Technische und organisatorische Maßnahmen des Auftragnehmers

Technische und organisatorische Maßnahmen gem.Art. 32 DSGVO

HR Buddys hat die folgenden technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO getroffen, um Verschlüsselung und Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, Wiederherstellbarkeit sowie entsprechende Prüfverfahren zu gewährleisten.

Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um die Anforderungen der Datenschutzgrundverordnung zu erfüllen und durch geeignete Voreinstellungen sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Zweck der Verarbeitung erforderlich ist.

HR Buddys berücksichtigt die Anforderungen des Art. 25 DSGVO bereits in der Konzeptions- und Entwicklungsphase der Produktentwicklung. Dies wird durch die proaktive Einbeziehung der Rechtsabteilung, des Datenschutzbeauftragten und der IT-Sicherheitsingenieure sichergestellt. Prozesse und Funktionalitäten werden so eingerichtet, dass Datenschutzgrundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden.

 

1. Vertraulichkeit 

1.1 Zutrittskontrolle 

Folgende Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren, werden von der Firma HR Buddys GmbH umgesetzt:

  • Hinweisschilder
  • Personenkontrolle beim Pförtner/ Empfang
  • Sofortiges Löschen von Berechtigungen ausscheidender Mitarbeiter
  • Sorgfältige Auswahl von Reinigungspersonal
  • Manuelles Schließsystem
  • keine Wegweiser zu sensitiven Bereichen

 

1.2 Zugangskontrolle 

Der Zugang von Unbefugten zu IT-System und Verarbeitungseinrichtungen, mit denen die Verarbeitung durchgeführt wird, ist untersagt. Folgende Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können, werden von der Firma HR Buddys GmbH umgesetzt. 

  • Zuordnung von Benutzerrechten
  • Erstellen von Benutzerprofilen
  • Passwortvergabe
  • Single Sign-on / Passwortübergabe
  • Authentifikation mit Benutzername/ Passwort
  • Einsatz von VPN-Technologie
  • Einsatz von lntrusion-Detection-Systemen
  • Zugang zu Ressourcen pro Mitarbeiter (Geräte, Laufwerke, Partitionen, Verzeichnisse)
  • Einsatz von Anti-Viren-Software
  • Einsatz einer Hardware-Firewall

 

1.3 Zugriffskontrolle

Folgende Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, werden von der Firma HR Buddys GmbH umgesetzt. 

  • Erstellen eines Rollen-/Berechtigungskonzepts           
  • Verwaltung der Rechte durch Systemadministrator
  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • physische Löschung von Datenträgern vor Wiederverwendung
  • Einsatz von Aktenvernichtern
  • periodisches Überprüfen der aktuellen Rechtstruktur

 

1.3.1 Authentifizierungsverfahren bei Admin-System

Admin-System sind Systeme, die den Zugriff auf Kundensysteme über eine Benutzeroberfläche für den Kundenservice und die Produktentwicklung durch HR Buddys, sofern vom Kunden zu Supportzwecken freigegeben, ermöglichen.

  • Authentifizierung mit E-Mail-Adresse
  • 2-Faktor-Authentifizierung erzwungen:
    • Selbst gewähltes Passwort (8 Zeichen, Zahlen, Buchstaben und Sonderzeichen; Speicherung via Bcrypt-Hash, Einhaltung technisch erzwungen, Passwortänderung wird vom Teamlead alle drei Monate angeordnet)
    • Token Generator zur Authentifizierung
  • Sperrung des Admin-Accounts nach fünf fehlgeschlagenen Login-Versuchen

 

1.3.2 Authentifizierung bei Server-/Datenbank-System

Server-/ Datenbank-System sind Systeme, die den Zugang auf die gespeicherten Daten durch Produktentwicklung des Auftragnehmers ermöglichen.

  • Administrativer Zugriff über VPN, SSH oder Cloud API
  • Authentifizierung mit SSO oder eMail, MFA wird erzwungen.

 

1.4 Verwendung sicherer Passwörter

Bei der Vergabe und regelmäßigen Aktualisierung von sicheren Passwörtern sind die Maßgaben des BSI IT Grundschutz oder anderer äquivalenter, anerkannter Sicherheitsstandards für den HR Buddys Account sowie für die Laptops, Computer oder sonstige mobile Endgeräte zu berücksichtigen (d.h. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennwortes). Nutzer von HR Buddys sind dazu angehalten, vergleichbare Maßnahmen zur Sperrung bei Inaktivität zu treffen. Der Kunde hat dafür Sorge zu tragen.

 

1.5 Verbot der Weitergabe von Passwörtern und Nutzung von „Shared Accounts“

Sowohl für Nutzer von HR Buddys als auch Mitarbeiter gilt das Verbot der Weitergabe von Passwörtern für die Nutzung von HR Buddys sowie die Nutzung von sogenannten „Shared Accounts“ für den Zugang zu Kunden-, Admin- und administrativen Systemen (d.h. ausschließliche Nutzung persönlicher und individueller User Login bei Anmeldung am System).

 

1.6 Automatische Sperrung bei Inaktivität

HR Buddys – Mitarbeitern wird empfohlen, ihre Laptops ständig zu sperren, wenn sie nicht benutzt werden. Darüber hinaus ist eine automatische Bildschirmsperre nach 3 Minuten Inaktivität eingerichtet. Die Entsperrung erfordert das unter “Authentifizierungsverfahren bei IT-System/Laptop” beschriebene Authentifizierungsverfahren.

 

1.7 Einsatz von Anti-Viren-Software

Laptops der Mitarbeiter von HR Buddys sind mit einer dem Stand der Technik entsprechenden und aktuell gehaltenen Anti-Viren-Software auf allen betrieblichen oderbetrieblich genutzten IT-Systemen ausgestattet. Es dürfen grundsätzlich keine Rechner ohne residenten Virenschutz betrieben werden, es sei denn, es sind andere äquivalente Sicherheitsmaßnahmen nach dem Stand der Technik getroffen worden oder ein Risiko besteht nicht. Vorgegebene Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.

 

1.8 „Clean Desk Policy“

HR Buddys – Mitarbeiter sind dazu angehalten, personenbezogene Daten von Kunden nicht auszudrucken oder lokal zu speichern, Arbeitsmaterialien grundsätzlich nicht offen herumliegen zu lassen und ordnungsgemäß zu verstauen. Unterlagen mit personenbezogenen Daten sind nach Gebrauch entweder in abschließbaren Schränken oder Schubfächern zu verstauen oder datenschutzkonform zu entsorgen.

 

1.9 Trennungskontrolle 

Folgende Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können, werden von der Firma HR Buddys GmbH umgesetzt. 

  • physikalisch getrennte Speicherung auf gesonderten (softwareseitig) Systemen oder Datenträgern
  • Aufteilung nach Tätigkeitsbereichen im Unternehmen (feste Zuordnung verantwortliche MA und deren Handlungsspielräume)
  • Logische Mandantentrennung
  • Trennung nach Sachgebieten (Lohn, FiBu)
  • Erstellen eines Berechtigungskonzepts
  • Trennung von Produktiv- und Testsystem
  • Festlegung von Datenbankrechten

 

2. Integrität  

2.1 Weitergabekontrolle 

Folgende Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist, werden von der Firma HR Buddys GmbH umgesetzt. 

  • Einrichtungen von Standleitungen bzw. VPN-Tunneln
  • Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und -Fahrzeugen.

 

2.2 Eingabekontrolle  

Folgende Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, werden von der Firma HR Buddys GmbH umgesetzt.  

  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts              
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind

 

3. Verfügbarkeit und Belastbarkeit  

3.1 Verfügbarkeitskontrolle 

Folgende Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind, werden von der Firma HR Buddys GmbH umgesetzt.

  • unterbrechungsfreie Stromversorgung (USV)
  • Serverräume nicht unter sanitären Anlagen
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Datensicherung
  • Testen von Datenwiederherstellung
  • Dokumentation des Netzwerks beim IT-Dienstleister
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
  • Geeignetes Datensicherungsverfahren (Zeitpunkte, Umfang, Aufbewahrungsdauer (Tages-, Monats, Halbjahres- und Jahressicherungen, sichere Lagerung)
  • In Hochwassergebieten: Serverräume über der Wassergrenze

 

3.2 Datensicherungsverfahren/Backups

HR Buddys implementiert ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten des Kunden sowie das Speichermedium mit den entsprechend gespeicherten Dokumenten nach dem Stand der Technik, um eine ausreichende Verfügbarkeit zu gewährleisten.

 

3.3 Kapazitätsmanagement

Es gibt ein Kapazitätsmanagement mit Überwachung und automatischer Skalierung im Falle von Kapazitätsengpässen.

 

3.4 Warnsysteme zur Überwachung der Erreichbarkeit und des Zustands der Server-Systeme

Es besteht ein Warnsystem zur Überwachung der Verfügbarkeit und des Status der Serversysteme. Bei Ausfällen wird die Infrastrukturabteilung automatisch benachrichtigt, um sofortige Maßnahmen zur Behebung des Problems zu ergreifen.

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung  

4.1 Auftragskontrolle  

Folgende Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können, werden von der Firma HR Buddys GmbH umgesetzt.

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • schriftliche Weisungen an den Auftragnehmer
    • durch Auftragsdatenverarbeitungsvertrag i.S.d. § 11 Abs. 2 BDSG
    • entsprechende Vertragsgestaltung
  • Auftragnehmer hat Datenschutzbeauftragten bestellt
  • Weitergabe personenbezogener Daten nur nach schriftl. Einwilligung der Betroffenen
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis (§ 5 BDSG)
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  • Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart und ausgeübt

 

Die Mitarbeiter der Firma HR Buddys GmbH werden über technische und organisatorische Maßnahmen informiert u.a. via Erstellung von Datenschutz und IT-Sicherheitsregelungen im Rahmen von Handbüchern, Anweisungen etc. 

 

4.2 Auftragsverarbeitung gem. Art. 28 DSGVO

Eine Beauftragung und der Einsatz eines Unterauftragnehmer erfolgt ausschließlich nach Maßgabe des Auftragsverarbeitungsvertrages zwischen HR Buddys und dem Kunden, der gesetzlichen Bestimmungen sowie nach Abschluss einer entsprechenden Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen HR Buddys und dem Unterauftragnehmer. Diese Vereinbarung soll, soweit möglich, regelmäßig zumindest die folgenden Aspekte berücksichtigen:

  • Vereinbarung von wirksamen Kontrollrechten (entsprechend den Rechten des Auftraggebers, möglichst einschließlich Kontrollen vor Ort)
  • Vereinbarung von entsprechenden Kontroll- und Informationsrechten bei der Beauftragung weiterer Unterauftragnehmer
  • Vereinbarung von Vertragsstrafen für Verstöße, soweit erforderlich und möglich
  • Ausschließliche Verarbeitung nach dokumentierten Anweisungen
  • Ausschluss unzulässiger Verarbeitungsschritte
  • Verbot der Anfertigung von Kopien personenbezogener Daten (außer Sicherungskopien)
  • Verpflichtung der Mitarbeiter des Unterauftragnehmers zur Wahrung der Vertraulichkeit
  • Mitwirkung bei der Wahrung der Rechte der betroffenen Personen
  • Ernennung eines Datenschutzbeauftragten, sofern gesetzlich vorgeschrieben
  • Informationspflicht bei meldepflichtigen Verstößen gegen den Schutzpersonenbezogener Daten gemäß Art.33 und 34 DSGVO, bei Betriebsstörungen und anderen Unregelmäßigkeiten im Umgang mit personenbezogenen Daten
  • Sicherstellung der Löschung/Vernichtung von Daten nach Erledigung des Auftrags

 

4.3 Durchführung regelmäßiger Kontrollen / Anforderung von Nachweisen

HR Buddys wird sich vor Beginn des Einsatzes und danach regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen der von ihr beauftragten Unterauftragnehmer überzeugen oder sich diese nachweisen lassen.

 

Anhang „Subunternehmer“

 Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Subunternehmer“).

Dabei handelt es sich um nachfolgende Unternehmen:

  • Personio SE & Co.KG, Seidlstraße 3, 80335 München
  • SPENDIT AG, Reichenbachstr. 31, 80469 München
  • Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 USA (Datenverarbeitung in Deutschland)
  • Bubble Group, Inc., Delaware corporation, 22W 21St, Flor2, New York, NY 10010 (Datenverarbeitung in USA)
  • Zendesk, Inc., 989 Market Street, San Francisco, CA 94103, USA (Datenverarbeitung in USA)
  • JOIN Solutions AG, Landsgemeindeplatz 6, 9043 Trogen, Schweiz (Datenverarbeitung in Europa)