Personenbezogene Datenverarbeitung

1. Umfang, Art (Art. 4 Nr. 2 DSGVO) und Zweck der Datenverarbeitung

Es werden personenbezogene Daten von Mitarbeitern des Auftraggebers verarbeitet, sofern diese
a) als Kontaktperson des Auftraggebers mit dem Auftragnehmer elektronisch oder nicht-elektronisch kommunizieren,
b) als Benutzer die vom Auftragnehmer entwickelte Software bedienen, oder
c) in vom Auftragnehmer verarbeiteten Geschäftsdokumenten (z.B. Anfragen, Angeboten, Bestellungen, etc.) identifizierbar Erwähnung finden.
Des Weiteren werden personenbezogen Daten von Kontaktpersonen bei Handelspartnern des Auftraggebers verarbeitet sofern diese
a) in vom Auftragnehmer verarbeiteten Geschäftsdokumenten (z.B. Anfragen, Angeboten, Bestellungen, etc.) identifizierbar Erwähnung finden. Die Verarbeitung umfasst alle Arten der Verarbeitung nach Art. 4 Nr. 2 DSGVO

2. Art der Daten:

Datenkategorie Auflistung konkret verarbeiteter Daten
Berufliche Kontakt- und (Arbeits-) Organisationsdaten Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer
Daten zu beruflichen Verhältnissen Berufsbezeichnung, Aufgaben, Tätigkeiten, Qualifikationen
Sonstiges Berufliche E-Mail und Chat Nachrichten, getätigte Aktionen in der Software des Auftragnehmers

3. Kreis der Betroffenen:

Betroffenengruppe Beschreibung Beispiele
Mitarbeiter des Auftraggebers/des Verantwortlichen Eigene Mitarbeiter des Auftraggebers/ des Verantwortlichen Arbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte
Mitarbeiter anderer Unternehmen Mitarbeiter anderer Unternehmen, deren personenbezogene Daten für den Auftraggeber/den Verantwortlichen verarbeitet werden Arbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte
Kunden des Auftraggebers/des Verantwortlichen Jede Person, mit der eine Kunden-Geschäftsbeziehung besteht (mit der jeweiligen verantwortlichen Stelle) Käufer, Versicherungsnehmer, Mieter, Kunden einer Dienstleistung
Sonstige Geschäftspartner Jede natürliche Person, mit der eine Geschäftsbeziehung besteht (mit dem Auftraggeber) außer Kunden Lieferanten, Importeure, Dienstleister, Vermittler, Freelancer
Außenstehende Jede Person, die in keiner Geschäftsbeziehung mit der jeweiligen Konzerngesellschaft (verantwortlichen Stelle) steht Besucher, Gäste, Interessenten

4. Unterauftragnehmer

Zum Kreis der Unterauftragnehmer gehören:
Nr. Unterauftragnehmer (Name, Anschrift, Ansprechpartner) Verarbeitete Datenkategorien Beschreibung der Tätigkeit Ort der Datenverarbeitung
1 DigitalOcean, LLC Alle in Ziffer 1.3 Betrieb des Rechenzentrums Deutschland
2 Google, LLC Alle in Ziffer 1.3 Kalender- und Dateiablagedienste EU
3 Microsoft Corp. Alle in Ziffer 1.3 Versch. Datenverarbeitunsdienste (Azure Cloud) EU
4 Twilio Inc. Alle in Ziffer 1.3 Emaildienste Weltweit
5 Telekom Deutschland GmbH Alle in Ziffer 1.3 Datenübertragung (X.400 Netzwerk) Deutschland
6 Amazon.com, Inc. Alle in Ziffer 1.3 Versch. Datenverarbeitungsdienste (AWS) EU
7 Workist GmbH Alle in Ziffer 1.3 Versch. Datenverarbeitungsdienste Deutschland
8 ABBYY Europe GmbH Alle in Ziffer 1.3 OCR Dienste EU
Mit allen verwendeten Unterauftragnehmern hat der Auftragnehmer einen Auftragsverarbeitungsvertrag und mit den Unterauftragnehmern 1-4 auch entsprechende Standardvertragsklauseln abgeschlossen. Alle verwendeten Unterauftragnehmer haben nach dem Schrems-II-Urteil Supplementary Measures ergriffen. Hierzu zählen unter anderem:

1) updated DPAs to more clearly define roles and responsibilities of the customer and service provider 2) new controller-to-controller and controller-to-processor information, including supplementary measures, processing activities, and information on internal transfers within DPA, 3) new process for accessing more sensitive data - non EU based employees will be unable to access droplet consoles of resources located in EU data centers, 4) improved encryption, 5) restriction of direct, unfettered access to customer data by governments, 6) disclosure of national security orders seeking customer data, etc.

5. Technische und organisatorische Maßnahmen

5.1 Vorlage für die technischen und organisatorischen Maßnahmen:

5.1.1. Zutrittskontrolle zu Räumlichkeiten und Einrichtungen, in denen Daten verarbeitet werden

Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.

Verantwortlich hierfür ist: Digitalocean, LLC. Rechenzentrum in Frankfurt am Main, europäischem Recht unterstehend;

Entsprechende Maßnahmen sind z. B.: architektonische Maßnahmen wie „physische“ Eintrittsbarrieren sowohl im Umkreis als auch zu den Gebäuden, separate Gebäude und jeweils separate Serverräume mit getrennten Schließungen / technische Maßnahmen wie Sicherheitsschließanlagen zu den Gebäuden und Serverräumen, Zutrittskontrollsysteme (Code- und/oder Ausweisleser, Magnet- und/oder Chipkarten), Zwei-Faktor-Authentifizierung speziell autorisierter Mitarbeiter für Rechenzentrums-Etagen, Videoüberwachung, Einbrucherkennungssysteme, Alarmanlagen / organisatorische Maßnahmen wie Zugangskontrollen durch professionelles Sicherheitspersonal, Überwachung aller Mitarbeiter und Protokollierung aller Arbeiten auf Rechenzentrums-Etagen etc.

5.1.2 Zugangs- und Zugriffskontrolle

Das Eindringen Unbefugter in die Datenverarbeitungs(DV)-Systeme (IT-Systeme) ist zu verhindern. Ebenso sind Tätigkeiten in DV-Systemen (IT-Systemen) außerhalb eingeräumter Berechtigungen sowie unerlaubte Zugriffe auf das System von außen zu verhindern.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

Zusätzlich zu den in Ziffer 5.2.1 beschriebenen technischen Maßnahmen, werden Zugangsberechtigungen und Benutzerkonten für DV-Systeme auf das “Notwendigste” beschränkt. Ein direkter Zugriff auf Server ist ausschließlich den dafür beauftragten Systemadministratoren und nur von speziell dafür designierten Endgeräten möglich. Eine verwendung von “unsicheren” Passwörtern wird systemseitig wo möglich verhindert. Als zusätzliche Sicherheitsmaßnahme ist (soweit systemseitig unterstützt) eine mehrfaktor authentifizierung für den Zugriff auf DV-Systeme notwendig. Ein auf Benutzerrollen basiertes Berechtigungssystem wird verwendet, um jedem Mitarbeiter des Auftragnehmers nur die für die Erfüllung seiner Aufgaben nötigen Zugänge zu erteilen.

5.1.3 Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen:

Eine Eingabe, Veränderung oder Löschung von Daten in den DV-Systemen des Auftragnehmers ist nur über personalisierte Benutzerkonten möglich. Alle durch Mitarbeiter des Auftragnehmers oder Auftraggebers in den DV-Systemen des Auftragnehmers ausgeführten Aktionen - mindestens jedoch diejenigen, die in Ziffer 1.3 beschriebene personenbezogene Daten betreffen oder beinhalten - werden automatisiert mit Benutzerkennung und Zeitstempel protokolliert.

5.1.4 Auftragskontrolle

Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten. Eine Datenverarbeitung durch Dritte (vgl. Art. 28 DSGVO) ist gemäß den Anweisungen des Auftraggebers/Datenexporteurs erlaubt. Maßnahmen (technisch und organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber/Datenexporteur und Auftragnehmer/Datenimporteur.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

Es erfolgt eine eindeutige Vertragsgestaltung, Bestellung eines Datenschutzbeauftragten beim Auftragnehmer, Unterweisung aller Mitarbeiter des Auftragnehmers und seiner Subunternehmer auf Wahrung des Datenschutzgeheimnisses, sorgfältige Auswahl der Subunternehmer.

5.1.5 Getrennte Verarbeitung von Daten/Trennungskontrolle

Die getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden, muss sichergestellt werden. Maßnahmen zur getrennten Verarbeitung der Daten unterschiedlicher Auftraggeber sind zu gewährleisten.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

In den DV-Systemen des Auftragnehmers erfolgt eine logische Trennung der Daten verschiedener Auftraggeber. Es wird sichergestellt, dass die Daten eines Auftraggebers nicht für andere Auftraggeber sichtbar oder zugänglich sind.

5.1.6 Weitergabekontrolle

Aspekte der Weitergabe personenbezogener Daten sind zu regeln (elektronische Übertragung, Datentransport, Übermittlungskontrolle usw.), um einen Verlust, eine Veränderung oder eine unbefugte Veröffentlichung zu verhindern. Maßnahmen zu Transport, Übertragung, Übermittlung oder Speicherung auf Datenträgern (manuell oder elektronisch) sowie zur nachträglichen Überprüfung sind zu treffen.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

Zwischen dem Browser des Auftraggebers und den Rechenzentren von Digitalocean, LLC werden in beide Richtungen ausschließlich durch SSL-Verschlüsselung gesicherte Verbindungen hergestellt.

5.1.7 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Die Daten sind gegen zufällige Zerstörung und Verlust zu schützen. Maßnahmen zur Datensicherung (physikalisch/logisch).

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

Es erfolgt eine tägliches Backup in Form von Sicherungskopien aller Daten. Sicherungskopien werden physisch getrennt auf speziell für maximale Ausfallsicherheit konzipierten Servern des Unterauftragnehmers Digitalocean, LLC gespeichert.

5.1.8 Organisationskontrolle

Wie wird die reibungslose Organisation des Datenschutzes und der Sicherheit der Daten im Unternehmen sichergestellt?

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

Für die Verarbeitung von Daten im Unternehmen sind Prozesse und Arbeitsabläufe definiert, die Umsetzung und Einhaltung der Prozesse werden kontrolliert. Unsere Mitarbeiter werden in folgenden Punkten geschult/verpflichtet:
  • Grundsätze des Datenschutzes und der IT-Sicherheit
  • Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse
  • Ordnungsgemäßer und sorgfältiger Umgang mit Daten, Dateien, Datenträgern und sonstigen Unterlagen
  • Procuros gewährleistet, dass die Leistungserbringung unter Beachtung des Datenschutzrechts erfolgt
LinkedIn Logo Youtube Logo
© 2021 - 2022 Procuros GmbH. All rights reserved.