Vereinbarung zur Auftragsverarbeitung gemäß
Art. 28 Datenschutz-Grundverordnung (DS-GVO)
zwischen
(1)
Firma __________________________________________________________
Straße / PLZ /
Ort (Stempel)___________________________________________
____________________________________________________
- als Verantwortlicher (im Folgenden "Auftraggeber" oder "AG") -
(2)
CompensationPartner GmbH
Straßenbahnring 19
20251 Hamburg
- als Datenverarbeiter (im Folgenden "Auftragnehmer" oder "AN" oder „COP“) -
- im Folgenden auch gemeinsam "Parteien" bzw. einzeln "Partei" -
wird die folgende Vereinbarung gemäß Art. 28 DS-GVO getroffen.
1.
ALLGEMEINES
1.1
Der AG wird die Cloud Software „Monitor Entgelttransparenz“ (METG) den der AN für das
Bundesfamilienministerium erstellt hat, nutzen. Mit dieser Software lassen sich nach erfolgter
Registrierung des AG auf der Webseite „https://www.monitor-entgelttransparenz.de“ durch die
Eingabe von Beschäftigtendaten eine Bestandsaufnahme, ein Tätigkeitenvergleich und eine
Verdienststrukturanalyse durchführen sowie ein Ergebnisbericht erstellen. Der AN verarbeitet
auf Grundlage dieser Vereinbarung im Auftrag des AG gegebenenfalls personenbezogene
Daten im Sinne von Art. 4 Nr. 2 und Art. 28 der DS-GVO (im Folgenden "Auftragsverarbei-
tung").
1.2
Der Auftrag dauert so lange fort, bis der AG die Beendigung des Auftrags der AN mitteilt.
Hierzu ist mindestens eine Mitteilung in Textform erforderlich.
1
2.
KONKRETISIERUNG DES AUFTRAGSINHALTS
2.1
Zweck der Verarbeitung ist die Überprüfung möglicher Entgeltungleichheiten im Betrieb/Un-
ternehmen der Auftraggeberin/des Auftraggebers (Durchführung betrieblicher Prüfverfahren
nach §§ 17 ff Entgelttransparenzgesetz).
2.2
Der/Die Auftraggeberin/Auftraggeber speist die Daten in das Online-Tool „Monitor Entgelt-
transparenz“ ein. Die Auftragnehmerin erstellt anhand dieser Daten und mithilfe eines auto-
matisierten Bewertungssystems Bestandsaufnahmen, Tätigkeitenvergleiche, Verdienststruk-
turanalysen und Ergebnisberichte.
2.3
Die Auftragnehmerin verarbeitet die personenbezogenen Daten des Auftraggebers/der Auf-
traggeberin nur auf dokumentierte Weisung des Verantwortlichen. Sie verwendet die Daten,
die ihr zur Kenntnis gelangen, nicht für andere Zwecke und bewahrt sie nicht länger auf, als
es zur Erfüllung des Auftrags erforderlich ist. Eine Nutzung der Daten für andere, insbeson-
dere für eigene Zwecke oder eine Weitergabe an Dritte erfolgt nicht. Die Auftragnehmerin
verpflichtet sich, das Geschäfts- und Datengeheimnis der Auftraggeberin/des Auftraggebers
zu wahren. Gegenstand der Verarbeitung sind z.B. Geschlecht, Stellenbezeichnung, Tarif-
gruppe und Gehalt sowie gegebenenfalls eine Personalnummer
2.4
Änderungen des Verarbeitungsgegenstands sowie des Umfangs, der Art und des Zwecks der
Verarbeitungstätigkeit sind zwischen den Parteien abzustimmen und schriftlich zu dokumen-
tieren.
3.
PFLICHTEN UND WEISUNGSBEFUGNIS DES AG
3.1
Der AG bleibt für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der
betroffenen Personen allein verantwortlich. Er behält sich insoweit ein umfassendes Wei-
sungsrecht über Art, Umfang und Verfahren der Datenverarbeitung sowie zu den Datensicher-
heitsmaßnahmen vor, das er durch Einzelweisungen konkretisieren kann. Der AG trägt die
Kosten, die durch solche Anweisungen anfallen können und im Vorwege mitgeteilt werden.
Der AN darf die Ausführung zusätzlicher oder geänderter Weisungen verweigern, wenn sie zu
erheblichen Mehraufwendungen oder zu Konflikten mit den üblichen Datenverarbeitungsver-
fahren führen oder wenn der AG die Mehrkosten nicht zu tragen bereit ist.
3.2
Der AG informiert den AN unverzüglich, wenn er bei der Prüfung der Auftragsergebnisse Feh-
ler oder Unregelmäßigkeiten feststellt.
3.3
Der AG erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich. Mündliche
Weisungen wird der AG unverzüglich schriftlich bestätigen. Insofern gilt Ziffer 12.1.
3.4
Die Weisungsempfänger beim AN, die zu nutzenden Kommunikationskanäle sowie der Da-
tenschutzbeauftragte des AN sind in Anhang 1 aufgeführt.
2
4.
PFLICHTEN DES AN
4.1
Der AN verpflichtet sich die Verarbeitung der personenbezogenen Daten ausschließlich im
Rahmen der vertraglich getroffenen Vereinbarungen und nach (sonstigen) dokumentierten
Weisungen des AG vorzunehmen. Das gilt nicht in den in Art. 28 Abs. 3 S. 2 lit. a DS-GVO
genannten Fällen.
4.2
Der AN verwendet die Daten für keine anderen Zwecke als in dieser Vereinbarung und den
Weisungen des AG festgelegt. Der AN ist berechtigt, (Sicherheits-)Kopien, soweit sie zur Ge-
währleistung einer ordnungsgemäßen Datenverarbeitung oder im Hinblick auf die Einhaltung
unionsrechtlicher und/oder gesetzlicher Dokumentations-, Aufbewahrungs- und/oder Spei-
cherpflichten erforderlich sind, anzufertigen.
4.3
Der AN beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung und gewährleistet die
Erfüllung der vereinbarten und gesetzlich vorgeschriebenen Maßnahmen. Er stellt sicher,
dass er die bei ihm zur Verarbeitung der personenbezogenen Daten befugten Personen, so-
weit diese nicht schon einer angemessenen gesetzlichen Verschwiegenheitspflicht unterlie-
gen, schriftlich zur Vertraulichkeit verpflichtet hat.
4.4
Ist der AN der Ansicht, dass eine Weisung des AG gegen die DS-GVO oder andere Vorschrif-
ten über den Datenschutz verstößt, hat er den AG unverzüglich darauf hinzuweisen. Der AN
ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie
durch den AG bestätigt oder geändert wird.
4.5
Der AN überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
Der AN hat die gesamte Auftragsverarbeitung in seinem Bereich dauerhaft für den AG durch
geeignete Maßnahmen zu überprüfen und dies nachvollziehbar zu dokumentieren.
4.6
Der AN unterstützt den AG unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit
mit geeigneten technischen und organisatorischen Maßnahmen dabei, den Pflichten des AG
zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nach Kapitel III DS-
GVO (= Art. 12 bis 23 DS-GVO) nachzukommen. Der AN unterstützt den AG ferner unter
Berücksichtigung der Art der Verarbeitung und der dem AN zur Verfügung stehenden Infor-
mationen bei der Einhaltung der Pflichten des AG nach Art. 32 bis Art. 36 DS-GVO (Art. 28
Abs. 3 S. 2 lit. e und f DS-GVO). Die notwendigen Angaben wird der AN an die in der An-
hang 1 genannten Kontaktpersonen des AG übermitteln. Entstehen durch die Unterstützung
des AG Kosten bei dem AN, hat dieser das Recht diese Kosten von dem AG einzufordern.
Die Parteien verständigen sich über den zu erwartenden Umfang von Kosten und Aufwand.
4.7
Anfragen Betroffener und Dritter an den AN, die in der Sache erkennbar den AG betreffen, hat
der AN dem AG zeitnah weiterzuleiten.
4.8
Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland,
in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Ab-
kommens über den Europäischen Wirtschaftsraum statt. Eine Verlagerung in ein Drittland darf
3
nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B.
Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte
Verhaltensregeln).
5.
TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMAßNAHMEN
5.1
Der AN trifft dem Stand der Technik entsprechende technische und organisatorische Maßnah-
men ("TOM"), um ein risikoangemessenes Schutzniveau für die Rechte und Freiheiten der
von der Verarbeitung betroffenen Personen gemäß Art. 32 DS-GVO zu gewährleisten
5.2
Das Datenschutzkonzept mit den durch den AN getroffenen TOM ist in Anhang 3 detailliert
beschrieben.
5.3
Im Laufe des Auftragsverhältnisses kann aufgrund der technischen Entwicklung und neuer
gesetzlicher Vorgaben die Anpassung der TOM an technische und organisatorische Weiter-
entwicklungen erforderlich werden. Der AN wird erforderliche Anpassungen rechtzeitig umset-
zen. Wesentliche Änderungen sind mit dem AG schriftlich abzustimmen.
5.4
Der AN wird durch ein geeignetes Verfahren zur regelmäßigen Überprüfung, Bewertung und
Evaluierung der Wirksamkeit der TOM sicherstellen, dass jederzeit eine datenschutzkonforme
Verarbeitung gewährleistet ist.
6.
AUSKUNFT, BERICHTIGUNG, LÖSCHUNG UND EINSCHRÄNKUNG DER VERARBEI-
TUNG
Soweit eine Mitwirkung des AN für die Wahrung von Betroffenenrechten - insbesondere Aus-
kunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung - erforderlich ist, wird der
AN die ihm jeweils möglichen erforderlichen Maßnahmen nach Weisung des AG treffen. Aus-
künfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder Betroffene
darf der AN nur nach Weisung des AG erteilen. Entstehen durch die Mitwirkungen Kosten bei
dem AN, hat dieser das Recht diese Kosten von dem AG einzufordern. Die Parteien verstän-
digen sich über den zu erwartenden Umfang von Kosten und Aufwand.
7.
UNTERAUFTRAGSVERHÄLTNISSE
7.1
Der AN verpflichtet sich, die ihm übergebenen personenbezogenen Daten grundsätzlich nur
in seinen eigenen Geschäftsräumen oder auf eigenen Servern zu verarbeiten. Der AN ist je-
doch berechtigt, selbst Auftragsverarbeiter ("Unterauftragnehmer") einzusetzen. Der AG er-
klärt sich mit dem Einsatz der in Anhang 2 aufgeführten Unterauftragnehmer (Art. 28 Abs. 2
DS-GVO) einverstanden. Der AN ist berechtigt, weitere Unterauftragnehmer einzubeziehen,
Unterauftragnehmer zu ersetzen und Unterauftragsverhältnisse zu beenden.
4
7.2
Vor Einbeziehung weiterer Unterauftragnehmer wird der AN dem AG die in Anhang 2 dieser
Vereinbarung abgefragten Informationen in Bezug auf den neuen Unterauftragnehmer schrift-
lich mitteilen. Der AG erhält hierdurch die Möglichkeit, der Einbeziehung des weiteren Unter-
auftragnehmers innerhalb einer Frist von 4 Wochen zu widersprechen.
7.3
Der AN hat Unterauftragnehmer unter Berücksichtigung der Eignung der von diesen getroffe-
nen TOM im Sinne von Art. 32 DS-GVO sorgfältig auszuwählen und vor der Beauftragung zu
prüfen, dass dieser die zwischen AG und AN getroffenen Vereinbarungen einhalten kann.
7.4
Der AN hat sicherzustellen, dass die in dieser Vereinbarung getroffenen Regelungen, ggf.
ergänzende Weisungen und die Kontrollrechte des AG auch gegenüber dem jeweiligen Un-
terauftragnehmer gelten. In dem Vertrag mit dem Unterauftragnehmer sind die Angaben so
konkret festzulegen, dass die Verantwortlichkeiten des AN und des Unterauftragnehmers
deutlich voneinander abgegrenzt werden. Werden mehrere Unterauftragnehmer eingesetzt,
so gilt dies entsprechend für die Verantwortlichkeiten zwischen diesen Unterauftragnehmern.
Insbesondere ist in den Verträgen mit dem Unterauftragnehmer dafür zu sorgen, dass der AG
berechtigt ist, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei
Unterauftragnehmern durchzuführen oder durch ihn beauftragte Dritte durchführen zu lassen.
7.5
Der AN hat die Einhaltung der Pflichten durch den Unterauftragnehmer regelmäßig zu kon-
trollieren, das Ergebnis zu dokumentieren und dem AG auf Verlangen zugänglich zu machen.
8.
KONTROLLRECHTE DES AG
8.1
Der AN stellt sicher, dass sich der AG oder ein von ihm beauftragter Prüfer von der Einhaltung
der geltenden Bestimmungen zu den Pflichten der AN überzeugen kann.
8.2
Der AN verpflichtet sich, dem AG auf Anforderung die erforderlichen Auskünfte zu erteilen und
insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzu-
weisen. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen,
kann zum Beispiel erfolgen durch eine geeignete Zertifizierung durch IT-Sicherheits- oder Da-
tenschutzaudit (z.B. nach BSI-Grundschutz).
9.
MITTEILUNGEN DES AN BEI STÖRUNGEN UND VERLETZUNG DES SCHUTZES PER-
SONENBEZOGENER DATEN
Der AN informiert den AG zeitnah bei schwerwiegenden Störungen des Betriebsablaufes, bei
Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbei-
tung der Daten des AG und über Kontrollhandlungen, Maßnahmen und Ermittlungen der Auf-
sichtsbehörde, insbesondere solche nach Art. 58 DS-GVO, die in Zusammenhang mit der
Auftragsverarbeitung stehen oder auf diese Auswirkungen haben können..
5
10.
RÜCKGABE UND LÖSCHUNG VON DATEN BEI BEENDIGUNG DES AUFTRAGS
Bei Beendigung des Auftragsverhältnisses verpflichtet sich der AN, alle ihm oder seinen Un-
terauftragnehmern im Zusammenhang mit dem Auftrag zur Kenntnis gelangten bzw. überge-
benen personenbezogenen Daten und Unterlagen zu löschen oder zurückzugeben, wenn der
AG dies verlangt.
11.
DAUER DER DATENVERARBEITUNG UND DIESER VEREINBARUNG
11.1 Die Dauer der Datenverarbeitung gemäß dieser Vereinbarung richtet sich nach Ziffer 1.2. Über
die Dauer dieser Vereinbarung hinausgehende Verpflichtungen gelten auch über die Laufzeit
dieser Vereinbarung hinaus fort.
11.2 Der AG kann diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen, wenn ein
schwerwiegender Verstoß des AN gegen die Bestimmungen dieser Vereinbarung vorliegt, der
AN eine Weisung des AG nicht ausführen kann oder will oder der AN Kontrollrechte des AG
vertragswidrig verweigert. Insbesondere gilt dies für die Nichteinhaltung der in dieser
Vereinbarung genannten und aus Art. 28 DS-GVO abgeleiteten Pflichten.
12.
SONSTIGES
12.1 Sofern in dieser Vereinbarung für Mitteilungen zwischen den Parteien die Schriftform vorge-
sehen ist, so kann diese auch in einem elektronischen Format erfolgen, das eine ausreichende
Dokumentation der erfolgten Mitteilungen gewährleistet.
12.2 Änderungen dieser Vereinbarung bedürfen zu ihrer Wirksamkeit der Schriftform.
12.3 Im Übrigen gelten mangels (ggf. vorrangiger) Bestimmungen dieser Vereinbarung die allge-
meinen Bestimmungen des Vertrags.
12.4 Diese Vereinbarung unterliegt deutschem Recht. Gerichtsstand ist Hamburg
Hamburg, 24.05.2018
Ort, Datum
Ort, Datum
Unterschrift AG
Unterschrift AN
Tim Böger, Geschäftsführer
***
6
Anhang 1 - Kontaktpersonen und Datenschutzbeauftragte(r) des AN
Weisungsempfangende Personen beim Auftragnehmer
Name, Vorname
Böger, Tim oder Dr. Bierbach, Philip
Organisationseinheit
Geschäftsführung
Telefon
040 4210 475 0
E-Mail
service@compensation-partner.com
Für Weisungen zu nutzende Kommunikationskanäle
Kommunikationskanal 1
service@compensation-partner.com
Kommunikationskanal 2
040 4210 475 0
Datenschutzbeauftragte(r) des Auftragnehmers
Name, Vorname
Borgstedt, Christian
Adresse
Straßenbahnring 19
Telefon
040 4210 475 0
E-Mail
borgstedt@compensation-partner.com
7
Anhang 2 - Unterauftragnehmer
Die Liste der genehmigten Unterauftragnehmer:
Name und Anschrift des
Auftragsinhalt
Drittland
Unterauftragnehmers
Corpex Internet GmbH
Hosting der COP Webserver
Schauenburgerstraße 6
20095 Hamburg
InnovaSys GmbH
Betreuung der COP internen
IT-Systeme
Tratzigerstrasse 21
22043 Hamburg
8
Anhang 3 - Technische und organisatorische Maßnahmen
1. Maßnahmen zur Zutrittskontrolle
Wir verwehren Unbefugten den Zutritt zu Geschäftsräumen und zu Datenverarbeitungsanlagen, mit
denen personenbezogene Daten verarbeitet oder genutzt werden. Hierzu haben wir insbesondere
folgende Maßnahmen getroffen:
Kontrolle des Zutritts zu den Datenverarbeitungsanlagen mittels kodierter Schlüssel
Ausgabe der Schlüssel zur DV-Anlage nur an ausgewählte Berechtigte und Verwendung einer
Schlüsselliste
Empfang
Klingelanlage mit Kamera
Sorgfältige Auswahl des Reinigungspersonals
2. Maßnahmen zur Zugangskontrolle
Wir verhindern, dass unsere Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Hierzu haben wir insbesondere folgende Maßnahmen getroffen:
Zugriffsschutz auf die Daten des Auftraggebers mittels individueller Zugangsdaten (Zugriff
sowohl nach innen als auch nach außen nur für befugte Personen möglich)
Schutz aller Computersysteme mit personalisierten Benutzernamen und Passwörtern
Einsatz einer zentralen Benutzerverwaltung
Verwendung von netzwerkweit eindeutigen Benutzernamen und Kennwörtern für die
Anmeldung an den Datenverarbeitungssystemen
Anwendung einer Passwortrichtlinie, mit Minimalanforderungen zu Länge, Aufbau,
Ablaufzeitraum und Sperrung von Passwörtern nach Fehleingaben
Sicherung des Netzwerkes gegen unberechtigte Zugriffe von außen, u.a. mittels
Virenscanner, Firewall und System Log der Server
Einsatz aktueller Verschlüsselungstechniken, insbesondere bei Fernzugriff (VPN)
Verschlüsselung mobiler Geräte und Datenträger mit aktuellen Verschlüsselungstechnologien
WLAN: regelmäßige Updates und Kennwortänderung, Gästenetz
3. Maßnahmen zur Zugriffskontrolle
Wir gewährleisten, dass die zur Benutzung unserer Datenverarbeitungssysteme Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und- dass
personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt
gelesen, kopiert oder entfernt werden können. Hierzu haben wir insbesondere folgende Maßnahmen
getroffen:
Protokollierung des Einsatzes und der Vernichtung von Datenträgern. Befolgung eines
detaillierten abgestuften und permanent aktualisierten Rechtekonzepts, dessen Umsetzung
überwacht wird und das die nachfolgenden Regelungen enthält:
o Steuerung der Zulässigkeit von Transaktionen durch Profile
o Verwaltung der Zugriffsrechte nur durch System-Administratoren
Dokumentation der Zugriffe auf Anwendungen und Daten in Logfiles
Auswertung der Logfiles
Einsatz aktueller Verschlüsselungstechniken
4. Maßnahmen zur Weitergabekontrolle
Wir sorgen dafür, dass personenbezogene Daten bei elektronischer Übertragung oder während ihres
Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder
entfernt werden können. Ferner gewährleisten wir, dass überprüft und festgestellt werden kann, an
welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur
Datenübertragung vorgesehen ist. Hierzu haben wir insbesondere folgende Maßnahmen getroffen:
Administrative Zugriffe auf die Systeme sind ausschließlich über eine verschlüsselte VPN-
Strecke möglich
Weitergabe personenbezogener Daten findet nicht statt
Datenübertragung (einschließlich Backups) nur über eine verschlüsselte VPN-Strecke
Einsatz aktueller Verschlüsselungstechniken insbesondere zur internen Verschlüsselung der
Daten und Implementierung einer entsprechenden Rechtestruktur
Soweit verfügbar, Mailübertragung via TLS
5. Maßnahmen zur Eingabekontrolle
Wir gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem
personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert und/oder entfernt
worden sind. Hierzu haben wir insbesondere folgende Maßnahmen getroffen:
Anwendungsadministration mittels individueller Benutzernamen
Nutzungs- und Zugriffsrechte folgen einem abgestuften Rechtekonzept
Automatische Updates und Monitoring des Schadsoftwareschutzes
Automatische überwachte Verteilung von Betriebssystem- und Anwendungssoftwareupdates
6. Maßnahmen zur Weisungs- und Auftragskontrolle
Wir sorgen dafür, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Hierzu haben wir
insbesondere folgende Maßnahmen getroffen:
Regelungen zur Durchführung der in der Vertragsanlage zur Auftragsdatenverarbeitung
vorgesehenen Audits
Belehrungen und Schulungen der Mitarbeiter in regelmäßigen Abständen
Verpflichtung der Mitarbeiter auf das Datengeheimnis sowie das Fernmeldegeheimnis
Bestellung eines Datenschutzbeauftragten
Stichprobenartige Prüfung der Datennutzung ausschließlich für den Zweck des Auftrags
klare Verantwortlichkeiten und Zugriffsmöglichkeiten für die beteiligten Mitarbeiter
entsprechende Verpflichtung etwaiger Subunternehmer
7. Maßnahmen zur Verfügbarkeits- und Wiederherstellungskontrolle
Wir tragen dafür Sorge, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust
geschützt sind. Hierzu haben wir insbesondere folgende Maßnahmen getroffen:
Regelmäßige und zeitnahe Aktualisierung der eingesetzten Systeme mit Sicherheitsupdates
Einsatz von Firewalls, Virenscannern auf Server- und Client-Systemen
Redundanter Aufbau der Systeme inkl. der Netzwerk-Komponenten (Firewalls, Load-
Balancer, Switches), der Internet-Links und der Datenhaltung
Sicherung der Systeme mittels Backup- und Recoverykonzept, das insbesondere Vorgaben
zur Häufigkeit der Datensicherung und der Prüfung der Datensicherungen enthält
Absicherung der Systeme durch unterbrechungsfreie Stromversorgungen (USV)
Klimatisierung der Serverräume
Überwachung der Serverräume hins. Temperatur und Feuchtigkeit sowie mittels Feuer- und
Rauchmeldeanlagen
CO2 Feuerlöscher
Aufbewahrung der Datensicherung an einem sicheren Ort
Automatische Überwachung und Aktualisierung des Virenschutzes
Aufstellung eines Notfallplanes für den Störungsfall
Aufstellung eines Recovery-Konzepts zur Wiederherstellung der Arbeitsfähigkeit
Aufstellung eines Datensicherungskonzepts
Aufstellung eines Virenschutzkonzepts
8. Maßnahmen zur Zweck- und Mandantentrennung
Wir stellen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
und die Vertraulichkeit der übermittelten Daten auch gegenüber anderen Auftraggebern gewahrt wird.
Insbesondere erhält jeder Auftraggeber nur Zugriff auf seine Daten. Hierzu haben wir insbesondere
folgende Maßnahmen getroffen:
Datenhaltung unterschiedlicher Anwendungen in für jede Anwendung dedizierten
Datenbanken
Verwendung eines Berechtigungskonzepts
Physische Trennung der Datenbestände der unterschiedlichen Anwendungen
Trennung von Entwicklungs-, Produktiv- und Testsystem
Logische Mandantentrennung innerhalb der einzelnen Anwendungen
Regelmäßige Überprüfung der Einhaltung der internen Prozesse und Arbeitsvorschriften
9. Maßnahmen zur Pseudonymisierung
Wir haben folgende Maßnahmen zur Pseudonymisierung der Daten getroffen:
Der Auftraggeber verwendet keine für Dritte identifizierbare Angaben wie den Namen eines
Mitarbeiters in die Systeme des AN hochzuladen.
10. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der TOM
Wir haben folgende Maßnahmen getroffen, um die Wirksamkeit der TOM regelmäßig zu überprüfen,
bewerten und die Wirksamkeit zu evaluieren:
Wir überprüfen in einem internen Audit die getroffenen Maßnahmen und protokollieren das
Ergebnis regelmäßig.
Stand: Mai 2018
Kontakt:
Christian Borgstedt
Datenschutzbeauftragter
CompensationPartner GmbH
Eine Gesellschaft der PMSG PersonalMarkt Services GmbH
Straßenbahnring 19
20251 Hamburg
Deutschland
+49 (0)40 4134 54 32
Email: borgstedt@compensation-partner.de