ANLAGE II Regelungen zum Datenschutz bei der Nutzung von geva-verfahren im Rahmen von Pilotprojekten mit anonymen Teilnehmern

Transkript

1 geva Gesellschaft für Verhaltensanalyse und Evaluation mbh ANLAGE II Regelungen zum Datenschutz bei der Nutzung von geva-verfahren im Rahmen von Pilotprojekten mit anonymen Teilnehmern Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der in der Nutzungsvereinbarung in ihren Einzelheiten beschriebenen Abwicklung der Beauftragung des geva-instituts ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit der Nutzungsvereinbarung in Zusammenhang stehen und bei denen Mitarbeiter des geva-instituts oder durch das geva-institut beauftragte Dritte mit personenbezogenen Daten der Mitarbeiter des Auftraggebers in Berührung kommen können. 1. Allgemeines 1.1 Das Bundesdatenschutzgesetz (BDSG) als rechtlicher Rahmen Für die Nutzung der geva-verfahren gilt das Bundesdatenschutzgesetz (BDSG) in seiner jeweils gültigen Fassung. Sofern der Auftraggeber dem Anwendungsbereich eines Datenschutzgesetzes (DSG) eines Bundeslandes unterliegt, verpflichtet sich das geva-institut, zum Schutz personenbezogener Daten die Bestimmungen dieses DSG zu befolgen. 1.2 Umfang, Art und Zweck der Datenverarbeitung Das Verfahrensverzeichnis gemäß 4g BDSG ist als Anhang 1 der ANLAGE II beigefügt. 1.3 Örtlicher Bereich Die Erhebung, Verarbeitung und/oder Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der 4b, 4c BDSG erfüllt sind. Elisabethstraße München Tel Fax info@geva-institut.de Geschäftsführung: Gerhard Bruns Britta Grebe-Bruns Michael Kratzmair Handelsregister München HRB USt-IdNr. DE Stadtsparkasse München IBAN DE BIC SSKMDEMM BLZ Kto Deutsche Bank München IBAN DE BIC DEUTDEDBMUC BLZ Kto Rechte und Pflichten des geva-instituts und des Auftraggebers beim Datenschutz 2.1 Der Auftraggeber sowie das geva-institut werden bei der Durchführung der geva-verfahren die Bestimmungen des Bundesdatenschutzgesetzes sowie der sonstigen datenschutzrechtlichen Bestimmungen beachten. Das geva-institut ist beim Bayerischen Landesamt für Datenschutzaufsicht für den nicht-öffentlichen Bereich (früher zuständig: Regierung von Mittelfranken) unter der Registriernummer DSA entsprechend 4d BDSG gemeldet. Das geva-institut hat einen Datenschutzbeauftragten gemäß 4f BDSG bestellt. 2.2 In begründeten Fällen darf das geva-institut bezüglich aller für die Durchführung dieses Vertrages erforderlichen datenschutzrelevanten Sachverhalte vom Auftraggeber Auskunft verlangen. 2.3 Bei der Durchführung der geva-verfahren sind vom Auftraggeber oder aufgrund gesonderter Vereinbarung vom geva-institut gemäß Weisung des Auftraggebers gegenüber dem Teilnehmer Hinweise zum Ablauf der geva-verfahren und zum Umgang mit seinen Daten zu geben. Der Teilnehmer ist dabei insbesondere über die Empfänger der Auswertung und den Verarbeitungszweck zu informieren. 2.4 Zusätzlichen Personen dürfen Auswertungen der geva-verfahren nur mit dem ausdrücklichen schriftlichen Einverständnis der Teilnehmer zur Kenntnis gelangen geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V Seite 1

2 Will der Auftraggeber die Ergebnisse der geva-verfahren anderen Personen zur Kenntnis geben, so hat er diesbezüglich den Teilnehmer vor der Durchführung der geva-verfahren darauf hinzuweisen und dessen Einwilligung einzuholen; dies kann durch eine schriftliche Einverständnis- und Datenschutzerklärung für die Inempfangnahme und Nutzung des Ergebnisses geschehen. 2.5 Der Auftraggeber verpflichtet sich, sofern und soweit erforderlich, die von ihm für den Datenschutz aufgestellten Regelungen und verwendeten Unterlagen nach entsprechender Aufforderung durch das geva-institut den datenschutzrechtlichen Anforderungen zur Durchführung der geva-verfahren unentgeltlich anzupassen. 2.6 Allgemeine Regelungen Hinweispflichten der Vertragsparteien Das geva-institut weist den Auftraggeber unverzüglich darauf hin, wenn eine Weisung nach seiner Ansicht gegen das BDSG oder eine andere Datenschutzvorschrift verstößt. Der Auftraggeber seinerseits hat bei der Feststellung von Fehlern oder Unregelmäßigkeiten, die er insbesondere bei der Prüfung von Ergebnissen feststellt, unverzüglich das gevainstitut zu informieren Verantwortung für die rechtliche Zulässigkeit der Datenverarbeitung Der Auftraggeber ist alleine verantwortlich für die Beurteilung der datenschutzrechtlichen Zulässigkeit der durchgeführten Datenverarbeitung durch das geva-institut. Dies umfasst insbesondere die Berichtigung, Löschung und Sperrung von Daten Wahrung der Betroffenenrechte Der Auftraggeber ist alleine verantwortlich für die Wahrung der Rechte der Betroffenen Verpflichtungserklärungen Das geva-institut ist verpflichtet, das Datengeheimnis zu wahren, 5 BDSG. Die Mitarbeiter des geva-instituts sind auf das Datengeheimnis verpflichtet Technische und organisatorische Maßnahmen entsprechend 9 BDSG Das geva-institut sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten allgemeinen, technischen und organisatorischen Maßnahmen entsprechend 9 BDSG sowie gemäß Anlage zu 9 BDSG zu. Die Maßnahmen sind im Anhang 2 zu dieser ANLAGE II dargestellt. Der Nachweis zur Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen wird durch eine dieser ANLAGE II beigefügten Fotokopie einer aktuellen Bestätigung des Betrieblichen Datenschutzbeauftragten des geva-instituts erbracht. Insbesondere wird das geva-institut seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Es wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes entsprechen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem geva-institut gestattet, alternative adäquate Maßnahmen umzusetzen geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V Seite 2

3 Anhang 1 zur ANLAGE II Verfahrensverzeichnis gemäß 4g BDSG (Verfahrensverzeichnis für jedermann) Durchführung von geva-verfahren, insbesondere geva-testverfahren Das Verfahren ist nicht Teil eines gemeinsamen oder verbundenen Verfahrens nach 10 BDSG: 1. Verantwortliche Stelle Name / Bezeichnung der verantwortlichen Stelle geva-institut geva Gesellschaft für Verhaltensanalyse und Evaluation mbh Elisabethstraße 25, München Telefon Telefax kratzmair@geva-institut.de Internet: 2. Vertretung 2.1 Leitung der verantwortlichen Stelle (einschl. Vertreter) Michael Kratzmair, Geschäftsführer Gerhard Bruns, Geschäftsführer Britta Grebe-Bruns, Geschäftsführerin 2.2. Mit der Leitung der Datenverarbeitung beauftragte Person(en) Markus Strauß 3. Angaben zur Person des 3.1 betrieblichen Datenschutzbeauftragten Frank Schabert Elisabethstraße 25, München Telefon Telefax schabert@geva-institut.de Internet: externen Datenschutzbeauftragten Rechtsanwalt Andreas M. Harder Candidplatz 13, München Telefon: Telefax: andreas.harder@advocando.de Internet: geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V Seite 3

4 4. Zweckbestimmung, Verfahrensbezeichnung, Rechtsgrundlage 4.1 Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung Durchführung und Auswertung von Testverfahren im Rahmen der Personalauswahl, der Eignungsdiagnostik, der Potentialanalyse, der Personalentwicklung oder der beruflichen Orientierung 4.2 ggf. Bezeichnung des Verfahrens Online- bzw. Printtestungen mit Teilnahmebedingungen; Erstellung von Auswertungen für den Auftraggeber. 4.3 Rechtsgrundlage (ggf. nach Art der Datenverarbeitung unterschieden) Einwilligung des Teilnehmers bzw. dessen gesetzlichen Vertreters. 5. Betroffene Personengruppen und Daten oder Datenkategorien 5.1 Beschreibung der betroffenen Personengruppen Bewerber und/oder Mitarbeiter des Auftraggebers bzw. in sonstiger Weise mit dem Auftraggeber verbundene Personen. 5.2 Beschreibung der diesbezüglichen Daten oder Datenkategorien Personaldaten; Testungsdaten; Verwaltungsdaten des Auftraggebers (z.b. Ansprechpartner, Adress-, Vertrags-, Zahlungs-, Steuerungsdaten). 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können; bei Datentransfer in Drittstaaten siehe Nr. 8 Auftraggeber. 7. Regelfristen für die Löschung der Daten, Zeitraum Nach Weisung des Auftraggebers, regelmäßig nach Ablauf der vertraglichen Aufbewahrungsfristen. 8. Geplante Übermittlung in Drittstaaten Keine Übermittlung in Drittstaaten geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V Seite 4

5 Anhang 2 zur ANLAGE II Allgemeine technische und organisatorische Maßnahmen des geva-instituts nach 9 BDSG und dessen Anlage (Änderungen/Ergänzungen bleiben vorbehalten) 1. Zutrittskontrolle Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten: Zutrittskontrollsystem durch vorhandenen Empfang Schlüssel/Schlüsselvergabe durch zentrale Schlüsselvergabe Türsicherung (elektrische Türöffner usw.) durch elektrischen Türöffner, Sicherheitsschloss Überwachungseinrichtung durch Alarmanlage 2. Zugangskontrolle Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung: Kennwortverfahren (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts): Das Kennwort enthält Buchstaben, Ziffern und Sonderzeichen und ist zwischen 8 und 16 Zeichen lang. Das Kennwort wird turnusmäßig gewechselt Automatische Sperrung (z. B. Kennwort oder Pausenschaltung): Falscheingabe des Kennwortes führt zur Sperrung des Benutzerzugangs; dieser muss anschließend durch einen Administrator entsperrt werden. Automatische Sperrung eines DV-Arbeitsplatzes erfolgt spätestens nach 5 Minuten; zur Reaktivierung ist Kennworteingabe erforderlich Einrichtung eines Benutzerstammsatzes pro User: Jeder Benutzer hat einen eigenen Benutzerstammsatz Verschlüsselung von Datenträgern: keine 3. Zugriffskontrolle Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung: Die Zugriffskontrolle erfolgt durch zentrale Rechtevergabe. Die Zugriffsrechte orientieren sich an den Anforderungen im Rahmen der ausgeübten Tätigkeit. Neben dem eigentlichen Zugriffsrecht werden auch Bearbeitungsrechte (Lesen, Schreiben, Löschen) vergeben. Die Zugriffe auf DV-Systeme werden nach Benutzer und Zugriffsart protokolliert und ausgewertet. 4. Weitergabekontrolle Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung: Ergebnisdokumente, die ggf. personenbezogene Daten enthalten, werden elektronisch per Download über das Online-Administrationssystem oder per übermittelt. Die Download-Daten werden über eine HTTPS Verbindung übertra geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V Seite 5

6 gen und sind nur von autorisierten und registrierten Mitarbeitern des Auftraggebers nach einem Login erreichbar. Bei Übermittlungen werden diese Daten mit Passwort verschlüsselt. Die Übermittlung können nur entsprechend berechtigte Personen vornehmen. 5. Eingabekontrolle Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind: Zugriffe auf alle relevanten DV-Systeme (Datenbanken, File-System, ) werden nach Benutzer und Zugriffsart protokolliert (siehe auch Punkt 3). Abhängig vom DV-System können die Protokolle im Rahmen ihrer jeweiligen Vorhaltezeit ausgewertet werden. 6. Auftragskontrolle Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer: Siehe ggf. Nutzungsvereinbarung 7. Verfügbarkeitskontrolle Maßnahmen zur Datensicherung (physikalisch / logisch): Backup-Verfahren Redundantes System-Cluster durch mehrere ESX-Server Mehrere virtuelle Server innerhalb eines Clusters Loadbalancer Unterbrechungsfreie Stromversorgung (USV) Getrennte Aufbewahrung Virenschutz / Firewall Notfallplan Personenbezogene Daten werden ausschließlich auf Servern (Datenbank- / File-Server) gespeichert. Alle Server-Festplatten werden im gespiegelten Modus betrieben. Ihr Inhalt wird je nach Server-Typ im Rahmen eines mehrstufigen Backup-Plans gesichert. Die gesicherten Inhalte werden an einem vom jeweiligen Server unabhängigen Ort aufbewahrt. USV vorhanden. Das gesamte Netzwerk des geva-instituts ist durch zwei Firewalls geschützt. Alle DV-Systeme (Server, Clients) im Netzwerk des geva-instituts sind mit einer zentral gesteuerten Virenschutzanwendung ausgestattet. 8. Trennungskontrolle Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken: Interne Mandantenfähigkeit / Zweckbindung Funktionstrennung / Produktion / Test Die mandantenfähige Verarbeitung der personenbezogenen Daten kann zu jeder Zeit auch physisch sichergestellt werden. Die logische Trennung ist gewährleistet geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V Seite 6