Diese Vereinbarung bildet eine Ergänzung zu den Nutzungsbedingungen (nachfolgend „Hauptvertrag“) und wird zwischen der HR Software Solutions GmbH, ansässig im Adenauerplatz 1, 33602 Bielefeld (im Folgenden: „Auftragsverarbeiter“) und dem Kunden des Produkts stazzle (im Folgenden: „Verantwortlicher“; beide Parteien gemeinsam nachfolgend „Vertragsparteien“) geschlossen.
Mit dem Abschluss dieser Vereinbarung gehen die Vertragsparteien ein Auftragsverarbeitungsverhältnis ein. In dieser Vereinbarung gelten die entsprechenden Begriffsdefinitionen der DSGVO (Datenschutz- Grundverordnung – Verordnung (EU) 2016/679). Wenn daher in diesem Vertragswerk etwa der Begriff „Daten“ verwendet wird, dann sind damit „personenbezogene Daten“ im Sinne der DSGVO gemeint. Falls sich diese Vereinbarung und der Hauptvertrag bezüglich der Verarbeitung von personenbezogenen Daten widersprechen, geht diese Vereinbarung im Zweifel dem Hauptvertrag vor.
Die durch den Auftragsverarbeiter verarbeiteten Arten personenbezogener Daten sowie die Kategorien der betroffenen Personen finden sich in Anhang 1. Der Anhang 1 stellt einen Teil dieser Vereinbarung dar.
Die Vertragsparteien verpflichten sich, alle Kenntnisse von betriebsinternen Geheimnissen oder datenschutzrechtlicher Sicherheitsmaßnahmen der jeweils anderen Vertragspartei vertraulich zu behandeln und nicht an Dritte weiterzugeben. Diese Verpflichtung gilt auch nach Beendigung des Vertrages weiterhin.
Jegliche Änderungen oder Ergänzungen dieser Vereinbarung bedürfen für Ihre Wirksamkeit der Schriftform. Dies gilt auch für Änderungen dieser Schriftformklausel.
Etwaige im Hauptvertrag geregelten Haftungsprivilegierungen finden auf diese Vereinbarung keine Anwendung. Für nachteilige Folgen von Verletzungen datenschutzrechtlicher Pflichten im Rahmen des vertraglich und gesetzlich bestimmten eigenen Verantwortungsbereichs haftet jede Vertragspartei im Innenverhältnis allein und uneingeschränkt. In diesem Zusammenhang verpflichten sich sowohl der Verantwortliche als auch der Auftragsverarbeiter den jeweils anderen bei einer Inanspruchnahme durch Dritte vollumfänglich schadens- und klaglos zu halten.
Davon sind insbesondere auch behördliche Geldbußen umfasst, die über eine Vertragspartei aufgrund des der anderen Vertragspartei zuzurechnenden Verhaltens verhängt wurden.
Diese Vereinbarung unterliegt deutschem Recht sowie dem sachlich relevanten Unionsrecht, insbesondere der DSGVO. Ausschließlicher Gerichtsstand ist der Sitz der Gesellschaft.
Sollten einzelne Bestimmungen dieses Vertrages undurchführbar oder unwirksam sein, wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt.
Anhang 1: Datenverarbeitungsspezifikationen
Anhang 2: Technisch organisatorische Maßnahmen (Art 32 Abs 1 DSGVO)
Anhang 3: Subunternehmen (weitere Auftragsverarbeiter)
Art der Daten | Beschreibung zur Datenverarbeitung |
Bildaufzeichnungen | Filme, Fotografien, Videoaufzeichnungen, digitale Fotos |
Benutzerkonten | Anmeldedaten, Passwörter, Nutzername |
Persönliche Identifikationsdaten | Name, Titel, (private und berufliche) Adresse, frühere Adressen, (private, berufliche) Telefonnummer, von der für die Verarbeitung verantwortliche Person zugeteilte Kennnummern |
Inhaltsdaten | Texte, Zeitpunkte von Zugriffen oder Änderungen |
Berufsqualifikation | Berufliche Abschlüsse und Ausbildungen, spezielle Lizenzen (Piloten, …) |
Berufliche Tätigkeiten | Art der von der betroffenen Person genutzten bzw. gelieferten Tätigkeiten, Güter oder Dienstleistungen, Geschäftskontakte |
Berufserfahrung | Berufliche Interessen, Forschungsinteressen, Studieninteressen, Spezialisierungsthemen, Unterrichtserfahrungen, Beratungen |
Körperlicher Gesundheitszustand | Ärztliche Akte, ärztlicher Bericht, Diagnose, Behandlung, Untersuchungsergebnis, Behinderung oder Gebrechen, Diät; andere besondere gesundheitliche Anforderungen für die Behandlung, Reise oder Unterkunft, Sozialversicherungsnummer |
Persönliche Detailangaben | Alter, Geschlecht, Geburtsdatum, Geburtsort, Familienstand und Nationalität |
Arbeitsorganisation | Gegenwärtige Verantwortungen, Projekte, berechneter Stundenlohn, Arbeitszeiten, geleistete Arbeitsstunden |
Verarbeitung | 1.1. Verwaltung von Benutzern |
Zweck der Verarbeitung | Um unsere Software verwenden zu können, hat man sich als Benutzer zu registrieren. Dies erfolgt durch die Angabe personenbezogener Daten. Dies sind der Name und eine E-Mail-Adresse. Die Nutzer haben außerdem ein Passwort anzulegen. Optional kann ein Bild als Profilbild hinterlegt werden. Wenn das Nutzungsverhältnis beendet wird, dann wird das entsprechende Nutzerkonto gesperrt und ist für den Nutzer nicht mehr zugängig. Die Nutzerdaten werden nach einer bestimmten Frist gelöscht. |
Art der Datenverarbeitung | Bildaufzeichnungen Benutzerkonten Persönliche Identifikationsdaten |
Empfänger | AWS |
Verarbeitung | 1.2. Speichern von Zugriffen und Änderungen |
Zweck der Verarbeitung | Speicherung von Zugriffen und Änderungen auf Datensätzen, zum Nachweis wer, wann etwas geändert hat. In unserer Software werden Zugriffe und Änderungen auf Datensätzen festgehalten. Somit kann gesehen werden wer, wann etwas geändert hat. |
Art der Datenverarbeitung | Bildaufzeichnungen Benutzerkonten Persönliche Identifikationsdaten |
Empfänger | AWS |
Verarbeitung | 1.3. Anfragen zu Mitarbeitern |
Zweck der Verarbeitung | Personaldienstleister können Anfragen für benötigte Mitarbeiter einsehen. Dabei sind die Daten des Suchenden sowie Name und E-Mail-Adresse der Ansprechperson des suchenden Unternehmens einsehbar. |
Art der Datenverarbeitung | Benutzerkonten Persönliche Identifikationsdaten |
Empfänger | AWS |
Verarbeitung | 1.4. Anlegen von Mitarbeitern |
Zweck der Verarbeitung | Damit der Personaldienstleister passende Mitarbeiter zur Verfügung stellen kann, legt er Mitarbeiter in der APP an. Dabei können folgende Daten angegeben werden: Name, Geburtsdatum, Staatsangehörigkeit, Adresse, Telefonnummer, E-Mail-Adresse und Sozialversicherungsnummer. Außerdem werden Angaben zu beruflichen Qualifikationen gemacht. Optional kann ein Bild als Profilbild hinterlegt werden. |
Art der Datenverarbeitung | Berufsqualifikation Bildaufzeichnungen Berufliche Tätigkeiten Berufserfahrung Körperlicher Gesundheitszustand Persönliche Identifikationsdaten Persönliche Detailangaben |
Empfänger | AWS |
Verarbeitung | 1.5. Einsehen von angebotenen Mitarbeitern |
Zweck der Verarbeitung | Einsatzbetriebe erhalten Angebote für erstellte Anfragen von Mitarbeitern. Bei den angebotenen Mitarbeitern können nur die beruflichen Qualifikationen eingesehen werden. Der Name kann angezeigt werden oder alternativ anonymisiert werden. |
Art der Datenverarbeitung | Berufsqualifikation Berufserfahrung Persönliche Identifikationsdaten |
Empfänger | AWS |
Verarbeitung | 1.6. Abschluss eines Arbeitnehmerüberlassungsvertrages |
Zweck der Verarbeitung | Mit dem Akzeptieren einer Anfrage wird digital ein Arbeitnehmerüberlassungsvertrag geschlossen. Dieser Vertrag wurde bereits im Vorfeld von den Parteien ausgehandelt. Die digitale Signatur erfolgt über den Dienstleister Namirial. |
Art der Datenverarbeitung | Persönliche Identifikationsdaten |
Empfänger | AWS Namirial S.p.A. |
Verarbeitung | 1.7. Durchführung von Datensicherungen |
Zweck der Verarbeitung | Wir führen Datensicherungen durch, um im Falle eines Datenverlustes die Daten unserer Nutzer und die Daten über ihre Kunden wiederherstellen zu können. |
Art der Datenverarbeitung | Bildaufzeichnungen Berufserfahrung Benutzerkonten Persönliche Identifikationsdaten Persönliche Detailangaben |
Empfänger | AWS |
Verarbeitung | 1.8. Erfassen von Fehlzeiten |
Zweck der Verarbeitung | Der Personaldienstleister und der Einsatzbetrieb haben zur Disposition die Möglichkeit Fehlzeiten wie Urlaub oder Krankheit bei Mitarbeitern zu erfassen. |
Art der Datenverarbeitung | Arbeitsorganisation Persönliche Identifikationsdaten |
Empfänger | AWS |
Verarbeitung | 1.9. Erfassen von Arbeitszeiten |
Zweck der Verarbeitung | Es besteht die Möglichkeit für den Personaldienstleister die Mitarbeiter auf eine eigene Mitarbeiter-App einzuladen. Die Registrierung erfolgt über die Emailadresse des Mitarbeiters. Mitarbeiter können dort Arbeitszeiten erfassen, welche für alle Beteiligten einsehbar sind. |
Art der Datenverarbeitung | Persönliche Identifikationsdaten Arbeitsorganisation Persönliche Identifikationsdaten |
Empfänger | AWS |
Verarbeitung | 1.10. Support |
Zweck der Verarbeitung | Wir nehmen Supportanfragen unserer Nutzer an und unterstützen diese bei der Problemlösung. Dafür verarbeiten wir die Benutzerdaten unserer Nutzer und zusätzlich die Daten, die sie uns notwendigerweise für die Abwicklung der Supportanfrage zur Verfügung stellen. |
Art der Datenverarbeitung | Persönliche Identifikationsdaten Inhaltsdaten |
Empfänger | HubSpot AWS |
Bezeichnung | Letztes Audit |
1.1.1.3. Zugängliche Fenster und Außentüren der Unternehmensräumlichkeiten sind einbruchssicher ausgeführt | 11.01.2022 |
1.1.1.4. Eingangstüren zu Unternehmensgebäuden oder Räumen sind durch eine genormte Schließanlage gesichert (Sicherheitsschlösser, Chipkarten, Transponder, Codeschloss) | 11.01.2022 |
1.1.1.5. Eingangstüren zu Unternehmensräumlichkeiten weisen neben Schließanlagen, zusätzliche Zutrittssicherungen auf (z.B. Türknauf außen) | 11.01.2022 |
1.1.1.6. Die Vergabe, Verlust und Rückgabe von Schlüsseln, Transpondern, Chipkarten oder Codes an Personen wird dokumentiert | 11.01.2022 |
1.1.1.7. Der Einsatz von Chipkarten, Transpondern oder die Verwendung von Zugangscodes wird protokolliert (z.B. Zeitpunkt, Ort der Verwendung, Key) | 11.01.2022 |
1.1.1.8. Es ist sichergestellt, dass Personen nur dort Zutritt erhalten, wo Sie für die Erfüllung Ihrer Aufgaben auch Zutritt benötigen | 11.01.2022 |
1.1.1.16. Personal von Fremdfirmen, welches ständigen Zugang zu den Unternehmensräumlichkeiten hat (Reinigungskräfte, Sicherheitskräfte, Wartungspersonal), wurde auf die Geheimhaltung verpflichtet | 11.01.2022 |
Bezeichnung | Letztes Audit |
1.1.2.2. Der Zutritt zu Räumen in denen Personaldaten verarbeitet (z.B. gelagert) werden, ist nur mit einem gesonderten Schlüssel, Key, Transponder, Chipkarte möglich | 11.01.2022 |
1.1.2.4. Personalakten werden in verschließbaren Aktenschränken aufbewahrt | 11.01.2022 |
1.1.2.1. Personaldaten werden in gesonderten Räumlichkeiten verarbeitet (z.B. Personalbüro) | 11.01.2022 |
1.1.2.3. Die Eingangstür zu Räumen in denen Personaldaten verarbeitet werden, verfügen über einen automatischen Schließ- und Sperrmechanismus oder werden beim Verlassen versperrt | 11.01.2022 |
1.1.2.4. Bildschirme auf denen Personaldaten verarbeitet werden sind von außen (Fenster) oder innen (Glastüre oder Glasfront) nicht einsehbar | 11.01.2022 |
1.1.2.15. In sensiblen Räumlichkeiten (Personal, Kundenverwaltung, IT) befinden sich keine Geräte, zu denen ein Benutzerkreis außerhalb der eigentlich Berechtigten Zugang benötigt (z.B. Drucker) | 11.01.2022 |
Bezeichnung | Letztes Audit |
1.2.5. Die Anmeldung an einem Client erfolgt durch personenbezogene Benutzeraccounts (Benutzername und Passwort oder ähnliche Verfahren (Gesichtserkennung, Fingerprint etc.)) | 11.01.2022 |
1.2.7. Sammelaccounts oder nicht-personalisierte Benutzerzugänge auf Clients (mehrere Benutzer teilen sich einen Zugang) existieren nicht | 11.01.2022 |
1.2.8. Auf jedem verwendeten Client (Rechner) ist eine Firewall aktiv | 11.01.2022 |
1.2.9. Auf jedem Client Rechner ist eine Antiviren Software installiert, diese wird täglich bzw. bei einer Neuanmeldung aktualisiert | 11.01.2022 |
1.2.10. Eingehende Mails werden online am E-Mail Server (beim Hoster) auf Viren geprüft | 11.01.2022 |
1.2.12. Auf jedem Client Rechner ist eine (Antiviren) Software installiert die beim Surfen im Internet entsprechenden Schutz (Webfilter) bietet | 11.01.2022 |
1.2.14. Der Zugang zum internen Netzwerk (WLAN) ist mit einem eigenen Passwort gesichert | 11.01.2022 |
1.2.15. Der Zugang zu Systemen (Server, Software) von außerhalb des Unternehmens erfolgt über verschlüsselte Verbindungen (VPN, Zugriff via Citrix) | 11.01.2022 |
1.2.16. Der Zugang zur Konfigurationsoberfläche des (WLAN) Routers wurde mit einem eigenen Benutzernamen und einem eigenen Passwort (ungleich Standard-Benutzeraccount) gesichert | 11.01.2022 |
1.2.19. Eine Firewall ist auf jedem Übergang zum Internet aktiviert (Router) | 11.01.2022 |
1.2.24. Bei Bildschirmen, die in Räumlichkeiten eingesetzt werden, zu denen Kunden (Patienten…) Zugang haben und personenbezogene Daten verarbeitet werden, wird darauf geachtet, dass der Bildschirm nicht eingesehen werden kann. Allenfalls existiert ein entsprechender Sichtschutz. | 11.01.2022 |
1.2.25. Bildschirme werden automatisch bei Inaktivität gesperrt und können nur durch Eingabe des Benutzerpasswortes oder ähnliche Verfahren (Fingerprint, Gesichtserkennung, etc.) wieder entsperrt werden | 11.01.2022 |
Bezeichnung | Letztes Audit |
1.3.1. Die Anzahl der Administratoren für Server und zentrale Software ist auf das „Notwendigste“ reduziert | 11.01.2022 |
1.3.2. Jeder Administrator verfügt über einen eigenen Benutzeraccount und das Passwort besteht zumindest aus 12 Stellen | 11.01.2022 |
1.3.4. Passwörter müssen so gewählt werden, dass sie sich von den letzten Passwörtern (z.B. letzten 6 verwendeten) unterscheiden müssen | 11.01.2022 |
1.3.5. Passwörter von Benutzern weisen eine ausreichende Komplexität auf (beinhalten Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern und weisen eine Mindestlänge von 8 Stellen auf) | 11.01.2022 |
1.3.6. Die Verwaltung von Benutzerrechten für genutzte Software erfolgt zentral über festgelegte Systemadministratoren | 11.01.2022 |
1.3.7. Jeder Benutzer erhält für jedes System und jede Software, die er für seine Tätigkeit benötigt einen eigenen Benutzeraccount (keine Sammelaccounts) | 11.01.2022 |
1.3.8. Jeder Benutzer erhält auf Basis des “need-to-know”-Prinzip, nur die Zugriffsrechte (auf Daten, Systeme, Software, Dateiablagesysteme) die er für seine Tätigkeit auch zwingend benötigt | 11.01.2022 |
1.3.9. Beim Ausscheiden eines Benutzers aus dem Unternehmen ist sichergestellt, dass seine Zugriffsberechtigungen umgehend entfernt und der Benutzer nach Ablauf einer gewissen Frist auch gelöscht wird. | 11.01.2022 |
1.3.10. Die Vergabe von Zugriffsberechtigungen erfolgt auf Basis von definierten Benutzerprofilen | 11.01.2022 |
1.3.11. Fällt die Notwendigkeit einer oder mehrerer Zugriffsrechte bei einem Benutzer weg, dann werden ihm die Rechte auch zeitnah entzogen | 11.01.2022 |
1.3.12. Zugriffe auf sensible Anwendungen oder Daten werden protokolliert (wer hat wann auf Daten zugegriffen, sie verändert oder gelöscht) | 11.01.2022 |
1.3.13. Papierakten mit personenbezogenen Daten werden durch den Einsatz von Aktenshredder mind. Stufe 3, Cross-Cut geschreddert | 11.01.2022 |
1.3.14. Elektronische Datenträger werden datenschutzkonform gemäß der Sicherheitsstufe F-4, O-4, T-4, H-4, E-4 vernichtet | 11.01.2022 |
Bezeichnung | Letztes Audit |
1.4.1. Daten, die im Rahmen einer Auftragsverarbeitung elektronisch verarbeitet werden, liegt eine Trennung in Mandanten vor. Es ist gewährleistet, dass die Daten eines Mandanten vor dem Zugriff durch andere Mandanten geschützt sind. | 11.01.2022 |
1.4.2. Bei Softwareapplikationen, die personenbezogene Daten verarbeiten, existiert eine Trennung in Test- und Produktivsystem | 11.01.2022 |
1.4.3. Der Zugriff auf Daten in Datenbanken ist geregelt | 11.01.2022 |
1.4.5. Softwareapplikationen und Dateiablagen, auf welche mehrere Benutzer Zugriff haben, sind mit einem Berechtigungssystem ausgestattet. | 11.01.2022 |
1.4.6. Die Verarbeitung von personenbezogenen Daten erfolgt nur zu den festgelegten Zwecken | 11.01.2022 |
1.4.7. Die Weitergabe von personenbezogenen Daten erfolgt nur zu den festgelegten Zwecken | 11.01.2022 |
Bezeichnung | Letztes Audit |
1.6.1. Festplatten in Servern werden verschlüsselt | 11.01.2022 |
1.6.4. Zur Datenweitergabe werden verschlüsselte Verbindungen wie https (Webseite) oder sftp (FTP Server) genutzt | 11.01.2022 |
1.6.6. Es wird die aktuellste Version des TLS Verschlüsselungsprotokolls verwendet | 11.01.2022 |
1.6.8. Datenbanken, in den personenbezogene Daten verarbeitet werden, sind verschlüsselt | 11.01.2022 |
Bezeichnung | Letztes Audit |
2.1.1. Dokumente oder Formulare in denen sensible Daten erhoben werden, werden aufbewahrt, sofern diese automatisch weiterverarbeitet werden, um Datenfehlübernahmen korrigieren zu können. | 11.01.2022 |
2.1.2. Es existiert eine Übersicht/ Dokumentation, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können. | 11.01.2022 |
2.1.3. Die Eingabe, Änderung und Löschung von Daten durch individuelle Benutzer (nicht Benutzergruppen) kann nachvollzogen werden | 11.01.2022 |
2.1.4. Es erfolgt eine technische Protokollierung der Eingabe, Änderung und Löschung von Daten inkl. Zeitpunkt der Änderung und wer die Daten geändert hat | 11.01.2022 |
2.1.5. Die An- und Abmeldung an Softwareapplikationen, auf die mehrere Benutzer Zugriff haben, wird protokolliert | 11.01.2022 |
2.1.6. Die An- und Abmeldung auf Servern wird protokolliert | 11.01.2022 |
Bezeichnung | Letztes Audit |
2.2.1. Die Übermittlung von personenbezogenen Daten zu Lieferanten (Auftragsverarbeiter) erfolgt verschlüsselt (Mailverschlüsselung, VPN Tunnel etc.) | 11.01.2022 |
2.2.2. Dokumente (z.B. Bestellungen) werden mit einer elektronischen Signatur gezeichnet | 11.01.2022 |
2.2.4. Die Datenträger von Laptops oder Desktops werden vor deren internen oder externen Weitergabe gelöscht, formatiert oder physisch zerstört | 11.01.2022 |
2.2.5. Sonstige Datenträger (USB Sticks, mobile Festplatten, ausgebaute Festplatten) werden vor deren internen oder externen Weitergabe gelöscht, formatiert oder physisch zerstört | 11.01.2022 |
2.2.6. Bei Druckern oder Faxgeräten werden deren interne Datenträger vor der externen Weitergabe gelöscht, formatiert, physisch zerstört oder nach Vorgaben des Herstellers gelöscht | 11.01.2022 |
2.2.7. Die Weitergabe von personenbezogenen Daten an Dritte erfolgt in anonymisierter oder pseudonymisierter Form | 11.01.2022 |
Bezeichnung | Letztes Audit |
3.1.1. Auf Clients und Servern werden Updates und Sicherheitspatches regelmäßig eingespielt | 11.01.2022 |
3.1.2. Von relevanten Systemen (z.B. Buchhaltung, CRM, HR Software) oder sonstigen Systemen die personenbezogene Daten verarbeitet werden, werden regelmäßige Datensicherungen erstellt | 11.01.2022 |
3.1.3. Datensicherungen werden räumlich getrennt von den Produktivdaten aufbewahrt | 11.01.2022 |
3.1.4. Es wird regelmäßig geprüft ob Datensicherungen vollständig rückgesichert werden können und Daten damit wieder hergestellt werden können | 11.01.2022 |
3.1.6. Räumlichkeiten in denen personenbezogene Daten verarbeitet werden, sind mit einer Feuer- und Rauchmeldeanlage ausgestattet | 11.01.2022 |
3.1.7. Räumlichkeiten in denen personenbezogene Daten verarbeitet werden, verfügen leicht erreichbar, über geeignete Löschmittel zur Brandbekämpfung (z.B. Feuerlöscher) | 11.01.2022 |
Bezeichnung | Letztes Audit |
4.1.1. Es wurde ein interner oder externer Datenschutz Beauftragter bestellt | 11.01.2022 |
4.1.2. Es wird ein Verzeichnis der Verarbeitungstätigkeiten geführt und laufend aktualisiert | 11.01.2022 |
4.1.3. Eine Audit/ Überprüfung der Wirksamkeit der technisch organisatorischen Maßnahmen findet jährlich statt | 11.01.2022 |
4.1.4. Es existieren Abläufe zur Erfüllung der Rechte von betroffenen Personen | 11.01.2022 |
4.1.5. Eine Datenschutz Management Software ist im Einsatz | 11.01.2022 |
4.1.6. Die Informationspflichten (Datenschutzerklärung) werden regelmäßig geprüft | 11.01.2022 |
4.1.7. Es existiert ein Löschkonzept in dem festgelegt ist, wann, welche Daten zu löschen sind. Die Löschung von Daten wird stichprobenartig oder regelmäßig überprüft. | 11.01.2022 |
4.1.10. Alle Mitarbeiter sind auf Vertraulichkeit und Datengeheimnis verpflichtet | 11.01.2022 |
4.1.14. Eine Richtlinie zur richtigen Verwendung und Aktualisierung von Passwörtern wurde erstellt und die Mitarbeiter werden dahingehend geschult | 11.01.2022 |
4.1.20. Mitarbeiter sind angewiesen, die gültigen Datenschutzmaßnahmen auch im Home Office zu gewährleisten | 11.01.2022 |
Bezeichnung | Letztes Audit |
4.2.1. Fehlerhafte Login Versuche führen zu einer automatischen Sperre des Benutzer Logins. Die Sperre bleibt für einen definierten Zeitraum (siehe Passwort Richtlinie) bestehen. | 11.01.2022 |
4.2.2. Ein Ablauf zur Meldung von Sicherheitsverletzungen an die Datenschutz Behörde und betroffene Personen existiert | 11.01.2022 |
4.2.7. Verarbeitungen werden hinsichtlich einer Datenschutz Folgeabschätzung geprüft. Eine solche wird bei Bedarf auch durchgeführt und dokumentiert | 11.01.2022 |
Bezeichnung | Letztes Audit |
4.4.1. Es existiert eine Übersicht über alle Lieferanten (Empfänger), die in unserem Namen personenbezogene Daten als Auftragsverarbeiter verarbeiten | 11.01.2022 |
4.4.2. Die Auswahl des Auftragnehmers erfolgt unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) | 11.01.2022 |
4.4.3. Wir beauftragen nur Unternehmen mit der Verarbeitung von personenbezogenen Daten, wenn sie einen Datenschutzbeauftragten bestellt haben | 11.01.2022 |
4.4.6. In den Auftragsverarbeiter Verträgen ist sichergestellt, dass Daten nach Beendigung des Auftrags auch vernichtet oder übergeben werden | 11.01.2022 |
Bezeichnung | Land | Übermittlung Drittland |
Microsoft Azure | Deutschland, Frankfurt | EU |
Amazon Web Service (AWS) | Deutschland, Frankfurt | EU |
Namirial S.p.A. | Italien | EU |