main logo stazzle

Auftragsverarbeitungsvereinbarung (AVV)

gemäß Art 28 Abs 3 EU-DSGVO

Diese Vereinbarung bildet eine Ergänzung zu den Nutzungsbedingungen (nachfolgend „Hauptvertrag“) und wird zwischen der HR Software Solutions GmbH, ansässig im Adenauerplatz 1, 33602 Bielefeld (im Folgenden: „Auftragsverarbeiter“) und dem Kunden des Produkts stazzle (im Folgenden: „Verantwortlicher“; beide Parteien gemeinsam nachfolgend „Vertragsparteien“) geschlossen.

Präambel

Mit dem Abschluss dieser Vereinbarung gehen die Vertragsparteien ein Auftragsverarbeitungsverhältnis ein. In dieser Vereinbarung gelten die entsprechenden Begriffsdefinitionen der DSGVO (Datenschutz- Grundverordnung – Verordnung (EU) 2016/679). Wenn daher in diesem Vertragswerk etwa der Begriff „Daten“ verwendet wird, dann sind damit „personenbezogene Daten“ im Sinne der DSGVO gemeint. Falls sich diese Vereinbarung und der Hauptvertrag bezüglich der Verarbeitung von personenbezogenen Daten widersprechen, geht diese Vereinbarung im Zweifel dem Hauptvertrag vor.

§1 Vertragsgegenstand und Dauer des Vertrages

  1. Dieser Vertrag findet Anwendung auf all jene Verarbeitungen personenbezogener Daten, die sich aus dem Hauptvertrag zwischen den Vertragsparteien ergeben, sofern der Auftragsverarbeiter diese personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.
  2. Der Auftragsverarbeitungsvertrag tritt ab dem Zeitpunkt der Unterfertigung durch beide Parteien in Kraft. Er gilt akzessorisch zum Hauptvertrag und bleibt jedenfalls für die Dauer der datenschutzrechtlich relevanten Leistungserbringung aus dem Hauptvertrag in Geltung. Bei vollständigem Wegfall des Hauptvertrages erlischt auch diese Vereinbarung automatisch. Es bedarf in diesem Fall keiner gesonderten Kündigung.
  3. Dieser Vertrag und somit das gesamte Auftragsverarbeitungsverhältnis kann von den Vertragsparteien zu jeder Zeit ohne Einhaltung einer Frist aufgekündigt werden, wenn die jeweils andere Partei schwerwiegend gegen diese Vereinbarung oder das einschlägige Datenschutzrecht verstößt.
    Solch ein schwerwiegender Verstoß ist etwa dann gegeben, wenn der Auftragsverarbeiter die Pflichten, die sich aus dieser Vereinbarung und aus dem Art 28 DSGVO ergeben, nicht einhält. Weiters kann der Verantwortliche fristlos kündigen, wenn der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht befolgt, wenn der Auftragsverarbeiter die vertragsmäßig festgelegten Kontrollrechte des Verantwortlichen verweigert oder wenn der Auftragsverarbeiter zwingend notwendige oder vereinbarte Sicherheitsmaßnahmen unterlässt.

§2 Art und Zweck der Verarbeitung

  1. Die personenbezogenen Daten, die vom Verantwortlichen zur Verfügung gestellt werden, verarbeitet der Auftragsverarbeiter ausschließlich zur Erfüllung seiner vertraglichen Pflichten aus dem Hauptvertrag. Die Verarbeitung erfolgt daher aufgrund des Hauptvertrages, dieser Vereinbarung oder gemäß einer Weisung des Verantwortlichen. Dem Auftragsverarbeiter ist es untersagt personenbezogene Daten für eigene oder fremde Zwecke zu verarbeiten oder personenbezogene Daten, ohne vorherige schriftliche Weisung des Verantwortlichen an Dritte weiterzugeben. Die Duplizierung oder Kopie von personenbezogenen Daten durch den Auftragsverarbeiter ist nur so weit erlaubt, als diese im Vorhinein durch den Verantwortlichen genehmigt wurde oder diese für die Sicherstellung der ordnungsgemäßen Datenverarbeitung (Kopie zur Sicherung) oder zur Einhaltung gesetzlicher Pflichten (z.B. gesetzliche Aufbewahrungspflichten) unbedingt notwendig ist.
  2. Die konkreten Verarbeitungsarten (Art 4 Z 2 DSGVO) und Zwecke der Verarbeitung des Auftragsverarbeiters sind dem Hauptvertrag zu entnehmen.

§3 Art der personenbezogenen Daten, Kategorien betroffener Personen

Die durch den Auftragsverarbeiter verarbeiteten Arten personenbezogener Daten sowie die Kategorien der betroffenen Personen finden sich in Anhang 1. Der Anhang 1 stellt einen Teil dieser Vereinbarung dar.

§4 Rechte und Pflichten des Verantwortlichen

  1. Dem Verantwortlichen obliegt allein die Entscheidung über die Mittel und Zwecke der Verarbeitung von den von ihm zur Verfügung gestellten personenbezogenen Daten.
  2. Der Verantwortliche verpflichtet sich die EU-rechtlichen und nationalen Datenschutzbestimmungen sowie diese Vereinbarung einzuhalten. Er ist insbesondere dafür verantwortlich, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Art 6 DSGVO) zu beurteilen und dass die Rechte der betroffenen Personen gemäß den Art 12 – 22 DSGVO gewahrt werden. Gleichzeitig obliegt die Entscheidung über die Beantwortung einer Anfrage einer betroffenen Person bezüglich ihrer Betroffenenrechte ausschließlich dem Verantwortlichen und die entsprechende Kommunikation erfolgt nur durch diesen.
  3. Der Verantwortliche ist berechtigt dem Auftragsverarbeiter Weisungen und Aufträge bezüglich Art und Umfang der Verarbeitung personenbezogener Daten zu erteilen.
  4. Diese Aufträge und Weisungen sind durch den Verantwortlichen grundsätzlich auf eine dokumentierte und schriftliche oder elektronische Weise zu erteilen. Wenn Weisungen mündlich erteilt werden, sind diese schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

    Unter einer Weisung versteht dieses Vertragswerk eine Anordnung an den Auftragsverarbeiter bezüglich des Umgangs mit personenbezogenen Daten.
  5. Datenträger oder Datensätze, die der Verantwortliche dem Auftragsverarbeiter überlässt, verbleiben im Eigentum des Verantwortlichen. Der Verantwortliche ist jederzeit berechtigt dem Auftragsverarbeiter die Löschung, Berichtigung, Herausgabe, Anpassung oder Einschränkung der Datenverarbeitung anzuordnen.
  6. Der Verantwortliche meldet dem Auftragsverarbeiter unverzüglich Fehler und Auffälligkeiten, die ihm an Ergebnissen der Auftragsverarbeitung auffallen.
    Der Verantwortliche ist verpflichtet den Auftragsverarbeiter unverzüglich zu verständigen, wenn es zu einem Wechsel des Datenschutzbeauftragten kommt.

§5 Pflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur aufgrund der dokumentierten Weisung des Verantwortlichen, sofern der Auftragsverarbeiter nicht durch das Recht der Union oder der Mitgliedstaaten hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
  2. Der Auftragsverarbeiter ist verpflichtet personenbezogene Daten zu löschen, zu berichtigen, herauszugeben, anzupassen oder einzuschränken, wenn dies vom Verantwortlichen angeordnet wird.
  3. Der Auftragsverarbeiter hat zu gewährleisten, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  4. Der Auftragsverarbeiter verpflichtet sich alle technischen und organisatorischen Maßnahmen (TOMs) im Sinne des Art 32 DSGVO, die für die Sicherheit der Verarbeitung von personenbezogenen Daten erforderlich sind, zu ergreifen. Die durch den Auftragsverarbeiter gesetzten TOMs sind im Anhang 2 näher beschrieben. Der Anhang 2 stellt einen Teil dieser Vereinbarung dar.
  5. Der Verantwortliche erklärt sich mit den im Anhang 3 gelisteten weiteren Auftragsverarbeitern (nachfolgend „Sub-Auftragsverarbeiter) einverstanden. Diese gelisteten Sub-Auftragsverarbeiter sind zur Erfüllung des Hauptvertrages erforderlich. Ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung nimmt der Auftragsverarbeiter keine weiteren Auftragsverarbeiter in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Sub-Auftragsverarbeiter zu informieren. Der Verantwortliche hat dann die Möglichkeit gegen die Änderung innerhalb einer angemessenen Frist Einspruch zu erheben.
  6. Mit beauftragten Sub-Auftragsverarbeitern wird durch den Auftragsverarbeiter eine vertragliche Vereinbarung geschlossen, die zumindest das gleiche Datenschutzniveau wie dieser Vertrag zwischen dem Verantwortlichen und Auftragsverarbeiter gewährleistet. Dabei werden alle gesetzlichen und vertraglichen Vorgaben berücksichtigt, insbesondere die technischen und organisatorischen Maßnahmen gemäß Art 32 DSGVO.

    Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

    Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. Bei der Beauftragung der im Anhang 3 aufgelisteten Subunternehmen wurden die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.
  7. Verstößt ein Sub-Auftragsverarbeiter gegen seine datenschutzrechtlichen Pflichten, haftet der Auftragsverarbeiter dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters. Der Verantwortliche kann im Falle eines Verstoßes gegen datenschutzrechtliche Pflichten durch den Sub- Auftragsverarbeiter den Auftragsverarbeiter anweisen die Beschäftigung des Sub-Auftragsverarbeiters ganz oder teilweise zu beenden.
  8. Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit, damit dieser die Rechte der betroffenen Person nach Kapitel III der DSGVO innerhalb der gesetzlichen Fristen erfüllen kann. Dafür ergreift der Auftragsverarbeiter technische und organisatorische Maßnahmen. Wird ein Antrag irrtümlicherweise an den Auftragsverarbeiter gestellt und ist es ersichtlich, dass er eigentlich an den Verantwortlichen gestellt werden hätte sollen, so leitet der Auftragsverarbeiter den Antrag unverzüglich an den Verantwortlichen weiter und benachrichtigt diesen auch.
  9. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der in Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgenabschätzung, vorherige Konsultation der Aufsichtsbehörde).
  10. Der Auftragsverarbeiter verpflichtet sich nach Erbringung der Verarbeitungsleistungen oder davor nach Anordnung des Verantwortlichen, spätestens mit Beendigung des Hauptvertrages alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben und vorhandene Kopien zu löschen.

    Der Auftragsverarbeiter ist berechtigt Dokumentationen, unter Berücksichtigung der einschlägigen Aufbewahrungsfristen, für den Nachweis der auftrags- und ordnungsgemäßen Datenvereinbarung auch nach Beendigung des Vertragsverhältnisses aufzubewahren.
  11. Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Verantwortliche selbst oder durch Dritte Überprüfungen und Inspektionen bezüglich der Einhaltung der Vorschriften über Datenschutz und Datensicherheit beim Auftragsverarbeiter durchführt. Der Auftragsverarbeiter stellt alle dafür erforderlichen Informationen zur Verfügung und wirkt unterstützend mit. Der Verantwortliche hat für diese Überprüfungen und Inspektionen grundsätzlich einen Termin zu vereinbaren. Der Verantwortliche darf seine Kontrollrechte nur in einem angemessenen und erforderlichen Umfang ausüben.
  12. Der Auftragsverarbeiter informiert den Verantwortlichen umgehend, wenn es zu schwerwiegenden Störungen des Betriebsablaufes kommt, wenn er der Ansicht ist, dass eine Weisung gegen gesetzliche Datenschutzbestimmungen verstößt, es zu Verstößen durch Mitarbeiter oder Sub-Auftragsverarbeiter kommt oder wenn sich Unregelmäßigkeiten im Zuge der Verarbeitung der Daten des Verantwortlichen ergeben. Der Auftragsverarbeiter kann die Durchführung von Weisungen, die gegen gesetzliche Datenschutzbestimmungen verstoßen, aussetzen, bis sie durch den Verantwortlichen bestätigt oder abgeändert wurden.

§6 Vertraulichkeit

Die Vertragsparteien verpflichten sich, alle Kenntnisse von betriebsinternen Geheimnissen oder datenschutzrechtlicher Sicherheitsmaßnahmen der jeweils anderen Vertragspartei vertraulich zu behandeln und nicht an Dritte weiterzugeben. Diese Verpflichtung gilt auch nach Beendigung des Vertrages weiterhin.

§7 Schriftlichkeit bei Änderungen

Jegliche Änderungen oder Ergänzungen dieser Vereinbarung bedürfen für Ihre Wirksamkeit der Schriftform. Dies gilt auch für Änderungen dieser Schriftformklausel.

§8 Haftung

Etwaige im Hauptvertrag geregelten Haftungsprivilegierungen finden auf diese Vereinbarung keine Anwendung. Für nachteilige Folgen von Verletzungen datenschutzrechtlicher Pflichten im Rahmen des vertraglich und gesetzlich bestimmten eigenen Verantwortungsbereichs haftet jede Vertragspartei im Innenverhältnis allein und uneingeschränkt. In diesem Zusammenhang verpflichten sich sowohl der Verantwortliche als auch der Auftragsverarbeiter den jeweils anderen bei einer Inanspruchnahme durch Dritte vollumfänglich schadens- und klaglos zu halten.

Davon sind insbesondere auch behördliche Geldbußen umfasst, die über eine Vertragspartei aufgrund des der anderen Vertragspartei zuzurechnenden Verhaltens verhängt wurden.

§9 Rechtswahl und Gerichtsstand

Diese Vereinbarung unterliegt deutschem Recht sowie dem sachlich relevanten Unionsrecht, insbesondere der DSGVO. Ausschließlicher Gerichtsstand ist der Sitz der Gesellschaft.

§10 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages undurchführbar oder unwirksam sein, wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt.

Anhang 1: Datenverarbeitungsspezifikationen

Anhang 2: Technisch organisatorische Maßnahmen (Art 32 Abs 1 DSGVO)

Anhang 3: Subunternehmen (weitere Auftragsverarbeiter)


Anhang 1: Datenverarbeitungsspezifikationen

Begriffserklärungen zur Art der Datenverarbeitung

Art der DatenBeschreibung zur Datenverarbeitung
BildaufzeichnungenFilme, Fotografien, Videoaufzeichnungen, digitale Fotos
BenutzerkontenAnmeldedaten, Passwörter, Nutzername
Persönliche IdentifikationsdatenName, Titel, (private und berufliche) Adresse, frühere Adressen, (private, berufliche) Telefonnummer, von der für die Verarbeitung verantwortliche Person zugeteilte Kennnummern
InhaltsdatenTexte, Zeitpunkte von Zugriffen oder Änderungen
BerufsqualifikationBerufliche Abschlüsse und Ausbildungen, spezielle Lizenzen (Piloten, …)
Berufliche TätigkeitenArt der von der betroffenen Person genutzten bzw. gelieferten Tätigkeiten, Güter oder Dienstleistungen, Geschäftskontakte
BerufserfahrungBerufliche Interessen, Forschungsinteressen, Studieninteressen, Spezialisierungsthemen, Unterrichtserfahrungen, Beratungen
Körperlicher GesundheitszustandÄrztliche Akte, ärztlicher Bericht, Diagnose, Behandlung, Untersuchungsergebnis, Behinderung oder Gebrechen, Diät; andere besondere gesundheitliche Anforderungen für die Behandlung, Reise oder Unterkunft, Sozialversicherungsnummer
Persönliche DetailangabenAlter, Geschlecht, Geburtsdatum, Geburtsort, Familienstand und Nationalität
ArbeitsorganisationGegenwärtige Verantwortungen, Projekte, berechneter Stundenlohn, Arbeitszeiten, geleistete Arbeitsstunden

Bereich: Verarbeitungen in der Applikation stazzle

Verarbeitung1.1. Verwaltung von Benutzern
Zweck der VerarbeitungUm unsere Software verwenden zu können, hat man sich als Benutzer zu registrieren. Dies erfolgt durch die Angabe personenbezogener Daten. Dies sind der Name und eine E-Mail-Adresse. Die Nutzer haben außerdem ein Passwort anzulegen. Optional kann ein Bild als Profilbild hinterlegt werden. Wenn das Nutzungsverhältnis beendet wird, dann wird das entsprechende Nutzerkonto gesperrt und ist für den Nutzer nicht mehr zugängig. Die Nutzerdaten werden nach einer bestimmten Frist gelöscht.
Art der DatenverarbeitungBildaufzeichnungen Benutzerkonten Persönliche Identifikationsdaten
EmpfängerAWS

Verarbeitung1.2. Speichern von Zugriffen und Änderungen
Zweck der
Verarbeitung
Speicherung von Zugriffen und Änderungen auf Datensätzen, zum Nachweis wer, wann etwas geändert hat. In unserer Software werden Zugriffe und Änderungen auf Datensätzen festgehalten. Somit kann gesehen werden wer, wann etwas geändert hat.
Art der
Datenverarbeitung
Bildaufzeichnungen Benutzerkonten Persönliche Identifikationsdaten
EmpfängerAWS

Verarbeitung1.3. Anfragen zu Mitarbeitern
Zweck der
Verarbeitung
Personaldienstleister können Anfragen für benötigte Mitarbeiter einsehen. Dabei sind die Daten des Suchenden sowie Name und E-Mail-Adresse der Ansprechperson des suchenden Unternehmens einsehbar.
Art der
Datenverarbeitung
Benutzerkonten Persönliche Identifikationsdaten
EmpfängerAWS

Verarbeitung1.4. Anlegen von Mitarbeitern
Zweck der
Verarbeitung
Damit der Personaldienstleister passende Mitarbeiter zur Verfügung stellen kann, legt er Mitarbeiter in der APP an. Dabei können folgende Daten angegeben werden: Name, Geburtsdatum, Staatsangehörigkeit, Adresse, Telefonnummer, E-Mail-Adresse und Sozialversicherungsnummer. Außerdem werden Angaben zu beruflichen Qualifikationen gemacht. Optional kann ein Bild als Profilbild hinterlegt werden.
Art der
Datenverarbeitung
Berufsqualifikation Bildaufzeichnungen Berufliche Tätigkeiten Berufserfahrung Körperlicher Gesundheitszustand Persönliche Identifikationsdaten Persönliche Detailangaben
EmpfängerAWS

Verarbeitung1.5. Einsehen von angebotenen Mitarbeitern
Zweck der
Verarbeitung
Einsatzbetriebe erhalten Angebote für erstellte Anfragen von Mitarbeitern. Bei den angebotenen Mitarbeitern können nur die beruflichen Qualifikationen eingesehen werden. Der Name kann angezeigt werden oder alternativ anonymisiert werden.
Art der
Datenverarbeitung
Berufsqualifikation Berufserfahrung Persönliche Identifikationsdaten
EmpfängerAWS

Verarbeitung1.6. Abschluss eines Arbeitnehmerüberlassungsvertrages
Zweck der
Verarbeitung
Mit dem Akzeptieren einer Anfrage wird digital ein Arbeitnehmerüberlassungsvertrag geschlossen. Dieser Vertrag wurde bereits im Vorfeld von den Parteien ausgehandelt. Die digitale Signatur erfolgt über den Dienstleister Namirial.
Art der
Datenverarbeitung
Persönliche Identifikationsdaten
EmpfängerAWS Namirial S.p.A.

Verarbeitung1.7. Durchführung von Datensicherungen
Zweck der
Verarbeitung
Wir führen Datensicherungen durch, um im Falle eines Datenverlustes die Daten unserer Nutzer und die Daten über ihre Kunden wiederherstellen zu können.
Art der
Datenverarbeitung
Bildaufzeichnungen Berufserfahrung Benutzerkonten Persönliche Identifikationsdaten Persönliche Detailangaben
EmpfängerAWS

Verarbeitung1.8. Erfassen von Fehlzeiten
Zweck der
Verarbeitung
Der Personaldienstleister und der Einsatzbetrieb haben zur Disposition die Möglichkeit Fehlzeiten wie Urlaub oder Krankheit bei Mitarbeitern zu erfassen.
Art der
Datenverarbeitung
Arbeitsorganisation Persönliche Identifikationsdaten
EmpfängerAWS

Verarbeitung1.9. Erfassen von Arbeitszeiten
Zweck der
Verarbeitung
Es besteht die Möglichkeit für den Personaldienstleister die Mitarbeiter auf eine eigene Mitarbeiter-App einzuladen. Die Registrierung erfolgt über die Emailadresse des Mitarbeiters. Mitarbeiter können dort Arbeitszeiten erfassen, welche für alle Beteiligten einsehbar sind.
Art der
Datenverarbeitung
Persönliche Identifikationsdaten Arbeitsorganisation Persönliche Identifikationsdaten
EmpfängerAWS

Verarbeitung1.10. Support
Zweck der
Verarbeitung
Wir nehmen Supportanfragen unserer Nutzer an und unterstützen diese bei der Problemlösung. Dafür verarbeiten wir die Benutzerdaten unserer Nutzer und zusätzlich die Daten, die sie uns notwendigerweise für die Abwicklung der Supportanfrage zur Verfügung stellen.
Art der
Datenverarbeitung
Persönliche Identifikationsdaten Inhaltsdaten
EmpfängerHubSpot AWS


Anhang 2: Technisch organisatorische Maßnahmen (Art 32 Abs 1 DSGVO)

Schutzart: 1.1.1 Vertraulichkeit: Zutrittskontrolle

BezeichnungLetztes Audit
1.1.1.3. Zugängliche Fenster und Außentüren der Unternehmensräumlichkeiten sind einbruchssicher ausgeführt11.01.2022
1.1.1.4. Eingangstüren zu Unternehmensgebäuden oder Räumen sind durch eine genormte Schließanlage gesichert (Sicherheitsschlösser, Chipkarten, Transponder, Codeschloss)11.01.2022
1.1.1.5. Eingangstüren zu Unternehmensräumlichkeiten weisen neben Schließanlagen, zusätzliche Zutrittssicherungen auf (z.B. Türknauf außen)11.01.2022
1.1.1.6. Die Vergabe, Verlust und Rückgabe von Schlüsseln, Transpondern, Chipkarten oder Codes an Personen wird dokumentiert11.01.2022
1.1.1.7. Der Einsatz von Chipkarten, Transpondern oder die Verwendung von Zugangscodes wird protokolliert (z.B. Zeitpunkt, Ort der Verwendung, Key)11.01.2022
1.1.1.8. Es ist sichergestellt, dass Personen nur dort Zutritt erhalten, wo Sie für die Erfüllung Ihrer Aufgaben auch Zutritt benötigen11.01.2022
1.1.1.16. Personal von Fremdfirmen, welches ständigen Zugang zu den Unternehmensräumlichkeiten hat (Reinigungskräfte, Sicherheitskräfte, Wartungspersonal), wurde auf die Geheimhaltung verpflichtet11.01.2022

Schutzart: 1.1.2 Vertraulichkeit: Zutrittskontrolle (sensible Räume)

BezeichnungLetztes Audit
1.1.2.2. Der Zutritt zu Räumen in denen Personaldaten verarbeitet (z.B. gelagert) werden, ist nur mit einem gesonderten Schlüssel, Key, Transponder, Chipkarte möglich11.01.2022
1.1.2.4. Personalakten werden in verschließbaren Aktenschränken aufbewahrt11.01.2022
1.1.2.1. Personaldaten werden in gesonderten Räumlichkeiten verarbeitet (z.B. Personalbüro)11.01.2022
1.1.2.3. Die Eingangstür zu Räumen in denen Personaldaten verarbeitet werden, verfügen über einen automatischen Schließ- und Sperrmechanismus oder werden beim Verlassen versperrt11.01.2022
1.1.2.4. Bildschirme auf denen Personaldaten verarbeitet werden sind von außen (Fenster) oder innen (Glastüre oder Glasfront) nicht einsehbar11.01.2022
1.1.2.15. In sensiblen Räumlichkeiten (Personal, Kundenverwaltung, IT) befinden sich keine Geräte, zu denen ein Benutzerkreis außerhalb der eigentlich Berechtigten Zugang benötigt (z.B. Drucker)11.01.2022

Schutzart: 1.2. Vertraulichkeit: Zutrittskontrolle

BezeichnungLetztes Audit
1.2.5. Die Anmeldung an einem Client erfolgt durch personenbezogene Benutzeraccounts (Benutzername und Passwort oder ähnliche Verfahren (Gesichtserkennung, Fingerprint etc.))11.01.2022
1.2.7. Sammelaccounts oder nicht-personalisierte Benutzerzugänge auf Clients (mehrere Benutzer teilen sich einen Zugang) existieren nicht11.01.2022
1.2.8. Auf jedem verwendeten Client (Rechner) ist eine Firewall aktiv11.01.2022
1.2.9. Auf jedem Client Rechner ist eine Antiviren Software installiert, diese wird täglich bzw. bei einer Neuanmeldung aktualisiert11.01.2022
1.2.10. Eingehende Mails werden online am E-Mail Server (beim Hoster) auf Viren geprüft11.01.2022
1.2.12. Auf jedem Client Rechner ist eine (Antiviren) Software installiert die beim Surfen im Internet entsprechenden Schutz (Webfilter) bietet11.01.2022
1.2.14. Der Zugang zum internen Netzwerk (WLAN) ist mit einem eigenen Passwort gesichert11.01.2022
1.2.15. Der Zugang zu Systemen (Server, Software) von außerhalb des Unternehmens erfolgt über verschlüsselte Verbindungen (VPN, Zugriff via Citrix)11.01.2022
1.2.16. Der Zugang zur Konfigurationsoberfläche des (WLAN) Routers wurde mit einem eigenen Benutzernamen und einem eigenen Passwort (ungleich Standard-Benutzeraccount) gesichert11.01.2022
1.2.19. Eine Firewall ist auf jedem Übergang zum Internet aktiviert (Router)11.01.2022
1.2.24. Bei Bildschirmen, die in Räumlichkeiten eingesetzt werden, zu denen Kunden (Patienten…) Zugang haben und personenbezogene Daten verarbeitet werden, wird darauf geachtet, dass der Bildschirm nicht eingesehen werden kann. Allenfalls existiert ein entsprechender Sichtschutz.11.01.2022
1.2.25. Bildschirme werden automatisch bei Inaktivität gesperrt und können nur durch Eingabe des Benutzerpasswortes oder ähnliche Verfahren (Fingerprint, Gesichtserkennung, etc.) wieder entsperrt werden11.01.2022

Schutzart: 1.3. Vertraulichkeit: Zugriffskontrolle

BezeichnungLetztes Audit
1.3.1. Die Anzahl der Administratoren für Server und zentrale Software ist auf das „Notwendigste“ reduziert11.01.2022
1.3.2. Jeder Administrator verfügt über einen eigenen Benutzeraccount und das Passwort besteht zumindest aus 12 Stellen11.01.2022
1.3.4. Passwörter müssen so gewählt werden, dass sie sich von den letzten Passwörtern (z.B. letzten 6 verwendeten) unterscheiden müssen11.01.2022
1.3.5. Passwörter von Benutzern weisen eine ausreichende Komplexität auf (beinhalten Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern und weisen eine Mindestlänge von 8 Stellen auf)11.01.2022
1.3.6. Die Verwaltung von Benutzerrechten für genutzte Software erfolgt zentral über festgelegte Systemadministratoren11.01.2022
1.3.7. Jeder Benutzer erhält für jedes System und jede Software, die er für seine Tätigkeit benötigt einen eigenen Benutzeraccount (keine Sammelaccounts)11.01.2022
1.3.8. Jeder Benutzer erhält auf Basis des “need-to-know”-Prinzip, nur die Zugriffsrechte (auf Daten, Systeme, Software, Dateiablagesysteme) die er für seine Tätigkeit auch zwingend benötigt11.01.2022
1.3.9. Beim Ausscheiden eines Benutzers aus dem Unternehmen ist sichergestellt, dass seine Zugriffsberechtigungen umgehend entfernt und der Benutzer nach Ablauf einer gewissen Frist auch gelöscht wird.11.01.2022
1.3.10. Die Vergabe von Zugriffsberechtigungen erfolgt auf Basis von definierten Benutzerprofilen11.01.2022
1.3.11. Fällt die Notwendigkeit einer oder mehrerer Zugriffsrechte bei einem Benutzer weg, dann werden ihm die Rechte auch zeitnah entzogen11.01.2022
1.3.12. Zugriffe auf sensible Anwendungen oder Daten werden protokolliert (wer hat wann auf Daten zugegriffen, sie verändert oder gelöscht)11.01.2022
1.3.13. Papierakten mit personenbezogenen Daten werden durch den Einsatz von Aktenshredder mind. Stufe 3, Cross-Cut geschreddert11.01.2022
1.3.14. Elektronische Datenträger werden datenschutzkonform gemäß der Sicherheitsstufe F-4, O-4, T-4, H-4, E-4 vernichtet11.01.2022

Schutzart: 1.4. Vertraulichkeit: Trennungsgebot

BezeichnungLetztes Audit
1.4.1. Daten, die im Rahmen einer Auftragsverarbeitung elektronisch verarbeitet werden, liegt eine Trennung in Mandanten vor. Es ist gewährleistet, dass die Daten eines Mandanten vor dem Zugriff durch andere Mandanten geschützt sind.11.01.2022
1.4.2. Bei Softwareapplikationen, die personenbezogene Daten verarbeiten, existiert eine Trennung in Test- und Produktivsystem11.01.2022
1.4.3. Der Zugriff auf Daten in Datenbanken ist geregelt11.01.2022
1.4.5. Softwareapplikationen und Dateiablagen, auf welche mehrere Benutzer Zugriff haben, sind mit einem Berechtigungssystem ausgestattet.11.01.2022
1.4.6. Die Verarbeitung von personenbezogenen Daten erfolgt nur zu den festgelegten Zwecken11.01.2022
1.4.7. Die Weitergabe von personenbezogenen Daten erfolgt nur zu den festgelegten Zwecken11.01.2022

Schutzart: 1.6. Vertraulichkeit: Verschlüsselung

BezeichnungLetztes Audit
1.6.1. Festplatten in Servern werden verschlüsselt11.01.2022
1.6.4. Zur Datenweitergabe werden verschlüsselte Verbindungen wie https (Webseite) oder sftp (FTP Server) genutzt11.01.2022
1.6.6. Es wird die aktuellste Version des TLS Verschlüsselungsprotokolls verwendet11.01.2022
1.6.8. Datenbanken, in den personenbezogene Daten verarbeitet werden, sind verschlüsselt11.01.2022

Schutzart: 2.1. Integrität: 1. Eingabekontrolle

BezeichnungLetztes Audit
2.1.1. Dokumente oder Formulare in denen sensible Daten erhoben werden, werden aufbewahrt, sofern diese automatisch weiterverarbeitet werden, um Datenfehlübernahmen korrigieren zu können.11.01.2022
2.1.2. Es existiert eine Übersicht/ Dokumentation, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können.11.01.2022
2.1.3. Die Eingabe, Änderung und Löschung von Daten durch individuelle Benutzer (nicht Benutzergruppen) kann nachvollzogen werden11.01.2022
2.1.4. Es erfolgt eine technische Protokollierung der Eingabe, Änderung und Löschung von Daten inkl. Zeitpunkt der Änderung und wer die Daten geändert hat11.01.2022
2.1.5. Die An- und Abmeldung an Softwareapplikationen, auf die mehrere Benutzer Zugriff haben, wird protokolliert11.01.2022
2.1.6. Die An- und Abmeldung auf Servern wird protokolliert11.01.2022

Schutzart: 2.2. Integrität: 2. Weitergabekontrolle

BezeichnungLetztes Audit
2.2.1. Die Übermittlung von personenbezogenen Daten zu Lieferanten (Auftragsverarbeiter) erfolgt verschlüsselt (Mailverschlüsselung, VPN Tunnel etc.)11.01.2022
2.2.2. Dokumente (z.B. Bestellungen) werden mit einer elektronischen Signatur gezeichnet11.01.2022
2.2.4. Die Datenträger von Laptops oder Desktops werden vor deren internen oder externen Weitergabe gelöscht, formatiert oder physisch zerstört11.01.2022
2.2.5. Sonstige Datenträger (USB Sticks, mobile Festplatten, ausgebaute Festplatten) werden vor deren internen oder externen Weitergabe gelöscht, formatiert oder physisch zerstört11.01.2022
2.2.6. Bei Druckern oder Faxgeräten werden deren interne Datenträger vor der externen Weitergabe gelöscht, formatiert, physisch zerstört oder nach Vorgaben des Herstellers gelöscht11.01.2022
2.2.7. Die Weitergabe von personenbezogenen Daten an Dritte erfolgt in anonymisierter oder pseudonymisierter Form11.01.2022

Schutzart: 3.1. Verfügbarkeit und Belastbarkeit: Verfügbarkeitskontrolle

BezeichnungLetztes Audit
3.1.1. Auf Clients und Servern werden Updates und Sicherheitspatches regelmäßig eingespielt11.01.2022
3.1.2. Von relevanten Systemen (z.B. Buchhaltung, CRM, HR Software) oder sonstigen Systemen die personenbezogene Daten verarbeitet werden, werden regelmäßige Datensicherungen erstellt11.01.2022
3.1.3. Datensicherungen werden räumlich getrennt von den Produktivdaten aufbewahrt11.01.2022
3.1.4. Es wird regelmäßig geprüft ob Datensicherungen vollständig rückgesichert werden können und Daten damit wieder hergestellt werden können11.01.2022
3.1.6. Räumlichkeiten in denen personenbezogene Daten verarbeitet werden, sind mit einer Feuer- und Rauchmeldeanlage ausgestattet11.01.2022
3.1.7. Räumlichkeiten in denen personenbezogene Daten verarbeitet werden, verfügen leicht erreichbar, über geeignete Löschmittel zur Brandbekämpfung (z.B. Feuerlöscher)11.01.2022

Schutzart: 4.1. Verfahren zur Überprüfung: Datenschutz-Management

BezeichnungLetztes Audit
4.1.1. Es wurde ein interner oder externer Datenschutz Beauftragter bestellt11.01.2022
4.1.2. Es wird ein Verzeichnis der Verarbeitungstätigkeiten geführt und laufend aktualisiert11.01.2022
4.1.3. Eine Audit/ Überprüfung der Wirksamkeit der technisch organisatorischen Maßnahmen findet jährlich statt11.01.2022
4.1.4. Es existieren Abläufe zur Erfüllung der Rechte von betroffenen Personen11.01.2022
4.1.5. Eine Datenschutz Management Software ist im Einsatz11.01.2022
4.1.6. Die Informationspflichten (Datenschutzerklärung) werden regelmäßig geprüft11.01.2022
4.1.7. Es existiert ein Löschkonzept in dem festgelegt ist, wann, welche Daten zu löschen sind. Die Löschung von Daten wird stichprobenartig oder regelmäßig überprüft.11.01.2022
4.1.10. Alle Mitarbeiter sind auf Vertraulichkeit und Datengeheimnis verpflichtet11.01.2022
4.1.14. Eine Richtlinie zur richtigen Verwendung und Aktualisierung von Passwörtern wurde erstellt und die Mitarbeiter werden dahingehend geschult11.01.2022
4.1.20. Mitarbeiter sind angewiesen, die gültigen Datenschutzmaßnahmen auch im Home Office zu gewährleisten11.01.2022

Schutzart: 4.2. Verfahren zur Überprüfung: Incident-Response-Management

BezeichnungLetztes Audit
4.2.1. Fehlerhafte Login Versuche führen zu einer automatischen Sperre des Benutzer Logins. Die Sperre bleibt für einen definierten Zeitraum (siehe Passwort Richtlinie) bestehen.11.01.2022
4.2.2. Ein Ablauf zur Meldung von Sicherheitsverletzungen an die Datenschutz Behörde und betroffene Personen existiert11.01.2022
4.2.7. Verarbeitungen werden hinsichtlich einer Datenschutz Folgeabschätzung geprüft. Eine solche wird bei Bedarf auch durchgeführt und dokumentiert11.01.2022

Schutzart: 4.4. Verfahren zur Überprüfung: Auftragskontrolle

BezeichnungLetztes Audit
4.4.1. Es existiert eine Übersicht über alle Lieferanten (Empfänger), die in unserem Namen personenbezogene Daten als Auftragsverarbeiter verarbeiten11.01.2022
4.4.2. Die Auswahl des Auftragnehmers erfolgt unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)11.01.2022
4.4.3. Wir beauftragen nur Unternehmen mit der Verarbeitung von personenbezogenen Daten, wenn sie einen Datenschutzbeauftragten bestellt haben11.01.2022
4.4.6. In den Auftragsverarbeiter Verträgen ist sichergestellt, dass Daten nach Beendigung des Auftrags auch vernichtet oder übergeben werden11.01.2022


Anhang 3: Subunternehmen (weitere Auftragsverarbeiter)

BezeichnungLandÜbermittlung Drittland
Microsoft AzureDeutschland, FrankfurtEU
Amazon Web Service (AWS)Deutschland, FrankfurtEU
Namirial S.p.A.ItalienEU
main logo stazzle
Ein Portal der HR Software Solutions GmbH