Stand 31.03.2024
Anlage 1: Gegenstand der Auftragsverarbeitung
Zwecke der Auftragsverarbeitung
Personenbezogene Daten des Kunden werden auf Grundlage des Auftragsverarbeitungsvertrages zu den folgenden Zwecken verarbeitet:
Bereitstellung und Betrieb einer internetbasierten Bewerbungsplattform. Diese Plattform wird Kunden des Anbieters mit dem Ziel bereitgestellt, dass der Kunde dort Stellangebote schalten kann und Bewerber bzw. Interessenten sich direkt darauf bewerben können.
Support und Anwenderunterstützung der zur Verfügung gestellten Plattform
Benutzerverwaltung der Plattform, sofern erforderlich
Weitere Einzelheiten hierzu sowie zum Umfang, Gegenstand und Art der Datenverarbeitung ergeben sich aus dem Hauptvertrag und der dazugehörigen Leistungsbeschreibung
Arten und Kategorien von Daten
Zu den auf Grundlage des Auftragsverarbeitungsvertrages verarbeiteten Arten und Kategorien von personenbezogenen Daten gehören:
Auswahl | Datenkategorie | Datenbeispiele |
X | Berufliche Kontakt- und (Arbeits-) Organisationsdaten | Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Gesellschaft, Bereich, Abteilung, Kostenstelle, Personalnummern, Zuständigkeiten, Funktionen, etc. |
X | IT-Nutzungsdaten | User-ID, Rollen, Berechtigungen, Login-Zeiten, Rechnername, IP-Adresse, Software, Virenschutz, Softwareaktualisierung, Firewall- und Zugriffsprotokolle etc. |
X | Vertrags- und Bestandsdaten | Beauftragte Leistungen, gekaufte Produkte, Datum Kaufvertrag, Kaufpreis, Garantien, etc. |
X | Kommunikationsdaten und deren Historie | E-Mailverlauf, Anrufhistorie, Kommunikationsverlauf im CRM- und Ticket- System etc. |
Personaldaten | Tarifgruppe, Entgeltabrechnung, Sonderzahlungen, Pfändung, tägliche Anwesenheitszeiten, Abwesenheitsgründe, etc. | |
X | Besonders sensible personenbezogene Daten | Je nach genutztem Portal kann es zu einer Verarbeitung der nachfolgenden Daten kommen: Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. |
Bonitäts- und Bankdaten | Zahlungsverhalten, Bilanzen, Daten von Auskunfteien, Scorewerte, Vermögensverhältnisse, Kontoverbindung, Kreditkartennummer, etc. | |
X | Abrechnungsdaten | Rechnungen, Tätigkeitsnachweise, schriftliche Beauftragungen, Verlaufsdaten in Ticketsystemen |
X | Sonstige Daten | Bewerberdaten die von den Nutzern der Plattform an den Kunden übermittelt werden
Im Zuge der Leitungserbringung kann ein vorübergehender Zugriff auf weitere Datenarten des Kunden und/oder dessen Kunden erfolgen, wenn bspw. eine Wiederherstellung aus der Datensicherung erforderlich ist. |
Kategorien der betroffenen Personen
Zu den durch die Verarbeitung von personenbezogenen Daten auf Grundlage dieses Auftragsverarbeitungsvertrages betroffenen Personengruppen gehören:
Besucher der Webseite
Bewerber
Softwarenutzer (Personalverantwortliche des Kunden)
Quellen der verarbeiteten Daten
Die auf Grundlage des Auftragsverarbeitungsvertrages verarbeiteten Daten werden aus den im Folgenden genannten Quellen, bzw. im Rahmen genannter Verfahren erhoben oder sonst empfangen:
Die Daten werden bei der betroffenen Person direkt durch die Nutzung der Plattform erhoben
Anlage 2: Unterauftragsverarbeiter
Der Anbieter setzt im Rahmen der Auftragsverarbeitung folgende Unterauftragsverarbeiter ein:
Name | Adresse | Verarbeitete Datenkategorien: | Art der Teilleistung: |
Joblocal GmbH | Rosenheimerstraße 64a, 83059 Kolbermoor | Alle | Cloud-Service-Provider zum Betrieb der Plattform, Softwareentwicklung, Wartung und Support der Plattform |
Als Unterauftragsverarbeiter gelten ferner im Einzelvertrag beschriebene Unterauftragsverarbeiter, z.B. Bereitsteller der genutzten Plattform. Diese können sich je nach beauftragter Einzelleistung unterscheiden.
Anlage 3: Technische und organisatorische Maßnahmen (TOMs)
Diese Anlage 3 beschreibt die vom Anbieter oder deren Unterauftragsverarbeitern im Rahmen ihrer Leistungserbringung und der damit vom Anbieter für den Kunden veranlassten Verarbeitung von personenbezogenen Daten des Kunden ergriffenen Maßnahmen zur Datensicherheit im Sinne von Art. 32 DSGVO. Dazu werden insbesondere die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
Organisatorische Maßnahmen
Es sind organisatorische Maßnahmen ergriffen worden, die ein angemessenes Datenschutzniveau und dessen Aufrechterhaltung gewährleisten.
Der Anbieter hat ein angemessenes Datenschutzmanagementsystem, bzw. ein Datenschutzkonzept implementiert und gewährleistet dessen Umsetzung.
Eine geeignete Organisationsstruktur für die Datensicherheit und Datenschutz ist vorhanden und die Informationssicherheit ist in unternehmensweite Prozesse und Verfahren integriert.
Es werden regelmäßig und auch anlasslos System- und Sicherheitstests, wie z. B. Code-Scan, Schwachstellenscans und Penetrationstests, durchgeführt.
Regelmäßige anlasslose Auswertung der Log-Dateien zur Erkennung von ungewöhnlichen Einträgen.
Der Anbieter führt bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durch. Das Verfahren ist entsprechend dem PDCA-Zyklus aufgebaut und besteht aus einer kontinuierlichen Beobachtung der technischen und organisatorischen Maßnahme sowie Festlegung des Istzustandes, als auch des zu erreichenden Soll-Zustandes mit folgender Umsetzungs- und sich daran anschließenden Überprüfungsphase sowie Evaluierung der Umsetzung und Ableitung der gewonnenen Erfahrungen für künftige Optimierungen und Vorgehen im Hinblick auf die Sicherheitsstandards.
Die Entwicklung des Standes der Technik und sowie der Entwicklungen, Bedrohungen und Sicherheitsmaßnahmen werden fortlaufend beobachtet und in geeigneter Art und Weise auf das eigene Sicherheitskonzept abgeleitet.
Es besteht ein Konzept, das die Wahrung der Betroffenenrechte durch den Kunden gewährleistet (insbesondere im Hinblick auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche). Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Kunden, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen.
Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Gefährdungen und Verletzungen des Schutzes personenbezogener Daten gewährleistet. Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Kunden, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen.
Sicherheitsvorkommnisse werden konsequent dokumentiert, auch wenn sie nicht zu einer externen Meldung (z. B. an die Aufsichtsbehörde, betroffene Personen) führen (sogenanntes „Security Reporting“).
Konsultation und Einbindung des Datenschutzbeauftragten bei Sicherheitsfragen und in Sicherheitsverfahren, die den Schutz personenbetroffener Daten betreffen.
Ausreichende fachliche Qualifikation des Datenschutzbeauftragten für sicherheits-relevante Fragestellungen und Möglichkeiten zur Fortbildung in diesem Fachbereich.
Drittunternehmer, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden (Projekt- und Kollaborationsdienste, freie Mitarbeiter, etc.), werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten. Sofern Drittunternehmer im Rahmen ihrer Tätigkeit Zugang zu personenbezogenen Daten des Kunden erhalten oder sonst das Risiko eines Zugriffs auf die personenbezogenen Daten des Kunden besteht, werden sie speziell auf Verschwiegenheit und Vertraulichkeit verpflichtet.
Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt.
Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten und Softwareaktualisierungen werden ohne Verzug innerhalb einer angesichts des Risikogrades und eines eventuellen Prüfnotwendigkeit angemessenen Frist ausgeführt. Es wird keine Software und Hardware eingesetzt, die von den Anbietern im Hinblick auf Belange des Datenschutzes- und Datensicherheit nicht mehr aktualisiert wird (z.B. abgelaufene Betriebssysteme).
Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen.
Es liegt ein den Datenschutzanforderungen der Auftragsverarbeitung und dem Stand der Technik entsprechendes Löschkonzept vor. Bei Der Anbieter werden Daten ausschließlich digital verarbeitet. Mitarbeiter wurden über Löschfristen und soweit zuständig, über Vorgaben für die Datenlöschung oder Gerätevernichtung durch Dienstleister unterrichtet.
Die Verarbeitung der Daten des Kunden, die nicht entsprechend den Vereinbarungen der AV gelöscht wurden (z.B. in Folge der gesetzlichen Archivierungspflichten), wird im erforderlichen Umfang durch Sperrvermerke und/oder Aussonderung eingeschränkt.
Datenschutz auf Mitarbeiterebene
Es sind Maßnahmen ergriffen worden, die gewährleisten, dass die mit personenbezogenen Daten beschäftigten Mitarbeiter, über die datenschutzrechtlich nötige Sachkenntnis und Zuverlässigkeit verfügen.
Mitarbeiter werden auf Vertraulichkeit und Verschwiegenheit (Datengeheimnis) verpflichtet.
Mitarbeiter werden im Hinblick auf den Datenschutz entsprechend den Anforderungen ihrer Funktion sensibilisiert und unterrichtet. Die Schulung und Sensibilisierung werden, wenn es die Umstände erfordern, wiederholt.
Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden (Home- und Mobileoffice), werden Mitarbeiter über die speziellen Sicherheitsanforderungen sowie Schutzpflichten in diesen Konstellationen unterrichtet, sowie auf deren Einhaltung unter Vorbehalt von Kontroll- und Zugriffsrechten verpflichtet.
Die an Mitarbeiter ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus den Diensten des Auftragsverarbeiters, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen.
Mitarbeiter werden verpflichtet, ihre Arbeitsumgebung aufgeräumt zu hinterlassen und so insbesondere den Zugang zu Unterlagen oder Datenträgern mit personenbezogenen Daten zu verhindern (Clean Desk Policy).
Zutrittskontrolle
Es sind Maßnahmen zur physischen Zutrittskontrolle ergriffen worden, die es Unbefugten verwehren, sich den Systemen, Datenanlagen oder Verfahren physisch zu nähern:
Es werden, bis auf die Arbeitsplatzrechner und mobile Geräte, keine Datenverarbeitungsanlagen in den eigenen Geschäftsräumlichkeiten unterhalten. Die Daten des Kunden werden bei externen Server-Anbietern unter Beachtung der Vorgaben für Auftragsverarbeitung gespeichert. Auf Anfrage hin kann die Beschreibung der Maßnahmen des jeweiligen Unterauftragsverarbeiters zur Verfügung gestellt werden.
Der Zutritt zu Datenverarbeitungsanlagen ist zusätzlich gesichert und nur befugten Mitarbeitern möglich.
Es findet eine Personenkontrolle beim Pförtner oder am Empfang des Rechenzentrumsanbieters statt.
Zugangskontrolle
Es sind Maßnahmen zur elektronischen Zugangskontrolle ergriffen worden, die gewährleisten, dass ein Zugang (d. h. bereits die Möglichkeit der Nutzung, Verwendung oder Beobachtung) durch Unbefugte zur Plattform verhindert wird.
Ein Passwortkonzept legt fest, dass Passwörter eine dem Stand der Technik und den Anforderungen an Sicherheit entsprechende Mindestlänge und Komplexität haben müssen.
Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt.
Passwörter werden grundsätzlich nicht im Klartext gespeichert und nur gehashed oder verschlüsselt (Zertifikate, Tokens) übertragen.
Es wird eine Passwort-Management-Software eingesetzt.
Es wird auf dem aktuellen Stand gehaltene Anti-Viren-Software eingesetzt.
Einsatz von Software-Firewall(s).
Interne Zugriffskontrolle und Eingabekontrolle (Berechtigungen für Benutzerrechte auf Zugang zu und Änderung von Daten)
Es sind Maßnahmen zur Zugriffskontrolle ergriffen worden, die gewährleisten, dass die zur Benutzung der IT-Umgebung von Der Anbieter Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ferner sind Maßnahmen zur Eingabekontrolle ergriffen worden, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten eingegeben, verändert, entfernt worden sind.
Ein Rechte- und Rollenkonzept (Berechtigungskonzept) sorgt dafür, dass der Zugriff auf personenbezogenen Daten nur für einen nach Erforderlichkeitsmaßstäben ausgewählten Personenkreis und nur in dem erforderlichen Umfang möglich ist. Hinweis: Das Berechtigungskonzept stellt sicher, dass Mitarbeiter des Anbieters keinen Zugriff auf Bewerberdaten haben.
Das Rechte- und Rollenkonzept (Berechtigungskonzept) wird regelmäßig, innerhalb einer angemessenen zeitlichen Frequenz sowie wenn ein Anlass es erfordert (z. B. Verstöße gegen die Zugriffsbeschränkungen), evaluiert und bei Bedarf aktualisiert.
Anmeldungen in den Verarbeitungssystemen werden protokolliert.
Die Protokoll-, bzw. Logdateien werden vor Veränderung sowie vor Verlust und gegen unberechtigten Zugriff geschützt.
Die Tätigkeiten der Administratoren werden im Rahmen rechtlich zulässiger Möglichkeiten und im Rahmen technisch vertretbaren Aufwandes angemessen überwacht und protokolliert.
Es wird sichergestellt, dass nachvollziehbar ist, welche Beschäftigten oder Beauftragten auf welche Daten wann Zugriff hatten (z.B. durch Protokollierung der Softwarenutzung oder Rückschluss aus den Zugriffszeiten und dem Berechtigungskonzept).
Weitergabekontrolle
Es sind Maßnahmen zur Weitergabekontrolle ergriffen worden, die gewährleisten, dass bei der elektronischen Übertragung von Daten oder während ihres Transports oder ihrer Speicherung auf Datenträgern die Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Beim Zugriff auf betriebsinterne Systeme von außen, werden verschlüsselte Übertragungstechnologien verwendet (z.B. VPN, SSL).
Mobile Datenträger werden verschlüsselt
E-Mails werden während der Übertragung verschlüsselt, was bedeutet, dass die E-Mails auf dem Weg vom Absender zum Empfänger davor geschützt sind, von jemandem gelesen zu werden, der Zugang zu den Netzwerken hat, durch die die E-Mail gesendet wird.
Die Übermittlung und Verarbeitung von personenbezogenen Daten des Kunden über laletu.de, erfolgt geschützt mittels einer TLS oder einer gleichwertig sicheren Verschlüsselung.
Auftragskontrolle, Zweckbindung und Trennungskontrolle
Es sind Maßnahmen zur Auftragskontrolle ergriffen worden, die sicherstellen, dass die Datenverarbeitung im Auftrag nur entsprechend den Weisungen des Kunden verarbeitet werden. Die Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten des Kunden getrennt werden und keine Vermengung, Verschnitt oder sonstige dem Auftrag widersprechende gemeinsame Nutzung dieser Daten erfolgt.
Die für den Kunden durchgeführten Verarbeitungsprozesse werden in einem angemessenen Umfang, in einem Verzeichnis von Verarbeitungstätigkeiten gesondert dokumentiert.
Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern.
Die Einhaltung von Weisungen des Kunden und des zulässigen Rahmens der Verarbeitung der personenbezogenen Daten durch Mitarbeiter und Beauftragte wird in angemessenen Abständen überprüft.
Die für die Verarbeitung der personenbezogenen Daten des Kunden geltenden Löschfristen werden innerhalb des Löschkonzepts des Anbieters – sofern erforderlich, gesondert – dokumentiert.
Erforderliche Auswertungen und Analysen der Verarbeitung der personenbezogenen Daten des Kunden werden, soweit möglich und zumutbar, anonymisiert verarbeitet (d. h. ohne jeglichen Personenbezug) oder zumindest entsprechend Art. 4 Nr. 5 DSGVO pseudonymisiert verarbeitet (d. h. in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können wobei diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden).
Die personenbezogenen Daten des Kunden werden von Daten anderer Verarbeitungsverfahren von Der Anbieter logisch getrennt verarbeitetet und vor unberechtigtem Zugriff oder Verbindung oder Verschneidung mit anderen Daten geschützt (z.B. in unterschiedlichen Datenbanken, Cluster oder durch angemessene Attribute).
Produktiv- und Testdaten werden streng getrennt voneinander in unterschiedlichen Systemen gespeichert. Die Produktivsysteme werden getrennt und unabhängig von den Entwicklungs- und Testsystemen betrieben.
Sicherung der Integrität und Verfügbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen
Es sind Maßnahmen ergriffen worden, die gewährleisten, dass die Daten des Kunden gegen zufällige Zerstörung oder Verlust geschützt sind und in Notfällen zügig wiederhergestellt werden können.
Es werden ausfallsichere Serversysteme und Dienste eingesetzt, die doppelt, bzw. mehrfach ausgelegt sind.
Die Verfügbarkeit der Datenverarbeitungssysteme wird permanent, insbesondere auf Verfügbarkeit, Fehler sowie Sicherheitsvorfälle überwacht und kontrolliert.
Die personenbezogenen Daten des Kunden werden bei externen Hosting-Anbietern gespeichert. Die Hosting-Anbieter werden sorgfältig ausgewählt und erfüllen die Vorgaben an den Stand der Technik, im Hinblick den Schutz vor Schäden durch Brand, Feuchtigkeit, Stromausfälle, Katastrophen, unerlaubte Zugriffe sowie an Datensicherung und Patchmanagement, als auch an die Gebäudesicherung. Hinweis: Entsprechende Unterlagen können dem Kunden auf Anfrage hin zur Verfügung gestellt werden.
Die Verarbeitung von personenbezogenen Daten erfolgt auf Datenverarbeitungssystemen, die einem regelmäßigen und dokumentierten Patch-Management unterliegen, d. h. insbesondere regelmäßig aktualisiert werden.
Die zur Verarbeitung eingesetzten Serversysteme und Dienste werden in angemessenen Abständen Belastbarkeitstests und Hardwaretests unterzogen.
Die Datensätze des Kunden werden systemseitig vor versehentlicher Änderung oder Löschung geschützt (z. B. durch Zugriffsbeschränkungen, Sicherheitsabfragen und Backups).
Es werden Serversysteme und Dienste eingesetzt, die über ein angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept verfügen.
Es werden regelmäßig in einem angemessenen Zeitabstand Wiederherstellungstests zur Überprüfung durchgeführt, dass die Datensicherungen tatsächlich wieder eingespielt werden können (Datenintegrität der Backups).