INFORMATION
BELEHRUNGEN UND MERKBLÄTTER FÜR TALENTS
DATENSCHUTZKONZEPT
INHALTSVERZEICHNIS
DATENSCHUTZKONZEPT
1. Einleitung
2. Sachliche und Räumliche Tätigkeit
3. Datenschutzbeauftragter (DSB) und verantwortlicher für den Datenschutz
4. Weiterbildung und Stand der Technik
5. Sensibilisierung der Mitarbeitenden / Dienstleister
6. Datenverarbeitungen / Datenverarbeitungszwecke
7. Datenschutz-Folgenabschätzung
8. Beschreibung der technisch-organisatorischen Maßnahmen (TOMS)
8.1 Grundsätze
8.2. IT-Infrastruktur
8.3. Leiter IT
8.4. Einzelmaßnahmen
8.4.1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
8.4.2. Zugangskontrolle
8.4.3. Zugriffskontrolle
8.4.4. Trennungskontrolle
8.4.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DS.-GVO; Art. 25 Abs. 1 DS-GVO)
8.4.6. Maßnahmen zur Verschlüsselung der Daten
8.5. Integrität (An. 32 Abs. 1 lit. .b DS-GVO)
8.5.1. Weitergabekontrolle
8.5.2. Eingabekontrolle
8.6. Verfügbarkeit und Belastbarkeit
8.6.1. Verfügbarkeitskontrolle
8.6.2. Rasche Wiederherstellbarkeit
8.7. Organisationskontrolle
8.7.1. Organisationskontrolle
8.7.2. Security- und Risikomanagement
8.7.3. Zertifizierung
8.7.4. Incident-Response-Management
8.7.5. Datenschutzfreundliche Voreinstellungen
8.7.6. Auftragskontrolle
9. Talentauthentifizierung und Qualitätssicherung
9.1. Kontrollmaßnahmen zur Authentifizierung des tatsächlichen Nutzers (Talent)
9.2. Maßnahmen zur Qualitätskontrolle
10. Impressum und Datenschutzerklärungen
11. Betroffenenrechte wahren
11.1. Betroffenenrechte: Prozessketten
11.2. Meldung von Datenschutzverletzungen: Prozesskette
12. Checkliste für den jährlichen Kontroll- und Verbesserungsprozess
13. Zusammenfassung
1. EINLEITUNG
Dieses Datenschutzkonzept beruht auf den in Art 5 Abs. 1 DSGVO formulierten Grundsätzen wie Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität, Recht auf Vergessenwerden und Vertraulichkeit und ist rechtmäßig (Art. 6 DSGVO). Die von der DSGVO geforderte Einhaltung der Verordnungskonformität (Art. 5 Abs. 2; Art 24 Abs. 1), der Einhaltung der Betroffenenrechte (Art 13-20), der Meldepflicht bei Datenschutzverletzung (Art. 33-34), der Nachweis- und Rechenschaftspflicht (Art 5 Abs. 2, Art 24 Abs. 1) ist gewährleistet. Ein Kontroll- und Verbesserungsprozess wird mindestens 1x jährlich durchgeführt (Art 32 Z 1), u.a. basierend auf der Checkliste, enthalten im letzten Kapitel dieses Datenschutzkonzeptes.
2. SACHLICHE UND RÄUMLICHE TÄTIGKEIT
Wir verarbeiten personenbezogene Daten von natürlichen Personen ab dem 18. Lebensjahr (Art 8 DSGVO) ganz oder teilweise automatisiert und haben unseren Geschäftssitz in der EU:
Yoummday GmbH, Infanteriestraße 11a, Haus E, 80797 München,
Fon: +49 89 230236-03
www.yoummday.com
3. DATENSCHUTZBEAUFTRAGTER (DSB) UND VERANTWORTLICHER FÜR DEN DATENSCHUTZ
Trifft einer der nachfolgenden Kriterien zu, ist ein externer oder interner DSB notwendig und zu bestellen:
Verarbeitung der Daten durch eine Behörde oder eine öffentliche Stelle, mit Ausnahme der Gerichte
JA ( )
NEIN (X)
Verarbeitung der personenbezogenen Daten stellt eine Kerntätigkeit der Organisation dar und/oder erfordert eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Person
JA (X)
NEIN ( )
Verarbeitung besonders schutzwürdige Kategorien personenbezogenen Daten (Art 9 Z 1 DSGVO wie z. B. Gesundheitsdaten, ethische Herkunft, genetische bzw. biometrische Daten, Gewerkschaftszugehörigkeit, usw.) stellt eine Kerntätigkeit der Organisation dar
JA ( )
NEIN (X)
Datenschutzbeauftragter:
Björn Barthelmes
Karl-Frank-Straße 35
12587 Berlin
E-Mail: datenschutz@yoummday.com
Datenschutzkoordinator:
Jörg Hoffmann
Telefon: +49 89 230 236 03
E-Mail: joerg.hoffmann@yoummday.com
4. WEITERBILDUNG UND STAND DER TECHNIK
Aktivitäten
- Info- u. Weiterbildungsveranstaltungen
Veranstalter
- Webinare, etwa bei datenschutzguru.de oder gruenderszene.de
sonstiges
- regelmäßig
5. SENSIBILISIERUNG DER MITARBEITENDEN / DIENSTLEISTER
Besonders wichtig ist die Sensibilisierung aller relevanten Mitarbeitenden, der wir natürlich nachkommen. Nur mit informierten und achtsamen Mitarbeitenden können Sicherheitsmaßnahmen wirksam umgesetzt und eventuelle Sicherheitsvorfälle rechtzeitig erkannt werden.
Sobald die Ursache eines Sicherheitsvorfalls identifiziert wurde, müssen Maßnahmen zu dessen Behebung ergriffen werden. Häufig ist es notwendig, die betroffenen IT-Systeme oder Standorte zu isolieren, um die Auswirkung des Sicherheitsvorfalls einzudämmen.
Die Behebung von Sicherheitsvorfällen muss ausführlich dokumentiert werden.
Ein Beispiel für eine Sensibilisierung /Verpflichtung auf Einhaltung der DSGVO der Mitarbeitenden befindet sich im Anhang. Ebenfalls im Anhang: Ein Mustervertrag zur Auftragsdatenverarbeitung.
6. DATENVERARBEITUNGEN/DATENVERARBEITUNGSZWECKE
Zwecke und Beschreibung der Datenverarbeitungen:
1. Rechnungswesen und Geschäftsabwicklung: Verarbeitung und Übermittlung von Daten im Rahmen von Geschäftsbeziehungen mit Kunden, Talenten (Talents) und Lieferanten, sowie an der Geschäftsabwicklung mitwirkende Dritte und Geschäftspartner inkl. deren jeweiligen Kontaktpersonen einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z. B. Rechnungen, Korrespondenzen oder Verträge) in diesen Angelegenheiten
2. Kundenbetreuung und Marketing: Serviceorientierte Information und Betreuung von kategorisierten Kunden, Lieferanten und an der Geschäftsabwicklung mitwirkende Dritte bzw. Geschäftspartner inkl. deren jeweiligen Kontaktpersonen und Interessenten einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) sowie Übermittlung von Newsletter, Serienbriefe und Infomaterial.
3. Betrieb von Internetseiten: Übermittlung von Daten im Rahmen des Stellenmarktes (Firmenname, Ansprechpartner, Telefonnummer, Webseitenadresse, Stellenbeschreibung, Lebenslauf, Adresse, Benutzername, Passwort); Newsletter-Versand: Information an Interessenten und Kunden zum Thema Social Media. Regelmäßig neue Info über neue Stellenangebote
4. Webseitenanalyse: Analyse des anonymisierten Besucherverhaltens auf der Webseite zur Optimierung und Nachvollziehbarkeit der Seitenbesuche (z. B. Einstiegs- und Ausstiegsseiten, Verweildauer...)
5. Kontaktformular: Kontaktanfrage über die Webseite für Interessenten und Kunden zur Beantwortung von spezifischen Anfragen / Talentbereich: User können sich auf der Webseite einloggen, um einen Talentbereich zu besuchen
7. DATENSCHUTZ-FOLGENABSCHÄTZUNG
Soweit der Datenschutzbeauftragte feststellt, dass die beabsichtigte Verarbeitung einer Datenschutz-Folgenabschätzung unterliegt, teilt er dies umgehend mit. Das Verfahren darf erst nach Zustimmung des DSB durchgeführt werden. Im Zweifel entscheidet die Geschäftsleitung.
8. BESCHREIBUNG DER TECHNISCH-ORGANISATORISCHEN MASSNAHMEN (TOMS)
8.1. Grundsätze
Als verantwortliche Stelle wurden geeignete technische und organisatorische Maßnahmen getroffen, welche die Einhaltung der Grundsätze der Europäischen Datenschutzgrundverordnung sicherstellen. Hiermit kann sichergestellt werden und der Nachweis erbracht werden, dass die Verarbeitung gemäß den Vorschriften der EU-DSGVO erfolgt.
Die folgenden Maßnahmen dienen der Gewährleistung der Vertraulichkeit der Systeme und dienen der:
- Gewährleistung der Vertraulichkeit der Systeme und Dienste
- Gewährleistung der Integrität der Systeme und Dienste
- Gewährleistung der Verfügbarkeit der Systeme und Dienste
- Gewährleistung der Belastbarkeit der Systeme und Dienste
- Wiederherstellung der Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen nach einem physischen und technischen Zwischenfall. Verfahren zur regelmäßigen Überprüfung, Bewertung, Evaluierung der Wirksamkeit der vorgenannten Maßnahmen.
Die zu treffenden technischen und organisatorischen Maßnahmen orientieren sich an:
- Stand der Technik
- den Implementierungskosten
- Art, Umfang, Umstände und Zweck der Verarbeitung
- der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
Dabei wird ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleistet. Zur Aufrechterhaltung des Schutzniveaus werden die Maßnahmen regelmäßig überprüft und aktualisiert.
8.2. IT-Infrastruktur
siehe Dok: Technisches Setup und DV-Infrastruktur Az*4
8.3. Leiter IT
Leiter-IT:
Wolfgang Maier
E-Mail: wolfgang.maier@yoummday.com
Telefon: +49 89 230 236 04
8.4. Einzelmaßnahmen
8.4.1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle: Schutz der Räume mit Datenverarbeitungsanlagen vor dem Zutritt Unbefugter
Sicherungseinrichtung Grundstück
(+) Das Betriebsgelände, auf dem Rechner untergebracht sind, ist umzäunt,
(+) Toranlage mit Anmeldung
Geländeüberwachung
(+) Videoüberwachung mit Kamerasteuerung,
(+) die Videoüberwachung ist mit Hinweisschildern gekennzeichnet
Zutrittskontrollsystem Gebäudesicherung
(+) Schließsystem Sicherheitsschloss
(+) Schließsystem digitales Schloss mit codiertem Schlüssel
Zentraler Empfangsbereich
(+) Alle Besucher haben sich beim Empfang anzumelden und sind in die Besucherliste ein- und auszutragen sowie im Haus zu begleiten
Zutrittskontrollsystem Geschäftsräume
(+) Schließsystem Sicherheitsschloss
(+) Schließsystem RFID Chip
Maßnahmen bei Verlust eines Schlüssels/Karte/Chip
(+) Austausch der Schließanlage mit Schlüsseln
(+) Neuprogrammierung des Codes
Überwachungssysteme Gebäude
(+) Rauchalarmanlage
(+) Brandalarmanlage
Sicherung der Serverräume
(+) Schließsystem digitales Schloss mit codiertem Schlüssel
Externe Dienstleister
(+) Alle externen Handwerker, Haus- und RZ-Techniker müssen sich zu Beginn ihrer Arbeiten am Empfang anmelden. Dieser informiert den Mitarbeiter, der den Besuch erwartet und veranlasst die Abholung. Ist weder der gewünschte Mitarbeiter noch ein anderer Mitarbeiter, der mit der Aufgabe für den externen Handwerker, Haus- oder RZ-Techniker vertraut ist, erreichbar, darf kein Zutritt gewährt werden.
Schlüssel/Schlüsselvergabe
(+) Die Schlüsselvergabe erfolgt durch das zentrale Gebäudemanagement.
(+) Jeder ausgegebene Schlüssel wird in ein Schlüsselbuch oder in einem Schlüsselmanagementsystem erfasst.
Besonderer Schutz des Rechenzentrums
(+) Aufteilung des Rechenzentrums nach Schalenprinzip.
(+) Zutritt zum Rechenzentrumsräumen durch Schleusen.
(+) Videoüberwachung
(+) Bewegungsmelder
(+) Rauchmelder
(+) Temperaturüberwachung
(+) Alarmanlage
8.4.2 Zugangskontrolle
Schutz der Computersysteme gegen den Zugang für Unbefugte
Zugang zu Systemen nur über Zugangsberechtigungen
(+) Der Zugang zu den Systemen erfolgt grundsätzlich über eine Benutzerkennung und ein entsprechend sicheres Kennwort
Benutzer Authentifizierung
(+) User ID und Passwort
(+) Passwort Mindestlänge
Kontrolle der Passwortkonventionen
(+) Freigabe nur durch Administrator
Rechteverwaltung
(+) Für die Rechteverwaltung besteht ein Rechtekonzept.
(+) Alle Berechtigungen sind nachvollziehbar dokumentiert
(+) Die Rechteänderung erfolgt in folgenden Fällen
(+) Ausscheiden eines Mitarbeiters
Bildschirmsperre
(+) Bildschirmsperre bei der Abwesenheit mit Passwortkennung ist eingerichtet.
WLAN
(+) physikalische Trennung des Gäste-WLANs vom Firmen Netz
Sicherheit von Notebooks
(+) User ID und Passwort
Automatische Sperrung PC (z. B. Kennwort und Pausenschaltung)
(+) Eine automatische Sperrung des PC erfolgt nach 10 Minuten
Sichere Anbindung für „Remote Zugriff“
Der „Remote Zugriff“ aus dem „Home-Office“ auf Systeme ist mit eigenen PCs und Laptops nur unter folgenden Bedingungen möglich.
(+) User ID und Passwort oder priv/pub Schlüssel
(+) Daten werden verschlüsselt übertragen
8.4.3 Zugriffskontrolle
Die Maßnahmen zur Zugriffskontrolle sind darauf gerichtet, unerlaubte Tätigkeiten (z. B. unbefugtes lesen, kopieren, verändern oder entfernen) in DV-Systemen außerhalb eingeräumter Berechtigungen zu verhindern.
Es ist ein streng überwachtes Berechtigungskonzept mit persönlichen Benutzerkonten eingerichtet. Der Zugriff auf bestimmte Informationen wird über ein Gruppen- bzw. Rollenkonzept gewährt.
Schutz der Daten gegen den Zugriff Unbefugter
Schriftliches Administrationskonzept
(+) einheitliche Vorgaben zu IT Sicherheit
(+) Trennung von Verantwortlichkeiten
(+) Administratoren sind eigene Mitarbeiter
(+) Trennung der Administratorenkonten nach Systemen und Personen
Identifizierung und Authentifizierung der Administratoren
(+) UserID und Passwort oder priv/pub Schlüssel
Admin Passwortkonventionen
(+) Zeichenmindestlänge alphanumerischer Zeichensatz
(+) Ausschluss Trivialkennwort,
(+) Passworteingabe mit verschlüsseltem Vorgang
(+) sichere Passwortdateien
Rollenbasiertes Berechtigungskonzept(+) Ein rollenbasieren-des Nutzerberechtigungskonzept ist gesetzt.
Restriktives Rechtevergabesystem
(+) Die Zugriffsberechtigung erfolgt immer nach dem Prinzip der restriktiven Rechtevergabe.
Identifizierung und Authentifizierung der Administratoren
(+) UserID und Passwort oder priv/pub Schlüssel
Admin Passwortkonventionen
(+) Zeichenmindestlänge alphanumerischer Zeichensatz,
(+) Ausschluss Trivialkennwort,
(+) Passworteingabe mit verschlüsseltem Vorgang,
(+) sichere Passwortdateien
Rollenbasiertes Berechtigungskonzept
(+) Ein rollenbasieren-des Nutzerberechtigungskonzept ist gesetzt.
Restriktives Rechtevergabesystem
(+) Die Zugriffsberechtigung erfolgt immer nach dem Prinzip der restriktiven Rechtevergabe.
Protokollierung der Systemnutzung
(+) Protokollierung der Systemnutzung erfolgt über LOG-Dateien der entsprechenden Systeme.
Zugriff auf Daten nur über Zugriffsberechtigungen
(+) Der Zugriff auf Daten erfolgt über eine Benutzerkennung und ein entsprechend sicheres Kennwort sowie den entsprechend zugewiesenen Zugriffsberechtigungen (Rollen).
Berechtigungen nur nach Genehmigung durch Vorgesetzte
(+) Die Zugriffsberechtigungen (Rollen) werden über einen elektronischen Workflow beantragt und genehmigt.
Regelungen zum Entzug von Zugriffsberechtigungen
(+) Der Entzug von Zugriffsberechtigungen (Rollen) erfolgt über einen elektronischen Workflow.
Berechtigungsvergabe nur durch autorisierte Personen
(+) Berechtigungsvergaben erfolgen nur anhand eines elektronischen Workflows durch autorisierte Personen.
Kontrolle der Berechtigungen
(+) Eine Kontrolle der Berechtigungsvergaben erfolgt regelmäßige.
Besondere Berechtigungen
(+) Besondere Zugriffsberechtigungen werden nur im Ausnahmefall durch einen speziell ermächtigten Vorgesetzten vergeben.
Verpflichtungserklärungen für Administratoren
(+) Die Mitarbeiter werden bei Einstellung auf die Einhaltung des Datengeheimnisses, des Datenschutzes, und des Fernmeldegeheimnisses verpflichtet und soweit notwendig auf das Sozialgeheimnis. Eine Sensibilisierung erfolgt bei Einstellung bzw. regelmäßig.
Schulungen der Administratoren
(+) Administratoren werden regelmäßig um Umgang mit Informationssicherheit speziell geschult.
Kontrollierte Vernichtung von Daten
(+) Die kontrollierte Vernichtung von Daten und Ausdrucken erfolgt und Ausdrucken durch spezialisierte, zertifizierte Dienstleister.
8.4.4 Trennungskontrolle
Trennung der Datenbestände, die zu unterschiedlichen Zwecken verarbeitet werden.
Zweckbindung der Systeme
(+) Die Systeme werden gemäß der Unternehmensdatenschutzrichtlinie nach einem strengen Rechtekonzept verwaltet.
Rechtekonzept nach Datenzweck
(+) Das Rechtekonzept wird streng auf die Datentrennung abgestellt.
8.4.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DS.-GVO; Art. 25 Abs. 1 DS-GVO)
Sofern für Daten eine Pseudonymisierung vorgesehen ist, erfolgt die Verarbeitung personenbezogener Daten in der Weise. dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Diese zusätzlichen Informationen werden gesondert aufbewahrt und mit entsprechenden technischen- und organisatorischen Maßnahmen unterlegt.
Folgende Pseudonymisierungsverfahren werden eingesetzt:
Anonymisierte Kennungen, welche nur mit Hilfe einer separaten Datenbank auflösbar sind.
8.4.6 Maßnahmen zur Verschlüsselung der Daten
Ziel der Maßnahmen zur Verschlüsselung von personenbezogenen Daten ist, die Inhalte von Datenbanken vor unerlaubter Einsicht und Veränderung zu schützen.
Sämtliche persönliche Daten als auch sonstige vertrauliche Informationen werden grundsätzlich verschlüsselt übertragen. Hierfür wird entweder ein sicheres HTTPS-Portal verwendet oder es werden passwortgeschützte Zip-Dateien elektronisch versendet.
Eine Mailverschlüsselung ist auf Gegenseitigkeit möglich. Es werden folgende Verschlüsselungstechniken eingesetzt:
- Bei E-Mailverkehr TLS-Verschlüsselung
8.5. Integrität (An. 32 Abs. 1 lit. .b DS-GVO)
8.5.1 Weitergabekontrollee mit Datenverarbeitungsanlagen vor dem Zutritt Unbefugter
Es wird dafür Sorge getragen, dass unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport verhindert wird.
Organisatorische Festlegungen zur Aufbewahrung von Datenträgern
(+) Unternehmensinternes Regelwerk, für den Umgang mit Datenträgern
Geschützte Räume zur Datenaufbewahrung
(+) Die Lagerung der Datensicherungen erfolgt entweder in einem geschützten Raum (z.B. Datenschutzraum, Rechenzentrum) extern durch einen entsprechenden Dienstleister.
Datenschutzgerechte Datenträgerentsorgung
(+) Die physikalische Vernichtung von Datenträgern erfolgt gemäß DlN 66399 min. in Sicherheitsstufe 3.
Identifizierung und Authentifizierung der Beteiligten
(+) Identifizierung und Authentifizierung der Beteiligten erfolgt durch Benutzerkennung, Rufnummern, Identifikation, Passwort Benutzerkennung
Verschlüsselung von E-Mails
(+) Die Übermittlung hochsensibler Daten erfolgt nur verschlüsselt
8.5.2 Eingabekontrolle
Dokumentation, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Protokollierung, Dokumentenmanagement)
Nachweis der Dateneingabe oder – veränderung
Zugangsregelungen
(+) Es bestehen Zugangsregelungen und Benutzerberechtigungen, wodurch die Identifizierung aller Benutzer und Datenstationen im System möglich ist.
Protokollierung der Einrichtung und des Betriebes des IT-Systems
(+) Dokumentation aller berechtigten Nutzer mit Rechteprofil
(+) Dokumentation für die eingerichteten Nutzungsrechte
Systemprotokolle
(+) Die Tätigkeit der Benutzer wird in Systemprotokollen protokolliert. Die Eingabekontrolle in Datenbanksystemen erfolgt im Rahmen der mit den gelieferten Datenbanksystemen gelieferten Standardverfahren, die je nach Datenbanksystem bis zur Erfassung alle Eingaben umfassen kann. Soweit in den Softwaresystemen Buchungsjournale möglich sind, werden diese befüllt.
Aufbewahrung von Systemprotokollen
(+) Systemprotokolle werden im Rahmen der gesetzlichen bzw. vertraglichen Vorgaben aufbewahrt.
Logging-Funktionen
(+) Die Tätigkeiten der Benutzer sind über umfangreiche Logging-Funktionen nachvollziehbar
Änderungsprotokollierung
(+) Auf den Servern bzw. in den Programmen werden Änderungen protokolliert
Datenbanken
(+) Die Eingabekontrolle in Datenbanksystemen erfolgt im Rahmen der mit den Datenbanksystemen gelieferten Standardverfahren, die je nach Datenbanksystem bis zur Erfassung aller Eingaben umfassen kann
Tabellenprotokollierung
(+) sofern Softwarertechnische Tabellenprotokollierung und Audit-lnformationssystem vorliegen, kann über diese Funktionen eine entsprechende Kontrolle erfolgen.
8.6. Verfügbarkeit und Belastbarkeit
8.6.1 Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust von Daten.
Regelmäßige Datensicherungen
(+) Die Sicherung der Daten erfolgt in Backup-Systemen und kann durch redundante Systeme erweitert werden. So kann für etwaige Katastrophenszenarien eine kurze Wiederherstellzeit bzw. hohe Gesamtverfügbarkeit gewährleistet werden.
Spiegeln von Festplatten, z. B. RAID-Verfahren
(+) Eine Spiegelung der Daten findet regelmäßig statt (RAID Systeme, Spiegelung auf räumlich getrennte Systeme).
Unterbrechungsfreie Stromversorgung (USV)
(+) Die Rechenzentren sind durch getrennte USV Anlagen mit Batterie-Pufferung gegen Stromausfälle gesichert.
Getrennte Aufbewahrung
(+) Eine Spiegelung der Daten findet regelmäßig statt (Spiegelung auf räumlich getrennte Systeme). Getrennte Aufbewahrung von Daten erfolgt.
Virenschutz/Firewall
(+) Auf allen Systemen Virenscanner und Firewallsysteme.
Backupsystem
(+) Systemisch
Notfallplan
(+) Das Unternehmen verfügt über einen Notfallplan und entsprechende Handbücher zur Aufrechterhaltung der Kernprozesse im K-Fall. Erstellung und Pflege eines kundenspezifischen K-Fall Handbuchs erfolgt regelmäßig.
8.6.2 Rasche Wiederherstellbarkeit
Es existieren ein Notfallpläne/Krisenpläne/Desaster Recovery für die Rechenzentren. Diese sind in dem Backup- bzw. Notfallkonzept dokumentiert. Die Funktionsfähigkeit dieses Konzeptes wird in regelmäßigen Abständen geprüft. Die Notfallpläne werden einem regelmäßigen Prüf- und Verbesserungsprozess unterzogen.
8.7. Organisationskontrolle
8.7.1. Organisationskontrolle
Organisatorische Maßnahmen zur Sicherstellung der Verarbeitung personenbezogener / sensibler Daten
IT-Sicherheitskonzeption
(+) Eine lnformationssicherheits Leitlinie ist in der aktuellen Version vorhanden und kann vor Ort eingesehen werden.
Kennwortrichtlinie
(+) Die Kennwortrichtlinie ist in der aktuellen Version vorhanden und kann vor Ort eingesehen werden.
Datenschutzrichtline
(+) Eine Datenschutzrichtlinie ist vorhanden und kann vor Ort eingesehen werden.
Datenschutzbeauftragter
(+) Ein externer Datenschutzbeauftragter ist gestellt
Verpflichtung der Mitarbeiter nach Art. 29 +32 DS-GVO
(+) Alle Mitarbeiter sind auf das Datengeheimnis und die Einhaltung von Betriebs- und Geschäftsgeheimnissen verpflichtet und sind gemäß DS-GVO, Artikel 29 und 32 (4) angewiesen, personenbezogene Daten nur auf Anweisung des Verantwortlichen zu verarbeiten.
Verpflichtung der Mitarbeiter auf§ 88 TKG
(+) Alle Mitarbeiter sind auf das Datengeheimnis und die Einhaltung Art. 29 +32 DS-GVO
Subunternehmer
(+) Richtlinie Subunternehmer ist vorhanden
Trainings/Schulungen
(+) In jährlich verpflichtenden Trainings müssen alle Mitarbeiter müssen die führenden Mitarbeiter ihr Datenschutzbewusstsein aktualisieren. Sie achten auf die verbindliche Umsetzung der Datenschutz- und Informationssicherheitsvorgaben, die im unternehmensweiten Intranet verpflichtet werden.
8.7.2 Security- und Risikomanagement
Leistungen werden auf der Grundlage eines Informationssicherheitsmanagements abgewickelt. Dieses beinhaltet unter anderem schriftlich dokumentierte Richtlinien, Prozesse und Handbücher zum IT-/ Rechenzentrumsbetrieb. Sie bauen auf gesetzlichen Regelungen sowie auf intern bewährten Regelungen auf.
Die eingesetzten Sicherheitsverfahren werden laufend überprüft.
Es ist ein Risikomanagement implementiert, das sowohl die operativen Risiken aus Ausschreibungen, Verträgen und in Projekten bewirkt. Darüber hinaus existiert ein IT-Sicherheitsrisikomanagement, welches sich mit den prozessualen, dienstleistungs- und standortbezogenen Risiken beschäftigt.
Die technischen und organisatorischen Maßnahmen zum Datenschutz gemäß DS-GVO, Artikel 32, werden im Rahmen der ISO-Zertifizierung regelmäßig überprüft. Darüber hinaus finden bei internen Prozessaudits auch datenschutzrelevante Fragestellungen Berücksichtigung.
8.7.3 Zertifizierung
ISO 9001:2015 Qualitätsmanagement
8.7.4 Incident-Response-Management
Auftretende Security Ereignisse werden einem standardmäßigen Betriebsverfahren und toolgestützten Prozessen bearbeitet, um möglichst zeitnah einen störungsfreien Betrieb wiederzuerlangen. Sicherheitsvorfälle / Security incidents werden zeitnah überwacht und analysiert. Abhängig von der Art des Ereignisses werden an deren Bearbeitung zuständige und notwendige Mitarbeiter der Fachabteilungen und Spezialisten hinzugezogen.
8.7.5 Datenschutzfreundliche Voreinstellungen
Durch datenschutzfreundliche Voreinstellungen („Privacy by Design and by Default“) wird dem Datenschutz schon zu einem möglichst frühen Zeitpunkt Rechnung getragen, um eine unrechtmäßige Verarbeitung oder den Missbrauch von Daten präventiv zu verhindern. Über angemessene technische Voreinstellungen soll sichergestellt werden, dass grundsätzlich nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den konkreten Zweck auch tatsächlich erforderlich sind (Need to Know-Prinzip).
Um eine möglichst risikoarme Verarbeitung personenbezogener Daten zu erreichen, werden u.a. folgende Schutzmaßnahmen umgesetzt:
- Menge der personenbezogenen Daten minimieren Daten so früh wie möglich pseudonymisieren oder verschlüsseln
- Transparenz in Bezug auf die Funktionen und die Verarbeitung Daten herstellen
- Daten so früh wie möglich löschen oder anonymisieren
- Zugriffsmöglichkeiten auf Daten minimieren
- Vorhandene Konfigurationsmöglichkeiten auf die datenschutzfreundlichsten Werte voreinstellen
8.7.6 Auftragskontrolle
Ziel der Auftragskontrolle ist, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Alle Subdienstleister werden nach definierten Kriterien ausgesucht und auf die Einhaltung der DSGVO verpflichtet. Eine Liste der Subdienstleister ist vorhanden.
Dienstleister, die als Auftragsverarbeiter im Sinne des DS-GVO tätig sind, werden nach datenschutzrechtlichen Kriterien mit größter Sorgfalt ausgewählt. Diese werden gemäß Art. 28 DS-GVO vertraglich an den Auftraggeber gebunden. Die im Rahmen der vertraglichen Bindung festgelegten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten orientieren sich an den in diesem Dokument beschriebenen Standards. Eine Liste der Auftragsverarbeiter ist vorhanden.
Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen. Sie sind daher bezüglich der Auftragsdatenverarbeitung sowohl in der Rolle als Auftraggeber als auch in der Rolle als Auftragnehmer mit dem Weisungsrecht des Aufraggebers vertraut. Weisungsbefugte Personen auf Seite des Auftraggebers sind benannt und beim Auftragnehmer bekannt.
Es erfolgt eine Bewertung der IT Sicherheit des Auftragnehmers vor Auftragsvergabe.
Durch eine eindeutige Vertragsgestaltung mit Abgrenzung der Rechte und Pflichten der Parteien, wird mit formalisierten Verträgen und Auftragsformularen sichergestellt. Es erfolgt eine regelmäßige Prüfung und Kontrolle der Vertragsausführungen. Weisungen werden grundsätzlich schriftlich und mit schriftlicher Bestätigung entgegengenommen.
Es erfolgt keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z. B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Jeglicher Aktivität liegt ein Auftrag eines Kunden zugrunde. Im Minimum gilt ein bestehendes Vertragswerk. Standard Changes werden, sofern personenbezogene Daten verarbeitet werden, ausschließlich von autorisierten Personen des Kunden entgegengenommen.
9. TALENTAUTHENTIFIZIERUNG UND QUALITÄTSSICHERUNG
Nach Art. 32 Abs. 1 und 2 DSGVO und § 62 BDSG ist der Verantwortliche für personenbezogene Daten verpflichtet, für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Wenn er personenbezogene Daten andere Personen oder Stellen damit beauftragt, diese zu verarbeiten, hat er dafür Sorge zu tragen, dass der Auftragsverarbeiter entsprechend dem Stand der Technik die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten und für die rechtmäßige Datenverarbeitung der von ihm verarbeiteten Daten trifft.
Es sind gemäß § 64 Abs. 3 BDSG Maßnahmen zu ergreifen, die unter anderem Folgendes bezwecken:
- Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
- Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
- Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
- Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
- Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene
- Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
- Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle), Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9.1. Kontrollmaßnahmen zur Authentifizierung des tatsächlichen Nutzers (Talent)
Frequenzanalyse: Es werden laufend die Stimmfrequenzen des Nutzers analysiert und anhand eines Stimmabgleichs automatisiert überprüft, ob diese mit der während des Registrierungsprozesses erstellten Stimmfrequenz des Talents übereinstimmen. Auf diese Weise kann auch festgestellt werden, ob sich unbefugte Dritte im Raum aufhalten.
Tippverhalten: Das Verhalten des Benutzers beim Tippen auf der Tastatur wird laufend gemessen. Der Nutzer kann aufgrund der gemessenen Eigenschaften durch Abgleich von gespeicherten Daten identifiziert werden. So kann insbesondere die Übernahme des Computers durch eine andere Person erkannt werden.
9.2. Maßnahmen zur Qualitätskontrolle
Silent Monitoring: Die Yoummday GmbH hat die Möglichkeit, aktuell laufende Gespräche mitzuhören. Dies erfolgt zum einen aus Schulungszwecken, um dem Talent durch ein Feedback eines Trainers die Möglichkeit zu eröffnen, seine Gesprächsführung zu verbessern und dadurch bessere Ergebnisse zu erzielen. Diese Maßnahme erfolgt nur, wenn sich sowohl der Gesprächspartner als auch das Talent hiermit im Vorfeld ausdrücklich einverstanden erklärt haben. Voice Recording: Die Gespräche eines Talents können von der Yoummday GmbH elektronisch aufgezeichnet werden. Dabei wird jedoch nur das gesprochene Wort des Talents, nicht aber das des Gesprächspartners gespeichert. Die Aufzeichnung erfolgt regelmäßig nur mit vorheriger Zustimmung des Talents. Allerdings kann dies im Einzelfall auch ohne dessen Kenntnis und Zustimmung erfolgen, wenn hierzu Kundenbeschwerden Anlass.
10. IMPRESSUM UND DATENSCHUTZERKLÄRUNGEN
DSGVO-konform auf der betriebenen Webseite, erreichbar unter den folgendem Links:
Datenschutzinformation (Art. 12ff. DSGVO)
11. BETROFFENENRECHTE WAHREN
Grundsätzlich stellen wir jedem Nutzer bzw. Betroffenen die jeweils aktuelle Version unseres Datenschutzkonzeptes zur Verfügung.
Gemäß der DSGVO hat jeder Betroffene folgende Rechte:
- Recht auf Auskunft (Art 15 DSGVO)
- Recht auf Berichtigung (Art 16 DSGVO)
- Recht auf Löschung (Art 17 DSGVO)
- Recht auf Einschränkung (Art 18 DSGVO)
- Recht auf Übertragbarkeit (Art 20 DSGVO)
- Recht auf Widerspruch (Art 21 DSGVO)
- Recht auf Beschwerde bei der Datenschutzbehörde
11.1. Betroffenenrechte: Prozessketten
Wir erhalten Kenntnis, dass ein Betroffener seine Rechte geltend machen will, sei es z. B. mündlich, schriftlich, oder per E-Mail
Sollte der Betroffene uns nicht persönlich bekannt sein, so müssen wir zwecks Vermeidung einer Datenschutzverletzung die Identität des Antragsstellers (Betroffenen) feststellen:
„Sehr geehrte Frau/Herr ...,
Da wir Sie leider noch nicht persönlich kennen lernen durften, bitten wir Sie, um keine Datenschutzverletzung zu begehen – wie z. B. personenbezogene Daten an eine falsche Person weiterzuleiten – uns eine Kopie/Scan Ihres Personalausweises/Reisepasses zukommen zu lassen. Ihrer Bitte in Sachen Datenschutz werden wir dann umgehend nachkommen. Wir danken Ihnen für Ihr Verständnis.
Mit freundlichen Grüßen“
- Identität kann nicht zweifelsfrei festgestellt werden und der Betroffene meldet sich trotz Information darüber nicht mehr: => Keine Aktivitäten notwendig.
- Identität zweifelsfrei festgestellt und Anfrage ist rechtens: Der Betroffene bekommt gemäß Art 19 DSGVO innerhalb von maximal 14 Tagen abhängig von seiner Anfrage in klarer und verständlicher Sprache folgende Antworten: „Recht auf Auskunft (Art 15 DSGVO)“
Der Betroffene bekommt als PDF sein Stammdatenblatt mit allen personenbezogenen Daten (Screenshot)
Recht auf Berichtigung (Art 16 DSGVO)
Der Betroffene bekommt als PDF sein Stammdatenblatt mit den berichtigten personenbezogenen Daten (Screenshot)
Recht auf Löschung (Art 17 DSGVO)
Der Betroffene bekommt als PDF sein Stammdatenblatt ohne personenbezogene Daten (ausgenommen Name) als Nachweis, dass die Löschung erfolgt ist mit dem Hinweis, dass
- die Daten anonymisiert für die interne Statistik verwendet werden
- nach Kopie des Stammdatenblattes auch das ganze Stammdatenblatt inklusive Namen unwiderruflich gelöscht wurde (Screenshot)
- oder bei einem bestehenden oder abgeschlossenem Vertrag mit dem Betroffenen werde ich alle Daten löschen (~ Marketingdaten) bis auf jene, wo wir nach Art 6 Abs. 1 lit f ein berechtigtes Interessen des Verantwortlichen bzw. lit c (gesetzliche Verpflichtungen z. B. nach der BAO und dem UGB; vor allem Buchhaltungsunterlagen) DSGVO geltend machen können und wir werden daher aufgrund der gesetzlichen Aufbewahrungsfristen diese Daten auf jeden Fall erst nach 7 Jahren löschen; darüber hinausgehend bis zur Beendigung eines allfälligen Rechtsstreits, fortlaufender Gewährleistungs- oder Garantiefristen die personenbezogen Daten löschen.
- In diesen Fällen tritt an Stelle einer Löschung der Buchhaltungsdaten eine Sperrung (Einschränkung).
Recht auf Einschränkung (Art 18 DSGVO) Der Betroffene bekommt als PDF sein Stammdatenblatt, dem er entnehmen kann, dass bei „Recht auf Einschränkung geltend gemacht“ ein Haken gesetzt ist und somit keine Verarbeitung seiner personenbezogenen Daten erfolgt. (Screenshot)
Recht auf Übertragbarkeit (Art 20 DSGVO) Der Betroffene bekommt als PDF sein Stammdatenblatt mit allen personenbezogenen Daten (als PDF, da es maschinell lesbar sein sollte), gemäß Art 20 Z2 DSGVO übermitteln wir sein Stammdatenblatt mit allen personenbezogenen Daten per CC an einen anderen Verantwortlichen, den der Betroffene uns genannt hat per E-Mail, aber nur über eine sichere und verschlüsselte Übertragung. Ansonsten ausgedruckt per eingeschriebenen Brief auf Kosten des Betroffenen.
Recht auf Beschwerde bei der Datenschutzbehörde
11.2. Meldung von Datenschutzverletzungen: Prozesskette
Die DSGVO definiert in Art. 33 eine „Verletzung des Schutzes personenbezogener Daten“ (Data-Breach) als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
- Wir erlangen Kenntnis von einer Datenschutzverletzung.
- Innerhalb von 72 Stunden melden wir mit Hilfe des „Muster-Datenschutzverletzungsmitteilung“ (siehe Anhang) an die gemäß Art 55 DSGVO zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
- Wir informieren Betroffene umgehend mit einem Anschreiben und einer Kopie der Meldemitteilung an die Datenschutzaufsichtsbehörde.
- Wir werden alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten (Auswirkungen, ergriffene Abhilfemaßnahmen) dokumentieren. Diese Dokumentation dient der Aufsichtsbehörde zur Überprüfung der korrekten Einhaltung der Meldepflicht, siehe Art 33 Abs. 5 DSGVO.
12. CHECKLISTE FÜR DEN JÄHRLICHEN KONTROLL- UND VERBESSERUNGSPROZESS
Die folgende Checkliste dient als Umsetzungshilfe für die Prüfung und Dokumentation des Umsetzungszustandes der Sicherheitsmaßnahmen für kleine Einrichtungen. Die Checkliste kann ebenso als Nachweis der Bemühungen zur Umsetzung der IT-Sicherheit verwendet werden.
- Werden neue Mitarbeitende bei der Einstellung auf bestehende Regelungen und Handlungsanweisungen zur Informationssicherheit hingewiesen?
- Sind die wichtigen Schlüsselpositionen durch einen Vertreter besetzt?
- Haben alle Mitarbeitenden eine Verpflichtung zur Wahrung des Datengeheimnisses unterschrieben?
- Werden Backup-Datenträger in einem gesonderten Raum aufbewahrt?
- Sind auf allen Clients Virenschutzprogramme installiert?
- Werden Betriebssysteme und Anwendungen regelmäßig aktualisiert?
- Gibt es eine Checkliste für Mitarbeitende zur Beendigung des Arbeitsverhältnisses?
- Gibt es eine Benutzer- und Rechteverwaltung für IT-Systeme und Anwendungen?
- Gibt es Passwortregelungen für IT-Systeme und Anwendungen und werden diese umgesetzt?
- Werden alle Mitarbeitenden über die Regelungen zur Nutzung von Standardsoftware informiert?
- Wird ausschließlich Software aus vertrauenswürdigen Quellen installiert?
- Gibt es regelmäßige Kontrollen bezüglich der installierten Software?
- Sind auf Clients und Servern automatische Updates aktiviert?
- Gibt es spezielle Handlungsanweisungen und Tools zum Löschen und Vernichten von Daten?
- Sind Türen und Fenster in der Regel verschlossen, wenn die Mitarbeitenden nicht am Platz sind?
- Sind in den Büros verschließbare Schreibtische oder Schränke vorhanden?
- Gibt es in Büros mit Publikumsverkehr Diebstahlsicherungen für IT-Systeme?
- Sind am mobilen Arbeitsplatz verschließbare Schreibtische oder Schränke vorhanden?
- Gibt es Regelungen welche dienstlichen Unterlagen am häuslichen Arbeitsplatz bearbeitet und zwischen der Institution und dem häuslichen Arbeitsplatz hin und her transportiert werden dürfen?
- Ist auf allen Clients die Bildschirmsperre aktiviert?
- Ist der Zugriff von mobilen Laptops auf das LAN abgesichert?
- Ist die Verschlüsselung von E-Mail-Kommunikation zwischen Client und Server aktiviert?
- Ist bei allen Mobiltelefonen/Smartphones die Eingabe der Geräte-PIN aktiviert?
- Werden alle vertraulichen Daten nur verschlüsselt auf Mobiltelefonen/Smartphones oder Speicherkarten gespeichert?
- Wird bei WLAN das Verschlüsselungsverfahren WPA2 eingesetzt?
- Werden die Schlüssel für den WLAN-Zugriff regelmäßig gewechselt?
13. ZUSAMMENFASSUNG
Wir sehen das hier dokumentierte Datenschutzniveau mit den gesetzten TOMs für uns als angemessen und ausreichend an. Wir können also unseren Kunden mit gutem Gewissen sagen:
Liebe Kundin, lieber Kunde, liebe Interessentin, lieber Interessent!
Vertrauen ist die Grundlage und Voraussetzung für unsere Yoummday Plattform. Daher sind auch alle Ihre persönlichen und beruflichen Daten bei uns in guten Händen.
Wir sichern Ihnen zu, dass wir sorgsam und streng vertraulich damit umgehen und unsere Datenschutzmaßnahmen immer dem aktuellen Gesetzesstand entsprechen und unsere Soft- und Hardware stets auf dem aktuellsten Stand sind.
Darauf können Sie vertrauen.
München 03.05.2022
Datum, Ort, Stempel Unterschrift
Hinweis: Ein Original dieses Datensicherheitskonzepts mit Unterschrift ist in unserem Archiv abgelegt. Die digitale Version des Datensicherheitskonzepts ist ohne Unterschrift gültig
KONTAKT
Bei weiteren Fragen, wenden Sie sich an:
datenschutz@yoummday.com