zeugnisse, Arbeitszeugnisse und sonstige persönlichen Daten an das Unternehmen zu schicken, um hoffentlich bald auch auf dem A-Stapel zu landen und ein erstes Kennenlerngespräch zu bekommen. Abgesehen davon, dass es bei dem ausgewählten Unternehmen im Screenshot etwas anders abläuft, ist die Vorgehensweise der meisten Unternehmen recht bekannt denke ich.

Klaus hat geklickt und los geht’s. Er ist jetzt auf dem Bewerberportal des Unternehmens:

Aber Moment. Warum ist Klaus nun auf einem Server gelandet, der vom Hostnamen nicht den Anschein macht, dass es sich um die Webseiten des Unternehmens handelt? Naja wie gesagt, es kann ja ein Dienstleister sein, der im Auftrag des Unternehmens das Portal bereitstellt. Und in der Tat lässt dies der Domainname erkennen, dass es sich hierbei um die Subdomain des Dienstleisters handelt, welches für das Unternehmen bereit gestellt wird, wo sich Klaus gerade versucht zu bewerben. Das Zertifikat ist interessant: Es ist ein Wildcard Server-Zertifikat. Das heisst, es wird bei allen anderen Mandanten ebenfalls eingesetzt, um die Signierung einzelner Zertifikate pro Mandant zu ersparen. Immerhin ist diese Variante ehrlicher als die des Portals von Umantis, worauf so manche andere Unternehmen ihr eigenes Zertifikat platziert und durch ein DNS Alias das tatsächliche Target verschleiert haben.

Eine Sache stört Klaus aber dennoch. Er bewirbt sich doch bei einem Unternehmen, welches in der Schweiz ansässig ist und erwartungsgemäss dann auch die Unterlagen von Klaus direkt in der Schweiz annehmen sollte. Seine Recherchen über diesen Anbieter TALEO zeigen, dass es sich um ein Unternehmen handelt, welches zu ORACLE gehört. Das System, dessen Webseiten er gerade aufgerufen hat, steht in Amerika. Er soll also seine Daten auf einen Server von ORACLE, welches in Amerika steht, hochladen??? Darauf wurde so bisher nicht hingewiesen. Na mal sehen was in der nächsten Seite steht, wenn Klaus auf den Button „Online Bewerben“ klickt.

Hurra, endlich kommen die Datenschutzbestimmungen. Gespannt liest Klaus sich Zeile für Zeile durch, was das Unternehmen verspricht und ob es nun diese Vorgehensweise vorab erklären wird. Klaus ist ein Internet Laie, woher soll er wissen, dass er sich gerade auf einem System von ORACLE in den Staaten befindet? Auch wenn er sich gerade in der ICT Welt als Analyst bewirbt, er hat keine Ahnung, wo er sich im Netz gerade aufhält.

Interessant ist es in diesem Beispiel zu sehen, dass das Unternehmen bei dem sich Klaus (noch) bewerben möchte, sich im Gegensatz zu manch anderen Unternehmen bemüht hat, ein umfangreiche Einverständniserklärung und Datenschutzbestimmung zu verfassen und dem Bewerber im Vorfeld auszuhändigen. Erklärungen und Bestimmungen vieler vergleichbarer Unternehmen fallen magerer aus und kommen leider meisst dann zum Vorschein, wenn man bereits Daten hochgeladen hat und nurnoch dabei ist, diese Abzuschicken. Auch werden AGBs, Datenschutzbestimmungen oder Einverständniserklärungen einfach nur verlinkt und es reicht eine Checkbox anzuklicken um sich mit diesen als Einverstanden zu erklären, ohne dass man den Inhalt wirklich angeschaut haben muss. Doch unser Beispiel hier ist so ziemlich umfangreich und das Unternehmen nimmt sich weit mehr heraus mit den Daten von Klaus Dinge anstellen zu dürfen, als so manch anderes Unternehmen. Zumal es nicht verständlich ist, warum man sich gerade das Recht nimmt, dass auch der Portal-Dienstleister TALEO alias ORACLE Zugriff auf Klaus seine Daten haben darf, und weitere Gesellschaften, die er nicht kennt, die aber generisch genannt werden.

Aber kommen wir nun zum Hauptproblem an dieser Stelle, und zwar den Gesetzen und wie diese Unternehmen die Gesetze ignorieren, die hierzulande gelten.

Die Judikative regelt die Gesetzgebung der Datenschutzgesetze in erster Linie im Schweizerischen Datenschutzgesetz (DSG) in ihrer aktuellen Fassung. Die Übermittlung von personenbezogenen Daten werden darin in Artikel 6 des DSG geregelt. Zusätzlich zu diesem Gesetz und dessen Artikel 6 zur Regulierung bei der Übermittlung von personenbezogenen Daten ins Ausland, gibt es entsprechende Verordnungen und Erläuterungen, wie im Einzelfall und in besonderen Fällen das Übermitteln von Daten ins- und übers Ausland geregelt werden muss.

Was das Beispiel von unserem Bewerber Klaus betrifft, so müssten die Firmen, die seine Daten stillschweigend über ihre Dienstleister in die USA übermitteln, ganz klar und eindeutig darauf hinweisen dass,

• Gerade eine Übermittlung der personenbezogenen Daten ins Ausland stattfindet
• Er in den Datenschutzbestimmungen darauf hingewiesen wird, dass seine Daten in einem Land gespeichert werden, wo weder ein Datenschutzübereinkommen wie das „STE108“, noch ein ausreichendes Datenschutzniveau seitens des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bescheinigt werden kann (Siehe Link 2 und 3).

Es wird also seitens der Schweizer Behörden nicht empfohlen, personenbezogene Daten in die USA zu übermitteln, weil der EDÖB die Auffassung vertritt, dass Safe Harbor zur Absicherung des gleichwertigen Datenschutzniveaus in den USA ungenügend ist. Die vom Europäischen Gerichtshof (EuGH) in seinem Urteil vom 6. Oktober 2015 aufgezeigten Schwachstellen treffen auch auf das U.S.-Swiss Safe Harbor Agreement zu. Dementsprechend hat die Schweiz seine Staatenliste (Siehe Link 5) angepasst. Es sind zusätzliche Massnahmen zu treffen, um die Voraussetzungen nach Art. 6 DSG für eine zulässige Datenübermittlung in die USA zu erfüllen. Es wird des Weiteren angemerkt, dass dies in den meisten Fällen durch vertragliche Garantien nach Art. 6 Abs. 2 lit. a DSG oder mit Hilfe von Binding Corporate Rules (BCR; Art. 6 Abs. 2 lit. g DSG) geschehen könnte.

Dennoch heisst es in der Staatenliste des EDÖB für die USA in den Bemerkungen:

Angesichts der Enthüllungen von E. Snowden und den im Urteil des EuGH vom 6. Oktober 2015 angesprochenen Mängeln des U.S.-EU Safe Harbor Agreement hat sich gezeigt, dass auch das Schweizer Abkommen die Persönlichkeit der Betroffenen zu wenig schützt. Daher besteht auch bei Datenlieferungen an Unternehmen, die nach U.S.-Swiss Safe Harbor zertifiziert sind, kein angemessenes Schutzniveau.

Ich mache mir nun Sorgen um die Daten von Klaus. Denn selbst wenn die Unternehmen ihre tollen Datenschutzbestimmungen in den Eingangsseiten der Bewerberportale deklarieren, was hilft es, wenn der Staat, in dessen Hoheitsgebiet sich das Unternehmen befindet darüber bestimmt, dass die Firmen diese Daten bei Aufforderung rausrücken müssen, oder die Daten ohnehin schon kopieren. Stellen Sie sich vor, Klaus wird wegen seinem Namen  mit einem Verdächtigen in diesem Land verwechselt!? (Ich meine natürlich nicht nur Klaus, sondern Vor und Nachname: Klaus Nichtmann)

Es gibt aber Unternehmen, die entweder die gleichen Dienstleister in den USA benutzen, oder deren Bestimmungen zudem weit weg von dem Niveau und Güte sind, was man vereinzelt als „Ausreichend beschrieben“ bezeichnen könnte. Zudem ist es bei keines dieser Firmen ersichtlich, dass Sie Daten ins Ausland übermitteln, noch dass sie diese gerade in die USA übermitteln (sofern zutreffend).

Weitere Beispiele von Internationalen Firmen in der Schweiz, die auf die gleiche Weise ihre Bewerber-Portale betreiben und keinerlei Hinweise darüber liefern, dass Daten ins Ausland übermittelt werden und in allen untersuchten Fällen auch nicht, dass sie in die USA übermittelt werden. Stattdessen nehmen sich die Firmen in ihren jeweiligen Bestimmungen meist das Recht, die Bewerberdaten an Partner weiterzuleiten, sofern es denn „notwendig für die weitere Bearbeitung“ sei und versprechen ansonsten hoch und heilig, dass nichts böses mit diesen Daten geschehen wird. Ein Vertrag im Sinne des Art. 6 Abs. 2 lit. g DSG ist es jedoch keineswegs: Hier sind mehrere Parteien involviert, die diese Daten erhalten, die weder einen ausreichenden Schutz gegenüber Klaus im Sinne des Artikels garantieren, noch aufgrund der bisher bekannten, unzulänglichen Handlungsweisen so mancher Behörden in den USA einen angemessenen Schutz versprechen würden. (Selbst wenn, wäre es schwierig dem Glauben zu schenken).

 

 

Nicht nur ausländische Unternehmen, die in der Schweiz eine Niederlassung haben, gehen mit dem Thema lokale Datenschutzbestimmungen & Gesetze falsch um oder beschäftigen sich nicht in erforderlichem Masse damit. Das Thema Datenschutz ist jedoch nicht nur für ausländische Unternehmen ein wichtiges Thema. Viele Unternehmen befassen sich (bewusst oder unbewusst) ungenügend damit. So könnte es sein, dass ausländische Firmen bei der Zusammenarbeit oder Übernahme von lokalen Firmen keine adäquate Beratung bekommen. Wer die Beiträge von Orkix.de liesst, der/die wird sich an den Artikel über Sunrise erinnern, bei dem es ebenfalls um das Thema Datenschutz ging. Dabei ging es um ein Schweizer Telekommunikationsunternehmen mit ähnlichen Defiziten.

Ein weiteres Beispiel sind Banken. Diese versprechen ihren Kunden zwar, dass ihre Identitäten geschützt werden und die Landesgrenzen nicht verlassen, aber das gilt leider auch nur für Kunden. Bewerber haben es da wesentlich schwieriger. Am Beispiel der wohl grössten Schweizer Bank sind die Fehler gleichermassen zu beobachten, wie die der Unternehmen aus der Privatwirtschaft. Sie nutzt ebenso ein Portal, welches weder ihr gehört, noch in der Schweiz steht, worüber Bewerberdaten gesammelt werden.

Centurylink……. Der drittgrösste TK Provider in den Staaten nach AT&T sowie Verizon. Werden diese nicht von den amerikanischen Geheimdienstbehörden angezapft?? Dann ist es wahrscheinlich nicht weit her geholt, wenn man behaupten würde, dass Centurylink ebenfalls „verlinkt“ ist.

Es ist auch interessant zu sehen, dass all die SSL Zertifikate, die in dieser Konstellation zum Einsatz kommen, von Symantec signiert wurden. Es ist kein Geheimnis, dass Symantec sich in sehr vielen Fällen bereit erklärt, Zertifikate von Unternehmen zu signieren, deren Einsatz jedoch ganz woanders realisiert werden, auf fremden Servern. So ist es der Fall, dass das Server-Zertifikat für jobs.ubs.com zwar für UBS ausgestellt und signiert wurde, jedoch von QWEST auf deren IPs bzw. Server zum Einsatz kommt. Das verschleiert für den Anwender leider die Tatsache, dass es sich gerade nicht um ein System handelt, welches im Hoheitsgebiet des Unternehmens wäre.

Das schönste kommt zum Schluss….

Wenn man auf die Seite des Providers „qwest.net“ gehen will, wird man über einen Redirect auf eine Subdomain von Centurylink weitergeleitet. Die Subdomain heisst „tools.centurylink.net“. Das ist erstmal unspektakulär, auch wenn die Seite erstmal irritiert, warum die Hauptdomain von Qwest „qwest.com“ nicht benutzt wird, stattdessen „qwest.net“ auf die Muttergesellschaft Centurylink weitergeleitet wird.

Wenn man sich aber einmal die HTTP Server Header der Webseite anschaut, wird einem schon richtig übel. Warum ein Betreiber von Bewerberportalen, der namhafte Unternehmen zu seinen Kunden zählen darf, gerade solch eine veraltete und stark verwundbare Management-Umgebung anbietet, ist unerklärlich. Wobei, vielleicht ist es ja Absicht… Na sie wissen schon 😉

Fazit:

In einem Satz? „Bitte sehr so nicht liebe Firmen!“

Vergleichbare Zustände finden wir auch heute in anderen Bereichen, wenn wir z.B. an das Buzzword IoT denken. Dort hat man mit anderen Problemen zu kämpfen, mit Sicherheitsproblemen, die man lange ignorierte, bis sich die Geräte zu einem DDoS- Suberbot-Netzwerk zusammenschliessen liessen.

Ich würde als Bewerber dennoch gerne wissen, wohin meine Daten versendet werden und möchte als Eigentümer dieser gerne auch vorher bestimmen, ob ich das will oder nicht!

(red)

---

Update (16.03.2017)
BEISPIEL SCHWEIZER KARRIERE PORTALE BEI TALEO (GEHOSTET BEI ORACLE IN DEN USA)

Nachfolgender PHP CODE überprüft Firmen daraufhin, ob sie auf dem TALEO.NET Portal (ORACLE USA) ein eigenes Bewerberprotal betreiben. Falls dies der Fall ist, gibt das PHP Script die URL des Treffers aus einer vorgegebenen Firmenliste aus.

Um den Code nutzen zu können, muss eine Datei „urls.txt“ angelegt werden, welches in jeder Zeile nur den Subnamen der Firma beinhaltet.
Beispiel: Wenn die Firma Meyer AG heisst, dann muss in einer Zeile als Subdomain das einzige Wort meyer stehen, da Taleo seine Mandanten als Subdomains mit ihrem Namen anlegt (Beispiel: meyer.taleo.net)
Ob die Firmen immer als Subdomain bei Taleo immer nach ihren Namen angelegt werden, weiss ich nicht. Die von mir untersuchten Beispiele versprechen jedoch eine hohe Trefferquote.

Sollten sie also Taleo nach Firmen abklappern wollen, müssen sie sich eine Liste anlegen, worin die Firmennamen als potenzielle Subdomainnamen Zeile für Zeile aufgelistet werden.

Der Code ist ausdrücklich für Testzwecke bestimmt. Der Autor bzw. networm.ch übernimmt keinerlei Haftung und distanziert sich von jeglichen Absichten, ausser Test und Forschungszwecke. Die Laufzeit kann je nach Länge der Liste variieren und bis zu mehreren Minuten dauern, es sei denn, man schreibt das Script auf responsives Output um.

(Die Hochkommas und Gänsefüßchen sind Fontstyle-bedingt verfälscht und müssen korrigiert werden)

<?php

$mainurl=‘.taleo.net‘;
$protocol = ‚https://‘;
$subs = file(„urls.txt“);

for($i=0;$i < count($subs); $i++){
$subname = trim($subs[$i]);
$url = $protocol.$subname.$mainurl;
if (url_exists($url))
{
echo $url.“<br>“;
}
}

function url_exists($link) {
$file_headers = @get_headers($link);
if(!$file_headers || $file_headers[0] == ‚HTTP/1.1 404 Not Found‘) {
return false;
}
else {
return true;
}
}
?>

Ich habe von den TOP 500 umsatzstärksten Schweizer Firmen (laut http://www.segmentas.ch/top500) eine Firmenliste erstellt und durch das Script gejagt. Folgende Firmen aus der Schweiz aus dieser Liste scheinen bei Taleo ein Bewerbungsportal zu betreiben:

https://Cargill.taleo.net
https://Roche.taleo.net
https://Syngenta.taleo.net
https://SGS.taleo.net
https://Lonza.taleo.net
https://Swissport.taleo.net
https://BMW.taleo.net
https://Siemens.taleo.net
https://Actelion.taleo.net
https://CSL.taleo.net
https://BT.taleo.net
https://Accenture.taleo.net
https://Oracle.taleo.net
https://Renault.taleo.net
https://Unilever.taleo.net
https://Partners.taleo.net
https://Hitachi.taleo.net
https://CWT.taleo.net
https://Nokia.taleo.net
https://Schneider.taleo.net
https://Conforama.taleo.net
https://Vinci.taleo.net
https://Infosys.taleo.net
https://MCH.taleo.net
https://Intel.taleo.net
https://Xerox.taleo.net
https://Dell.taleo.net
https://Schneider.taleo.net
https://Acer.taleo.net
https://accenture.taleo.net
https://dtt.taleo.net
https://CSC.taleo.net
https://Cognizant.taleo.net
https://DSS.taleo.net
https://BDO.taleo.net
https://Fujitsu.taleo.net

BEISPIEL SCHWEIZER KARRIEREPORTALE BEI SUCCESSFACTORS.EU (GEHOSTET IN DEN USA)

Bei Successfactors.eu ist das Ergebniss ebenfalls zu ermiteln. Hier scheinen ebenfalls einige Firmen bei Successfactors in den USA ein Karriereportal zu betreiben. Die Domain-Endung „EU“ ist verständlicher Weise irreführend, da die Server in den Staaten stehen. Somit kann z.B. die NSA über eine Verfügung gem. dem „Patriot Act“ problemlos auf alle Daten Schweizer und EU-Bürger zugreifen, die sich bei eines dieser Firmen beworben haben und ihre Daten auf das Portal hochgeladen haben 😉

PHP CODE

<?php

$mainurl=’career012.successfactors.eu/career?company=‘;  //Die Subdomain careers012 kann auch z.B. auf career5 etc. geändert werden, da die subdomains vom Loadbalancer angesprochen werden.
$protocol = ‚https://‘;
$subs = file(„urls.txt“);

for($i=0;$i < count($subs); $i++){

$company = trim($subs[$i]);
$company= strtoupper($company);
$url = $protocol.$mainurl.$company;

$handle = curl_init($url);
curl_setopt($handle,  CURLOPT_RETURNTRANSFER, TRUE);
$response = curl_exec($handle);
$httpCode = curl_getinfo($handle, CURLINFO_HTTP_CODE);
curl_close($handle);

    if($httpCode != 403 || $httpCode != 404){
        
            if($response) echo $company.“ : „.$url.“<br>“;

        }
}
?>

Beispiele von TOP 500 Firmen in der Schweiz, die bei Successfactors.eu in den USA ein Karriereportal haben.

BKW : https://career012.successfactors.eu/career?company=BKW
SICPA : https://career012.successfactors.eu/career?company=SICPA
SAP : https://career012.successfactors.eu/career?company=SAP
IWB : https://career012.successfactors.eu/career?company=IWB

---

QUELLEN:

1. https://accenture.taleo.net/
2. https://jobs.ubs.com
3. https://leoni.taleo.net
4. https://dtt.taleo.net
5. https://career012.successfactors.eu/career?company=PWC
6. https://tools.centurylink.net
7. www.qwest.net
8. http://www.admin.ch/ch/d/sr/2/235.1.de.pdf – Schweizerisches DSG
9. https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01406/index.html?lang=de  ###Safe-Harbor-Abkommen und Privacy Shield
10. https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01408/index.html?lang=de  ###Weiterführende Informationen zur Datenübermittlung in die USA
11. https://www.edoeb.admin.ch/datenschutz/00626/00753/index.html?lang=de&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCDdX52gGym162epYbg2c_JjKbNoKSn6A
    ###Erläuterungen zur Übermittlung von Personendaten ins Ausland nach revidiertem DSG (zuletzt geändert: April 2011)
12. https://www.edoeb.admin.ch/datenschutz/00626/00753/index.html?lang=de&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCDdXt3fmym162epYbg2c_JjKbNoKSn6A–  ###Staatenliste des EDÖB