Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Präambel

schnelleStelle.de (nachfolgend “Auftragnehmer”) hat es sich zur Aufgabe gemacht, Unternehmen beim Recruiting von neuen Arbeitskräften zu unterstützen. Unternehmen (nachfolgend “Auftraggeber”) können über das meine.schnelleStelle.de-Dashboard die unter https://meine.schnellestelle.de/ zu erreichen ist (nachfolgend "Dashboard"), die Stellenschaltung für Ihre vakanten Stellen buchen und verwalten sowie Bewerber/-innen und Bewerbungen zentral verwalten.

Auftraggeber können über das Dashboard konkrete Bewerbungen verwalten. In diesem Rahmen werden die hierüber vom Auftraggeber generierten personenbezogenen Daten für den jeweiligen Bewerbungsprozess durch schnelleStelle.de als Auftragsverarbeiter für den Auftraggeber als Verantwortlicher im Sinne der geltenden Datenschutzgesetze verarbeitet.

Dieser AVV dient der Absicherung der Parteien gegen die zweckfremde Verwendung der im Dashboard verarbeiteten personenbezogenen Daten, der Wahrung des Datenschutzes durch den Auftragnehmer wegen der ihm durch den Auftraggeber zur Kenntnis gelangten personenbezogenen Daten sowie der Beachtung der gesetzlichen Vorgaben für den Fall, dass die Geschäftsbeziehung vom Auftraggeber und Auftragnehmer als eine Auftragsverarbeitung beurteilt werden sollte.

Diese AVV ist Bestandteil jedes Service-Agreements der Parteien, es sei denn, in einem zeitlich nach Zustandekommen dieser AVV abzuschließenden Vertrag wird Abweichendes ausdrücklich vereinbart. Dieses Dokument einschließlich aller Anlagen konkretisiert zudem die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zugrundeliegenden Service-Agreement wie folgt:

1. Gegenstand und Zweck

1.1 Das Vertragsverhältnis regelt die Auftragsverarbeitung durch den Auftragnehmer als Auftragsverarbeiter, welcher die Verarbeitung von personenbezogenen Daten (nachfolgend „Daten“ genannt) im Auftrag und nach Weisung des Auftraggebers durchführt (Art. 4 Nr. 2 und Art. 28 DSGVO).

1.2 Die Auftragsverarbeitung erfolgt im Rahmen der Leistungserbringung nach dem Hauptvertrag über die Nutzung des Dashboards. Über das vom Auftragnehmer betriebene Dashboard kann der Auftraggeber die Veröffentlichung von Jobangeboten durch den Auftragnehmer unter anderem auf dem Jobportal Jobmixer.de (nachfolgend “Jobmixer”) veranlassen und jobsuchende Interessenten können sich über Jobmixer informieren und auf Stellenangebote bewerben. Der Auftraggeber kann Bewerbungen unter anderem über Jobmixer im Dashboard empfangen und verwalten. In diesem Rahmen fungiert der Auftragnehmer als Auftragsverarbeiter für den Auftraggeber hinsichtlich der im Rahmen der Kommunikation verarbeiteten personenbezogenen Daten, insbesondere der Daten aus den Bewerbungen der Jobsuchenden. Art, Umfang und Zweck der Datenverarbeitung werden durch die Bestimmungen des Hauptvertrags samt des vom Auftraggeber beauftragten Leistungsumfangs konkretisiert. Nachträglich vereinbarte Änderungen des Zwecks und der Art der Verarbeitung sind zu dokumentieren.

1.3 Im Übrigen verarbeitet der Auftragnehmer die Daten anlässlich der Bereitstellung und Nutzung von Jobmixer selbst als datenschutzrechtlich Verantwortlicher. Die Bestimmungen dieses Auftragsverarbeitungsvertrags gelten hierfür nicht.

2. Vertragsdauer

Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den diesbezüglichen Bestimmungen des Hauptvertrags. Mit Kündigung des Hauptvertrags wird automatisch auch die Kündigung dieses Auftragsverarbeitungsvertrags bewirkt.

3. Verarbeitung, Kategorien der Daten und Betroffenen

3.1 Die Verarbeitung betrifft die in ANLAGE 1 bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen.

3.2 Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeber-Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.

3.3 Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.

3.4 Die Verarbeitung der Auftraggeber-Daten findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Datenübermittlung und -verarbeitung in ein Drittland kann jedoch nach vorheriger Information des Auftraggebers erfolgen, wenn die Voraussetzungen der Art. 44 - 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt. Werden Unterauftragnehmern hinzugezogen, so ist Abschnitt 9 dieses Vertrags zu beachten.

4. Verarbeitung nach Weisung

4.1 Der Auftragnehmer sowie jede ihm unterstellte Person, die Zugang zu personenbezogenen Daten hat, verarbeitet die Daten nur auf dokumentierte Weisung des Verantwortlichen. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation.

4.2 Von der Verarbeitung nach Weisung kann abgewichen werden, sofern für den Auftragnehmer eine Verpflichtung zur Datenverarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, besteht. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

4.3 Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmungen dieses Vertrags festgelegt und dokumentiert und können durch Einzelweisungen modifiziert oder ergänzt werden. Einzelanweisungen sollen in Textform erteilt werden. Im Fall (fern-)mündlich erteilter Weisungen sind diese in Textform zu bestätigen und zu dokumentieren. In ANLAGE 3 zu diesem Vertrag können Personen, die weisungsberechtigt bzw. weisungsempfangsberechtigt sein sollen, bestimmt werden.

4.4 Der Auftragnehmer informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Bis zur Prüfung und Bestätigung bzw. Änderung der Weisung durch den Auftraggeber kann der Auftragnehmer die Durchführung der entsprechenden Weisung aussetzen. Die alleinige Verantwortung für die weisungsgemäße Verarbeitung liegt beim Auftraggeber.

5. Verantwortlichkeit und Pflichten des Auftraggebers

5.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Daten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich.

5.2 Der Auftraggeber informiert den Auftragnehmer unverzüglich über festgestellte Fehler oder Unregelmäßigkeiten der Datenverarbeitung.

5.3 Der Auftraggeber unterstützt den Auftragnehmer bei der Abwehr von seitens eines Betroffenen beanspruchten Schadensersatz nach Art. 82 DS-GVO oder sonstigen Ansprüchen wegen der auf Grundlage dieses Vertrags erfolgten Datenverarbeitung.

5.4 Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.

5.5 Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

6. Informations- und Mitwirkungspflichten des Auftragnehmers

6.1 Der Aufragnehmer unterstützt angesichts der Art der Verarbeitung den Auftraggeber auf dessen Anfordern hin nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Anfragen und Ansprüche der betroffenen Personen gemäß Kapitel III der DSGVO. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt er den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten. Dies betrifft die Unterstützung und Mitwirkung hinsichtlich der Bearbeitung bei der Datenschutzfolgeabschätzung (Art. 35 DSGVO) und bei der vorherigen Konsultation i.R.d. Datenschutz-Folgenabschätzung (Art. 36 DSGVO) sowie bei Meldungen von Schutzverletzungen an die Aufsichtsbehörde (Art. 33 DSGVO) als auch bei der Meldung an betroffene Personen (Art. 34 DSGVO).

6.2 In Hinblick auf datenschutzrechtliche Meldepflichten wird der Auftragnehmer den Auftraggeber über Datenschutzverletzungen sowie Störungen und Unregelmäßigkeiten der Datenverarbeitung bzw. den hierüber begründeten Verdacht informieren. Sofern ein Betroffener seine Rechte aus Kapitel III der DSGVO (wie das Recht auf Auskunft, Löschung, Berichtigung, Einschränkung der Verarbeitung, Datenübertragbarkeit als auch auf Widerspruch) gegenüber dem Auftragnehmer geltend macht, so verweist er die betroffene Person an den Auftraggeber, informiert letzteren zeitnah über den Vorgang und wartet dessen Weisungen ab.

6.3 Bei Zugriff auf Daten der Auftragsverarbeitung durch Dritte (z.B. Sicherungs- oder Vollstreckungsmaßnahmen) als auch im Fall behördlicher Maßnahmen oder Ermittlungen wird der Auftraggeber informiert, soweit nicht der Auftragnehmer gesetzlich zur Verschwiegenheit über die Maßnahmen verpflichtet ist.

6.4 Die jeweiligen entstehenden Kosten und Aufwände für die Mitwirkungshandlungen sind vom Auftraggeber in angemessenem Umfang zu vergüten, sofern die Handlungen nicht einer dem Auftragnehmer zurechenbaren Pflichtverletzung geschuldet sind.

7. Vertraulichkeitspflicht des Personals

Der Auftragnehmer gewährleistet, dass sich die in die Verarbeitung der personenbezogenen Daten einbezogenen Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Sicherheit der Verarbeitung

8.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. In ANLAGE 2 zu diesem Vertrag sind die TOM in aktueller Fassung niedergelegt und werden Vertragsbestandteil. Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung und können fortlaufend angepasst werden. Die geänderten Maßnahmen müssen den gesetzlichen Anforderungen genügen und müssen das bisherige Schutzniveau aufrechterhalten. Die aktuelle Fassung ist auf der Webseite im Account des Auftraggebers abrufbar.

8.2 Über wesentliche Änderungen der Sicherheitsmaßnahmen soll der Auftraggeber unterrichtet in geeigneter Weise unterrichtet werden.

9. Weitere Auftragsverarbeiter (Subdienstleister)

9.1 Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter als Subdienstleister hinsichtlich der Datenverarbeitung nach diesem Vertrag hinzuzuziehen. Die in ANLAGE 2 zu diesem Auftragsverarbeitungsvertrag aufgeführten Subdienstleister gelten mit Abschluss dieses Vertrags als genehmigt.

9.2 Änderungen bezüglich der aufgeführten Subunternehmer, insbesondere im Falls des Austauschs oder einer Neubeauftragung weiterer Auftragsverarbeiter, werden dem Auftraggeber im Voraus angezeigt. Der Auftraggeber kann Einspruch gegen die Beauftragung des vorgesehenen weiteren Auftragsverarbeiters nur aus wichtigem Grund erheben. Soweit der Auftraggeber nicht innerhalb von 3 Wochen nach Zugang der Benachrichtigung Einspruch erhebt, ist das Einspruchsrecht verwirkt. Liegt ein wichtiger Grund vor, der vom Auftragnehmer nicht durch zumutbare Anpassung des Auftrages oder in sonstiger zumutbarer Form beseitigt werden kann, ist jeder Vertragspartner berechtigt, die betroffene Leistungsvereinbarung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist zu kündigen, insbesondere wenn ihm die Fortsetzung des Vertragsverhältnisses bis zur vereinbarten Beendigung oder bis zum Ablauf einer Kündigungsfrist nicht zumutbar ist. Der Auftragsnehmer ist im Übrigen berechtigt, die vom Einspruch betroffenen Teilleistung, welche mittels Subdienstleister erbracht werden sollte, einzustellen.

9.3 Dem Subdienstleister müssen vertraglich dieselben Pflichten auferlegt werden, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.

9.4 Soll ein Subdienstleister in einem Drittland beauftragt werden, hat der Auftragnehmer sicherzustellen, dass die in Kapitel 5 DSGVO niedergelegten Bedingungen eingehalten werden. Dies kann insbesondere durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln erfolgen oder auf Grundlage eines Angemessenheitsbeschlusses der Kommission oder durch genehmigte Verhaltensregeln. Für die Erfüllung der Voraussetzungen des Ausnahmefalls nach Art. 49 DSGVO erklärt sich der Auftraggeber bereit, im erforderlichen Maße mitzuwirken.

9.5 Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

10. Dauer und Ende der Verarbeitung

10.1 Die Verarbeitungsdauer entspricht der Laufzeit des Hauptvertrages.

10.2 Nach Vertragsende werden die im Rahmen der Auftragsverarbeitung verarbeiteten Daten gelöscht bzw. Datenträger mit Daten zurückgegeben, sofern nicht eine gesetzliche oder vertragliche Aufbewahrungspflicht bzw. Aufbewahrungsrecht besteht.

10.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Daten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.

10.4 Die Vertraulichkeit wird über das Vertragsende hinaus bewahrt.

11. Nachweise, Überprüfung und Inspektion

11.1 Der Auftragnehmer stellt dem Auftraggeber auf dessen Anforderung hin alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag und des Art. 28 DSGVO zur Verfügung.

11.2 Der Auftraggeber ist im Rahmen der üblichen Geschäftszeiten zu Überprüfungen – einschließlich Inspektionen – auf eigene Kosten berechtigt, um sich über die Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu vergewissern. Die Kontrolle ist in der Regel im Voraus anzumelden, sofern nicht eine Kontrolle ohne vorherige Anmeldung erforderlich erscheint, weil andernfalls der Kontrollzweck gefährdet wäre. Die Maßnahmen sind ohne übermäßige Beeinträchtigung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers durchzuführen. Im Rahmen der Kontrolle gewährt der Auftragnehmer dem Auftraggeber alle notwendigen Auskunfts-, Einsichts- und Zugangsrechte. Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung bzw. Inspektion bzw. bezieht einen Dritten mit ein, so ist dieser schriftlich zur Verschwiegenheit und Geheimhaltung zu verpflichten, sofern der Dritte nicht einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen ist dem Auftragnehmer die Verpflichtungserklärung des Dritten nachzuweisen. Dritte, die unmittelbare Wettbewerber des Auftragnehmers sind oder mit solchen verbunden sind, dürfen nicht in die Überprüfungs- bzw. Inspektionsmaßnahmen einbezogen werden. Das Ergebnis der Überprüfung bzw. Inspektion wird dokumentiert und dem Auftragnehmer mitgeteilt.

11.3 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit - z.B. nach BSI-Grundschutz - („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der Vertragspflichten zu überzeugen.

12. Schlussbestimmungen

12.1 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.

12.1 Im Fall von Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag als auch sonstigen Vereinbarungen zwischen den Parteien gehen die Regelungen dieses Vertrags vor. Es sei denn, die einzelvertragliche Regelung ändert ausdrücklich diesen Auftragsverarbeitungsvertrag.

ANLAGE 1

Art der personenbezogenen Daten (Art. 4 Nr. 1, 13, 14 und 15 DSGVO)

• Personenstammdaten der Jobsuchenden, wie Name, Titel, akademischer Grad, Geburtstag, Telefonnummer, E-Mail-Adresse, Anrede
• die von den Bewerbern im Rahmen der Bewerbung übermittelten Bewerberdaten, wie Lebenslauf, Zeugnisse, Zertifikate, Referenzen, Bewerbungsfoto
• durch die Nutzung des Dashboards generierte Daten, wie z.B. Metadaten diese beinhalten u.a. Informationen darüber, wie viele Kandidaten sich beworben haben
• durch Interaktionen mit der Chat-Bewerbung generierte Daten, wie z.B. die Beantwortung von Fragen, die Kandidaten gestellt werden
• Personenstammdaten (z.B. Name, Jobtitel, E-Mail-Adresse, Telefonnummer, Geschäftsadresse) sowie Zugangsdaten (z.B. Username und Passwort) von Mitarbeitenden des Auftraggebers.
• Passwörter (verschlüsselt)
• Zugangskennung

Kategorien der betroffenen Personen (Art. 4 Nr. 1 DSGVO)

• Bewerber
• Mitarbeitende des Auftraggebers

ANLAGE 2

Technisch-organisatorische Maßnahmen (TOM)

schnelleStelle.de sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:

1. Maßnahmen zur Sicherung der Vertraulichkeit

1.1 Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren.

• Der zu schützende Bereich ist durch eine geeignete Bauweise abgesichert
• Alle möglichen Zugänge wurden gegen unbefugten Zugang gesichert
• Es gibt eine kontrollierte Schlüsselvergabe, Transponder, etc.
• Dokumentation der Schlüssel- und Transpondervergabe
• Türsicherung (elektronischer Türöffner, etc.)
• Verpflichtung der Mitarbeiter auf Datengeheimnis nach BDSG (insb. §5, §43)
• Passwortrichtlinien
• digitale Zertifikate
• Zwei-Faktor-Benutzeranmeldung (bei kritischen Services)
• Verschlüsselung der Kommunikation/Datenverarbeitung
• Aktuelle Nutzerverwaltung
• Verschlüsselung von Datenträgern in Laptops/ Notebooks
• Zuordnung von Benutzerrechten

1.2 Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.

• Verpflichtung der Mitarbeiter auf Datengeheimnis nach BDSG (insb. §5, §43)
• Berechtigungskonzepte (Profile, Rollen, etc.)
• Keine Serverspeicherung vor Ort (nur Cloud)
• Kennwortverfahren, d.h. persönlicher und individueller User Log-In bei Anmeldung am System (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennwortes)
• Es wird ein Passwort-Generator für Zufalls-Passwörter genutzt
• Die Übertragung der Authentisierungs-Geheimnisse über das Netz erfolgt verschlüsselt
• Zugriffspasswörter und/ oder Formulareingaben werden nicht auf dem Client oder in seiner Umgebung abgelegt (z.B. Speicherung im Browser oder Post-Its)
• Zugangsberechtigungen werden immer individuell (personenbezogen) vergeben
• Der Kreis der befugten Personen ist auf das betriebsnötig „Notwendigste“ reduziert
• Verwaltung der Rechte durch Systemadministrator
• Ausweisleser, kontrollierte Schlüsselvergabe, Chipkarte, etc.
• Türsicherung (elektronischer Türöffner, etc.)
• Manuelles Schließsystem
• Sicherheitsschlösser
• Zutrittskontroll-Systeme mit Chipkarten-Leser und Transponder-Schließsystem
• Begrenzung der Zahl der berechtigten Mitarbeiter
• Abkapselung von sensiblen Systemen durch getrennte Netzbereiche (da keine sensiblen Systeme vor Ort gehostet werden)
• Authentifizierungsverfahren
• Übermittlung von Daten über verschlüsselte Datennetze
• Passwortrichtlinien

1.3 Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Berechtigungskonzepte (Profile, Rollen, etc.)
• Zugangsberechtigungen werden immer individuell (personenbezogen) vergeben
• Verwaltung der Rechte durch Systemadministrator
• Der Kreis der befugten Personen ist auf das betriebsnötig „Notwendigste“ reduziert
• Anzahl der Administratoren auf das „Notwendigste“ beschränkt
• Für die Vergabe von Zugangsberechtigungen ist eine verantwortliche Person benannt
• Jeder Zugangsberechtigte kann nur auf die Daten zugreifen, die er zur auftragsgemäßen Bearbeitung des jeweils aktuellen Vorgangs konkret benötigt und die in dem individuellen Berechtigungsprofil eingerichtet sind.
• Berechtigungen sind an eine persönliche Benutzerkennung und an einen Account geknüpft.
• Automatische Bildschirmsperre / Mitarbeiter Policy
• Passwortrichtlinien
• Zuordnung von Benutzerrechten
• Protokollierung der Anmeldeversuche und Abbruch des Anmeldevorgangs nach festgelegter Zahl von erfolglosen Zahl von Versuchen (teils, soweit serviceseitig angeboten)
• Protokollierung von Zugriffen und Missbrauchsversuchen (teils, soweit serviceseitig angeboten)
• Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Siegel und/oder Zertifizierung)

1.4 Trennungsgebot

• Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.
• Softwareseitige Kundentrennung
• Trennung von Test- und Produktivsystemen
• Trennung in Development Server, Staging-Server, Production Server

1.5 Pseudonymisierung

Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.

• Generalisierung
• Verschlüsselung sensibler Daten, wenn in Datenbank gespeichert (z. B. Blowfish Encryption für gespeicherte Passwörter)
• Verwendung von HTTPS über die gesamte Seite und insbesondere sensitive Informationsübertragungen

2. Maßnahmen zur Sicherung der Integrität

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen, mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.

• Angemessene Funktionstrennung
• Vergabe von persönlichen Benutzerkonten
• Passwortrichtlinien
• Restriktive Vergabe von Administratorenrechten
• Restriktive Vergabe von Zugriffsrechten von Daten
• Deaktivierung von unbenutzten Benutzerkonten
• Personenbezogene Daten werden nur nach Weisung des Unternehmens verarbeitet
• Übermittlung von Daten über verschlüsselte Datennetze
• Die Datenübertragung zwischen Clients und Servern erfolgt verschlüsselt (z.B. SSL, SSH)
• Die Verbindung zu den Backendsystemen ist geschützt
• Verwaltung der Rechte durch Systemadministrator

3. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• Recovery und Backup-Konzepte
• Backups finden automatisiert regelmäßig statt
• Es wird regelmäßig überprüft, ob das Rückspielen eines Backups möglich ist (Datenwiederherstellung)
• Feuer- und Rauchmeldeanlagen
• Feuerlöschanlage/ Feuerlöschgeräte in bzw. vor in Elektronik-Räumen
• Keine Serverräume im Gebäude, alle Daten und Tools laufen über die Cloud

3.2 Rasche Wiederherstellbarkeit

Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

• Regelmäßige Tests der Datenwiederherstellung
• Recovery und Backup-Konzepte
• Backups finden automatisiert regelmäßig statt
• Es wird regelmäßig überprüft, ob das Rückspielen eines Backups möglich ist (Datenwiederherstellung)
• Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

4. Maßnahmen zur regelmässigen Evaluation der Sicherheit der Datenverarbeitung

Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.

• Datenschutzmanagement
• Datenschutzkonzept allgemein
• Löschkonzept
• Weisungen des Unternehmens werden dokumentiert
• formalisiertes Auftragsmanagement

5. Maßnahmen zur Gewährleistung der Zuverlässigkeit

Maßnahmen, die gewährleisten, dass alle Funktionen des/ der Systeme zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

• Verfügbarkeitsüberwachung relevanter Dienste
• Redundanzen von Systemen
• Systemüberwachung
• Monitoring per automatisiertem Netzwerk Management System (NMS)
• Backup-Pläne
• Nutzung von Test-/Staging-Systemen
• Nutzung eines Versionsmanagementsystems
• Alerts

6. Maßnahmen zur Gewährleistung der Zweckgebundenheit

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.

• Datenschutzkonzept
• Berechtigungskonzepte (Profile, Rollen, etc.) und deren Dokumentation
• Festlegung von Datenbankrechten
• Bildung von Datenkategorien mit verschiedenen Speicherplätzen
• Internes Zweckbindungskonzept
• Zugriffskonzepte
• Isolierung von Datenbeständen, Systemen (bspw. UAT, Staging und Produktion) und Prozessen
• Physikalische Trennung von Datenkategorien
• Trennung besonders sensibler Daten

ANLAGE 3

Unterauftragnehmer

• DigitalOcean
  Cloud Service | USA
• Amazon Web Services Europe
  Cloud Service | Luxemburg
• Google Europe
  Cloud Service | Irland
• Sentry (Functional Software Inc.)
  Performance Monitoring | USA
• Slack
  Team Communication intern | USA
• Rapidmail
  E-Mail-Marketing | Deutschland
• Sipgate
  Phone Service | Deutschland
• Odoo
  Customer Relationship Management | Belgien
• Github
  Software Development Platform | USA