der
LUCI GmbH, Rheinwerkallee 6, 53227 Bonn

Version 1.0.1
Gültig ab 01. August 2021

Die technisch-organisatorischen Maßnahmen (TOM) bilden eine Reihe von Maßnahmen ab, die die sichere Verarbeitung von personenbezogenen Daten gewährleisten sollen.

Die technischen Maßnahmen bezeichnen dabei jeden Schutz für die Sicherheit der Datenverarbeitung, der durch physische Maßnahmen umgesetzt werden kann.

Die organisatorischen Maßnahmen bezeichnen die Umsetzung von Handlungsanweisungen sowie Vorgehens- und Verfahrensweisen für Mitarbeitende, die den Schutz der Verarbeitung von personenbezogenen Daten gewährleisten.

Die LUCI GmbH hat die nachfolgenden technischen und organisatorischen Maßnahmen unter der Berücksichtigung des aktuellen Stands der Technik, sowie der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung von personenbezogenen Daten eingerichtet.

Unbefugten ist der Zutritt zu den vom Auftragnehmer zwecks Erbringung der ihm übertragenen Leistungen genutzten technischen Einrichtungen zu verwehren.

Beim Auftragnehmer umgesetzte Maßnahmen:

Rückgabe von Schlüsseln nach Austritt von Mitarbeitenden

Vor Beendigung des Anstellungsverhältnisses müssen Mitarbeitende zuvor ggf. ausgehändigte Schlüssel zurückgeben. Die Rückgabe wird von einem weiteren Mitarbeitenden durchgeführt und überwacht. Die Namen der beteiligten Personen, das Datum und die Uhrzeit der Rückgabe, die Schlüssel-Nummer oder die ID der Chipkarte oder des Transponders werden im Übergabeprotokoll festgehalten. Das Protokoll wird an zentraler Stelle sicher verwahrt.

Verwendung einer Zutrittskontrolle

Der Zutritt zum Bürogebäude ist ausschließlich mit Hilfe eines entsprechenden Schlüssels möglich. Diese werden ausschließlich an Mitarbeitende ausgeteilt und müssen vor Austritt aus dem Unternehmen wieder zurückgegeben werden. Eine Vervielfältigung der eingesetzten Schlüssel ist nicht möglich.

Es ist zu verhindern, dass die zur Erbringung der in der beschriebenen IT-Dienstleistung notwendigen Einrichtungen (Hardware, Betriebssysteme, Software) von Unbefugten genutzt werden können.

Beim Auftragnehmer umgesetzte Maßnahmen:

Automatisches Sperren von PCs / Macs nach fünf Minuten

Alle im Einsatz befindlichen Arbeitsplatzrechner (PCs, Macs) rufen nach fünfminütiger Inaktivität automatisch die Anmeldemaske des jeweiligen Betriebssystems auf. Ein Zugriff auf die Arbeitsplatzrechner ist dann nur nach vorheriger Eingabe des Nutzerpassworts möglich. So wird verhindert, dass Unbefugte beispielsweise während der Pausenzeiten Zugriff auf kritische Daten erlangen können.

Verwendung personalisierter Logins

Sowohl für interne als auch externe Systeme werden grundsätzlich personalisierte Logins vergeben. So kann sichergestellt werden, dass durchgeführte Aktionen nachträglich dem jeweiligen Benutzer zugeordnet werden können. Zudem können einzelne Zugänge zielgerichtet gesperrt oder gelöscht werden, ohne dass dies Einfluss auf die Zugänge anderer Mitarbeitenden hat.

Verwendung sicherer und individueller Passwörter

Sowohl für interne als auch externe Zugänge werden ausschließlich sichere Passwörter mit einer Länge von mindestens acht Zeichen verwendet, die jeweils mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthalten müssen.

Verwendung eines Passwort-Managers

Die sowohl für interne als auch externe Zugänge verwendeten Passwörter werden mittels eines Passwort-Managers verwaltet. Der Passwort Manager verfügt über einen Passwort-Generator. Mit diesem lassen sich automatisch zufällige Passwörter aus bis zu 64 Zeichen und Sonderzeichen generieren – für maximalen Passwortschutz.

Zwei-Faktor-Authentifizierung mittels YubiKey

Sofern die benutzten Systeme eine Zwei-Faktor-Authentifizierung mittels YubiKey anbieten, wird diese Möglichkeit genutzt. Der YubiKey ist ein kompakter Security-Token, mit dem sich die Mitarbeitenden durch eine einzige Berührung unkompliziert authentifizieren können. Er bietet damit ein Höchstmaß an Sicherheit und schützt vor Phishing und Man-in-the-Middle-Angriffen.

Es ist sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können.

Beim Auftragnehmer umgesetzte Maßnahmen:

Minimale Anzahl an Mitarbeitenden mit administrativen Rechten

Um zu gewährleisten, dass lediglich autorisierte Personen Zugriff auf kritische IT-Systeme sowie darauf gespeicherter Daten haben, verfügen nur ausgewählte Mitarbeitende über die notwendigen administrativen Rechte. Diese Mitarbeitende schalten projektbezogen die Zugriffsrechte der anderen Mitarbeitenden frei, sofern diese für ihre Arbeit notwendig sind. Nach Abschluss der jeweiligen Arbeiten werden die entsprechenden Rechte wieder entzogen. So wird die Anzahl der Mitarbeitenden, die theoretisch Zugriff auf alle im Unternehmen gespeicherten personenbezogenen Daten haben, auf ein absolutes Minimum reduziert.

Nutzung von Benutzer- und Rollenkonzepten für interne und externe Systeme

Für interne und externe Systeme, die diese Funktionalität unterstützen, werden Benutzer- und Rollenkonzepte beim Anlegen von Zugängen verwendet. Anstatt jeden einzelnen Zugang mit entsprechenden Berechtigungen auszustatten, wird jedem Zugang eine Rolle zugewiesen. Diesen übergeordneten Rollen werden wiederum die notwendigen Berechtigungen zugewiesen. So können Änderungen an den Berechtigungen zentral über die Anpassung der jeweiligen Rolle erfolgen. So kann verhindert werden, dass einzelne Zugänge über Berechtigungen verfügen, die diesen eigentlich nicht gestattet wären.

Sperrung von Zugängen beim Austritt von Mitarbeitenden

Verlässt ein Mitarbeitender das Unternehmen, so erfolgt noch vor dessen Austritt die Sperrung bzw. Löschung aller ihm zugewiesenen Zugänge für interne und externe Systeme.

Verwendung sicherer und individueller Passwörter

Sowohl für interne als auch externe Zugänge werden ausschließlich sichere Passwörter mit einer Länge von mindestens acht Zeichen verwendet, die jeweils mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthalten müssen.

Es muss dafür gesorgt werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen die Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Beim Auftragnehmer umgesetzte Maßnahmen:

Nutzung SSL/TLS-verschlüsselter Übertragungswege im Internet

Für die Übermittlung von Daten mit personenbezogenem Inhalt über das Internet werden ausschließlich SSL/TLS-verschlüsselte Übertragungswege genutzt. Die gesicherte Verbindung zwischen Browser und Zielserver stellt sicher, dass Daten zwischen diesen beiden Systemen nicht von Dritten eingesehen oder manipuliert werden können.

Es ist sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Beim Auftragnehmer umgesetzte Maßnahmen:

Trennung von Live- und Entwicklungssystemen

Für die Entwicklung und Programmierung stehen den Entwicklern eigene Entwicklungsumgebungen mit Testdaten zur Verfügung, sodass eine Entwicklung am Produktivsystem mit den darin gespeicherten Echtdaten nicht notwendig ist. So kann verhindert werden, dass versehentlich eine ungewollte Veränderung oder Weitergabe von personenbezogenen Daten erfolgt.

Verwendung von Zugriffsberechtigungen für interne Systeme

Alle internen Systeme sind vor unbefugtem Zugriff gesichert. Es ist nicht möglich, diese ohne eine Anmeldung zu verwenden. Die Berechtigungen zur Nutzung der verschiedenen Systeme werden individuell vergeben und können individuell und systembezogen widerrufen werden.

Die Verarbeitung personenbezogener Daten soll in einer Weise erfolgen, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.

Beim Auftragnehmer umgesetzte Maßnahmen:

Verwendung von pseudonymisierten Daten im Arbeitsalltag

Maßnahmen zur Pseudonymisierung von Daten erfolgen aktuell nicht.

Die Verarbeitung personenbezogener Daten soll in einer Weise erfolgen, die eine unbeabsichtigte oder unrechtmäßige oder unbefugte Offenlegung dieser verhindert. Hierzu dienen dem Stand der Technik entsprechende und als sicher geltende Verschlüsselungsmechanismen.

Beim Auftragnehmer umgesetzte Maßnahmen:

Verwendung verschlüsselter Übertragungswege für den Datenaustausch

Werden Daten digital ausgetauscht, die unter Umständen personenbezogene Daten enthalten könnten, findet dies ausschließlich auf sicheren und verschlüsselten Übertragungswegen statt. Es werden insbesondere SSH-Verbindungen genutzt und keine unverschlüsselten Protokolle verwendet, wenn verschlüsselte Alternativen zur Verfügung stehen. So werden E-Mails zum Beispiel via IMAP nur mit SSL/TLS oder HTTPS-Verbindungen verschickt.

Verwendung von SSL-Zertifikaten für Hosting-Umgebungen

Die von der LUCI GmbH bereitgestellte App-Plattform und Webseiten, über die personenbezogene Daten über das Internet übermittelt werden, werden von uns mit SSL-Zertifikaten geschützt. Die Zertifikate werden in regelmäßigen Abständen neu ausgestellt, um einen Diebstahl des Zertifikats und somit das Abgreifen von Daten zu verhindern.

Es muss nachträglich geprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Beim Auftragnehmer umgesetzte Maßnahmen:

Nutzung von Benutzer- und Rollenkonzepten für interne und externe Systeme

Für interne und externe Systeme, die diese Funktionalität unterstützen, werden Benutzer- und Rollenkonzepte beim Anlegen von Zugängen verwendet. Anstatt jeden einzelnen Zugang mit entsprechenden Berechtigungen auszustatten, wird jedem Zugang eine Rolle zugewiesen. Diesen übergeordneten Rollen werden wiederum die notwendigen Berechtigungen zugewiesen. So können Änderungen an den Berechtigungen zentral über die Anpassung der jeweiligen Rolle erfolgen. So kann verhindert werden, dass einzelne Zugänge über Berechtigungen verfügen, die diesen eigentlich nicht gestattet wären.

Verwendung personalisierter Logins

Sowohl für interne als auch externe Systeme werden grundsätzlich personalisierte Logins vergeben. So kann sichergestellt werden, dass durchgeführte Aktionen nachträglich dem jeweiligen Benutzer zugeordnet werden können. Zudem können einzelne Zugänge zielgerichtet gesperrt oder gelöscht werden, ohne dass dies Einuss auf die Zugänge anderer Mitarbeiter hat.

Die Maßnahmen zur Weitergabekontrolle gem. 1.4 dienen auch der Sicherstellung der Integrität.

Es ist dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beim Auftragnehmer umgesetzte Maßnahmen:

Durchführung von Code-Reviews in der Entwicklung

Alle entwickelten Code-Bestandteile werden durch einen zweiten Mitarbeitenden mit entsprechenden Fachkenntnissen geprüft. Bevor der jeweilige Code in das Produktivsystem eingespielt wird, muss dieser durch beide Mitarbeitenden freigegeben werden. Dieses Vier-Augen-Prinzip stellt sicher, dass Systeme nicht offensichtlichen Fehlern ausgesetzt sind und dass die zuvor definierten Anforderungen an die Qualität des Codes eingehalten werden.

Erstellung von Code-Dokumentationen in der Entwicklung

Alle entwickelten Systeme und darin verwendete Code-Bestandteile werden durch die Entwickler hinreichend dokumentiert. Dies stellt u. A. eine schnelle Einarbeitung anderer Mitarbeitenden in das jeweilige Projekt sicher. Darüber hinaus kann eine Weiterentwicklung der jeweiligen Code-Bestandteile zukünftig auch dann erfolgen, wenn der ursprüngliche Entwickler nicht mehr im Unternehmen tätig ist. Durch eine hinreichende Dokumentation wird zudem sichergestellt, dass Bugs oder Fehler schneller identifiziert und behoben werden können.

Klimatisierung von Räumen mit kritischer IT-Infrastruktur

Alle Systemkomponenten, die zur Sicherstellung des Betriebs sowie zur Bereitstellung von Kundensystemen notwendig sind (z. B. Server, Netzwerkkomponenten oder Backup-Systeme) sind vor schädlichen Umgebungsbedingungen wie zu hohen Temperaturen oder zu hoher Luftfeuchtigkeit mittels einer Klimatisierung geschützt. Diese wird regelmäßig gewartet und bei einer Erweiterung der Systemkomponenten entsprechend der benötigten Kühlleistung ausgebaut.

Nutzung einer Versionskontrolle in der Entwicklung

Für die Entwicklung von Anwendungen werden gängige Versionierungssysteme (Git) eingesetzt. Diese stellen sicher, dass vorherige Softwarestände nicht versehentlich überschrieben werden und die parallele Entwicklung durch mehrere Mitarbeiter an einem System nicht zu Fehlern oder zum Überschreiben von bestehenden Daten führt. Zudem können durch eine Versionskontrolle Änderungen und Fehler nachträglich schneller und besser nachvollzogen und behoben werden. Unabsichtlich durchgeführte Änderungen können außerdem rückgängig gemacht werden.

Nutzung von Testverfahren in der Entwicklung

Entwickelte Komponenten für interne Systeme sowie für Kundensysteme werden durch spezielle Tests (z. B. Unit-Tests) einer regelmäßigen und automatisierten Prüfung unterzogen. Dabei wird mittels verschiedener Testszenarien sichergestellt, dass auch bei der nachträglichen Einführung von Änderungen an einem System die wesentlichen Komponenten auf verschiedene Eingaben hin das richtige und zu erwartende Verhalten zeigen. Mögliche Fehler können so frühzeitig erkannt und behoben werden.

Regelmäßige Durchführung von Updates

Alle im Einsatz befindlichen Betriebssysteme sowie darauf installierte Anwendungen und Bibliotheken werden stets aktuell gehalten. Entsprechende Updates werden regelmäßig eingespielt. Zur Verfügung gestellte Security-Patches werden ebenfalls zeitnah eingespielt, um die entsprechenden Sicherheitslücken schnellstmöglich zu schließen. Werden für Anwendungen oder Bibliotheken keine Security-Updates mehr ausgeliefert oder wird die Anwendung vom Hersteller nicht mehr weiterentwickelt oder betreut, findet ein Upgrade auf eine aktuelle Version statt oder es findet ein Wechsel auf eine noch unterstützte alternative Anwendung statt.

Überprüfung erstellter Datensicherungen

Erstellte Datensicherungen werden regelmäßig auf ihre Integrität und Wiederherstellbarkeit hin überprüft. Hierfür werden zufällig ausgewählte Daten von einem zufällig ausgewählten Zeitpunkt testweise aus einer Datensicherung wiederhergestellt und mit den Originaldateien verglichen. So können unbrauchbare Datensicherungen oder Fehler im Backup- bzw. Wiederherstellungssystem frühzeitig erkannt und behoben werden.

Verwendung einer unterbrechungsfreien Stromversorgung (USV)

Kritische IT-Systeme wie beispielsweise Server, auf denen Unternehmens- oder Kundendaten gespeichert werden, sind mit einer USV vor kurzzeitigen Stromausfällen geschützt. So können kritische IT-Systeme bei Stromausfällen gezielt heruntergefahren werden und unerwünschte Datenverluste vermieden werden. Bei einer Erweiterung von kritischen IT-Systemen wird auch die Kapazität der USV entsprechend angepasst, um einen ordnungsgemäßen Betrieb für einen bestimmten Zeitraum sicherzustellen. Die unterbrechungsfreie Stromversorgung wird regelmäßig durch ein Spezialunternehmen gewartet, um deren ordnungsgemäße Funktion sicherzustellen.

Verwendung eines Überspannungsschutzes für interne Systeme

Zum Schutz vor Schäden durch Blitzeinschlag oder eine fehlerhafte Netzeinspeisung, werden Einrichtungen verwendet, die eine zu hohe Netzspannung in allen Bereichen des Bürogebäudes verhindern.

Es müssen Maßnahmen getroffen werden, um Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall wiederherzustellen.

Beim Auftragnehmer umgesetzte Maßnahmen:

Dokumentation von datenschutzrelevanten Zwischenfällen

Datenschutzrelevante Zwischenfälle, bei denen nicht ausgeschlossen werden kann, dass personenbezogene Daten gelöscht oder an unberechtigte Dritte weitergeleitet wurden, werden umfassend dokumentiert. Die Unterlagen dienen zum einen einer lückenlosen Kommunikation an die Datenschutzbehörden sowie die betroffenen Kunden. Zum anderen können auf Basis dieser Informationen Verbesserungen umgesetzt werden, die ähnliche Vorfälle zukünftig verhindern.

Nutzung einer Versionskontrolle in der Entwicklung

Für die Entwicklung von Anwendungen werden gängige Versionierungssysteme (Git) eingesetzt. Diese stellen sicher, dass vorherige Softwarestände nicht versehentlich überschrieben werden und die parallele Entwicklung durch mehrere Mitarbeitende an einem System nicht zu Fehlern oder zum Überschreiben von bestehenden Daten führt. Zudem können durch eine Versionskontrolle Änderungen und Fehler nachträglich schneller und besser nachvollzogen und behoben werden. Unabsichtlich durchgeführte Änderungen können außerdem rückgängig gemacht werden.

Überprüfung erstellter Datensicherungen

Erstellte Datensicherungen werden regelmäßig auf ihre Integrität und Wiederherstellbarkeit hin überprüft. Hierfür werden zufällig ausgewählte Daten von einem zufällig ausgewählten Zeitpunkt testweise aus einer Datensicherung wiederhergestellt und mit den Originaldateien verglichen. So können unbrauchbare Datensicherungen oder Fehler im Backup- bzw. Wiederherstellungssystem frühzeitig erkannt und behoben werden.

Es muss ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung des Datenschutzes und der Wirksamkeit der festgelegten technischen und organisatorischen Maßnahmen implementiert sein.

Beim Auftragnehmer umgesetzte Maßnahmen:

Dokumentation von datenschutzrelevanten Zwischenfällen

Datenschutzrelevante Zwischenfälle, bei denen nicht ausgeschlossen werden kann, dass personenbezogene Daten gelöscht oder an unberechtigte Dritte weitergeleitet wurden, werden umfassend dokumentiert. Die Unterlagen dienen zum einen einer lückenlosen Kommunikation an die Datenschutzbehörden sowie die betroffenen Kunden, zum anderen können auf Basis dieser Informationen Verbesserungen umgesetzt werden, die ähnliche Vorfälle zukünftig verhindern.

Jährliche Überprüfung der Wirksamkeit der ergriffenen Schutzmaßnahmen

Unabhängig von ggf. zusätzlich durchgeführten externen Security-Audits, erfolgt jährlich eine innerbetriebliche Überprüfung zur Wirksamkeit der ergriffenen technischen und organisatorischen Schutzmaßnahmen. Hierzu werden die aktuellen Schutzmaßnahmen gemeinsam mit Vertretern aller Verantwortungsbereiche beleuchtet und sofern sinnvoll entsprechende Optimierungen festgelegt.

Sicheres Löschen nicht mehr benötigter Daten

Nicht mehr benötigte Daten, wie zum Beispiel veraltete Kunden- sowie Projektdaten oder Daten aus Test- bzw. Entwicklungsumgebungen, werden gelöscht, sobald diese nicht mehr für die jeweilige Vertragserfüllung benötigt werden.

Zuteilung von datenschutzrelevanten Verantwortungsbereichen

Datenschutzrelevante Verantwortungsbereiche werden je nach Tätigkeitsbereich auf Mitarbeitende verteilt. Dabei wird die Eignung der Mitarbeitenden für den jeweiligen Verantwortungsbereich stets sichergestellt. Ggf. notwendige Schulungen oder Fortbildungen erfolgen vor der Übertragung eines Verantwortungsbereichs an einen Mitarbeitenden. Bei Austritt eines Mitarbeitenden wird unverzüglich ein geeigneter Nachfolger benannt.

Es muss dafür gesorgt werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Beim Auftragnehmer umgesetzte Maßnahmen:

Abschluss von AV-Verträgen mit Dienstleistern, Partnern und Kunden

Mit allen Dienstleistern, Partnern und Kunden, mit denen ein Austausch sowie eine Verarbeitung von personenbezogenen Daten erfolgen, wird ein Vertrag zur Auftragsdatenverarbeitung (AV-Vertrag) gemäß Art. 28 DSGVO geschlossen. In dem AV-Vertrag werden u. a. die folgenden Aspekte zwischen den beiden Vertragspartnern geregelt: „Anwendungsbereich und Verantwortlichkeit“, „Gegenstand und Dauer des Auftrages“, „Beschreibung der Verarbeitung, Daten und betroffener Personen“, „Technische und organisatorische Maßnahmen zum Datenschutz“, „Berichtigung, Einschränkung und Löschung von Daten“, „Pflichten des Auftragnehmers“, „Rechte und Pflichten des Auftraggebers“, „Wahrung von Rechten der betroffenen Person“, „Kontrollbefugnisse“, „Unterauftragsverhältnisse“, „Datengeheimnis und Geheimhaltungspflichten“, „Haftung“ und „Informationspflichten, Schriftformklausel, Rechtswahl“. Der AV-Vertrag wird von beiden Vertragsparteien in schriftlicher oder alternativ in digitaler Form geschlossen. Beide Vertragsparteien verpflichten sich zudem, unverzüglich über relevante Änderungen zu informieren, so dass der AV-Vertrag entsprechend geändert und erneut abgeschlossen werden kann.

Aufklärung von Kunden zum Thema Datenschutz

Nach Auftragserteilung klären wir Kunden über die von uns ergriffenen Maßnahmen zum Datenschutz auf und binden diese so gut wie möglich in die entsprechenden Prozesse mit ein.

Beauftragung zertifizierter Dienstleister und Partner

Eine Zusammenarbeit erfolgt vorzugsweise mit Dienstleistern und Partnern, die über eine nachgewiesene Zertifizierung verfügen. Dies gilt insbesondere dann, wenn die Zertifizierung auf ein hohes Datenschutzniveau schließen lässt, zum Beispiel bei Anbietern von Webhosting-Dienstleistungen. Die Fristen der jeweiligen Zertifizierungen werden kontrolliert und ggf. neue Zertifizierungen von Dienstleistern und Partnern angefordert, sobald diese neu ausgestellt wurden. Erfolgt keine erneute Zertifizierung, so werden zukünftig vorzugsweise andere Dienstleister und Partner beauftragt, die über das jeweilige Zertifikat verfügen.

Kommunikation von Verhaltensrichtlinien zum Thema Datenschutz an alle Mitarbeitenden

Bei Eintritt in das Unternehmen werden alle wesentlichen Verhaltensrichtlinien zum Thema Datenschutz an neue Mitarbeitende kommuniziert. Neben unserem grundsätzlichen Verständnis vom Umgang mit personenbezogenen Daten vermitteln wir auch das notwendige Wissen zur korrekten Anwendung aller technischen und organisatorischen Datenschutzmaßnahmen.

Regelmäßige Unterweisung und Fortbildung von Mitarbeitenden zum Thema Datenschutz

Unsere Mitarbeitenden werden regelmäßig zu relevanten Datenschutzthemen geschult. Dabei werden sowohl Grundlagen aufgefrischt als auch aktuelle Themen sowie rechtliche Änderungen vermittelt. Neben den entsprechenden datenschutztechnischen Kompetenzen soll so eine hohe Sensibilität für den Schutz personenbezogener Daten bei allen Mitarbeitenden gefördert werden.

Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

Auftragsbezogene Daten mit personenbezogenen Inhalten, die zur Verarbeitung an uns übermittelt werden, werden bei Beendigung des Auftrags gelöscht, sofern diese nicht aus wichtigem Grund behalten werden müssen. Dies kann zum Beispiel dann notwendig sein, wenn sich aus dem Auftrag weitere Folgeaufträge ergeben, für deren vertragliche Umsetzung die Daten noch einmal benötigt werden. Eine ordnungsgemäße Löschung erfolgt dann nach Abschluss des letzten Folgeauftrags.

Unterzeichnung einer Verschwiegenheitserklärung durch alle Mitarbeitenden

Alle Mitarbeitende unterzeichnen beim Eintritt in das Unternehmen eine gesonderte Verschwiegenheitserklärung. Darin verpflichten sich die Mitarbeitenden, personenbezogene Daten vertraulich zu behandeln und diese ausschließlich auf Weisung ihrer Vorgesetzten zu verarbeiten. Darüber hinaus wird der Mitarbeitende über mögliche Folgen von Verstößen gegen die Vertraulichkeitsverpflichtung aufgeklärt. Alle in der Verschwiegenheitserklärung vereinbarten Punkte gelten auch über den Zeitraum der Anstellung hinaus.