ANLAGE II: Regelungen zum Datenschutz - Das geva

geva Gesellschaft für
Verhaltensanalyse
und Evaluation mbH
ANLAGE II
Regelungen zum Datenschutz bei der Nutzung von geva-Verfahren im
Rahmen von Pilotprojekten mit anonymen Teilnehmern
Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die
sich aus der in der Nutzungsvereinbarung in ihren Einzelheiten beschriebenen Abwicklung der
Beauftragung des geva-instituts ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit der
Nutzungsvereinbarung in Zusammenhang stehen und bei denen Mitarbeiter des geva-instituts
oder durch das geva-institut beauftragte Dritte mit personenbezogenen Daten der Mitarbeiter des Auftraggebers in Berührung kommen können.
1.
Allgemeines
Elisabethstraße 25
80796 München
Tel. +49 89 273211-0
Fax +49 89 273211-11
[email protected]
www.geva-institut.de
Geschäftsführung:
Gerhard Bruns
Britta Grebe-Bruns
Michael Kratzmair
Handelsregister München
HRB 85870
USt-IdNr. DE129357746
1.1
Das Bundesdatenschutzgesetz (BDSG) als rechtlicher Rahmen
Für die Nutzung der geva-Verfahren gilt das Bundesdatenschutzgesetz (BDSG) in seiner
jeweils gültigen Fassung. Sofern der Auftraggeber dem Anwendungsbereich eines Datenschutzgesetzes (DSG) eines Bundeslandes unterliegt, verpflichtet sich das geva-institut, zum Schutz personenbezogener Daten die Bestimmungen dieses DSG zu befolgen.
1.2
Umfang, Art und Zweck der Datenverarbeitung
Das Verfahrensverzeichnis gemäß § 4g BDSG ist als Anhang 1 der ANLAGE II beigefügt.
1.3
Örtlicher Bereich
Die Erhebung, Verarbeitung und/oder Nutzung der Daten findet ausschließlich im Gebiet
der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in
einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum
statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG
erfüllt sind.
2.
Rechte und Pflichten des geva-instituts und des Auftraggebers beim Datenschutz
2.1
Der Auftraggeber sowie das geva-institut werden bei der Durchführung der geva-Verfahren die Bestimmungen des Bundesdatenschutzgesetzes sowie der sonstigen datenschutzrechtlichen Bestimmungen beachten. Das geva-institut ist beim Bayerischen Landesamt
für Datenschutzaufsicht für den nicht-öffentlichen Bereich (früher zuständig: Regierung
von Mittelfranken) unter der Registriernummer DSA-1085.6-49 entsprechend § 4d BDSG
gemeldet. Das geva-institut hat einen Datenschutzbeauftragten gemäß § 4f BDSG bestellt.
2.2
In begründeten Fällen darf das geva-institut bezüglich aller für die Durchführung dieses
Vertrages erforderlichen datenschutzrelevanten Sachverhalte vom Auftraggeber Auskunft
verlangen.
2.3
Bei der Durchführung der geva-Verfahren sind vom Auftraggeber oder aufgrund gesonderter Vereinbarung vom geva-institut gemäß Weisung des Auftraggebers gegenüber dem
Teilnehmer Hinweise zum Ablauf der geva-Verfahren und zum Umgang mit seinen Daten
zu geben. Der Teilnehmer ist dabei insbesondere über die Empfänger der Auswertung und
den Verarbeitungszweck zu informieren.
2.4
Zusätzlichen Personen dürfen Auswertungen der geva-Verfahren nur mit dem ausdrücklichen schriftlichen Einverständnis der Teilnehmer zur Kenntnis gelangen.
© 2016 geva-institut, München. Alle Rechte vorbehalten
NVF_Pilot_Anlage_II_Datenschutz_V07.2016
Seite 1
Stadtsparkasse München
IBAN DE57 7015 0000 0023 1066 77
BIC SSKMDEMM
BLZ 701 500 00
Kto. 23 106 677
Deutsche Bank München
IBAN DE34 7007 0024 0663 7441 00
BIC DEUTDEDBMUC
BLZ 700 700 24
Kto. 663 744 100
Will der Auftraggeber die Ergebnisse der geva-Verfahren anderen Personen zur Kenntnis
geben, so hat er diesbezüglich den Teilnehmer vor der Durchführung der geva-Verfahren
darauf hinzuweisen und dessen Einwilligung einzuholen; dies kann durch eine schriftliche
Einverständnis- und Datenschutzerklärung für die Inempfangnahme und Nutzung des Ergebnisses geschehen.
2.5
Der Auftraggeber verpflichtet sich, sofern und soweit erforderlich, die von ihm für den
Datenschutz aufgestellten Regelungen und verwendeten Unterlagen nach entsprechender
Aufforderung durch das geva-institut den datenschutzrechtlichen Anforderungen zur
Durchführung der geva-Verfahren unentgeltlich anzupassen.
2.6
Allgemeine Regelungen
2.6.1
Hinweispflichten der Vertragsparteien
Das geva-institut weist den Auftraggeber unverzüglich darauf hin, wenn eine Weisung
nach seiner Ansicht gegen das BDSG oder eine andere Datenschutzvorschrift verstößt.
Der Auftraggeber seinerseits hat bei der Feststellung von Fehlern oder Unregelmäßigkeiten, die er insbesondere bei der Prüfung von Ergebnissen feststellt, unverzüglich das gevainstitut zu informieren.
2.6.2
Verantwortung für die rechtliche Zulässigkeit der Datenverarbeitung
Der Auftraggeber ist alleine verantwortlich für die Beurteilung der datenschutzrechtlichen
Zulässigkeit der durchgeführten Datenverarbeitung durch das geva-institut. Dies umfasst
insbesondere die Berichtigung, Löschung und Sperrung von Daten.
2.6.3
Wahrung der Betroffenenrechte
Der Auftraggeber ist alleine verantwortlich für die Wahrung der Rechte der Betroffenen.
2.6.4
Verpflichtungserklärungen
Das geva-institut ist verpflichtet, das Datengeheimnis zu wahren, § 5 BDSG. Die Mitarbeiter des geva-instituts sind auf das Datengeheimnis verpflichtet.
2.6.5
Technische und organisatorische Maßnahmen entsprechend § 9 BDSG
Das geva-institut sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung
der vereinbarten allgemeinen, technischen und organisatorischen Maßnahmen entsprechend § 9 BDSG sowie gemäß Anlage zu § 9 BDSG zu.
Die Maßnahmen sind im Anhang 2 zu dieser ANLAGE II dargestellt. Der Nachweis zur
Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen wird durch
eine dieser ANLAGE II beigefügten Fotokopie einer aktuellen Bestätigung des Betrieblichen Datenschutzbeauftragten des geva-instituts erbracht.
Insbesondere wird das geva-institut seine innerbetriebliche Organisation so gestalten,
dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Es wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes entsprechen. Die technischen und organisatorischen Maßnahmen
unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem
geva-institut gestattet, alternative adäquate Maßnahmen umzusetzen.
© 2016 geva-institut, München. Alle Rechte vorbehalten
NVF_Pilot_Anlage_II_Datenschutz_V07.2016
Seite 2
Anhang 1 zur ANLAGE II
Verfahrensverzeichnis gemäß § 4g BDSG (Verfahrensverzeichnis für jedermann)
Durchführung von geva-Verfahren, insbesondere geva-Testverfahren
Das Verfahren ist nicht Teil eines gemeinsamen oder verbundenen Verfahrens nach
§ 10 BDSG:
1.
Verantwortliche Stelle
Name / Bezeichnung der verantwortlichen Stelle
geva-institut
geva Gesellschaft für Verhaltensanalyse und Evaluation mbH
Elisabethstraße 25, 80796 München
Telefon +49 89 273211-0
Telefax +49 89 273211-11
E-Mail: [email protected]
Internet: www.geva-institut.de
2.
Vertretung
2.1
Leitung der verantwortlichen Stelle (einschl. Vertreter)
Michael Kratzmair, Geschäftsführer
Gerhard Bruns, Geschäftsführer
Britta Grebe-Bruns, Geschäftsführerin
2.2. Mit der Leitung der Datenverarbeitung beauftragte Person(en)
Markus Strauß
3.
Angaben zur Person des
3.1
betrieblichen Datenschutzbeauftragten
Frank Schabert
Elisabethstraße 25, 80796 München
Telefon +49 89 273211-0
Telefax +49 89 273211-11
E-Mail: [email protected]
Internet: www.geva-institut.de
3.2
externen Datenschutzbeauftragten
Rechtsanwalt Andreas M. Harder
Candidplatz 13, 81543 München
Telefon: +49 89 614696-50
Telefax: +49 89 614696-66
E-Mail: [email protected]
Internet: www.advocando.de
© 2016 geva-institut, München. Alle Rechte vorbehalten
NVF_Pilot_Anlage_II_Datenschutz_V07.2016
Seite 3
4.
Zweckbestimmung, Verfahrensbezeichnung, Rechtsgrundlage
4.1
Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung
Durchführung und Auswertung von Testverfahren im Rahmen der Personalauswahl, der Eignungsdiagnostik, der Potentialanalyse, der Personalentwicklung oder
der beruflichen Orientierung
4.2
ggf. Bezeichnung des Verfahrens
Online- bzw. Printtestungen mit Teilnahmebedingungen;
Erstellung von Auswertungen für den Auftraggeber.
4.3
Rechtsgrundlage (ggf. nach Art der Datenverarbeitung unterschieden)
Einwilligung des Teilnehmers bzw. dessen gesetzlichen Vertreters.
5.
Betroffene Personengruppen und Daten oder Datenkategorien
5.1
Beschreibung der betroffenen Personengruppen
Bewerber und/oder Mitarbeiter des Auftraggebers bzw. in sonstiger Weise mit dem
Auftraggeber verbundene Personen.
5.2
Beschreibung der diesbezüglichen Daten oder Datenkategorien
Personaldaten; Testungsdaten;
Verwaltungsdaten des Auftraggebers (z.B. Ansprechpartner, Adress-, Vertrags-, Zahlungs-, Steuerungsdaten).
6.
Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt
werden können; bei Datentransfer in Drittstaaten siehe Nr. 8
Auftraggeber.
7.
Regelfristen für die Löschung der Daten, Zeitraum
Nach Weisung des Auftraggebers, regelmäßig nach Ablauf der vertraglichen
Aufbewahrungsfristen.
8.
Geplante Übermittlung in Drittstaaten
Keine Übermittlung in Drittstaaten.
© 2016 geva-institut, München. Alle Rechte vorbehalten
NVF_Pilot_Anlage_II_Datenschutz_V07.2016
Seite 4
Anhang 2 zur ANLAGE II
Allgemeine technische und organisatorische Maßnahmen des geva-instituts
nach § 9 BDSG und dessen Anlage (Änderungen/Ergänzungen bleiben vorbehalten)
1.
Zutrittskontrolle
Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:
 Zutrittskontrollsystem durch vorhandenen Empfang
 Schlüssel/Schlüsselvergabe durch zentrale Schlüsselvergabe
 Türsicherung (elektrische Türöffner usw.) durch elektrischen Türöffner,
Sicherheitsschloss
 Überwachungseinrichtung durch Alarmanlage
2.
Zugangskontrolle
Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:
 Kennwortverfahren (u. a. Sonderzeichen, Mindestlänge, regelmäßiger
Wechsel des Kennworts):
Das Kennwort enthält Buchstaben, Ziffern und Sonderzeichen und ist zwischen 8 und 16 Zeichen lang. Das Kennwort wird turnusmäßig gewechselt
 Automatische Sperrung (z. B. Kennwort oder Pausenschaltung):
Falscheingabe des Kennwortes führt zur Sperrung des Benutzerzugangs;
dieser muss anschließend durch einen Administrator entsperrt werden.
Automatische Sperrung eines DV-Arbeitsplatzes erfolgt spätestens nach 5
Minuten; zur Reaktivierung ist Kennworteingabe erforderlich
 Einrichtung eines Benutzerstammsatzes pro User:
Jeder Benutzer hat einen eigenen Benutzerstammsatz
 Verschlüsselung von Datenträgern:
keine
3.
Zugriffskontrolle
Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:
Die Zugriffskontrolle erfolgt durch zentrale Rechtevergabe. Die Zugriffsrechte orientieren sich an den Anforderungen im Rahmen der ausgeübten Tätigkeit. Neben dem eigentlichen Zugriffsrecht werden auch Bearbeitungsrechte (Lesen, Schreiben, Löschen) vergeben.
Die Zugriffe auf DV-Systeme werden nach Benutzer und Zugriffsart protokolliert und ausgewertet.
4.
Weitergabekontrolle
Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:
Ergebnisdokumente, die ggf. personenbezogene Daten enthalten, werden elektronisch per Download über das Online-Administrationssystem oder per E-Mail
übermittelt. Die Download-Daten werden über eine HTTPS Verbindung übertra-
© 2016 geva-institut, München. Alle Rechte vorbehalten
NVF_Pilot_Anlage_II_Datenschutz_V07.2016
Seite 5
gen und sind nur von autorisierten und registrierten Mitarbeitern des Auftraggebers nach einem Login erreichbar. Bei E-Mail Übermittlungen werden diese
Daten mit Passwort verschlüsselt. Die Übermittlung können nur entsprechend berechtigte Personen vornehmen.
5.
Eingabekontrolle
Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:
Zugriffe auf alle relevanten DV-Systeme (Datenbanken, File-System, E-Mail)
werden nach Benutzer und Zugriffsart protokolliert (siehe auch Punkt 3).
Abhängig vom DV-System können die Protokolle im Rahmen ihrer jeweiligen
Vorhaltezeit ausgewertet werden.
6.
Auftragskontrolle
Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer:
Siehe ggf. Nutzungsvereinbarung
7.
Verfügbarkeitskontrolle
Maßnahmen zur Datensicherung (physikalisch / logisch):
 Backup-Verfahren
 Redundantes System-Cluster durch mehrere ESX-Server
 Mehrere virtuelle Server innerhalb eines Clusters
 Loadbalancer
 Unterbrechungsfreie Stromversorgung (USV)
 Getrennte Aufbewahrung
 Virenschutz / Firewall
 Notfallplan
Personenbezogene Daten werden ausschließlich auf Servern (Datenbank- /
File-Server) gespeichert. Alle Server-Festplatten werden im gespiegelten
Modus betrieben. Ihr Inhalt wird je nach Server-Typ im Rahmen eines
mehrstufigen Backup-Plans gesichert. Die gesicherten Inhalte werden an
einem vom jeweiligen Server unabhängigen Ort aufbewahrt.
USV vorhanden.
Das gesamte Netzwerk des geva-instituts ist durch zwei Firewalls geschützt.
Alle DV-Systeme (Server, Clients) im Netzwerk des geva-instituts sind
mit einer zentral gesteuerten Virenschutzanwendung ausgestattet.
8.
Trennungskontrolle
Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:
 „Interne Mandantenfähigkeit“/ Zweckbindung
 Funktionstrennung / Produktion / Test
Die mandantenfähige Verarbeitung der personenbezogenen Daten kann zu
jeder Zeit auch physisch sichergestellt werden. Die logische Trennung ist
gewährleistet.
© 2016 geva-institut, München. Alle Rechte vorbehalten
NVF_Pilot_Anlage_II_Datenschutz_V07.2016
Seite 6