Anhänge AVV DSGVO DE-EN

Anlagen zur Auftragsverarbeitung nach Art. 28 DS-GVO	Appendices Data processing in accordance with Article 28 of the General Data Protection Regulation (GDPR)

Anlage 1: Art und Zweck der Datenverarbeitung, Art der Daten und Kategorien betroffener Personen	Appendix 1: Nature and purpose of the processing, Type of personal data, Categories of data subjects
Art und Zweck der Datenverarbeitung:	Nature and purpose of the processing:
Die Software umfasst im Wesentlichen folgende Funktionen, die der Auftraggeber nutzen kann: Personaleinsatzplanung (Dienstpläne erstellen und verwalten), Urlaubsplanung, Fehlzeitenerfassung, Arbeitszeiterfassung, Beschäftigte verwalten (Beschäftigungsstatus, Kontaktdaten, Lohnabrechnungsdaten etc.), Archivierung und, Auswertung. Der vollständige Funktionsumfang ergibt sich aus der Funktionsbeschreibung des gewählten Serviceplans des Auftragnehmers auf der Internetseite www.easypep.de. Zum Auftrag gehören Hosting und Wartung der Software.	The software includes mainly the following functionalities, which are usable for the client: Scheduling of employees (creating and usage of schedules), absence handling, time tracking, employee management (status of employment, contact details, payment details etc.), filing and reporting. The total amount of functionalities depends on the functional description of the chosen plan and can be found at our website www.staffomatic.com Hosting and maintenance of the software are included in the contract.
Art der personenbezogenen Daten:	Type of personal data:
Personenbezogene Daten, die durch den Auftraggeber innerhalb von Staffomatic-Dienste verarbeitet werden, insbesondere Schichtpläne und Daten über Beschäftigte des Auftraggebers.	Personal data processed by the contractor within Staffomatic services, especially shift planning and data about employees of the contractor.
Kategorien betroffener Personen:	Categories of data subjects:
Beschäftigte des Auftraggebers	Employees of the contractor

Anlage 2: Technische und organisatorische Maßnahmen

Appendix 2: Technical and organisational measures

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO) und Verschlüsselung (Art. 32 Abs. 1 lit. a) DS-GVO)

1. Confidentiality (Article 32 (1) Point b GDPR) and Encryption (Article 32 (1) Point a GDPR)

Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:

Physical Access Control

No unauthorised access to Data Processing Facilities:

Geschäftsräume EASYPEP

Eingangstüren werden stets verschlossen gehalten. 2 Haupteingangstüren, 1 Tür zum eigentlichen Büro.
Individuelle Zutrittsberechtigung über dokumentierte Schlüsselvergabe an Mitarbeiter (Transponder Schließsystem).
Besucher/Externe werden begleitet bzw. abgeholt und werden in den Geschäftsräumen stets beaufsichtigt.

Rechenzentrum

siehe AV-Verträge mit den Rechenzentren

EASYPEP office

Entrance doors are always locked. There are two main entrance doors and another one for the office.
individual access authorization via documented key allocation (transponder locking system)
visitors are always accompanied and overseen within the office

Data processing service center

please refer to the GDPR of the data processing service center

Zugangskontrolle/Verschlüsselung

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

Electronic Access Control/Encryption

No unauthorised use of the Data Processing and Data Storage Systems:

Zugang zu EDV-Systemen nur mit Benutzerkennung und Passwort möglich. Zugangsberechtigungen werden dokumentiert.
Passwörter bestehen aus mindestens 12 Zeichen, mit Groß- und Kleinschreibung, Sonderzeichen sowie Zahlen.
Mobile Datenträger sind verschlüsselt (Hardwareverschlüsselung).
Bildschirmsperre an Arbeitsstationen, automatische Sperrung bei längerer Abwesenheit. (30 Minuten)

Access of IT systems only possible via user identification and password. Access authorization is documented.
Passwords have to consist of at least 12 characters and must contain at least one capital letter, special character and a number.
Mobile data carrier are encrypted (Hardware encoding).
screen lock of working stations, which is triggered automatically after 30 minutes.

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

Internal Access Control

No unauthorised Reading, Copying, Changes or Deletions of Data within the system:

Individuelle Zugriffsrechte für jeden einzelnen Benutzer (Liste von eigener und Drittanbieter-Software mit Auflistung der zugreifenden Mitarbeiter).
Zugriffsberechtigungen werden aufgabenbezogen und nach dem Need-to-know-Prinzip erteilt.
Regelmäßige Überprüfung der Zugriffsberechtigungen. Nicht mehr erforderliche Berechtigungen (Versetzung, Ausscheiden eines Mitarbeiters) werden unverzüglich entzogen, Zugänge zu IT-System werden gesperrt.
Daten auf mobilen IT-Systemen sind verschlüsselt (komplettes System, Hardwareverschlüsselung).

individual rights authorisation concept for every user (List of own and third party software including employees, who have access)
need-based rights of access
regular controls of access rights, access rights, which are no longer needed are immediately withdrawn
data on mobile devices are encrypted (complete system, hard drive encryption

Trennungskontrolle/Zweckbindungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Isolation Control

The isolated Processing of Data, which is collected for differing purposes:

Softwareseitige Mandantentrennung.
Trennung von Produktiv- und Testsystemen (in getrennten Datenbanken).

client separation from the softwares side
separation of production and staging systems in different data bases

2. Integrität (Art. 32 Abs. 1 lit. b) DS-GVO)

2. Integrity (Article 32 (1) Point b GDPR)

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Data Transfer Control

No unauthorised Reading, Copying, Changes or Deletions of Data with electronic transfer or transport:

Übermittlungen personenbezogener Daten sind in Verfahrensübersicht dokumentiert.
Datenspeicherung und -verarbeitung erfolgt auf IT-Systemen im Rechenzentrum. Verbindung zwischen Clients und Server ist besonders gesichert (SSL Verschlüsselung, privates Netzwerk).
Mitbringen und verwenden privater Datenträger ist untersagt. Es dürfen nur verschlüsselte betriebliche Datenträger genutzt werden. Auch unbenutzte Datenträger sind stets verschlüsselt und werden verschlossen verwahrt.
Wiederbeschreibbare Datenträger werden vor der Wiederverwendung nach Standard DOD 5220-220.M gelöscht.
Kontrollierte Vernichtung von Datenträgern mit Protokollierung (physische Vernichtung, zertifizierter Entsorger).
Besucher haben einen separaten WLAN Zugriff und keinen Zugriff auf betriebliches LAN/WLAN.
Bei Hardwaretausch werden Festplatten vorher ausgebaut, sofern möglich. Ansonsten werden Festplatten mehrfach gelöscht.
Elektronische Unterzeichnung bei der Weitergabe von Daten per E-Mail

Documentation of the transfer of data in a records of processing activities
Data storage and processing on IT systems in data centres. Connection between clients and server is secure (encryption, VPN)
Prohibition of use of private data mediums, use of data mediums is restricted to encrypted internal data mediums. Even unused data carriers are encrypted and locked.
Deletion of re-writable data mediums prior to reuse in compliance with standard DOD 5220-220.M
Supervised destruction of data mediums with records (physical destruction, certified disposal company)
visitors have no access to internal WLAN / LAN
If hardware needs to be replaced, hard drives will be removed prior, if possible. If not the drive will be cleaned multiple times.
Electronic signature

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können:

Data Entry Control

Verification, whether and by whom personal data is entered into a Data Processing System, is changed or deleted:

EASYPEP Server

automatisierte Protokollierung der Dateneingabe, Änderung oder Löschung.
Protokollierung gescheiterter Zugriffsversuche.
Protokollierung der Aktivitäten des Systemverwalters und sämtlicher Benutzer.
Protokollierung aller Aktivitäten auf dem Server.

Drittanbieter

siehe individuelle Vereinbarungen mit den Drittanbietern
Sicherung der Protokolldaten gegen Verlust oder Veränderung.

EASYPEP Server

Automatic logging of data entry, change or deletion
Logging of failed access attempts
Logging of activities of the system administrator and of all users
Logging of all activities on the server

Third party providers

see specific agreement with third party provider
Protection of log data against loss, destruction or modification

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DS-GVO), rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c) DS-GVO

3. Availability and Resilience (Article 32 (1) Point b GDPR), Rapid Recovery (Article 32 (1) Point c GDPR)

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (die Angaben beziehen sich auf eigene IT-Systeme des Auftragnehmers):

Availability Control

Prevention of accidental or wilful destruction or loss

Datensicherheitskonzept.
Versionierte Daten- und Systembackups nach Backup-Plan (täglich/wöchentlich).
Backup-Rechenzentrum.
Schadsoftwareschutz. Sicherheitsrelevante Updates und Patches werden regelmäßig und zeitnah eingespielt.
Unterbrechnungsfreie Stromversorgung

Data security concept
Backup strategy (daily / weekly)
backup-data center
virus protection; regular and prompt security-relevant updates and patches
Uninterruptible power supply (UPS)

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO, Art. 25 Abs. 1 DS-GVO)

4. Procedures for regular testing, assessment and evaluation (Article 32 (1) Point d GDPR; Article 25 (1) GDPR)

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können:

Order or Contract Control

No third party data processing as per Article 28 GDPR without corresponding instructions from the Client:

Auftragnehmer werden sorgfältig ausgesucht.
Vertragliche Regelung zur Datenverarbeitung mit Dienstleistern mit Festlegung der Weisungsbefugnisse des Auftraggebers.
Weisungen werden grundsätzlich schriftlich erteilt.
Kontrolle des Auftragnehmers durch die Geschäftsführung oder den Datenschutzbeauftragten.

Agents are carefully selected
Clear and unambiguous contractual arrangements including instruction authority of the client
Instructions are issued in writing
Strict controls of the agent by the management or the data protection officer

Datenschutz-Management

Maßnahmen, die eine Steuerung der Datenschutzprozesse ermöglichen und die Einhaltung der datenschutzrechtlichen Vorgaben nachweisbar sicherstellen:

Data Protection Management
Measures that enable data protection processes to be controlled and demonstrably ensure compliance with data protection regulations:

Es wurde eine fachkundige Person zum Datenschutzbeauftragte benannt
Es gibt ein dokumentiertes Datenschutz-Management-System
Beschäftigte werden regelmäßig im Datenschutz geschult und sensibilisiert und sind über die Vertraulichkeit von Daten belehrt.

An expert was appointed to be the data protection officer
The data protection management is documented
Employees are trained in data protection on a regular basis, furthermore they are taught about the privacy of data

5. Pseudonymisierung (Art. 32 Abs. 1 lit. a) DS-GVO, Art. 25 Abs. 1 DS-GVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten in einer Weise verarbeitet werden, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.

5. Pseudonymisation (Article 32 (1) Point a GDPR, Article 25 (1) GDPR)

The processing of personal data in such a method/way, that the data cannot be associated with a specific Data Subject without the assistance of additional Information, provided that this additional information is stored separately, and is subject to appropriate technical and organizational measures.

Die Datenbank ist passwortgeschützt und wird in einem privaten Netzwerk verarbeitet

Database is saved by password and is running in a private network

Anlage 3: Unterauftragnehmer

Appendix 3: Subcontractors

Name, Anschrift/Land, Auftragsinhalt

name, postal address/country,

Name name	Anschrift/Land address/country	Auftragsinhalt subject-matter/service:
Amazon Web Services	Amazon Web Services EMEA SARL 38 avenue John F. Kennedy, L-1855, Luxemburg Serverstandort: Frankfurt am Main	Rechenzentrum / Hoster
Aircall	Aircall SAS (GmbH & Co. KG) 11 Rue Saint-Georges 75009 Paris Frankreich	Kundenkommunikation/ Customer Relation Management
Cowboy Coding UG	Cowboy Coding UG Zirkusweg 2 20359 Hamburg	Customer Relation Management