(Anlage Nr. zur Anmeldung der Mitarbeiterbefragung vom im folgenden Hauptvertrag) Datenschutz- und Datensicherheitsbestimmungen

Größe: px
Ab Seite anzeigen:

Download "(Anlage Nr. zur Anmeldung der Mitarbeiterbefragung vom im folgenden Hauptvertrag) Datenschutz- und Datensicherheitsbestimmungen"

Transkript

1 (Anlage Nr. zur Anmeldung der Mitarbeiterbefragung vom im folgenden Hauptvertrag) zwischen Datenschutz- und Datensicherheitsbestimmungen nachstehend Auftraggeber genannt und Great Place to Work Deutschland GmbH, Hardefuststraße 7, Köln nachstehend Auftragnehmer genannt Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen der Auftragsdatenverarbeitung i.s.d. 11 Bundesdatenschutzgesetz (BDSG), die der Auftragnehmer gegenüber dem Auftraggeber erbringt. 1 Gegenstand und Dauer des Auftrags Die Einzelheiten zu Gegenstand und Dauer des Auftrags ergeben sich aus dem Hauptvertrag. Der Auftragnehmer verarbeitet im Rahmen des Auftrags personenbezogene Daten des Auftraggebers im Rahmen einer Papier-Mitarbeiterbefragung (Organisationsforschung). Der Vertrag beginnt zum Zeitpunkt der Anmeldung zur Mitarbeiterbefragung und endet mit Abschluss der Benchmarkstudie im Mai des Folgejahres. Unabhängig von den vorstehenden Regelungen zu den Laufzeiten gelten die Verpflichtungen zum Datengeheimnis, die Geheimhaltungspflicht und vereinbarte Aufbewahrungsfristen über das Vertragsende hinaus. 2 Umfang, Art und Zweck der Datenverarbeitung, die Datenarten und der Kreis der Betroffenen Der Auftragnehmer ist verpflichtet, die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich zur vertraglich vereinbarten Leistung zu verwenden. Es ist dem Auftragnehmer nicht gestattet, unautorisiert Kopien der personenbezogenen Daten zu erstellen. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Weitere Einzelheiten zu Umfang, Art und Zweck der Datenerhebung, -Verarbeitung der -Nutzung ergeben sich aus dem Hauptvertrag. Art der Daten (vor der Umfrage) Name, Vorname des Mitarbeiters (sofern Versand an Privatadresse notwendig) ggf. private Anschrift der Mitarbeiter (sofern Versand der Fragebögen an Privatadresse notwendig) 1/19

2 Art der Daten (während der Umfrage) Altersgruppe Geschlecht Betriebszugehörigkeit Art der Beschäftigung Zugehörigkeit zu einer ethnischen Minderheit Höchster Bildungsabschluss Berufliche Position Kreis der Betroffenen Mitarbeiter Kontaktpersonen 3 Technische und organisatorische Maßnahmen Die als Anlage beigefügte Beschreibung der technischen und organisatorischen Maßnahmen gemäß 9 BDSG (Datenschutz- und Datensicherheitskonzept) ist Teil dieser Vereinbarung. Es ist dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. 4 Berichtigung, Löschung und Sperrung von Daten Der Auftragnehmer hat nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer diesen Antrag unverzüglich an den Auftraggeber weitergeben. 5 Pflichten des Auftragnehmers gemäß 11 Abs. 4 BDSG und vorzunehmende Kontrollen Der Auftragnehmer wird zur Erfüllung des Vertrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einsetzen, die auf das Datengeheimnis nach 5 BDSG verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht wurden. Ferner ist der Auftragnehmer verpflichtet, die Vorschriften zur Bestellung des Datenschutzbeauftragten gemäß 4f, 4g BDSG zu erfüllen. Bestellter Beauftragte(r) für den Datenschutz ist: Daniel Schwaiger, BFS-Datenschutz GbR, Forsbachstraße 19, Köln, / (Vorname, Name, Organisationseinheit, Adresse, Telefon) Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen Der Auftragnehmer ist verpflichtet, organisatorische und technische Maßnahmen nach 9 BDSG in einem angemessenen Verhältnis zum angestrebten Schutzzweck umzusetzen. Dabei hat er durch geeignete Kontrollen sicherzustellen, dass die im Auftrag zu verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können, die übertragene Datenverarbeitung aufgabenbezogen getrennt von anderer Datenverarbeitung erfolgt und die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Er unterwirft sich eventuellen Kontrollmaßnahmen der Datenschutzaufsichtsbehörde und wird den Auftraggeber über eine eventuelle Kontrollmaßnahme unverzüglich informieren. 2/19

3 6 Unterauftragsverhältnisse Der Auftragnehmer ist berechtigt, zur Vertragserfüllung Dritte einzusetzen, soweit er den Auftraggeber hierüber unverzüglich schriftlich informiert und dieser dem Einsatz des Dritten nicht innerhalb einer Frist von 5 Werktagen widerspricht. Der Auftragnehmer wird alle mit diesem Vertrag übernommenen Verpflichtungen dem Subunternehmen selbstständig auferlegen. Der Unterauftrag ist schriftlich zu fixieren. Zurzeit sind die folgenden mit Namen und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten im dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden. itim International Oy, Arabiankatu 12, Helsinki Dienstleister im Bereich der Online-Befragungssoftware und Reportinglösung: Nutzung einer an die Anforderungen der GPTW Deutschland GmbH angepassten Befragungs- und Reportingsoftware sowie Nutzung von Serverleistungen (Befragungsserver). techperts GmbH, Eckdorfer Straße 1, Wesseling Serverprovider, EDV-Betreuung Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer durch Dritte als Nebenleistung zur Unterstützung bei der Vertragserfüllung in Anspruch nimmt (z.b. Telekommunikationsleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern). Der Auftragnehmer ist jedoch verpflichtet, auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. 7 Kontrollrechte des Auftraggebers und Mitwirkungspflichten des Auftragnehmers Der Auftragnehmer räumt dem Auftraggeber bezüglich der Einhaltung der Vorschriften über den Datenschutz und der getroffenen Datenschutz- und Datensicherungsvorkehrungen ein jederzeitiges Besichtigungs- und Kontrollrecht, grundsätzlich nach vorheriger Ankündigung und mit einer Vorlaufzeit von 5 Werktagen, ein. Der Auftragnehmer ist verpflichtet, im Fall von Auskünften und Einsichtnahmen die erforderliche Unterstützung bereitzustellen. Unabhängig davon wird der Auftragnehmer den Nachweis der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen gemäß 9 BDSG durch ein alle 36 Monate zu erneuerndes Testat z.b. von einer anerkannten Wirtschaftsprüfungsgesellschaft, der Revision oder seinem Datenschutzbeauftragten nachkommen. 8 Mitzuteilende Verstöße des Auftragnehmers Bei begründetem Verdacht der Verletzung von in dieser Vereinbarung festgelegten Datenschutz- und Datensicherheitsbestimmungen durch den Auftragnehmer selbst, Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte wird der Auftragnehmer den Auftraggeber unverzüglich benachrichtigen. Das Gleiche gilt bei Verstößen gegen die allgemeinen Vorschriften zum Schutz personenbezogener Daten. 9 Umfang der Weisungsbefugnisse Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor. 3/19

4 Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per bestätigen. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen das BDSG oder eine andere Vorschrift über den Datenschutz verstößt. Der Auftragnehmer ist berechtigt, die Erfüllung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Der Auftraggeber darf den Auftragnehmer zu keinem Zeitpunkt anweisen, die anonymisierten Daten seiner Mitarbeiter wieder zu de-anonymisieren und ihm auch nicht teilweise zur Verfügung zu stellen. 10 Rückgabe überlassener Datenträger und Löschung Der Auftragnehmer ist verpflichtet, die personenbezogenen Daten nach Weisung und im Übrigen nach Abschluss der Arbeiten bzw. bei Beendigung/Kündigung des Vertrags nach den Vorgaben des Auftraggebers vollständig datenschutzgerecht zu löschen oder an den Auftraggeber zurückzugeben. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Sofern keine anderen Regelungen getroffen werden, vernichtet der Auftragnehmer die personenbezogenen Daten des Auftraggebers zum Ende des ersten Quartals des auf die Umfrage folgenden Kalenderjahres. 11 Sonstiges, den, den Auftragnehmer Auftraggeber Anlage: Anlage 1: technische und organisatorische Maßnahmen/Datenschutz- und Datensicherheitskonzept Anlage 2: Anlage 3: Anlage 4: 4/19

5 Anlage 1: Datenschutzkonzept GPTW und technisch-organisatorische Maßnahmen Datenschutzkonzept 1. Befragungsdurchführung Paper Pencil-Befragung Einladung der Teilnehmer Bearbeitung des Fragebogens Rücksendung der Fragebögen Online-Befragung Einladung der Teilnehmer Standard-Durchführung Trennung von Adressen und Antwortdaten im Fall einer Online-Befragung Alternative Durchführungen Technische Information zum Online-Fragebogen Allgemeine Daten zu den verwendeten Befragungsservern Codebrief-Befragungen Einladung der Teilnehmer Durchführung der Befragung Datensicherheit Allgemeine Daten zum Server von Great Place to Work Deutschland Datensatzerstellung Auswertung/Reporting der Ergebnisse/Auswertungsgrenze bei kleinen Gruppen Auslieferung der Ergebnisse/ Reports Technische und organisatorische Maßnahmen nach 9 BDSG 15 5/19

6 Ein zuverlässiger und transparenter Datenschutz ist bei Mitarbeiterbefragungen von ganz besonderem Stellenwert. Die für den Datenschutz relevanten Abläufe der Mitarbeiterbefragung betreffen die Befragungsdurchführung die Datensatzerstellung die Auswertung/das Reporting der Ergebnisse. Im Folgenden wird das Konzept von Great Place to Work Deutschland zur Sicherstellung des Datenschutzes und zur Sicherung der Anonymität der Befragungsteilnehmer dargestellt. 1. Befragungsdurchführung Die Mitarbeiterbefragung kann sowohl als Online- als auch als Paper Pencil-Befragung oder in Kombination durchgeführt werden. 1.1 Paper Pencil-Befragung Einladung der Teilnehmer Das Unternehmen erhält von Great Place to Work Deutschland ca. eine Woche vor Befragungsstart die benötigte Anzahl Fragebögen und Rückumschläge. Die Zusammenstellung der Befragungsunterlagen (Anschreiben vom Unternehmen, Fragebogen und Rückumschlag) erfolgt durch das Unternehmen. Die Befragungsunterlagen werden entweder an alle Mitarbeiter an ihrem Arbeitsplatz verteilt oder an die private Post-Adresse des Mitarbeiters gesendet. Im Falle eines Versandes an private Post-Adressen ist die Zustimmung der Mitarbeiter zwingend erforderlich. Die einzelnen Fragebögen sind nicht kodiert bzw. personalisiert, eine nachträgliche Zuordnung zu den einzelnen Mitarbeitern wird somit ausgeschlossen. Im Fragebogen befindet sich lediglich ein Eindruck mit dem Namen der Einrichtung bzw. der Organisation, sowie ggf. auch der Organisationseinheit in Verbindung mit einer Nummer. Alle Mitarbeiter einer Organisation bzw. einer Organisationseinheit erhalten jedoch stets die gleiche Nummer. Rückschlüsse auf einzelne Personen sind somit grundsätzlich nicht möglich, auch nicht durch die Nummern Bearbeitung des Fragebogens Zeitpunkt und Ort der Beantwortung des Fragebogens sind vom Mitarbeiter bis zu einem Stichtag frei zu wählen. Regelungen, ob die Bearbeitung des Fragebogens zur Arbeitszeit gehört, was zu empfehlen ist, sind zu berücksichtigen Rücksendung der Fragebögen Die Rücksendung des Fragebogens erfolgt anonym mithilfe des frankierten und adressierten Rückumschlags an Great Place to Work Deutschland. Als Alternative zur Rücksendung durch die Mitarbeiter kann eine Sammlung der Fragebögen beim Auftraggeber erfolgen. Dazu werden die verschlossenen Umschläge in einen ebenfalls verschlossenen und im Idealfall unter neutraler Aufsicht stehenden Behälter bzw. eine Urne 6/19

7 eingeworfen. Der Behälter könnte z.b. im Büro des Betriebsrates aufgestellt werden. Dieser wird nach Abschluss des Befragungszeitraums versiegelt und per gesicherten Transport (z.b. per Kurierdienst) zur Auswertung an Great Place to Work Deutschland übermittelt. 1.2 Online-Befragung Einladung der Teilnehmer Bei der Einladung der Teilnehmer stehen verschiedene Alternativen der Durchführung zur Auswahl: Standard-Durchführung Vor der Einladung der Teilnehmer werden die entsprechenden Mail-Adressen der Mitarbeiter vom Auftraggeber über einen gesicherten Dokumentenversand an Great Place to Work Deutschland übermittelt. Die Mitarbeiter bekommen in einer unverschlüsselten -Einladung einen personalisierten Link zur Befragung. Der Link führt direkt auf eine verschlüsselte Seite mit der Mitarbeiterbefragung. Die Beantwortung des Fragebogens kann unmittelbar begonnen werden. Die Befragung kann zu jeder Zeit unterbrochen werden und mit dem gleichen Link an der "Austrittsstelle" fortgesetzt werden. Nach Abschluss der Befragung ist keine erneute Teilnahme möglich (Ausschluss von Mehrfachantwortern). Anmerkung: Die s werden unverschlüsselt übermittelt. Der Zugang zur Befragung ist für den Mitarbeiter einfach. Eine Zuordnung zwischen -Adresse und Befragungsdaten ist mittels eines Zahlenschlüssels während der Befragung für Great Place to Work Deutschland möglich. Es handelt sich um eine gängige Methode der Durchführung mit einfachem Support (bei auftretenden Fragen während der Befragung) Trennung von Adressen und Antwortdaten im Fall einer Online-Befragung Die durch Great Place to Work Deutschland an Ihre Mitarbeiter versendeten s enthalten einen individuellen Zugangscode zu dem Mitarbeiterfragebogen. Die Bearbeitung des Fragebogens erfolgt online direkt auf einem Server der itim International in Finnland als ein dem Bundesdatenschutzgesetzes (BDSG) verpflichteter Serverpartner von Great Place to Work Deutschland. Nachdem die Fragebogen von den Teilnehmern beantwortet wurden, erfolgt vor der weiteren Bearbeitung eine Trennung der Antworten von den -Adressen der Teilnehmer. Auf diese Weise ist sichergestellt, dass kein Rückschluss auf einzelne Teilnehmer möglich ist. Eine Weiterleitung oder Drittverwendung der Adressdaten findet in keinem Fall statt; nach Abschluss der Befragung und aller vorzunehmenden Auswertungen werden sämtliche Adressdaten gelöscht Alternative Durchführungen a) Die Befragten bekommen in einer -Einladung einen Link zur Befragung. Auf der verschlüsselten ersten Fragebogen-Seite werden sie aufgefordert, einen Code einzugeben. Der Code wird vorher postalisch zugestellt. Der Code wird zufällig aus alphanumerischen Zeichen gebildet und ist bis zu 26 Zeichen lang. Es besteht die Möglichkeit für die Mitarbeiter, die Codes 7/19

8 untereinander zu tauschen, um eine absolute Anonymität zu gewährleisten. Die Bearbeitung des Fragebogens kann zu jeder Zeit unterbrochen werden und mit dem gleichen Link an der "Austrittsstelle" unter erneuter Eingabe desselben Codes fortgesetzt werden. Nach Abschluss der Befragung ist keine erneute Teilnahme möglich (Ausschluss von Mehrfachantwortern). Anmerkung: Variante mit besonders hoher Sicherheit und Anonymitätsschutz: Die allein berechtigt noch nicht zur Teilnahme an der Befragung. Eine Zuordnung zu einzelnen - Adressen ist nicht mehr möglich. Aber: relativ komplexes Verfahren, mögliche Fehlerquellen beim Eingeben des Codes (Schriftart, Unterscheidung O und 0 etc.), anspruchsvollere Support- Anfragen (z.b. aufgrund der individuellen und manuellen Code-Eingabe) und erhöhte Kosten durch den Postversand der Codes sowie der Bereitstellung einer technischen Support-Hotline. b) Die Befragten erhalten einen Brief mit einem Link zum Fragebogen, den sie in die Betreffzeile des Browers eingeben. Dieser Link enthält am Ende einen individuellen Code. Es besteht die Möglichkeit für die Mitarbeiter, die Briefe untereinander zu tauschen, um eine absolute Anonymität zu gewährleisten. Die Bearbeitung des Fragebogens kann zu jeder Zeit unterbrochen werden und mit dem gleichen Link an der "Austrittsstelle" fortgesetzt werden. Nach Abschluss der Befragung ist keine erneute Teilnahme möglich (Ausschluss von Mehrfachantwortern). Anmerkung: Variante mit besonders hoher Sicherheit und Anonymitätsschutz: Eine Zuordnung zu einzelnen Mitarbeiter ist nicht mehr möglich. Aber: relativ aufwendiges Verfahren, mögliche Fehlerquellen beim Eingeben des Links zum Fragebogen (Schriftart, Unterscheidung O und 0 etc.), anspruchsvollere Support-Anfragen (z.b. aufgrund der individuellen und manuellen Link- Eingabe) und erhöhte Kosten durch den Postversand der Briefs sowie der Bereitstellung einer technischen Support-Hotline. c) Die Befragten haben die Möglichkeit, über einen nicht-personalisierten Link zum Fragebogen (z.b. im Intranet) an der Befragung teilzunehmen. Diese Variante ist sinnvoll, wenn nicht alle Mitarbeiter über eine eigene -Adresse verfügen, jedoch lässt sich eine Mehrfachteilnahme nicht automatisiert ausschließen Technische Information zum Online-Fragebogen Der Fragebogen ist webbasiert. Hierfür müssen folgende Einstellungen und Vorkehrungen getroffen werden: Der Fragebogen ist in HTML und Javascript programmiert. Daher muss sichergestellt sein, dass in allen Browsern Javascript aktiviert ist. Die Mitarbeiter brauchen einen modernen Browser wie z.b. Internet Explorer oder Firefox Mozilla. Ist im Unternehmen ein Spam-Filter aktiviert, muss Folgendes beachtet werden: o o Setzen sie folgende Adressen auf die White list Sollten einzelne Mitarbeiter eigene Spam-Filter einstellen können, müssen diese die relevanten White-list -Informationen mit entsprechenden Anweisungen erhalten. Lässt Ihre Firewall nur eingeschränkten Zugriff auf das Internet zu, bitten wir Sie, folgende Einstellungen vorzunehmen: 8/19

9 o Internet-Adresse: o IP Adresse Online-Befragung und Download-Portal: o IP Adresse Mailserver: Die Website des Fragebogens ist verschlüsselt. Genauer bedeutet dies, dass die Übermittlung der Antwortangaben zum Umfrageserver verschlüsselt erfolgt. Die Verschlüsselung unterstützt sowohl gängige 128bit, als auch 256bit Verschlüsselung. Bereits bei der 128bit- Verschlüsselung werden Sicherheitsstandards erreicht, die der Verschlüsselung beim Online- Banking entsprechen. Zur Nutzung der höheren Rate muss der Browser auf Mitarbeiterseite den neuen Standard unterstützen. 256bit sind die höchste derzeit technisch mögliche Sicherheitsstufe im Bereich des WorldWideWeb. Ein Abhören oder Mitschneiden der Mitarbeiterantworten ist nahezu ausgeschlossen. Für den Nutzer ist die Verschlüsselung an einem kleinen Schloss-Symbol zu erkennen, das bei der Anzeige des Fragebogens im Browser-Fenster erscheint. Über eine spezielle SSL verschlüsselte Administrations-Seite werden die Befragungsdaten an Great Place to Work Deutschland zur Auswertung übermittelt. SSL ist ein kryptographisches Verfahren, welches die Vertraulichkeit und Integrität der Daten, als auch die Authentizität des Absenders und des Empfängers gewährleistet. Ohne den Einsatz solcher Verfahren werden im Internet prinzipiell alle Daten im Klartext übertragen, d.h. auf ihrem Weg von einem Rechner zum anderen können diese Daten von Dritten mitgelesen, geändert und gelöscht werden. SSL wird von den meisten Servern und fast allen Browsern unterstützt Allgemeine Daten zu den verwendeten Befragungsservern Die Befragungsserver werden vom Umfragesoftwarespezialisten itim International mit Sitz in Arabiankatu 12, Helsinki, Finland gehostet. Server 1: 3200MHz Intel Prozessor 5 GB RAM Redhat Linux Fedora Webserver Apache Software: Java, Tomcat Server 2: 2x2000MHz Intel 10 GB RAM Redhat Fedora Software: Java, Tomcat Datenbank: 2x2000MHz Quad Core Intel Xeon 10 GB RAM 9/19

10 Redhat Linux Fedora Software: MySQL MHz Intel 5 GB RAM Redhat Linux Fedora Software: Apache, Postfix Sicherheit: Zugangssichere Serverräume. Täglich automatisierte Backups. Backups werden auf einem separaten Datenträger gespeichert. Vom Datenbank-Server unabhängiger Firewall-Rechner Die Durchführung des Fragebogens kann über HTTP oder HTTPS erfolgen. Der Download-Bereich kann über HTTP oder HTTPS genutzt werden. 1.3 Codebrief-Befragung Eine Codebriefbefragung ist im Grundsatz eine Form der Online-Befragung. Zugang zur Befragung erhalten die Teilnehmerinnen und Teilnehmer jedoch über einen bereitgestellten Link: greatplacetowork.de/codebriefe (greatplacetowork.de/codeletter) sowie einen individuellen Code. Den Link sowie individuellen Code erhalten die Mitarbeiter in einem verschlossenen Codebrief. Bei diesem Verfahren werden somit keine individuellen E- Mail-Adressen benötigt Einladung der Teilnehmer Den Zugangscode erhält jeder Eingeladene in einem verschlossenen Briefumschlag. Die Briefumschläge stellt Great Place to Work im Vorfeld der Befragung Ihrem Unternehmen zur Verfügung. Die Befragungsunterlagen werden entweder an alle Mitarbeiter an ihrem Arbeitsplatz verteilt oder an die private Post-Adresse des Mitarbeiters gesendet. Im Falle eines Versandes an private Post-Adressen ist die Zustimmung der Mitarbeiter zwingend erforderlich. Die einzelnen Codebriefe sind nicht kodiert bzw. personalisiert, eine nachträgliche Zuordnung zu den einzelnen Mitarbeitern wird somit ausgeschlossen. Im Briefkopf befindet sich lediglich ein Eindruck mit dem Namen der Einrichtung bzw. der Organisation, sowie ggf. auch der Organisationseinheit in Verbindung mit einer Nummer. Alle Mitarbeiter einer Organisation bzw. einer Organisationseinheit erhalten jedoch stets die gleiche 10/19

11 Nummer. Rückschlüsse auf einzelne Personen sind somit grundsätzlich nicht möglich, auch nicht durch die Nummern. Codebriefe dürfen vom Kunden unter keinen Umständen geöffnet werden. Sobald er dies tut (weil er z.b. eine falsche Bestellmenge angegeben hat) muss er Great Place to Work Deutschland die Codes unverzüglich mitteilen. Diese werden im System vernichtet und im Anschluss neue Codes gegen Aufpreis generiert Durchführung der Befragung Siehe Punkt Alternative Durchführungen unter b) im Kapitel Online Befragungen 2. Datensicherheit Generell wird von Great Place to Work Deutschland zugesichert, dass ausschließlich von Great Place to Work Deutschland autorisierte Mitarbeiter Zugriff auf die erhobenen Mitarbeiterbefragungsdaten besitzen. Great Place to Work Deutschland stellt sicher, dass nur in das Projekt involvierte Personen die Ergebnisdaten verarbeiten und auswerten können. Alle Mitarbeiter von Great Place to Work werden bei Aufnahme ihrer Tätigkeit auf das Datengeheimnis nach 5 BDSG verpflichtet und nehmen regelmäßig an Datenschutzschulungen teil. Zusätzlich wird die EDV-technische Erfassung der Daten auf einem Passwort geschützten Daten-Server von Great Place to Work Deutschland gespeichert, welcher mit den gängigen Sicherheitsstandards ausgestattet ist (z.b. Backup-Funktion, Brandschutz). Benutzerpasswörter müssen nach 180 Tagen neu gewählt werden. Diese müssen eine Länge von mindestens acht Zeichen haben und dürfen nicht mit den letzten fünf Passwörtern übereinstimmen. Die Vergabe der Zugangsrechte zum Befragungsserver erfolgt zentral durch einen ausgewählten Kreis der Mitarbeiter von Great Place to Work Deutschland. Für den Zugang werden automatisiert ein 10-stelliges, alphanumerisches Passwort generiert, das dem Nutzer in einer separaten zugeschickt wird. 2.1 Allgemeine Daten zum Server von Great Place to Work Deutschland Wartung und Betreuung der Systeme obliegen den Systemadministratoren dem unabhängigen Systemhaus techperts GmbH (Stammsitz Eckdorfer Str.1, Wesseling). Collaboration-Systeme (mail, sharepoint) sind als gehosteter Service bei Microsoft eingekauft (BPOS-Suite) Die Anbindung der Zweigstelle in Wien ist mittels eines (redundant ausgelegten) DMVPN (Basis: Cisco-Router) realisiert. Externer Zugang zum Netzwerk ist ausschließlich auf Basis eines SSLVPNs (Hardware: Cisco- ASA) zertifikatsbasiert möglich. 11/19

12 Server: Hardware & Software 3 Fujitsu Server mit insgesamt 12 Kernen und 28 GB RAM davon o 1 dedizierter Backup-Server o 2 Produktivserver Microsoft Hyper-V als Virtualisierungslayer für die Produktivserver Netzwerkkomponenten alle redundant ausgelegt, alle Komponenten (inkl. Switche managebar) MS-Windows Netzwerk mit o Redundanten DomainControllern (ActiveDirectory, DNS, DHCP) o Redundanten Fileserver (DFS-R) o Zentrales Updatemanagement mittels Windows InTune (gehosted) Monitoring der Systeme mittels Windows InTune sowie Spiceworks (zugleich ticketing-system) Eingesetzte DV-Anlagen und Software Netzwerk: Client-Server-Architektur basierend auf Windows Server 2008R2 Servern und Windows 7 Enterprise Arbeitsplatzrechnern; Dateisystem NTFS; Kerberos Authentifizierung Arbeitsplatzrechner bestehend aus: Stationäre Rechner (Desktops), i.d.r mit Win7 Enterprise, MS Office 2010 Home&Business, Acrobat Reader; in Einzelfällen zusätzlich mit Statistiksoftware (SPSS, PSPP), teilweise mit MS Office Professional (Access), Virenscanner Notebooks: Software wie oben, zusätzlich verschlüsselte (BitLocker) Festplatten, mobiler Zugang via UMTS / SSLVPN Sicherheit: Zugangssichere Serverräume: Der Server selber befindet sich in einem separat verschlossenen Raum (Stahltür) für welchen ausschließlich die GF von Great Place To Work Deutschland sowie der externe Dienstleister Schlüssel besitzen täglich inkrementelle Backups des Dateisystems täglich Vollbackup des Systemstatus Backups werden auf ein separates Backupsystem gesichert (physikalisches System, keine virtuelle Maschine, Backup-to-Disc). Wöchentlich Vollbackups. Diese werden auf LTO4-Bänder verschlüsselt geschrieben. 3. Datensatzerstellung Mit Blick auf die Datensatzerstellung ist darauf hinzuweisen, dass von Great Place to Work Deutschland dafür Sorge trägt, dass Merkmale gesondert gespeichert werden, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Anmerkung: Bei der Standard-Durchführung der Online-Befragung ist eine Zusammenführung der Ergebnisdaten mit den personenbezogenen Einzelangaben grundsätzlich noch möglich. Jedoch wird von dieser Möglichkeit nur in Ausnahmefällen (z.b. wenn die Sicherung der Qualität bei der Auswertung es erfordert) Gebrauch gemacht und obliegt grundsätzlich der Verantwortung des involvierten Projektleiters von Great Place to Work Deutschland. 12/19

13 Bei der Paper Pencil-Befragung liegen keine personenbezogenen Daten (z.b. Name, Adresse, -Adresse) vor. Die Fragebögen werden, sobald sie bei Great Place to Work Deutschland eingehen, EDV-technisch über einen Scanner oder mittels kontrollierter Handeingabe erfasst. Es wird ein SPSS-Datensatz erstellt, mit dem die statistischen Analysen vorgenommen werden. Die Fragebögen werden nach sechs Monaten Lagerung vernichtet. Falls es vom Auftraggeber gewünscht wird, dass die Original-Fragebögen länger aufbewahrt werden z.b. für Folgebefragungen muss dieser dafür eine schriftliche, unterschriebene Weisung geben, die bei Great Place to Work Deutschland archiviert wird. Bei der online durchgeführten Befragung in Form der Alternative 2 (siehe Punkt 1.2.3) sind bereits aufgrund der Durchführungsmethodik ebenfalls keine Rückschlüsse auf einzelne Befragte möglich. Bei Alternative 1 (siehe Punkt 1.2.2) der online durchgeführten Befragung werden die Teilnehmerdaten (personalisierter Link, Name, Teilnehmerschlüssel) von den Ergebnisdaten getrennt gespeichert (zwei getrennte Datensätze). Der Ergebnisdatensatz enthält nur mehr den Teilnehmerschlüssel. Nur der Projektleiter hat während der Projektlaufzeit Zugriff auf die Teilnehmerdaten. Sechs Monate nach Projektende werden die Teilnehmerdaten endgültig gelöscht. Falls es vom Auftraggeber gewünscht wird, dass Daten länger gespeichert werden z.b. für Folgebefragungen muss er dafür eine schriftliche, unterschriebene Weisung geben, die bei Great Place to Work Deutschland archiviert wird. 4. Auswertung/Reporting der Ergebnisse/Auswertungsgrenze bei kleinen Gruppen Die Ergebnisse der Mitarbeiterbefragung werden ausschließlich in aggregierter Form dargestellt. Antworten einzelner Personen sind nicht erkennbar. Zu diesem Zweck wird eine Auswertungsgrenze d.h. eine Anzahl von Antwortenden festgelegt, unterhalb derer keine Ergebnisse dargestellt werden. In der Regel liegt die Auswertungsgrenze bei fünf Antworten (Personen). Diese Auswertungsgrenze wird in jedem Fall eingehalten - auch bspw. wenn aus inhaltlichem Interesse verschiedene soziodemografische Merkmale für eine Auswertung kombiniert werden, bspw. Geschlecht und Alter. Entstehen hier Gruppen von weniger als 5 Antwortenden werden die Ergebnisse nicht dargestellt bzw. dem Auftraggeber nicht übermittelt. Um eine noch größere unmittelbare Sicherheit bei den Befragten zu erzielen, kann für die Auswertung die Verbindung verschiedener soziodemographischer Merkmale (z.b. Frauen unter 25 Jahre, die Teilzeit beschäftigt sind) gänzlich ausgeschlossen werden. Der Datensatz wird dem Auftraggeber nicht zur Verfügung gestellt bzw. nur in einer Form, die keine Deanonymisierung zulässt, d.h. ohne oder nur mit stark beschränkten soziodemographischen Angaben. 5. Auslieferung der Ergebnisse/ Reports Die Reports werden nach Erstellung im Download-Portal von Great Place to Work Deutschland (sr2.feedbackdialog.com) eingestellt. Der Zugang ist durch einen Benutzernamen und ein Passwort geschützt. Nach Abschluss der Auswertungen werden die Zugangsdaten per zugestellt. Der Link zur Downloadseite wird in einer separaten mitgeteilt. Das Portal ist mit AES Bit hochgradig verschlüsselt, sodass die Daten von Unbefugten nicht eingesehen werden können. 13/19

14 Server 1 (Befragung und Kundenportal zum Abruf der Ergebnisberichte): 3200MHz Intel Prozessor 5 GB RAM Redhat Linux Fedora Webserver Apache Software: Java, Tomcat Server 2 (Befragung, Kundenportal und Berichterstellung): 2x2000MHz Intel 10 GB RAM Redhat Fedora Software: Java, Tomcat Server 3 (Berichterstellung): 2x2000MHz Intel 10 GB RAM Redhat Fedora Software: Java, Tomcat 6. Technische und organisatorische Maßnahmen nach 9 BDSG Die technischen und organisatorischen Maßnahmen wurden in Zusammenarbeit mit dem Datenschutzbeauftragten Herrn Daniel Schwaiger, BFS-Datenschutz GbR, daniel.schwaiger@bfs-datenschutz.de, +49 (0)2203 / aufgenommen und geprüft. Zutrittskontrolle (Nr. 1 der Anlage zu 9 BDSG) (es sind Maßnahmen zu treffen die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren) Die Räumlichkeiten der GPTW Deutschland GmbH befinden sich in einem vierstöckigen, unterkellerten Bürogebäude. Das Erdgeschoss wird von einer Kindertagesstätte genutzt. Es gibt keine Verbindung zwischen den Räumlichkeiten der Kindertagesstätte und den Büroräumlichkeiten, dem Keller, dem Treppenhaus sowie dem Fahrstuhl der GPTW Deutschland GmbH. Die im Erdgeschoss befindliche Gebäudeeingangstür ist während der Betriebszeiten geschlossen und nach den Betriebszeiten verschlossen. Lichtschächte, Lüftungsöffnungen, Feuerleitern oder Feuertreppen über die sich ein Unbefugter eventuell Zutritt zu den Büroräumen verschaffen könnte, existieren nicht. Die verbauten Fenster bestehen aus Isolierglas, im Erdgeschoss aus Sicherheitsglas und sind zudem im Erdgeschoss durch Rollläden und Schlösser zusätzlich gesichert. 14/19

15 Besucher müssen zwangsläufig am Eingang klingeln. Besucher werden mittels einer Kamera- Türsprechanlage durch das Sekretariat identifiziert. Die eingesetzte Technik zeichnet keinerlei Daten auf. Bearbeitungs- und Publikumszonen sind getrennt. Vor Feierabend werden zusätzlich die Räumlichkeiten überprüft, um zu verhindern, dass sich Unbefugte einschließen lassen. Sämtliche Schlüssel sind in einem Schlüsselregister aufgeführt, sowohl die Schlüsselausgabe wie auch die Schlüsselrücknahme werden quittiert. Überzählige Schlüssel sind in ausreichend sicher gestalteten Schlüsselkästen deponiert. Die Schlüssel der Mitarbeiter sind der Art, dass sie nicht einfach unbefugt dupliziert werden können. Verloren gegangene Schlüssel, sowie die ausgeschiedener Mitarbeiter werden unverzüglich gesperrt. Die geregelten Zugangszeiten zum Gebäude liegen zwischen 8:30h und 19h, die Anwesenheitszeiten der Mitarbeiter werden protokolliert. Alle Datenverarbeitungsanlagen mit denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden, befinden sich in zutrittskontrollierten Zonen. Die Zutrittskontrollmaßnahmen sind ausreichend und klar dokumentiert, den Mitarbeitern bekannt gemacht worden und werden beachtet. Der Server befindet sich in einem abgeschlossenen, mit einer Stahltür verschlossenen Raum, zu dem nur befugte Personen Zutritt haben. Büroschränke werden mit verschiedenen Schlüsseln verschlossen. So wird verhindert, dass Mitarbeiter unbefugt Schränke öffnen können und somit Zugriff auf sensible Daten erhalten, die nicht zu ihrem Aufgabengebiet gehören. Aufbewahrungsorte für mobile Endgeräte sind bei den Zutrittskontrollmaßnahmen berücksichtigt. Die Gebäudereinigung findet innerhalb der Geschäftszeiten statt. Die Reinigungskräfte besitzen eigene Schlüssel. Datensicherungen wie zum Beispiel LTO4-Bänder und CD s werden in einem zutrittsgeschütztem Safe gelagert. Zugangskontrolle (Nr. 2 der Anlage zu 9 BDSG) (es sind Maßnahmen zu treffen die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können) Die unbefugte Nutzung von IT-Systemen wird durch ein icherheitskonzept geregelt welches die maschinelle Vergabe, Pflege und Löschung von Zugangsberechtigungen vorschreibt. Benutzer identifizieren sich mittels einer eindeutigen User-ID nebst Passwort. Die Anforderungen an das Passwort werden in der Passwortrichtlinie vorgegeben, Default- Passwörter sind systemseitig deaktiviert: Das Passwort muss eine Mindestlänge von 8 Zeichen aufweisen. Hierbei muss mindestens ein Kleinbuchstabe, ein Großbuchstabe, ein Sonderzeichen und eine Zahl im Passwort enthalten sein. Passwörter verfallen nach 180 Tagen und müssen dann geändert werden. Die neuen Passwörter dürfen nicht mit den letzten fünf Passwörtern 15/19

16 übereinstimmen. Diese Passwortkonventionen werden zusätzlich zur Passwortrichtlinie automatisiert durch technische Systemeinstellungen erzwungen. Jeder Berechtigte verfügt über ein nur ihm bekanntes Passwort. Die Passwörter werden mittels Kerberos-Verschlüsselung im internen Netz übertragen und abgespeichert. Ein unbefugter Zugriff Dritter ist somit ausgeschlossen. Zugangsberechtigungen von ausgeschiedenen Mitarbeitern werden umgehend gesperrt oder gelöscht. Externer Benutzerzugriff erfolgt über zertifikatbasiertes SSL-VPN sowie RADIUS Authentifizierung, Datenübertragung mittels DMVPN auf SSL-Basis mit statischen IP-Adressen. Zugriffskontrolle (Nr. 3 der Anlage zu 9 BDSG) (es sind Maßnahmen zu treffen die geeignet sind, zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können) Sensible Daten sind gegen zufälligen unbefugten Einblick durch blickdichte Bürotüren geschützt. Der Zugriff auf die Datenverarbeitungssysteme ist durch ein Berechtigungskonzept Regelung der Eingabe, der Kenntnisnahme, der Veränderung und der Löschung von Daten geregelt. Dieses Berechtigungskonzept wird technisch durch die Datenverarbeitungssysteme mittels Zugriffssicherung durch Verstecken, Schreibschützen, Verschlüsseln und Sperren von Dateien und Verzeichnissen garantiert. Zugriff auf die Datenverarbeitungssysteme kann nur mittels drei- beziehungsweise seit 2011 vierstelliger Benutzerkennung und Passwort erfolgen. Der Netzwerkzugriff ist ebenfalls nur mit Benutzerkennung und Passwort möglich. Die Rechtevergabe ist benutzerspezifisch auf Dateiund Verzeichnisebene abgestuft. Besonders wichtige Funktionen wie beispielsweise die Systemverwaltung oder Systemsteuerung sind (durch zusätzliche Passwörter) geschützt; die Betriebssystemebene ist für normale Anwender gesperrt. Die Administration und Fernwartung erfolgen durch ein externes Unternehmen. Dieses wurde sorgfältig ausgewählt und schriftlich datenschutzkonform auf 11 BDSG ( Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag ) verpflichtet. Sofern eine Fernwartung vorgenommen wird, wird diese protokolliert. Zudem erfolgen Fernwartungen ausschließlich über Computer die über den gleichen Sicherheitsstandard verfügen wie die lokalen betrieblichen Computer. Die Dateibenutzung wird mittels rollierendem Security Log protokolliert so dass bei Bedarf stichprobenartig Auswertungen erfolgen können (Zugriffe auf Dateien und Verzeichnisse, sowohl success wie auch fail). Bei eventuellen Programmentwicklungen oder Programmerweiterungen erfolgt eine strikte Trennung zwischen Test- und Produktionsumgebung. Schutz gegen Malware und Schutz gegen unbefugte Zugriffe von außen werden durch eine Hardwarefirewall sowie durch eine Antivirensoftware welche ihre Virendefinitionen täglich aktualisiert gewährleistet. Der Zugriff auf papierhafte Unterlagen ist durch sicheren Verschluss gewährleistet. 16/19

17 Zu vernichtende Unterlagen und Datenträger werden durch ein zertifiziertes und schriftlich auf 11 BDSG ( Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag ) verpflichtetes Entsorgungsunternehmen datenschutzkonform entsorgt. Weitergabekontrolle (Nr. 4 der Anlage zu 9 BDSG) (es sind Maßnahmen zu treffen die geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist) Grundsätzlich werden bei der Übertragung Primäre Leitung SH DSL, sekundäre Leitung ADSL Verschlüsselungsverfahren nach dem Stand der Technik eingesetzt. WLAN-Zugänge sind nach dem Stand der Technik geschützt (WPA (2), Anmeldung durch RA- DIUS-Server). An elektronischen Übertragungen Beteiligte identifizieren sich durch ihre Benutzerkennung und authentifizieren sich mittels Passwort. Sofern personenbezogene Daten oder Dateien per verschickt werden, werden diese nach dem Stand der Technik verschlüsselt (AES-256). Eine unbefugte Datenmanipulation durch Malware wird durch den Einsatz von Sicherheitssoftware verhindert. Zudem werden keine server genutzt, die unverschlüsselt über das Internet erreichbar sind. Eingesetzte Notebooks sind inklusive des Betriebssystems vollverschlüsselt. Sofern ein Datenträgertransport stattfindet, werden verschließbare Transportbehälter benutzt so dass ein Schutz gegen unbefugten Zugriff und Beschädigung sichergestellt ist. Vor dem Transport werden Sicherheitskopien angelegt um die Daten vor zufälligem Verlust oder zufälliger Zerstörung zu schützen. Weiterhin werden zu transportierende Datenträger nach dem Stand der Technik verschlüsselt (AES-256). Transportunternehmen werden auf Zuverlässigkeit und Sicherheit überprüft. Bei zu vernichtenden Daten(trägern) erfolgt der Transport in verschlossenen Behältern zum Entsorgungsunternehmen. Das Entsorgungsunternehmen wurde sorgfältig ausgewählt und schriftlich auf 11 BDSG ( Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag ) verpflichtet. Sofern Datenträger mehrmals verwendet werden, werden die darauf gespeicherten Daten vor der Weiterverwendung des Mediums durch mehrfaches Überschreiben sicher gelöscht. Ist eine sichere Löschung ausnahmsweise nicht möglich, so werden die Datenträger datenschutzkonform vernichtet. Eingabekontrolle (Nr. 5 der Anlage zu 9 BDSG) (es sind Maßnahmen zu treffen die geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind) Ein Berechtigungskonzept regelt die Eingabe, Veränderung und Löschung von Daten. Sämtliche Aktivitäten auch die von an sich nicht Berechtigten der Eingabe, Veränderung und Löschung personenbezogener Daten werden protokolliert und können im Bedarfsfall ausgewertet werden. Die Auswertung erfolgt nach dem 4-Augen-Prinzip. Die Protokolle werden sicher auf Domain-Controllern aufbewahrt und fristgerecht gelöscht. 17/19

18 Auftragskontrolle (Nr. 6 der Anlage zu 9 BDSG) (es sind Maßnahmen zu treffen die geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können) Auftragnehmer werden unter besonderer Berücksichtigung von 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag und somit der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt. Aufträge werden grundsätzlich schriftlich erteilt. Vor Beginn und sodann regelmäßig finden Überprüfungen des Auftragnehmers statt so dass sichergestellt ist, dass vertragliche Vereinbarungen eingehalten werden. Diese Prüfungen werden vor Ort durchgeführt oder mittels vom Auftragnehmer zur Verfügung gestellter Unterlagen wie Zertifikaten oder Urkunden. Diese Überprüfungen werden schriftlich dokumentiert. Der Datenschutzbeauftragte der Great Place to Work Deutschland ist bei allen Verträgen sowie der Prüfung der ordnungsgemäßen Durchführung der Auftragsdatenverarbeitung einbezogen. Die vom Auftragnehmer zu treffenden technischen und organisatorischen Maßnahmen nach 9 BDSG sind Bestandteil des Vertrags beziehungsweise der Vereinbarung über Datenverarbeitungen im Auftrag. Es ist zudem sichergestellt, dass sich der Auftraggeber, konkret die von ihm benannten Beauftragten, eindeutig beim Auftragnehmer identifizieren und Weisungen die Auftragsdatenverarbeitung betreffend erteilen kann. Weiterhin ist vertraglich fixiert, ob etwaige Subunternehmer eingesetzt werden dürfen und wie der Auftragnehmer mit nicht mehr benötigten Unterlagen zu verfahren hat. Verfügbarkeitskontrolle (Nr. 7 der Anlage zu 9 BDSG) (es sind Maßnahmen zu treffen die geeignet sind, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind) Ein Backup-Konzept in welchem auch die Verantwortlichkeiten für die zentrale Datensicherung geregelt sind stellt sicher, dass automatisiert alle 4 Stunden ein Snapshot, ein tägliches Vollbackup (Daten- und Systemstatus) und ein wöchentliches Vollbackup auf LTO-4-Bändern erfolgen. Die Datensicherung aus den Anwendungen heraus erfolgt serverseitig. Die Lesbarkeit der Sicherungen wird regelmäßig überprüft. Sämtliche Backups werden verschlüsselt und zugriffssicher aufbewahrt. Auch bei einem Ausfall von Backuplesegeräten ist sichergestellt, dass die Daten zeitnah wiederhergestellt werden können. Zusätzlich gibt es ein Katastrophenarchiv für die Auslagerung von Sicherungsdatenträgern. Der Zugriff auf die Sicherungsdatenträger ist schriftlich geregelt. Die von Great Place to Work Deutschland genutzten Server sind vor Wasser, Übertemperatur, Überspannung und Stromausfall gesichert: Computerkomponenten befinden sich nicht direkt unter Wasserleitungen, Computerkomponenten befinden sich nicht unmittelbar auf dem Fußboden sondern in mindestens 20cm Höhe, eine unterbrechungsfreie Stromversorgung (USV) schützt die Computerkomponenten, die Telefonanlage und die zentralen Netzwerkkomponenten gegen Überspannung und Stromausfall. Die USV wird regelmäßig gewartet und getestet. Zusätzlich ist der Serverraum mittels Temperatursensoren sowie durch ein Rauchverbot im gesamten Gebäude vor Feuer geschützt. 18/19

19 Sollte es dennoch zu einem Notfall kommen, kann innerhalb eines vertretbaren Zeitraums mit der Aufnahme eines Notbetriebs begonnen werden. Sofern ein Transport personenbezogener Daten stattfindet, werden verschließbare Transportbehälter benutzt so dass ein Schutz gegen unbefugten Zugriff und Beschädigung sichergestellt ist. Vor dem Transport werden Sicherheitskopien angelegt um die Daten vor zufälligem Verlust oder zufälliger Zerstörung zu schützen. Weiterhin werden zu transportierende Datenträger nach dem Stand der Technik verschlüsselt (AES-256). Trennungsgebot (Nr. 8 der Anlage zu 9 BDSG) (es sind Maßnahmen zu treffen die geeignet sind, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können) Die Ausführungen zu den einzelnen Befragungen Paper Pencil-Befragung, Online-Befragung, Mischform aus beiden vorgenannten stellen das Konzept für die Durchführung von Datenerhebungen und Datenverarbeitungen bei Mitarbeiterbefragungen dar. Diese werden jedem Kunden im Vorfeld ausgehändigt und/oder übersandt. Der Zweck einer jeden Datenerhebung wird dokumentiert beziehungsweise leitet sich aus dem zugrunde liegenden Vertrag ab. Daten verschiedener Kunden werden dabei so gespeichert, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Weiterhin wird das Arbeiten mit Pseudonymen unterstützt. Die Entwicklungsumgebung ist strikt von der Produktionsumgebung getrennt, Netzwerkabschnitte sind logisch nach Aufgaben getrennt. Zugriffe über Anwendungen werden nur nach Erfordernis eingerichtet. Great Place to Work Deutschland Juli 2015 Datum: Frank Hauser Great Place to Work Deutschland GmbH Geschäftsführer Datum: BFS-Datenschutz GbR, von der Great Place to Work Deutschland GmbH bestellter Datenschutzbeauftragter 19/19

Vertragsanlage zur Auftragsdatenverarbeitung

Vertragsanlage zur Auftragsdatenverarbeitung Vertragsanlage zur Auftragsdatenverarbeitung zwischen der dna Gesellschaft für IT Services, Hamburg - nachstehend Auftraggeber genannt - und dem / der... - nachstehend Auftragnehmer genannt - 1. Gegenstand

Mehr

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart e und organisatorische (TOM) i.s.d. Art. 32 DSGVO Der Firma avanti GreenSoftware GmbH Blumenstr. 19 70182 Stuttgart V 1.1.1 vom 13.06.2018 1 1. Zutrittskontrolle zu den Arbeitsbereichen, die geeignet sind,

Mehr

1.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des SaaS-Rahmenvertrag.

1.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des SaaS-Rahmenvertrag. Auftrag zur Datenverarbeitung gemäß $11 BDSG / Art. 17 EG-Datenschutzrichtlinie für Kunden der EU Stand 1.Quartal 2016 Zwischen [..] - Auftraggeber - und crowdhouse GmbH -Auftragnehmer- Dieses Dokument

Mehr

Great Place to Work Mitarbeiterbefragung und Beste Arbeitgeber Wettbewerbe ANLAGE

Great Place to Work Mitarbeiterbefragung und Beste Arbeitgeber Wettbewerbe ANLAGE 1. Befragungsdurchführung 1 1.1 Paper Pencil-Befragung 1 1.1.1 Einladung der Teilnehmer 1 1.1.2 Bearbeitung des Fragebogens 1 1.1.3 Rücksendung der Fragebögen 1 1.2 Online-Befragung 2 1.2.1 Einladung der

Mehr

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung Auftragsdatenverarbeitung Inhaltsverzeichnis Präambel 1 1 Definitionen 1 2 Anwendungsbereich und Verantwortlichkeit 1 3 Pflichten des Auftragnehmers 2 4 Pflichten des Auftraggebers 3 5 Anfragen Betroffener

Mehr

Anlage 1 Netxp:Verein Mit der Online-Vereinsverwaltung arbeitet der Auftraggeber in seinem Verein mit beliebig vielen Benutzern und nur EINEM Datenbestand. Diese Daten werden zentral auf gesicherten Servern

Mehr

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden getroffen: A. Zutrittskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen

Mehr

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage Für Auftragsnehmer Seitens des Auftragnehmers wurden nachfolgend aufgeführte Maßnahmen zum

Mehr

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO Stand 01.05.2018 Seite 1 von 5 Der Auftragnehmer gewährleistet im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen

Mehr

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Datensicherheitskonzept Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage 1 Datenschutzmaßnahmen Präambel Die im Folgenden beschriebenen technischen und

Mehr

Auftragsdatenverarbeitung. vom

Auftragsdatenverarbeitung. vom Anhang zur Anlage Auftragsdatenverarbeitung vom 15.06.2011 zwischen Internet Services GmbH Max-von-Laue-Str. 2b 76829 Landau - nachfolgend Auftragnehmer genannt - und rapidmail GmbH Zollstraße 11b 21465

Mehr

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand Technische und organisatorische zur Datensicherheit gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand 06.10.2015 1 Bei Fragen zur rapidmail Informationssicherheit wenden Sie sich bitte

Mehr

Datenschutzerklärung Autoren-Campus der Schule des Schreibens in der Hamburger Akademie für Fernstudien

Datenschutzerklärung Autoren-Campus der Schule des Schreibens in der Hamburger Akademie für Fernstudien Datenschutzerklärung Autoren-Campus der Schule des Schreibens in der Hamburger Akademie für Fernstudien Der Schutz der personenbezogenen Daten aller Nutzer des Autorencampus ist unser zentrales Anliegen.

Mehr

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO Der Auftragnehmer gewährleistet im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die nach 64 BDSG-neu

Mehr

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN Technische und organisatorische Maßnahmen gemäß Artikel 32 der Verordnung (EU) 2016/679 - "DSGVO" Zutrittskontrolle und Zugangskontrolle Dieses Kapitel behandelt

Mehr

Technische und organisatorische Maÿnahmen

Technische und organisatorische Maÿnahmen Technische und organisatorische Maÿnahmen Umsetzung von Ÿ9 BDSG bzw. Artikel 32 EUDSGVO Inhaltsverzeichnis 1 Ÿ9 BDSG und Anlage 1 2 Maÿnahmen 3 3 Verhältnismäÿigkeit 5 1 Ÿ9 BDSG und Anlage Ziel der technischen

Mehr

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde Vereinbarung zur Auftragsdatenverarbeitung mit Kunde - Auftraggeber - und snapaddy GmbH Juliuspromenade 3 DE 97070 Würzburg - Auftragnehmer - schließen nachfolgende Vereinbarung über die Verarbeitung von

Mehr

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN bg-edv.systeme GmbH & Co KG Obermaierstraße 16 90408 Nürnberg INHALTSVERZEICHNIS Inhalt Allgemeine Maßnahmen 1 Technische und organisatorische

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

Leitlinie zur Informationssicherheit

Leitlinie zur Informationssicherheit Ley Brandursachenanalyse GmbH Gewerbestraße 9 56477 Rennerod Leitlinie zur Informationssicherheit Seitens der Geschäftsführung wird in Anbetracht des täglichen Arbeitsbedarfs in Bezug auf die Informationsbearbeitung

Mehr

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG Anlage 2 zum ADV Technische und organisatorische Maßnahmen der lblu AG 1. Pseudonymisierunq, Datenminimierunq (Art. 32 Abs. 1 lit. a DSGVO, Art. 2S Abs. 1 DSGVO) Maßnahmen zur Verarbeitung personen bezogener

Mehr

ADV AUFTRAGSDATENVEREINBARUNG. Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG. zwischen dem / der ... ...

ADV AUFTRAGSDATENVEREINBARUNG. Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG. zwischen dem / der ... ... ADV AUFTRAGSDATENVEREINBARUNG Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG zwischen dem / der + 1...... - nachstehend Auftraggeber genannt - und der Troi GmbH, Rosa-Bavarese-Straße 5, 80639

Mehr

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis: Ausfüllhilfe Technische und organisatorische Maßnahmen Hinweis: Die nachfolgende Ausfüllhilfe soll als Hilfsmittel zur Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1,

Mehr

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg Technische und organisatorische der Personalkanzlei Hindenburg gem. Art. 32 Abs. 1 DSGVO für Verantwortliche (Art. 30 Abs. 1 lit. g) und Auftragsverarbeiter (Art.30 Abs. 2 lit. d) Inhaltsverzeichnis des

Mehr

Great Place to Work Benchmarkstudie 2017 Leitfaden für Unternehmen mit bis zu 50 Mitarbeitern

Great Place to Work Benchmarkstudie 2017 Leitfaden für Unternehmen mit bis zu 50 Mitarbeitern Great Place to Work Benchmarkstudie 2017 Leitfaden für Unternehmen mit bis zu 50 Mitarbeitern Der sichere Weg durch die Benchmarkstudie Inhaltsverzeichnis I Durchführung Mitarbeiterbefragung... 4 1 Vorbereitung

Mehr

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO Anlage 1 Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO Die Datenverarbeitung erfolgt ausschließlich auf den Servern in den Rechenzentren an den verschiedenen Standorten. Die Maßnahmen

Mehr

Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage)

Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage) Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage) mailingwork fühlt sich dem Schutz personenbezogener Daten verpflichtet Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag

Mehr

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu) Bundesdatenschutzgesetz (BDSG-alt) 9 Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen,

Mehr

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ Die nachfolgende Checkliste dient als erste Überprüfung für die die Datenschutzkonformität Ihrer Arztpraxis/Zahnarztpraxis/MVZ. Gerne stehen

Mehr

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Technische und organisatorische Maßnahmen nach Art. 32 Nr. 1 DSGVO Firma: Die o.g. Firma trifft technische und organisatorische Maßnahmen, um ein angemessenes Verhältnis zum angestrebten Schutzzweck zu

Mehr

Nutzung von IT-Systemen der SellerLogic GmbH durch ihre Kunden Datenschutzvereinbarung nach 11 BDSG

Nutzung von IT-Systemen der SellerLogic GmbH durch ihre Kunden Datenschutzvereinbarung nach 11 BDSG Datenschutzvereinbarung 1 Nutzung von IT-Systemen der durch ihre Kunden Datenschutzvereinbarung nach 11 BDSG zwischen, SellerLogic und Firmenname und Anschrift Kunde Präambel Der Kunde nutzt den von SellerLogic

Mehr

Datenschutz. Verantwortliche im Sinne des BDSG bzw. der DS-GVO ist die

Datenschutz. Verantwortliche im Sinne des BDSG bzw. der DS-GVO ist die Datenschutz Wir wissen Ihr Vertrauen zu schätzen und wenden äußerste Sorgfalt und höchste Sicherheitsstandards an, um Ihre persönlichen Daten vor unbefugten Zugriffen zu schützen. Die Verarbeitung personenbezogener

Mehr

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs) Checkliste Technische und organisatorische Maßnahmen der Datensicherheit (TOMs) Art. 32 DSGVO verpflichtet jeden Betrieb zu Maßnahmen, die die Integrität und Vertraulichkeit der Datenverarbeitung gewährleisten.

Mehr

Vereinbarung über die Auftragsdatenverarbeitung

Vereinbarung über die Auftragsdatenverarbeitung Vereinbarung über die Auftragsdatenverarbeitung zwischen [zu ergänzen] - Auftraggeber - und Bentjen Software GmbH Hebelweg 9a 76275 Ettlingen - Auftragnehmer - (zusammen die Vertragspartner ) 1 Grundlage

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG Anlage 1 Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG Firmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten

Mehr

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage Folgende technische und organisatorische Maßnahmen sind in unserem Hause umgesetzt: 1. Gewährleistung der Vertraulichkeit 1.1 Zutrittskontrolle

Mehr

Datenschutzvereinbarung Wartung und Pflege von IT-Systemen

Datenschutzvereinbarung Wartung und Pflege von IT-Systemen Datenschutzvereinbarung Wartung und Pflege von IT-Systemen zwischen Provence.de UG Geschäftsbereich Pluspol- Technologiezentrum Universitätsstraße 3 56070 Koblenz - Auftragnehmer - und Präambel - Auftraggeber

Mehr

Serverinformationen VeSA Webanwendung

Serverinformationen VeSA Webanwendung TS Serverinformationen VeSA Webanwendung Serververgleich sowie Datenschutzkriterien von Servern für die VeSA Webanwendung Version: 1.3 Stand: 01. August 2011 style XP communications Gössitzer Weg 11 07381

Mehr

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen. CHECKLISTE DATENSCHUTZ-AUDIT Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen. 1. Organisatorische Maßnahmen Nein Organisatorische

Mehr

MUSTER 4 Technische und organisatorische Maßnahmen

MUSTER 4 Technische und organisatorische Maßnahmen MUSTER 4 Technische und organisatorische Maßnahmen WICHTIGE INFORMATIONEN ZUR NUTZUNG VORAB 1. Dieses MUSTER 4 ist eine Orientierungshilfe. Es stellt ein unverbindliches Beispiel dar und erhebt keinen

Mehr

Technisch-organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen Technisch-organisatorische Maßnahmen 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.b.: Magnet- oder Chipkarten, Schlüssel,

Mehr

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen Technisch-organisatorische Maßnahmen, Stand 24.05.2018 Seite 1 von 5 Technisch-organisatorische Maßnahmen (Anlage 1) ferret go GmbH, Stand: 24.05.2018 Technisch-organisatorische Maßnahmen, Stand 24.05.2018

Mehr

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen Technische und organisatorische Maßnahmen Grundeigentümer-Verband Glockengießerwall 19 20095 Hamburg Die personenbezogenen Daten der Online-Formulare werden in einem Rechenzentrum in Köln verarbeitet.

Mehr

Auftragsdatenverarbeitungsvertrag Wartung und Pflege von IT-Systemen

Auftragsdatenverarbeitungsvertrag Wartung und Pflege von IT-Systemen Auftragsdatenverarbeitungsvertrag Wartung und Pflege von IT-Systemen zwischen Zahnarztpraxis und - Auftraggeber - Präambel - Auftragnehmer - Zwischen den Parteien besteht ein Vertragsverhältnis über die

Mehr

www.nachlasspfleger-portal.de Auftrag gemäß 11 BDSG Vereinbarung zwischen (nachstehend Auftraggeber genannt) und C. & E. Becker EDV-Dienstleistungen Carl Becker Aschenbrödelweg 5 65199 Wiesbaden (nachstehend

Mehr

Datenschutzerklärung

Datenschutzerklärung Datenschutzerklärung Datenschutzerklärung Einleitung www.maxit4u.de ist ein Angebot der MaxIT4u GmbH & Co.KG.. Nähere Angaben zu unserem Unternehmen können Sie dem Impressum entnehmen. Die Erhebung Ihrer

Mehr

Vertrag über Auftragsdatenverarbeitung

Vertrag über Auftragsdatenverarbeitung Vertrag über Auftragsdatenverarbeitung Kunde Ansprechpartner Straße: PLZ/Ort: - Auftraggeber - und Evint GmbH Agnes-Huenninger-Str. 2-4 36041 Fulda - Auftragnehmer - schließen zur Kundennummer: Vertragsnummer:

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Version 2.0 Stand 9.5.2018 Verteiler: Alle Mitarbeiter sowie interessierte Kunden

Mehr

Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen

Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen zwischen und dem Kunden - Auftraggeber - Präambel Boppel MedicalEngineering Stuttgarter Str. 4 71263 Weil der Stadt - Auftragnehmer

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken Auftragsdatenverarbeitung nach 11 BDSG - Gesetzestext mit Erläuterungen - Stand: Dezember 2009 Impressum: Bayerisches Landesamt

Mehr

Vereinbarung. (im folgenden Auftraggeber) HALE electronic GmbH Eugen-Müller.-Str Salzburg. (im folgenden Auftragnehmer)

Vereinbarung. (im folgenden Auftraggeber) HALE electronic GmbH Eugen-Müller.-Str Salzburg. (im folgenden Auftragnehmer) Vereinbarung betreffend der Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung gemäß 11 des BDSG (Bundesdatenschutzgesetzes, in der Fassung vom 14.8.2009) zwischen: Firma: Anschrift: Tel.-Nr.:

Mehr

Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG nebst Anlage zu 9 BDSG

Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG nebst Anlage zu 9 BDSG Audit-Checkliste: Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG nebst Anlage zu 9 BDSG zwecks Überprüfung Auftragsdatenverarbeiter: Durch:,..201 Folgende technische und organisatorische

Mehr

Kassenzahnärztliche Vereinigung Bayerns

Kassenzahnärztliche Vereinigung Bayerns Kassenzahnärztliche Vereinigung Bayerns Ziele des Datenschutzes Zielsetzung des BDSG Zweck ergibt sich aus 1 Abs. 1 BDSG Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den

Mehr

Vertrag zur Verarbeitung von Daten im Auftrag

Vertrag zur Verarbeitung von Daten im Auftrag Vertrag zur Verarbeitung von Daten im Auftrag zwischen XXX XXX 0815 XXXX im Folgenden: Auftraggeber und Global Access Internet Services GmbH Potsdamer Straße 3 80802 München im Folgenden: Auftragnehmer

Mehr

Der Diözesandatenschutzbeauftragte

Der Diözesandatenschutzbeauftragte Der Diözesandatenschutzbeauftragte der Erzbistümer Berlin und Hamburg, der Bistümer Hildesheim, Magdeburg, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.o. Mustervertrag zur Auftragsdatenverarbeitung

Mehr

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis )

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis ) DeltaMed Süd Muster Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis ) Dieses Muster soll als Orientierungshilfe dienen. Es ist je nach den Umständen des konkreten Einzelfalls

Mehr

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Stabsstelle Datenschutz Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Anlage zu 5 Abs. 5 der Vereinbarung Technische und organisatorische ( 9 /

Mehr

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG)

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG) Felix-Dahn-Str. 43 70597 Stuttgart Telefon: 07 11 / 97 63 90 Telefax: 07 11 / 97 63 98 info@rationelle-arztpraxis.de www.rationelle-arztpraxis.de Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG) Stand: 10.02.2014

Mehr

Mustervertrag zur Auftragsdatenverarbeitung

Mustervertrag zur Auftragsdatenverarbeitung Mustervertrag zur Auftragsdatenverarbeitung Dies ist ausschließlich eine Informationsvorlage eines Auftragsdatenverarbeitungsvertrages gemäß nach 11 Bundesdatenschutzgesetz (BDSG). Vertrag zur Auftragsdatenverarbeitung

Mehr

Vertrag zur Auftragsverarbeitung

Vertrag zur Auftragsverarbeitung Präambel Dieser Vertrag regelt die datenschutzrechtlichen Pflichten des Auftragnehmers Step Ahead AG, Burgweg 6, 82110 Germering, gegenüber dem jeweiligen Auftraggeber. 1. Gegenstand, Dauer des Auftrags,

Mehr

Aufstellung der techn. und organ. Maßnahmen

Aufstellung der techn. und organ. Maßnahmen Aufstellung der techn. und organ. Maßnahmen (Anlage 9 BSDG) AFI - P.M. Belz Agentur für Informatik GmbH Stuttgart Stand: 30.11.2015 1 Grundsätzliches Das Bundesdatenschutzgesetz (BDSG) schreibt mit 9

Mehr

am Mittwoch, dem 30 Januar 2013 in den Räumen von mailingwork/w3work in Oederran Herr Arnold (Geschäftsführer mailingwork GmbH / w3work GbR) teilweise

am Mittwoch, dem 30 Januar 2013 in den Räumen von mailingwork/w3work in Oederran Herr Arnold (Geschäftsführer mailingwork GmbH / w3work GbR) teilweise Datenschutzbegutachtung nach 11 Abs. 2 Satz 4 Bundesdatenschutzgesetz (BDSG) zur Überzeugung über die Einhaltung der getroffen technischen und organisatorischen Maßnahmen nach 9 BDSG der Firma mailingwork/w3work,

Mehr

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN Annika Selzer Vortrag an der Fachhochschule Frankfurt am 10. Oktober 2013 AGENDA Begriffsbestimmungen Definition Datenschutz Definition

Mehr

Anhang zu den AGB Saas Auftragsdatenverarbeitung

Anhang zu den AGB Saas Auftragsdatenverarbeitung Anhang zu den AGB Saas Auftragsdatenverarbeitung Gemäß 11 Bundesdatenschutzgesetz www.matrix42.com 1. Präambel Die Matrix42 AG mit Sitz in der Elbinger Straße 7 in 60487 Frankfurt am Main ( Auftragnehmer

Mehr

Anhang zu den AGB Saas Auftragsdatenverarbeitung

Anhang zu den AGB Saas Auftragsdatenverarbeitung Anhang zu den AGB Saas Auftragsdatenverarbeitung Gemäß 11 Bundesdatenschutzgesetz www.matrix42.com 1. Präambel Die Matrix42 AG mit Sitz in der Elbinger Straße 7 in 60487 Frankfurt am Main ( Auftragnehmer

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Vertrag Auftragsdatenverarbeitung Diese Vereinbarung wird getroffen zwischen - nachfolgend Auftraggeber (Leistungsträger)- und Romantischer Rhein Tourismus Gmbh für die Stadt Lahnstein - nachfolgend Auftragnehmer

Mehr

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO für Auftragsverarbeiter (Art. 30 Abs. 2 lit. d DS-GVO) (Stand: April 2018) I. Vertraulichkeit (Art. 32

Mehr

Remote Support Datenschutz-

Remote Support Datenschutz- Lenze Service & Support Remote Support Datenschutz- erklärung (DSE) 22.08.2016 Seite 1/5 Inhalt 1 Einleitung... 3 2 Nutzung von TeamViewer und Registrierung... 3 3 Erbringung der Remote-Leistungen... 4

Mehr

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, Vertrag zur Auftragsverarbeitung gemäß Art. 28 EU-DS-GVO Anlage 2 Technische und organisatorische Maßnahmen Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche

Mehr

Datenschutz Freiermuth Wolfgang 1

Datenschutz Freiermuth Wolfgang 1 Datenschutz Freiermuth Wolfgang 1 IT- Sicherheit und Datenschutz IT Sicherheit Datenschutz die DATEN müssen sicher sein die PERSONEN müssen sicher sein Datenschutz Freiermuth Wolfgang 2 IT Sicherheit:

Mehr

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage Die folgenden technisch und organisatorischen Maßnahmen werden von der INTERNET AG Global Network standardmäßig umgesetzt und sind als

Mehr

Datenschutzerklärung Geltungsbereich

Datenschutzerklärung Geltungsbereich erklärung Geltungsbereich Verantwortliche Stelle im Sinne der gesetze und Websitebetreiber von www.eifelhaus24.de ist: Wieczorek GbR - Claudia Wieczorek als beauftragte Am Strauch 88 40723 Hilden Telefon:

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Bestimmungen zur Datenverarbeitung im Auftrag

Bestimmungen zur Datenverarbeitung im Auftrag Bestimmungen zur Datenverarbeitung im Auftrag der/des - nachstehend Auftraggeber genannt - gegenüber der Buhl Data Service GmbH, Am Siebertsweiher 3/5, 57290 Neunkirchen, vertreten durch den Geschäftsführer

Mehr

Auftragsverarbeitung personenbezogener Daten gemäß 11 BDSG (Stand )

Auftragsverarbeitung personenbezogener Daten gemäß 11 BDSG (Stand ) Print & Display Deutschland GmbH Im Erdbeerfeld 20b 52078 Aachen Telefon: +49 (0)241 / 55923-0 Telefax: +49 (0)241 / 55923-29 info@printunddisplay.de www.printunddisplay.de Auftragsverarbeitung personenbezogener

Mehr

Erfassen von personenbezogenen Daten

Erfassen von personenbezogenen Daten Sie sind hier: Herten Datenschutz Datenschutz Der Schutz Ihrer Daten ist für die Stadt Herten sehr wichtig. Wir haben daher technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass

Mehr

Anlage 3 zur Dienstanweisung über den Datenschutz und die Datensicherheit bei der Kreisverwaltung Recklinghausen

Anlage 3 zur Dienstanweisung über den Datenschutz und die Datensicherheit bei der Kreisverwaltung Recklinghausen Anlage 3 zur Dienstanweisung über den Datenschutz und die Datensicherheit bei der Kreisverwaltung Recklinghausen Musterrahmenvertrag zur Auftragsdatenverarbeitung a) Vereinbarung über die Datenverarbeitung

Mehr

Verfahrensverzeichnis Europäische Meldeauskunft RISER (RISER-Dienst)

Verfahrensverzeichnis Europäische Meldeauskunft RISER (RISER-Dienst) Verfahrensverzeichnis Europäische Meldeauskunft RISER Verfahren (Bezeichnung): Europäische Meldeauskunft RISER (RISER-Dienst) 1. Name und Anschrift der Daten verarbeitenden Stelle 1.1 Name und Anschrift

Mehr

Great Place to Work. Great Place to Work Deutschland Hardefuststr. 7 D Köln T

Great Place to Work. Great Place to Work Deutschland Hardefuststr. 7 D Köln T 1. Befragungsdurchführung 3 1.1 Paper Pencil-Befragung 3 1.1.1 Einladung der Teilnehmer 3 1.1.2 Bearbeitung des Fragebogens 3 1.1.3 Rücksendung der Fragebögen 3 1.2 Online-Befragung 4 1.2.1 Einladung der

Mehr

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung Auftragsdatenverarbeitung 27 Auftragsdatenverarbeitung Bei einer Auftragsdatenverarbeitung erhält ein Dritter den Auftrag, personenbezogene Daten nach genauen Weisungen zu erheben, zu verarbeiten oder

Mehr

AMTLICHE BEKANNTMACHUNG

AMTLICHE BEKANNTMACHUNG AMTLICHE BEKANNTMACHUNG NUMMER 2015/146 SEITEN 1-7 DATUM 01.10.2015 REDAKTION Sylvia Glaser Ordnung zum Schutz personenbezogener Daten bei multimedialer Nutzung von E-Learning-Verfahren an der Rheinisch-Westfälischen

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Auf schriftliche Anfrage werden wir Sie gern über die zu Ihrer Person gespeicherten Daten informieren.

Auf schriftliche Anfrage werden wir Sie gern über die zu Ihrer Person gespeicherten Daten informieren. Datenschutzerklärung Wir freuen uns über Ihr Interesse an unserer Homepage und unserem Unternehmen. Für externe Links zu fremden Inhalten können wir dabei trotz sorgfältiger inhaltlicher Kontrolle keine

Mehr

Datenschutzerklärung

Datenschutzerklärung Datenschutzerklärung 1. Zielsetzung und verantwortliche Stelle 1.1. Diese Datenschutzerklärung klärt über die Art, den Umfang und Zweck der Erhebung und Verwendung von Daten innerhalb des Onlineangebotes

Mehr

Vereinbarung zur Auftragsdatenverarbeitung. Inhalt

Vereinbarung zur Auftragsdatenverarbeitung. Inhalt Vereinbarung zwischen der Vereinbarung zur Auftragsdatenverarbeitung [KUNDE] - nachfolgend Auftraggeber und INtex Publishing GmbH & Co. KG Jakobstr. 9 53783 Eitorf - nachfolgend Auftragnehmer - - beide

Mehr

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG Das Unternehmen Hartl-EDV GmbH & Co. KG in Hofkirchen ist seit dem Jahr 2009 nach der ISO IEC 27001 zertifiziert. Dabei handelt es sich um eine international

Mehr

TENA Check. Vertrag über die Datenverarbeitung im Auftrag. zwischen. (Auftraggeber) und. SCA Hygiene Products Vertriebs GmbH

TENA Check. Vertrag über die Datenverarbeitung im Auftrag. zwischen. (Auftraggeber) und. SCA Hygiene Products Vertriebs GmbH TENA Check Vertrag über die Datenverarbeitung im Auftrag zwischen (Auftraggeber) und SCA Hygiene Products Vertriebs GmbH Sandhofer Straße 176, 68305 Mannheim (Auftragnehmer) 1. PRÄAMBEL/ANWENDUNGSBEREICH

Mehr

Vereinbarung über eine Auftragsverarbeitung gemäß Art. 28 DSGVO

Vereinbarung über eine Auftragsverarbeitung gemäß Art. 28 DSGVO Vereinbarung über eine Auftragsverarbeitung gemäß Art. 28 DSGVO Der Verantwortliche/Firma/Stampiglie: Der Auftragsverarbeiter: Dataflow Consulting GmbH Hahngasse 16/3 1090 Wien Österreich (im Folgenden

Mehr

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG Anlage zur Auftragsdatenverarbeitung nach 11 BDSG zwischen KUNDE im Folgenden Auftraggeber oder KUNDE genannt Präambel und der Infopark AG, Kitzingstraße 15, 12277 Berlin im Folgenden Auftragnehmer oder

Mehr

Datenschutzrichtlinie

Datenschutzrichtlinie Datenschutzrichtlinie M1nd-set SA verpflichtet sich zum Schutz und zur Achtung Ihrer Privatsphäre. Eine Verknüpfung der Umfrageantworten mit Ihren Personendaten findet nicht statt. Diese Richtlinie legt

Mehr

Erklärung zur Datensicherheit

Erklärung zur Datensicherheit Erklärung zur Datensicherheit für Kunden der OpenIT GmbH Dateiname und Ablageort:.odt Wiki Dokumententyp: KO = Konzepte Vertraulichkeitsstufe: Für Kunden der OpenIT GmbH Status: Freigegeben Verteiler:

Mehr

QM-System. Bericht des Datenschutzbeauftragten der Arztsysteme Rheinland GmbH (ASR)

QM-System. Bericht des Datenschutzbeauftragten der Arztsysteme Rheinland GmbH (ASR) Bericht des Datenschutzbeauftragten der Arztsysteme Rheinland GmbH (ASR) Maßnahmen zum Datenschutz gemäß 32 DSGGVO ( Sicherheit der Verarbeitung ) Zur Einhaltung des Datenschutzes gemäß DSGVO und BDSGneu

Mehr

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Stabsstelle Datenschutz Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Vereinbarung über die Datenverarbeitung im Auftrag (personenbezogene Daten) Zwischen.., vertreten

Mehr

1.80.00 Nr. 2 1. Verfassungs-, Verwaltungs- und Verfahrensrecht 80.00 Datenschutzrecht Datenschutz im öffentlichen Bereich

1.80.00 Nr. 2 1. Verfassungs-, Verwaltungs- und Verfahrensrecht 80.00 Datenschutzrecht Datenschutz im öffentlichen Bereich Justus-Liebig-Universität Gießen Der Präsident Mitteilungen HMdIuS 2002 Nr. 1 01.06.2002 1.80.00 Nr. 2 1. Verfassungs-, Verwaltungs- und Verfahrensrecht 80.00 Datenschutzrecht Hess. Ministerium des Inneren

Mehr

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage I. Vertraulichkeit Zutrittskontrolle Datacenterparks in Bad Wildbad, Frankfurt, Nürnberg

Mehr

DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN

DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN KOMAX AG Gültig ab 1. November 2015 GESCHÄFTS- BEDINGUNGEN INHALTSVERZEICHNIS 1 Geltungsbereich und Zweck 3 2 Datenerhebung 3 3 Zweck der Datenerhebung und 3 Verwendung

Mehr