Published using Google Docs
Anhänge AVV DSGVO DE-EN
Updated automatically every 5 minutes

                                

Anlagen zur Auftragsverarbeitung nach Art. 28 DS-GVO

Appendices Data processing in accordance with Article 28 of the General Data Protection Regulation (GDPR)

Anlage 1:        Art und Zweck der Datenverarbeitung, Art der Daten und Kategorien betroffener Personen

Appendix 1:        Nature and purpose of the processing, Type of personal data, Categories of data subjects

Art und Zweck der Datenverarbeitung:

Nature and purpose of the processing:

Die Software umfasst im Wesentlichen folgende Funktionen, die der Auftraggeber nutzen kann:

Personaleinsatzplanung (Dienstpläne erstellen und verwalten), Urlaubsplanung, Fehlzeitenerfassung, Arbeitszeiterfassung, Beschäftigte verwalten (Beschäftigungsstatus, Kontaktdaten, Lohnabrechnungsdaten etc.), Archivierung und, Auswertung.

Der vollständige Funktionsumfang ergibt sich aus der Funktionsbeschreibung des gewählten Serviceplans des Auftragnehmers auf der Internetseite www.easypep.de.

Zum Auftrag gehören Hosting und Wartung der Software.

The software includes mainly the following functionalities, which are usable for the client:

Scheduling of employees (creating and usage of schedules), absence handling, time tracking, employee management (status of employment, contact details, payment details etc.), filing and reporting.

The total amount of functionalities depends on the functional description of the chosen plan and can be found at our website

 www.staffomatic.com

Hosting and maintenance of the software are included in the contract.

Art der personenbezogenen Daten:

Type of personal data:

Personenbezogene Daten, die durch den Auftraggeber innerhalb von Staffomatic-Dienste verarbeitet werden, insbesondere Schichtpläne und Daten über Beschäftigte des Auftraggebers.

Personal data processed by the contractor within Staffomatic services, especially shift planning and data about employees of the contractor.

Kategorien betroffener Personen:

Categories of data subjects:

Beschäftigte des Auftraggebers

Employees of the contractor


Anlage 2:        Technische und organisatorische Maßnahmen

Appendix 2:        Technical and organisational measures

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO) und Verschlüsselung (Art. 32 Abs. 1 lit. a) DS-GVO)

1. Confidentiality (Article 32 (1) Point b GDPR) and Encryption (Article 32 (1) Point a GDPR)

Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:

Physical Access Control

No unauthorised access to Data Processing Facilities:

Geschäftsräume EASYPEP

  • Eingangstüren werden stets verschlossen gehalten. 2 Haupteingangstüren, 1 Tür zum eigentlichen Büro.  
  • Individuelle Zutrittsberechtigung über dokumentierte Schlüsselvergabe an Mitarbeiter (Transponder Schließsystem).
  • Besucher/Externe werden begleitet bzw. abgeholt und werden in den Geschäftsräumen stets beaufsichtigt.

Rechenzentrum 

  • siehe AV-Verträge mit den Rechenzentren  

EASYPEP office

  • Entrance doors are always locked. There are two main entrance doors and another one for the office. 
  • individual access authorization via documented key allocation (transponder locking system)
  • visitors are always accompanied and overseen within the office

Data processing service center 

  • please refer to the GDPR of the data processing service center  

Zugangskontrolle/Verschlüsselung

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

Electronic Access Control/Encryption

No unauthorised use of the Data Processing and Data Storage Systems:

  • Zugang zu EDV-Systemen nur mit Benutzerkennung und Passwort möglich. Zugangsberechtigungen werden dokumentiert.
  • Passwörter bestehen aus mindestens 12 Zeichen, mit Groß- und Kleinschreibung, Sonderzeichen sowie Zahlen.
  • Mobile Datenträger sind verschlüsselt (Hardwareverschlüsselung).
  • Bildschirmsperre an Arbeitsstationen, automatische Sperrung bei längerer Abwesenheit. (30 Minuten)
  • Access of IT systems only possible via user identification and password. Access authorization is documented.
  • Passwords have to consist of at least 12 characters and must contain at least one capital letter, special character and a number.
  • Mobile data carrier are encrypted (Hardware encoding).
  • screen lock of working stations, which is triggered automatically after 30 minutes.

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

Internal Access Control

No unauthorised Reading, Copying, Changes or Deletions of Data within the system:

  • Individuelle Zugriffsrechte für jeden einzelnen Benutzer (Liste von eigener und Drittanbieter-Software mit Auflistung der zugreifenden Mitarbeiter).
  • Zugriffsberechtigungen werden aufgabenbezogen und nach dem Need-to-know-Prinzip erteilt.
  • Regelmäßige Überprüfung der Zugriffsberechtigungen. Nicht mehr erforderliche Berechtigungen (Versetzung, Ausscheiden eines Mitarbeiters) werden unverzüglich entzogen, Zugänge zu IT-System werden gesperrt.
  • Daten auf mobilen IT-Systemen sind verschlüsselt (komplettes System, Hardwareverschlüsselung).
  • individual rights authorisation concept for every user (List of own and third party software including employees, who have access)
  • need-based rights of access
  • regular controls of access rights, access rights, which are no longer needed are immediately withdrawn
  • data on mobile devices are encrypted (complete system, hard drive encryption

Trennungskontrolle/Zweckbindungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Isolation Control

The isolated Processing of Data, which is collected for differing purposes:

  • Softwareseitige Mandantentrennung.
  • Trennung von Produktiv- und Testsystemen (in getrennten Datenbanken).
  • client separation from the softwares side
  • separation of production and staging systems in different data bases

2. Integrität (Art. 32 Abs. 1 lit. b) DS-GVO)

2. Integrity (Article 32 (1) Point b GDPR)

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Data Transfer Control

No unauthorised Reading, Copying, Changes or Deletions of Data with electronic transfer or transport:

  • Übermittlungen personenbezogener Daten sind in Verfahrensübersicht dokumentiert. 
  • Datenspeicherung und -verarbeitung erfolgt auf IT-Systemen im Rechenzentrum. Verbindung zwischen Clients und Server ist besonders gesichert (SSL Verschlüsselung, privates Netzwerk).
  • Mitbringen und verwenden privater Datenträger ist untersagt. Es dürfen nur verschlüsselte betriebliche Datenträger genutzt werden. Auch unbenutzte Datenträger sind stets verschlüsselt und werden verschlossen verwahrt.
  • Wiederbeschreibbare Datenträger werden vor der Wiederverwendung nach Standard DOD 5220-220.M gelöscht.
  • Kontrollierte Vernichtung von Datenträgern mit Protokollierung (physische Vernichtung, zertifizierter Entsorger).
  • Besucher haben einen separaten WLAN Zugriff und keinen Zugriff auf betriebliches LAN/WLAN.
  • Bei Hardwaretausch werden Festplatten vorher ausgebaut, sofern möglich. Ansonsten werden Festplatten mehrfach gelöscht.  
  • Elektronische Unterzeichnung bei der Weitergabe von Daten per E-Mail
  • Documentation of the transfer of data in a records of processing activities
  • Data storage and processing on IT systems in data centres. Connection between clients and server is secure (encryption, VPN)
  • Prohibition of use of private data mediums, use of data mediums is restricted to encrypted internal data mediums. Even unused data carriers are encrypted and locked.
  • Deletion of re-writable data mediums prior to reuse in compliance with standard DOD 5220-220.M
  • Supervised destruction of data mediums with records (physical destruction, certified disposal company)
  • visitors have no access to internal WLAN / LAN
  • If hardware needs to be replaced, hard drives will be removed prior, if possible. If not the drive will be cleaned multiple times.
  • Electronic signature

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können:

Data Entry Control

Verification, whether and by whom personal data is entered into a Data Processing System, is changed or deleted:

EASYPEP Server

  • automatisierte Protokollierung der Dateneingabe, Änderung oder Löschung.
  • Protokollierung gescheiterter Zugriffsversuche.
  • Protokollierung der Aktivitäten des Systemverwalters und sämtlicher Benutzer.
  • Protokollierung aller Aktivitäten auf dem Server.

Drittanbieter

  • siehe individuelle Vereinbarungen mit den Drittanbietern
  • Sicherung der Protokolldaten gegen Verlust oder Veränderung.

EASYPEP Server

  • Automatic logging of data entry, change or deletion
  • Logging of failed access attempts
  • Logging of activities of the system administrator and of all users
  • Logging of all activities on the server

Third party providers

  • see specific agreement with third party provider
  • Protection of log data against loss, destruction or modification

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DS-GVO), rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c) DS-GVO

3. Availability and Resilience (Article 32 (1) Point b GDPR), Rapid Recovery (Article 32 (1) Point c GDPR)

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (die Angaben beziehen sich auf eigene IT-Systeme des Auftragnehmers):

Availability Control

Prevention of accidental or wilful destruction or loss

  • Datensicherheitskonzept.
  • Versionierte Daten- und Systembackups nach Backup-Plan (täglich/wöchentlich).
  • Backup-Rechenzentrum.
  • Schadsoftwareschutz. Sicherheitsrelevante Updates und Patches werden regelmäßig und zeitnah eingespielt.
  • Unterbrechnungsfreie Stromversorgung

  • Data security concept
  • Backup strategy (daily / weekly)
  • backup-data center
  • virus protection; regular and prompt security-relevant updates and patches
  • Uninterruptible power supply (UPS)

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO, Art. 25 Abs. 1 DS-GVO)

4. Procedures for regular testing, assessment and evaluation (Article 32 (1) Point d GDPR; Article 25 (1) GDPR)

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können:

Order or Contract Control

No third party data processing as per Article 28 GDPR without corresponding instructions from the Client:

  • Auftragnehmer werden sorgfältig ausgesucht.
  • Vertragliche Regelung zur Datenverarbeitung mit Dienstleistern mit Festlegung der Weisungsbefugnisse des Auftraggebers.
  • Weisungen werden grundsätzlich schriftlich erteilt.
  • Kontrolle des Auftragnehmers durch die Geschäftsführung oder den Datenschutzbeauftragten.
  • Agents are carefully selected
  • Clear and unambiguous contractual arrangements including instruction authority of the client
  • Instructions are issued in writing
  • Strict controls of the agent by the management or the data protection officer

Datenschutz-Management

Maßnahmen, die eine Steuerung der Datenschutzprozesse ermöglichen und die Einhaltung der datenschutzrechtlichen Vorgaben nachweisbar sicherstellen:

Data Protection Management
Measures that enable data protection processes to be controlled and demonstrably ensure compliance with data protection regulations:

  • Es wurde eine fachkundige Person zum Datenschutzbeauftragte benannt
  • Es gibt ein dokumentiertes Datenschutz-Management-System
  • Beschäftigte werden regelmäßig im Datenschutz geschult und sensibilisiert und sind über die Vertraulichkeit von Daten belehrt.
  • An expert was appointed to be the data protection officer
  • The data protection management is documented
  • Employees are trained in data protection on a regular basis, furthermore they are taught about the privacy of data

5. Pseudonymisierung (Art. 32 Abs. 1 lit. a) DS-GVO, Art. 25 Abs. 1 DS-GVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten in einer Weise verarbeitet werden, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.

5. Pseudonymisation (Article 32 (1) Point a GDPR, Article 25 (1) GDPR)

The processing of personal data in such a method/way, that the data cannot be associated with a specific Data Subject without the assistance of additional Information, provided that this additional information is stored separately, and is subject to appropriate technical and organizational measures.

  • Die Datenbank ist passwortgeschützt und wird in einem privaten Netzwerk verarbeitet

  • Database is saved by password and is running in a private network

Anlage 3:        Unterauftragnehmer

Appendix 3:        Subcontractors

Name, Anschrift/Land, Auftragsinhalt

name, postal address/country,

Name

name

Anschrift/Land address/country

Auftragsinhalt

subject-matter/service:

Amazon Web Services

Amazon Web Services EMEA SARL

38 avenue John F. Kennedy, L-1855, Luxemburg

Serverstandort:          Frankfurt am Main

Rechenzentrum / Hoster

Aircall

Aircall SAS (GmbH & Co. KG)

11 Rue Saint-Georges

75009 Paris

Frankreich

Kundenkommunikation/

Customer Relation Management

Cowboy Coding UG

Cowboy Coding UG

Sternstraße 106

20357 Hamburg

Customer Relation Management