Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

Version 1.4

Vereinbarung zwischen dem/der

Verantwortlicher – nachstehend Kunde genannt, der dieser Vereinbarung zustimmt –

und dem/der

Auftragsverarbeiter – TimeTac GmbH, Schmiedgasse 31, 8010 Graz, Austria – nachstehend Anbieter genannt.

§ 1. Gegenstand und Dauer der Vereinbarung

(1) Gegenstand

Gegenstand der Vereinbarung ist der Austausch von Daten für die Bereitstellung von Leistungen. Diese Leistungen ergeben sich aus den Allgemeinen Geschäftsbedingungen, die zum Zeitpunkt der Bestätigung dieser Vereinbarung gelten, aus der Produktbeschreibung auf der Website www.timetac.com und – sofern vorhanden – einem unterzeichnetem Angebot (im Folgenden zusammenfassend als „Leistungsvereinbarung” bezeichnet). Die Leistungsvereinbarung wird nur anfänglich durch diese Vereinbarung festgelegt und kann vom Kunden danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Anbieter bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Leistungsvereinbarungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

(2) Dauer

Die Dauer dieser Vereinbarung entspricht der Dauer der Leistungsvereinbarung. Die Kündigung dieser Vereinbarung entspricht einer Kündigung der Leistungsvereinbarung.

§ 2. Konkretisierung des Vereinbarungsinhalts

(1) Art und Zweck der vorgesehenen Verarbeitung von Daten

Die Art und der Zweck der Verarbeitung von personenbezogenen Daten des Anbieters für den Kunden sind präzise in den jeweils gültig vereinbarten Allgemeinen Geschäftsbedingungen definiert.

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verarbeitung in einem Land, das nicht der Europäischen Union oder dem Europäischen Wirtschaftsraum angehört, bedarf der vorherigen Zustimmung des Kunden und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Das angemessene Schutzniveau des Drittlandes gemäß § 7 wird entweder durch die Europäische Kommission (Artikel 45 Absatz 3 DS-GVO) oder einen anerkannten Zertifizierungs-Mechanismus festgestellt (Artikel 46 Absatz 2 Punkt f in Verbindung mit Artikel 42 DS-GVO).

(2) Art der Daten

Die Arten der personenbezogenen Daten, die verarbeitet werden, sind präzise in Anhang 1 dieser Vereinbarung.

(3) Kategorien betroffener Personen

Die Kategorien der betroffenen Personen sind präzise in Anhang 1 dieser Vereinbarung definiert.

§ 3. Technisch-organisatorische Maßnahmen

(1) Der Anbieter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, zu dokumentieren und dem Kunden zur Prüfung zu übergeben. Bei Akzeptanz durch den Kunden werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Kunden einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(2) Der Anbieter hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen Einzelheiten in Anhang 2.

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Anbieter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

§ 4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Anbieter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Kunden berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Anbieter wendet, wird der Anbieter dieses Ersuchen unverzüglich an den Kunden weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Kunden unmittelbar durch den Anbieter sicherzustellen.

§ 5. Pflichten des Kunden

(1) Der Kunde ist Besitzer der Kundendaten und Inhaber aller Rechte betreffend diesen Kundendaten und ist berechtigt, dem Anbieter die Daten zur Durchführung dieses Vertrags zu überlassen.

(2) Der Kunde ist für die Rechtmäßigkeit der Verarbeitung der betroffenen Personen, sowie Aufrechterhaltung der Rechte der betroffenen Personen verantwortlich.

(3) Der Kunde ist dafür verantwortlich Aufzeichnungen in Bezug auf nationale Gesetze, oder Gesetze von Mitgliedstaaten, zu führen. Der Anbieter ist nicht haftbar für die Vollständigkeit der Daten oder die Aufrechterhaltung von Regulationen und Gesetzen, sofern diese ausschließlich den Kunden betreffen.

§ 6. Qualitätssicherung und sonstige Pflichten des Anbieters

Der Anbieter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DS-GVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind auf der Webseite des Anbieters leicht zugänglich hinterlegt.

b) Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Anbieter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Anbieter und jede dem Anbieter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Kunden verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO (Einzelheiten in Anlage 2).

d) Der Kunde und der Anbieter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

e) Die unverzügliche Information des Kunden über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Anbieter ermittelt.

f) Soweit der Kunde seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Anbieter ausgesetzt ist, hat ihn der Anbieter nach besten Kräften zu unterstützen.

g) Der Anbieter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Kunden im Rahmen seiner Kontrollbefugnisse nach Ziffer 8 dieses Vertrages.

§ 7. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Anbieter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Anbieter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Kunden auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Soweit eine Datenverarbeitung durch einen Unteranbieter nach diesem Vertrag zulässigerweise außerhalb eines Mitgliedstaats der Europäischen Union oder außerhalb eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum stattfindet, stellt der Anbieter sicher, dass diese nach aktuellen Standards derart hoch verschlüsselt werden, dass diese mit dem Einsatz vernünftiger technischer Mittel durch andere Personen als dem Anbieter nicht gelesen werden können.

(2) Der Anbieter darf Unteranbieter (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Kunden beauftragen. Der Kunde stimmt der Beauftragung der nachfolgenden Unteranbieter zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO:

Firma Adresse Erbrachte Leistung und Zweck Datenkategorien
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Germany Hosting Alle Arten personenbezogener Daten gemäß Anlage 1 dieser Vereinbarung.
Mailjet SAS 13-13 bis, rue de l’Aubrac – 75012 Paris, France Transaktions E-Mails Name, Kontaktinformationen, Anstellungsinformationen und Anstellungsorganisation gemäß Anlage 1 dieser Vereinbarung. Nicht zutreffend, wenn Kunde eigene Mailsysteme für den Versand zur Verfügung stellt.
Google Cloud EMEA Ltd 70 Sir John Rogerson’s Quay, D02 R296, Dublin 2, Dublin, Ireland Verschlüsseltes Backup (Hosting in der EU) Alle Arten personenbezogener Daten gemäß Anlage 1 dieser Vereinbarung. Die Ablage des Backups erfolgt gemäß Anlage 2, Integrität (Verschlüsselung)
Zoho Coorporation B.V. Hoogoorddreef 15, 1101BA Amsterdam, Netherlands Rechnungsstellung Rechnungsanschrift des Kunden
mgIT GmbH Kratkystraße 2, 8020 Graz, Austria System Architektur Administration Alle Arten personenbezogener Daten gemäß Anlage 1 dieser Vereinbarung

Der Wechsel des bestehenden Unteranbieters ist zulässig, soweit:

  • der Anbieter eine solche Auslagerung auf Unteranbieter dem Kunden eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
  • der Kunde nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Anbieter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
  • eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.

(3) Die Weitergabe von personenbezogenen Daten des Kunden an den Unteranbieter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(4) Erbringt der Unteranbieter die vereinbarte Leistung außerhalb der EU/des EWR stellt der Anbieter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(5) Eine weitere Auslagerung durch den Unteranbieter bedarf der ausdrücklichen Zustimmung des Kunden (mind. Textform);

§ 8. Kontrollrechte des Kunden

(1) Der Kunde hat das Recht, nach vorheriger Abstimmung mit dem Anbieter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer auf eigene Kosten durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die beim Anbieter rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Anbieter in dessen Geschäftsbetrieb zu überzeugen.

(2) Der Anbieter stellt sicher, dass sich der Kunde von der Einhaltung der Pflichten des Anbieters nach Art. 28 DS-GVO überzeugen kann. Der Anbieter verpflichtet sich, dem Kunden auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3) Bei Ausübung der Rechte gemäß diesem Punkt hat der Kunde möglichst schonend vorzugehen und darf insbesondere den Geschäftsbetrieb des Anbieters nicht beeinträchtigen, andernfalls dem Kunden angemessene Verwaltungskosten in Rechnung gestellt werden können. Jegliche Prüfmaßnahmen, die über den notwendigen Rahmen zur Einhaltung von Art. 28 DSGVO hinausgehen, werden vom Anbieter jedenfalls in Rechnung gestellt.

§ 9. Mitteilung bei Verstößen des Anbieters

(1) Der Anbieter unterstützt den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutzfolgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.:

  1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
  2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Kunden zu melden;
  3. die Verpflichtung, dem Kunden im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
  4. die Unterstützung des Kunden für dessen Datenschutz-Folgenabschätzung;
  5. die Unterstützung des Kunden im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten, nicht auf ein Fehlverhalten des Anbieters zurückzuführen oder nicht im Rahmen der Einhaltung der DSGVO notwendig sind, kann der Anbieter eine Vergütung beanspruchen.

§ 10. Weisungsbefugnis des Kunden

(1) Der Kunde muss alle Instruktionen in Textform mitteilen.

(2) Der Anbieter hat den Kunden unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung Verstöße gegen Datenschutzvorschriften. Der Anbieter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird.

§ 11. Kopieren, Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Bis zu 30 Tagen nach der Kündigung dieser Vereinbarung kann der Kunde verlangen, seine Daten retourniert zu bekommen (in dem Ausmaß, das noch nicht vom Kunden gelöscht wurde). Der Anbieter wird den Kunden darauf hinweisen. Die Daten werden in einem allgemein verwendeten und offenen Dateiformat bereitgestellt. Solche Forderungen müssen an datenschutz@timetac.com gerichtet werden. 30 Tage nach der Kündigung dieser Vereinbarung löscht der Anbieter sämtliche Kundendaten (einschließlich Kopien) in seinem Besitz oder unter seiner Kontrolle, außer der Anbieter untersteht einem Gesetz der Europäischen Union oder eines Mitgliedstaates zur Aufbewahrung eines Teils oder der gesamten Kundendaten. Das Protokoll der Zerstörung der Löschung wird nach Aufforderung bereitgestellt.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Anbieter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Kunde übergeben.

§ 12. Verhältnis zu den Allgemeinen Geschäftsbedingungen

Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen der Leistungsvereinbarung. Im Fall von Widersprüchen zwischen dieser Vereinbarung und Regelungen aus sonstigen Vereinbarungen, insbesondere aus der Leistungsvereinbarung, gehen die Regelungen aus dieser Vereinbarung vor.

§ 13. Gültigkeit dieser Vereinbarung

Die Annahme dieser Vereinbarung darf nur durch vertretungsberechtigte Personen des Kunden erfolgen.

Diese Vereinbarung ist ab elektronischer oder schriftlicher Bestätigung gültig. Diese Vereinbarung orientiert sich an der DS-GVO und ist deshalb ab 25. Mai 2018 gültig.

Änderungen und Ergänzungen dieser Vereinbarung bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform, menschenlesbar) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

Anlage 1 – Datenverarbeitung

Kategorien von betroffenen Personen

Mitarbeiter, Unterbeauftragte, Vertreter, Kunden und andere betroffene Personen auf Seiten des Kunden, die Zugriff auf TimeTac Systeme haben und diese nutzen sollen, gesamt als „Nutzer” bekannt.

Arten personenbezogener Daten

Kategorie Daten
Name Vorname*, Nachname*
Nutzer Identifikation Nutzername*, Nutzer Identifikationsnummer*, Transponder Identifikationsnummer1
Elektronische Identifikationsdaten IP Adresse*, Session Identifikations Cookies*
Bilder Profilbild2
Persönliche Details Alter2, Geburtsdatum2
Kontaktinformationen E-Mail Adresse2, Skype Nutzername2, Telefonnummer2, Kontaktadresse und Land2
Lokalisierungsdaten GeoLocation/GPS Daten3
Biometrische Daten Fingerabdruck4
Sozialversicherung Sozialversicherungsnummer2
Gesundheitsdaten Registerdaten zum Status und der Immunisierung gegen anzeigepflichtige Krankheiten6
Anstellungsinformationen Firmenname*, Rolle2, Einstellungsdatum2, Personalnummer2, Arbeitsstelle2, Firmentype2, Austrittsdatum2, Arbeitszeitaufzeichnungen2, Abwesenheitsaufzeichnungen und Gründe für die Abwesenheiten5
Anstellungsorganisation Abteilungszugehörigkeit2, Teamzugehörigkeit2, Abteilungs/Teamverantwortlichkeiten2, Projekte2, Verrechenbare Stunden2, Einnahmen/Ausgaben pro Stunde2
vom Kunden eingegebenen Daten Dies deckt alle anderen persönlichen Daten ab, die der Kunde in die benutzerdefinierten Freitextfelder eintragen kann.

Daten markiert mit „*” sind zwingend notwendig.

1Optional bei Verwendung eines Terminals mit Transponder Funktion.

2Optionale Daten welche nur verarbeitet werden, sofern der Kunde die Daten in der Software des Anbieters zur Verfügung stellt.

3Optional bei Verwendung der nativen Apps. Der Benutzer hat in der App die Möglichkeit, die Verarbeitung der Daten zu widersprechen. Kann im Account deaktiviert werden, sodass nie GPS-Daten verarbeitet werden.

4Optional bei Verwendung eines Terminals mit Biometrischer Funktion. Auf Wunsch des Kunden kann der Anbieter auf binäre Fingerabdruckdaten via Fernverbindung zugreifen und diese dann auf ein anderes Gerät des Kunden transferieren.

5Optional bei Verwendung des Produktes Urlaubsverwaltung.

6Optional bei Verwendung von TimeTac Health

Anlage 2 – Technisch-organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Zutrittskontrolle
    • Kein unerlaubter Zutritt zu den Räumlichkeiten
    • Zutrittskontrollsysteme. Aufzeichnungen zu Ankunft und Verlassen der Räumlichkeiten seitens der Mitarbeiter werden geführt. Der Zutritt wird ausschließlich Mitarbeitern gewährt. Bei Austritt des Mitarbeiters wird der Zutritt aberkannt.
    • Besucherlog; Nicht registrierte Besucher dürfen den Empfangsbereich nicht verlassen und müssen betreut bzw. überwacht werden., Begleitung von Besuchern in den Räumlichkeiten; Besucher dürfen in den Räumlichkeiten nicht unbeaufsichtigt gelassen werden.
    • Branddetektoren in jedem Raum; diese sind direkt mit dem Kontrollzentrum des Gebäudes und mit der Feuerwehr verbunden.
  • Zugangskontrolle
    • Keine unbefugte Systembenutzung; der Zugang wird durch Authentifizierungsmechanismen eingeschränkt.
    • Passwortrichtlinien; Vorgabe von minimaler Länge, minimale Komplexität, jedoch sind in der Software des Anbieters die Passwortrichtlinien vom Kunden selbst zu konfigurieren.
    • Zwei-Faktor-Authentifizierung wird wo verfügbar eingesetzt
    • Absperrmechanismen für Arbeitsplätze; “Clean desk policy” und automatische Sperrung nach einer durchgängigen Inaktivität von bestimmter Dauer
    • Verschlüsselung von Datenträgern; Verschlüsselung als Voraussetzung bei Neuanschaffung. Unverschlüsselte Datenträger dürfen die Räumlichkeiten nicht verlassen.
    • Private/Public Keys für alle Serverzugänge
  • Zugriffskontrolle
    • Kein unbefugtes Lesen, Kopieren, Verändern oder Löschen von Daten; Tätigkeiten werden aufgezeichnet und überprüft. Mitarbeiter werden zu Berechtigungen geschult.
    • Berechtigungskonzepte. Mitarbeiter erhalten eingeschränkten Zugriff gemäß den definierten Tätigkeiten.
    • Bedarfsgerechte und Rollen-basiertes Zugriffsrechte. Mitarbeitern wird ausschließlich Zugriff zu Ressourcen gewährt, wenn dies im Rahmer der erwarteten Tätigkeiten notwendig ist.
    • Protokollierung von Zugriffen und Events; wie beispielsweise Einloggen, Ausloggen, Veränderungen, Löschungen.
  • Trennungskontrolle
    • Trennung von Kundenaccounts in den Datenbanken
    • Trennung von Kundendaten innerhalb eines Accounts in Datenbanktabellen
    • Getrennte Umgebungen für Entwicklung, Staging und Production
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
    • Pseudonymisierung der Userdaten

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

  • Weitergabekontrolle
    • Datentransfer wird nach Art. 30 DS-GVO aufgezeichnet, vom Datenschutzbeauftragten kontrolliert und geprüft.
    • Kein unerlaubtes Lesen, Kopieren, Ändern oder Löschen der Daten
    • Wechseldatenträger Bestimmungen, mit Verwendungsprotokollierung von Mitarbeitern
    • Separates WLAN für Besucher
    • Firewall zum Schutz des Datenverkehrs und der Endgeräte im Netzwerk
  • Eingabekontrolle
    • Protokollierung, ob, von wem und zu welchem Zeitpunkt persönliche Daten in das Datenverarbeitungssystem hinzugefügt, geändert, gelöscht bzw gelesen wurden.
    • Zugangsprotokoll der Zugangsversuche inkl. IP-Adressen und Benutzernamen
    • Accountprotokoll, wie z.B. Request-Logs
    • Nutzerrechte und -rollen in der Software des Anbieters um unbefugte Manipulation zu verhindern
  • Verschlüsselung
    • Rest: Luks Volume Verschlüsselung mit AES XTS Plain64, mit der Schlüssellänge 512 und SHA512
    • Transfer: Schlüssel – RSA 4096 bit. Signature Algorithm SHA-256 mit RSA Verschlüsselung
    • Backups: AE256-GCM Verschlüsselung auf dem Anwendungsservers vor dem Upload
  • Einhaltung beim Mitarbeiter
    • Datenschutz-Training mit regelmäßigen Überprüfungen
    • Verpflichtungserklärung zum Datengeheimnis bei der Bearbeitung von Daten und den damit verbundenen Verantwortungen
    • IT Sicherheitsbestimmungen
    • Mitarbeiter onboarding/offboarding Prozesse

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Mehrere Datenzentren, erhöhte Redundanz
  • Externe Backup Bestimmungen, Backups werden in einem anderen Datenzentrum gespeichert. Aufbehaltedauer:
    • Tägliche Backups: 2 Monate
    • Wöchentliche Backups (Sonntag): 12 Monate
    • Monatliche Backups (Letzter des Monats): aktuelle plus vorangehendes Jahr
    • Jährliche Backups (31.12.): 7 Jahre
  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
  • Statusseite für Transparenz betreffend Verfügbarkeit von Services
  • Penetrationstests
  • Notfallwiederherstellungsplan

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

  • Datenschutz-Management einschließlich regelmäßiger Mitarbeiter-Schulungen: Die Geschäftsführung des Anbieters unterstützt den Datenschutzbeauftragten bei der Wahrnehmung seiner Tätigkeit. Sie stellt alle erforderlichen Informationen und Mittel zur Umsetzung von Maßnahmen zur Verfügung, um eine dem datenschutzkonforme Gestaltung der Technik und Organisation sicherzustellen. Alle Mitarbeiter des Anbieters sind verpflichtet, die Sicherheit von Informationen und Informationssystemen, auf die sie Zugriff haben, zu wahren und aktiv zu fördern. Schulungen der Mitarbeiter erfolgen durch den Datenschutzbeauftragten des Anbieters.
  • Incident-Response-Management: Ziel ist die Wiederherstellung des definierten Betriebszustands eines IT-Services für den Kunden im Rahmen der vereinbarten Servicequalität, um die Minimierung der Beeinträchtigung der Geschäftsprozesse zu erreichen. Sobald das Incident Management die Einhaltung der Service Levels gefährdet sieht, erfolgt eine Eskalation. Innerhalb der IT-Organisation bildet das Incident Management die Schnittstelle zu anderen IT-Servicebereichen (z. B. Problem, Change, Configuration, Release . . .). Meist werden neben Störungen auch andere Kundenanfragen (Service Requests) der Anwender über das Service Desk erfasst, erste Hilfestellung geleistet und gegebenenfalls die weitere Bearbeitung in den nachgelagerten Supporteinheiten koordiniert.
  • Datenschutz aufgrund Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO): In der Planungsphase zur Beschaffung einer neuen oder Änderung einer bestehenden Datenanwendung wir ein unternehmensinterner Anforderungskatalog erstellt. Der Datenschutzbeauftragte prüft aufgrund des Anforderungskatalogs im Vorfeld die Rechtmäßigkeit der vorgesehenen Datenverarbeitung. Er definiert unter den Gesichtspunkten Datenvermeidung und Datensparsamkeit die Anforderungen für eine datenschutzkonforme Gestaltung der Datenanwendung sowie die technischen und organisatorischen Voraussetzungen.
  • Auftragskontrolle der Unterauftragsverhältnisse: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Verantwortlichen, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen.