Technische und Organisatorische Maßnahmen (TOMs)

Gültig ab 12. Oktober 2023

Die technisch-organisatorischen Maßnahmen (TOM) bilden eine Reihe von Maßnahmen ab, die die sichere Verarbeitung von personenbezogenen Daten gewährleisten sollen.

Die technischen Maßnahmen bezeichnen dabei jeden Schutz für die Sicherheit der Datenverarbeitung, der durch physische Maßnahmen umgesetzt werden kann.

Die organisatorischen Maßnahmen bezeichnen die Umsetzung von Handlungsanweisungen sowie Vorgehens- und Verfahrensweisen für Mitarbeiter, die den Schutz der Verarbeitung von personenbezogenen Daten gewährleisten.

Quiply Technologies GmbH hat die nachfolgenden technischen und organisatorischen Maßnahmen unter der Berücksichtigung des aktuellen Stands der Technik, sowie der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung von personenbezogenen Daten eingerichtet.

Vertraulichkeit

Zutrittskontrolle

Unbefugten ist der Zutritt zu den vom Auftragnehmer zwecks Erbringung der ihm übertragenen Leistungen genutzten technischen Einrichtungen zu verwehren.

Bezüglich unserer Server-Sicherheit möchten wir Ihre Aufmerksamkeit auf die technischen und organisatorischen Maßnahmen lenken, die von unserem Unterauftragnehmer AWS (Amazon Web Services) umgesetzt werden. Diese Maßnahmen wurden implementiert, um die Sicherheit, Integrität und Vertraulichkeit der von uns verarbeiteten Daten zu gewährleisten.

AWS hat sich verpflichtet, höchste Standards in Bezug auf Sicherheit und Datenschutz zu erfüllen. Zu diesem Zweck haben sie eine umfassende Palette von Sicherheitskontrollen und -verfahren implementiert, die sowohl physische als auch virtuelle Aspekte abdecken. Dazu gehören Zugangskontrollen, Verschlüsselung, Netzwerksegmentierung, Überwachung und Protokollierung von Aktivitäten sowie regelmäßige Sicherheitsaudits.

Die organisatorischen Maßnahmen von AWS beinhalten strenge Richtlinien für den Umgang mit Daten, Schulungen für Mitarbeiter, die Sensibilisierung für Sicherheitsfragen und die Einhaltung einschlägiger gesetzlicher Bestimmungen.

Durch die Verweisung auf die technischen und organisatorischen Maßnahmen von AWS möchten wir betonen, dass wir auf verantwortungsvolle Weise mit unseren Daten umgehen und sicherstellen, dass angemessene Schutzvorkehrungen getroffen werden, um potenzielle Risiken zu minimieren.

Beim Auftragnehmer umgesetzte Maßnahmen:

Rückgabe von Schlüsseln nach Austritt von Mitarbeitern

Vor Beendigung des Anstellungsverhältnisses müssen Mitarbeiter zuvor ausgehändigte Schlüssel zurückgeben. Die Rückgabe wird von einem weiteren Mitarbeiter durchgeführt und überwacht. Die Namen der beteiligten Personen, das Datum und die Uhrzeit der Rückgabe, die Schlüssel-Nummer oder die ID der Chipkarte oder des Transponders werden im Übergabeprotokoll festgehalten. Das Protokoll wird an zentraler Stelle sicher verwahrt.

Verwendung einer Zutrittskontrolle

Der Zutritt zum Bürogebäude ist ausschließlich mit Hilfe eines entsprechenden Schlüssels möglich. Diese werden ausschließlich an Mitarbeiter ausgeteilt und müssen vor Austritt aus dem Unternehmen wieder zurückgegeben werden. Eine Vervielfältigung der eingesetzten Schlüssel ist nicht möglich.

Zugangskontrolle

Es ist zu verhindern, dass die zur Erbringung der in der beschriebenen IT-Dienstleistung notwendigen Einrichtungen (Hardware, Betriebssysteme, Software) von Unbefugten genutzt werden können.

Beim Auftragnehmer umgesetzte Maßnahmen:

Sperren von PCs / Macs

Alle im Einsatz befindlichen Arbeitsplatzrechner (PCs, Macs) rufen nach fünfminütiger Inaktivität automatisch die Anmeldemaske des jeweiligen Betriebssystems auf. Ein Zugriff auf die Arbeitsplatzrechner ist dann nur nach vorheriger Eingabe des Nutzerpassworts möglich. So wird verhindert, dass Unbefugte beispielsweise während der Pausenzeiten Zugriff auf kritische Daten erlangen können. Grundsätzlich gilt die Anweisung beim Verlassen des Arbeitsplatzes das Endgerät zu sperren.

Verwendung personalisierter Logins

Sowohl für interne als auch externe Systeme werden grundsätzlich personalisierte Logins vergeben. So kann sichergestellt werden, dass durchgeführte Aktionen nachträglich dem jeweiligen Benutzer zugeordnet werden können. Zudem können einzelne Zugänge zielgerichtet gesperrt oder gelöscht werden, ohne dass dies Einfluss auf die Zugänge anderer Mitarbeiter hat.

Verwendung sicherer und individueller Passwörter

Sowohl für interne als auch externe Zugänge werden ausschließlich sichere Passwörter mit einer Länge von mindestens acht Zeichen verwendet, die jeweils mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthalten müssen.

Zugriffskontrolle

Es ist sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können.

Beim Auftragnehmer umgesetzte Maßnahmen:

Minimale Anzahl an Mitarbeitern mit administrativen Rechten

Um zu gewährleisten, dass lediglich autorisierte Personen Zugriff auf kritische IT-Systeme sowie darauf gespeicherter Daten haben, verfügen nur ausgewählte Mitarbeiter über die notwendigen administrativen Rechte. Diese Mitarbeiter schalten projektbezogen die Zugriffsrechte der anderen Mitarbeiter frei, sofern diese für ihre Arbeit notwendig sind. Nach Abschluss der jeweiligen Arbeiten werden die entsprechenden Rechte wieder entzogen. So wird die Anzahl der Mitarbeiter, die theoretisch Zugriff auf alle im Unternehmen gespeicherten personenbezogenen Daten haben, auf ein absolutes Minimum reduziert.

Nutzung von Benutzer- und Rollenkonzepten für interne und externe Systeme

Für interne und externe Systeme, die diese Funktionalität unterstützen, werden Benutzer- und Rollenkonzepte beim Anlegen von Zugängen verwendet. Anstatt jeden einzelnen Zugang mit entsprechenden Berechtigungen auszustatten, wird jedem Zugang eine Rolle zugewiesen. Diesen übergeordneten Rollen werden wiederum die notwendigen Berechtigungen zugewiesen. So können Änderungen an den Berechtigungen zentral über die Anpassung der jeweiligen Rolle erfolgen. So kann verhindert werden, dass einzelne Zugänge über Berechtigungen verfügen, die diesen eigentlich nicht gestattet wären.

Sperrung von Zugängen beim Austritt von Mitarbeitern

Verlässt ein Mitarbeiter das Unternehmen, so erfolgt noch vor dessen Austritt die Sperrung bzw. Löschung aller ihm zugewiesenen Zugänge für interne und externe Systeme.

Verwendung sicherer und individueller Passwörter

Sowohl für interne als auch externe Zugänge werden ausschließlich sichere Passwörter mit einer Länge von mindestens acht Zeichen verwendet, die jeweils mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthalten müssen.

Weitergabekontrolle

Es muss dafür gesorgt werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen die Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Beim Auftragnehmer umgesetzte Maßnahmen:

Nutzung SSL-verschlüsselter Übertragungswege im Internet

Für die Übermittlung von Daten mit personenbezogenem Inhalt über das Internet werden ausschließlich SSL/TLS-verschlüsselte Übertragungswege genutzt. Die gesicherte Verbindung zwischen Browser und Zielserver stellt sicher, dass Daten zwischen diesen beiden Systemen nicht von Dritten eingesehen oder manipuliert werden können.

Trennungskontrolle

Es ist sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Beim Auftragnehmer umgesetzte Maßnahmen:

Trennung von Live- und Entwicklungssystemen

Für die Entwicklung und Programmierung stehen den Entwicklern eigene Entwicklungsumgebungen mit anonymisierten oder pseudonymisierten Testdaten zur Verfügung, sodass eine Entwicklung am Produktivsystem mit den darin gespeicherten Echtdaten nicht notwendig ist. So kann verhindert werden, dass versehentlich eine ungewollte Veränderung oder Weitergabe von personenbezogenen Daten erfolgt.

Verwendung von Zugriffsberechtigungen für interne Systeme

Alle internen Systeme sind vor unbefugtem Zugriff gesichert. Es ist nicht möglich, diese ohne eine Anmeldung zu verwenden. Die Berechtigungen zur Nutzung der verschiedenen Systeme werden individuell vergeben und können individuell und systembezogen widerrufen werden.

Pseudonymisierung

Die Verarbeitung personenbezogener Daten soll in einer Weise erfolgen, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.

Beim Auftragnehmer umgesetzte Maßnahmen:

Verwendung von pseudonymisierten Daten im Arbeitsalltag

Maßnahmen zur Pseudonymisierung von Daten erfolgen aktuell nicht.

Verschlüsselung

Die Verarbeitung personenbezogener Daten soll in einer Weise erfolgen, die eine unbeabsichtigte oder unrechtmäßige oder unbefugte Offenlegung dieser verhindert. Hierzu dienen dem Stand der Technik entsprechende und als sicher geltende Verschlüsselungsmechanismen.

Beim Auftragnehmer umgesetzte Maßnahmen:

Verwendung verschlüsselter Übertragungswege für den Datenaustausch

Werden Daten digital ausgetauscht, die unter Umständen personenbezogene Daten enthalten könnten, findet dies ausschließlich auf sicheren und verschlüsselten Übertragungswegen statt. Es werden insbesondere SSH-Verbindungen genutzt und keine unverschlüsselten Protokolle verwendet, wenn verschlüsselte Alternativen zur Verfügung stehen. So werden E-Mails zum Beispiel via IMAP nur mit SSL/TLS oder HTTPS-Verbindungen.

Verwendung von SSL-Zertifikaten für Hosting-Umgebungen

Die von Quiply bereitgestellte App-Plattform und Webseiten, über die personenbezogene Daten über das Internet übermittelt werden, werden von uns mit SSL-Zertifikaten geschützt. Die Zertifikate werden in regelmäßigen Abständen neu ausgestellt, um einen Diebstahl des Zertifikats und somit das Abgreifen von Daten zu verhindern.

Die eingesetzten Zertifikate (RSA 2048/SHA-256 ) werden mittels AWS Certifcate Manager erstellt und automatisiert in die Infrastruktur eingebunden. Als Sicherheitsrichtlinie kommt die von AWS beschriebene Richtlinie ELBSecurityPolicy-TLS13-1-2-2021-06 zum Einsatz. Weitere Informationen hierzu finden Sie auf den Webseiten von AWS hier.

Datenverschlüsselung

ie Daten des Kunden werden in Datenbanken und auf dem Dateisystem S3 von AWS abgelegt. Auf dem Dateisystem S3 werden die binären Daten (wie z.B. Dokumente, Bilder und Videos) gespeichert. Alle anderen Daten sind in Datenbanken hinterlegt.

Die Verschlüsselung der Daten in den Datenbanken basiert auf dem Linux Unified Key Setup (LUKS) Verfahren. Die Anwendung des End-Nutzers baut keine direkte Verbindung zur Datenbank auf, sondern kommuniziert mit dieser ausschließlich über die Services im Rechenzentrum. Diese Services kommunizieren über eine verschlüsselte Verbindung mit den Datenbanken.

Die Verschlüsselung der Daten auf dem Dateisystem S3 erfolgt auf Basis des SSE-S3 Verfahren von AWS. Weitere Informationen hierzu finden Sie auf den Seiten von AWS hier.

Integrität

Eingabekontrolle

Es muss nachträglich geprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Beim Auftragnehmer umgesetzte Maßnahmen:

Nutzung von Benutzer- und Rollenkonzepten für interne und externe Systeme

Für interne und externe Systeme, die diese Funktionalität unterstützen, werden Benutzer- und Rollenkonzepte beim Anlegen von Zugängen verwendet. Anstatt jeden einzelnen Zugang mit entsprechenden Berechtigungen auszustatten, wird jedem Zugang eine Rolle zugewiesen. Diesen übergeordneten Rollen werden wiederum die notwendigen Berechtigungen zugewiesen. So können Änderungen an den Berechtigungen zentral über die Anpassung der jeweiligen Rolle erfolgen. So kann verhindert werden, dass einzelne Zugänge über Berechtigungen verfügen, die diesen eigentlich nicht gestattet wären.

Verwendung personalisierter Logins

Sowohl für interne als auch externe Systeme werden grundsätzlich personalisierte Logins vergeben. So kann sichergestellt werden, dass durchgeführte Aktionen nachträglich dem jeweiligen Benutzer zugeordnet werden können. Zudem können einzelne Zugänge zielgerichtet gesperrt oder gelöscht werden, ohne dass dies Einfluss auf die Zugänge anderer Mitarbeiter hat.

Weitergabekontrolle

Die Maßnahmen zur Weitergabekontrolle gem. 1.4 dienen auch der Sicherstellung der Integrität.

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Es ist dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beim Auftragnehmer umgesetzte Maßnahmen:

Durchführung von Code-Reviews in der Entwicklung

Alle entwickelten Code-Bestandteile werden durch einen zweiten Mitarbeiter mit entsprechenden Fachkenntnissen geprüft. Bevor der jeweilige Code in das Produktivsystem eingespielt wird, muss dieser durch beide Mitarbeiter freigegeben werden. Dieses Vier-Augen-Prinzip stellt sicher, dass Systeme nicht offensichtlichen Fehlern ausgesetzt sind und dass die zuvor definierten Anforderungen an die Qualität des Codes eingehalten werden.

Erstellung von Code-Dokumentationen in der Entwicklung

Alle entwickelten Systeme und darin verwendete Code-Bestandteile werden durch die Entwickler hinreichend dokumentiert. Dies stellt u. A. eine schnelle Einarbeitung anderer Mitarbeiter in das jeweilige Projekt sicher. Darüber hinaus kann eine Weiterentwicklung der jeweiligen Code-Bestandteile zukünftig auch dann erfolgen, wenn der ursprüngliche Entwickler nicht mehr im Unternehmen tätig ist. Durch eine hinreichende Dokumentation wird zudem sichergestellt, dass Bugs oder Fehler schneller identifiziert und behoben werden können.

Klimatisierung von Räumen mit kritischer IT-Infrastruktur

Alle Systemkomponenten, die zur Sicherstellung des Betriebs sowie zur Bereitstellung von Kundensystemen notwendig sind (z. B. Server, Netzwerkkomponenten oder Backup-Systeme) sind vor schädlichen Umgebungsbedingungen wie zu hohen Temperaturen oder zu hoher Luftfeuchtigkeit mittels einer Klimatisierung geschützt. Diese wird regelmäßig gewartet und bei einer Erweiterung der Systemkomponenten entsprechend der benötigten Kühlleistung ausgebaut.

Nutzung einer Versionskontrolle in der Entwicklung

Für die Entwicklung von Anwendungen werden gängige Versionierungssysteme (Git) eingesetzt. Diese stellen sicher, dass vorherige Softwarestände nicht versehentlich überschrieben werden und die parallele Entwicklung durch mehrere Mitarbeiter an einem System nicht zu Fehlern oder zum Überschreiben von bestehenden Daten führt. Zudem können durch eine Versionskontrolle Änderungen und Fehler nachträglich schneller und besser nachvollzogen und behoben werden. Unabsichtlich durchgeführte Änderungen können außerdem rückgängig gemacht werden.

Nutzung von Testverfahren in der Entwicklung

Entwickelte Komponenten für interne Systeme sowie für Kundensysteme werden durch spezielle Tests (z. B. Unit-Tests) einer regelmäßigen und automatisierten Prüfung unterzogen. Dabei wird mittels verschiedener Testszenarien sichergestellt, dass auch bei der nachträglichen Einführung von Änderungen an einem System die wesentlichen Komponenten auf verschiedene Eingaben hin das richtige und zu erwartende Verhalten zeigen. Mögliche Fehler können so frühzeitig erkannt und behoben werden.

Regelmäßige Durchführung von Updates

Alle im Einsatz befindlichen Betriebssysteme sowie darauf installierte Anwendungen und Bibliotheken werden stets aktuell gehalten. Entsprechende Updates werden regelmäßig eingespielt. Zur Verfügung gestellte Security-Patches werden ebenfalls zeitnah eingespielt, um die entsprechenden Sicherheitslücken schnellstmöglich zu schließen. Werden für Anwendungen oder Bibliotheken keine Security-Updates mehr ausgeliefert oder wird die Anwendung vom Hersteller nicht mehr weiterentwickelt oder betreut, findet ein Upgrade auf eine aktuelle Version statt oder es findet ein Wechsel auf eine noch unterstützte alternative Anwendung statt.

Verwendung einer unterbrechungsfreien Stromversorgung (USV)

Kritische IT-Systeme wie beispielsweise Server, auf denen Unternehmens- oder Kundendaten gespeichert werden, sind mit einer USV vor kurzzeitigen Stromausfällen geschützt. So können kritische IT-Systeme bei Stromausfällen gezielt heruntergefahren werden und unerwünschte Datenverluste vermieden werden. Bei einer Erweiterung von kritischen IT-Systemen wird auch die Kapazität der USV entsprechend angepasst, um einen ordnungsgemäßen Betrieb für einen bestimmten Zeitraum sicherzustellen. Die unterbrechungsfreie Stromversorgung wird regelmäßig durch ein Spezialunternehmen gewartet, um deren ordnungsgemäße Funktion sicherzustellen.

Verwendung eines Überspannungsschutzes für interne Systeme

Zum Schutz vor Schäden durch Blitzeinschlag oder eine fehlerhafte Netzeinspeisung, werden Einrichtungen verwendet, die eine zu hohe Netzspannung in allen Bereichen des Bürogebäudes verhindern.

Wiederherstellbarkeit

Es müssen Maßnahmen getroffen werden, um Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall wiederherzustellen.

Beim Auftragnehmer umgesetzte Maßnahmen:

Dokumentation von datenschutzrelevanten Zwischenfällen

Datenschutzrelevante Zwischenfälle, bei denen nicht ausgeschlossen werden kann, dass personenbezogene Daten gelöscht oder an unberechtigte Dritte weitergeleitet wurden, werden umfassend dokumentiert. Die Unterlagen dienen zum einen einer lückenlosen Kommunikation an die Datenschutzbehörden sowie die betroffenen Kunden, zum anderen können auf Basis dieser Informationen Verbesserungen umgesetzt werden, die ähnliche Vorfälle zukünftig verhindern.

Nutzung einer Versionskontrolle in der Entwicklung

Für die Entwicklung von Anwendungen werden gängige Versionierungssysteme (Git) eingesetzt. Diese stellen sicher, dass vorherige Softwarestände nicht versehentlich überschrieben werden und die parallele Entwicklung durch mehrere Mitarbeiter an einem System nicht zu Fehlern oder zum Überschreiben von bestehenden Daten führt. Zudem können durch eine Versionskontrolle Änderungen und Fehler nachträglich schneller und besser nachvollzogen und behoben werden. Unabsichtlich durchgeführte Änderungen können außerdem rückgängig gemacht werden.

Überprüfung erstellter Datensicherungen

Die Datensicherung erfolgt automatisch. Alle Daten auf dem Dateisystem S3 werden gespiegelt und getrennt aufbewahrt. Die Sicherung und Spiegelung der Daten in den Datenbanken erfolgt ohne jegliche Verzögerung mit Hilfe der eingesetzten Datenbank-Cluster. Zusätzlich werden die Daten aus jedem Datenbank-Cluster täglich gesichert.

Erstellte Datensicherungen werden regelmäßig auf ihre Integrität und Wiederherstellbarkeit hin überprüft. Hierfür werden zufällig ausgewählte Daten von einem zufällig ausgewählten Zeitpunkt testweise aus einer Datensicherung wiederhergestellt und mit den Originaldateien verglichen. So können unbrauchbare Datensicherungen oder Fehler im Backup- bzw. Wiederherstellungssystem frühzeitig erkannt und behoben werden.

Weitere Maßnahmen

Datenschutz-Managementsystem

Es muss ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung des Datenschutzes und der Wirksamkeit der festgelegten technischen und organisatorischen Maßnahmen implementiert sein.

Beim Auftragnehmer umgesetzte Maßnahmen:

Dokumentation von datenschutzrelevanten Zwischenfällen

Datenschutzrelevante Zwischenfälle, bei denen nicht ausgeschlossen werden kann, dass personenbezogene Daten gelöscht oder an unberechtigte Dritte weitergeleitet wurden, werden umfassend dokumentiert. Die Unterlagen dienen zum einen einer lückenlosen Kommunikation an die Datenschutzbehörden sowie die betroffenen Kunden, zum anderen können auf Basis dieser Informationen Verbesserungen umgesetzt werden, die ähnliche Vorfälle zukünftig verhindern.

Jährliche Überprüfung der Wirksamkeit der ergriffenen Schutzmaßnahmen

Unabhängig von zusätzlich durchgeführten externen Security-Audits, erfolgt jährlich eine innerbetriebliche Überprüfung zur Wirksamkeit der ergriffenen technischen und organisatorischen Schutzmaßnahmen. Hierzu werden die aktuellen Schutzmaßnahmen gemeinsam mit Vertretern aller Verantwortungsbereiche beleuchtet und sofern sinnvoll entsprechende Optimierungen festgelegt.

Sicheres Löschen nicht mehr benötigter Daten

Nicht mehr benötigte Daten, wie zum Beispiel veraltete Kunden- sowie Projektdaten oder Daten aus Test- bzw. Entwicklungsumgebungen, werden gelöscht, sobald diese nicht mehr für die jeweilige Vertragserfüllung benötigt werden.

Zuteilung von datenschutzrelevanten Verantwortungsbereichen

Datenschutzrelevante Verantwortungsbereiche werden je nach Tätigkeitsbereich auf Mitarbeiter verteilt. Dabei wird die Eignung der Mitarbeiter für den jeweiligen Verantwortungsbereich stets sichergestellt. Ggf. notwendige Schulungen oder Fortbildungen erfolgen vor der Übertragung eines Verantwortungsbereichs an einen Mitarbeiter. Bei Austritt eines Mitarbeiters wird unverzüglich ein geeigneter Nachfolger benannt.

Auftragskontrolle

Es muss dafür gesorgt werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Beim Auftragnehmer umgesetzte Maßnahmen:

Abschluss von AV-Verträgen mit Dienstleistern, Partnern und Kunden

Mit allen Dienstleistern, Partnern und Kunden, mit denen ein Austausch sowie eine Verarbeitung von personenbezogenen Daten erfolgen, wird ein Vertrag zur Auftragsdatenverarbeitung (AV-Vertrag) gemäß Art. 28 DSGVO geschlossen. In dem AV-Vertrag werden u. a. die folgenden Aspekte zwischen den beiden Vertragspartnern geregelt: "Anwendungsbereich und Verantwortlichkeit", "Gegenstand und Dauer des Auftrages", "Beschreibung der Verarbeitung, Daten und betroffener Personen", "Technische und organisatorische Maßnahmen zum Datenschutz", "Berichtigung, Einschränkung und Löschung von Daten", "Pflichten des Auftragnehmers", "Rechte und Pflichten des Auftraggebers", "Wahrung von Rechten der betroffenen Person", "Kontrollbefugnisse", "Unterauftragsverhältnisse", "Datengeheimnis und Geheimhaltungspflichten", "Haftung" und "Informationspflichten, Schriftformklausel, Rechtswahl". Der AV-Vertrag wird von beiden Vertragsparteien in schriftlicher oder alternativ in digitaler Form geschlossen. Beide Vertragsparteien verpflichten sich zudem, unverzüglich über relevante Änderungen zu informieren, so dass der AV-Vertrag entsprechend geändert und erneut abgeschlossen werden kann.

Aufklärung von Kunden zum Thema Datenschutz

Nach Auftragserteilung klären wir Kunden über die von uns ergriffenen Maßnahmen zum Datenschutz auf und binden diese so gut wie möglich in die entsprechenden Prozesse mit ein.

Beauftragung zertifizierter Dienstleister und Partner

Eine Zusammenarbeit erfolgt vorzugsweise mit Dienstleistern und Partnern, die über eine nachgewiesene Zertifizierung verfügen. Dies gilt insbesondere dann, wenn die Zertifizierung auf ein hohes Datenschutzniveau schließen lässt, zum Beispiel bei Anbietern von Webhosting-Dienstleistungen. Die Fristen der jeweiligen Zertifizierungen werden kontrolliert und ggf. neue Zertifizierungen von Dienstleistern und Partnern angefordert, sobald diese neu ausgestellt wurden. Erfolgt keine erneute Zertifizierung, so werden zukünftig vorzugsweise andere Dienstleister und Partner beauftragt, die über das jeweilige Zertifikat verfügen.

Kommunikation von Verhaltensrichtlinien zum Thema Datenschutz an alle Mitarbeiter

Bei Eintritt in das Unternehmen werden alle wesentlichen Verhaltensrichtlinien zum Thema Datenschutz an neue Mitarbeiter kommuniziert. Neben unserem grundsätzlichen Verständnis vom Umgang mit personenbezogenen Daten vermitteln wir auch das notwendige Wissen zur korrekten Anwendung aller technischen und organisatorischen Datenschutzmaßnahmen.

Regelmäßige Unterweisung und Fortbildung von Mitarbeitern zum Thema Datenschutz

Unsere Mitarbeiter werden regelmäßig zu relevanten Datenschutzthemen geschult. Dabei werden sowohl Grundlagen aufgefrischt als auch aktuelle Themen sowie rechtliche Änderungen vermittelt. Neben den entsprechenden datenschutztechnischen Kompetenzen soll so eine hohe Sensibilität für den Schutz personenbezogener Daten bei allen Mitarbeitern gefördert werden.

Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

Auftragsbezogene Daten mit personenbezogenen Inhalten, die zur Verarbeitung an uns übermittelt werden, werden bei Beendigung des Auftrags gelöscht, sofern diese nicht aus wichtigem Grund behalten werden müssen. Dies kann zum Beispiel dann notwendig sein, wenn sich aus dem Auftrag weitere Folgeaufträge ergeben, für deren vertragliche Umsetzung die Daten noch einmal benötigt werden. Eine ordnungsgemäße Löschung erfolgt dann nach Abschluss des letzten Folgeauftrags.

Unterzeichnung einer Verschwiegenheitserklärung durch alle Mitarbeiter

Alle Mitarbeiter unterzeichnen beim Eintritt in das Unternehmen eine gesonderte Verschwiegenheitserklärung. Darin verpflichten sich die Mitarbeiter, personenbezogene Daten vertraulich zu behandeln und diese ausschließlich auf Weisung ihrer Vorgesetzten zu verarbeiten. Darüber hinaus wird der Mitarbeiter über mögliche Folgen von Verstößen gegen die Vertraulichkeitsverpflichtung aufgeklärt. Alle in der Verschwiegenheitserklärung vereinbarten Punkte gelten auch über den Zeitraum der Anstellung hinaus.

Mann im Anzug steht im Wald Lichtung