geva Gesellschaft für Verhaltensanalyse und Evaluation mbH ANLAGE II Regelungen zum Datenschutz bei der Nutzung von geva-Verfahren im Rahmen von Pilotprojekten mit anonymen Teilnehmern Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der in der Nutzungsvereinbarung in ihren Einzelheiten beschriebenen Abwicklung der Beauftragung des geva-instituts ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit der Nutzungsvereinbarung in Zusammenhang stehen und bei denen Mitarbeiter des geva-instituts oder durch das geva-institut beauftragte Dritte mit personenbezogenen Daten der Mitarbeiter des Auftraggebers in Berührung kommen können. 1. Allgemeines Elisabethstraße 25 80796 München Tel. +49 89 273211-0 Fax +49 89 273211-11 [email protected] www.geva-institut.de Geschäftsführung: Gerhard Bruns Britta Grebe-Bruns Michael Kratzmair Handelsregister München HRB 85870 USt-IdNr. DE129357746 1.1 Das Bundesdatenschutzgesetz (BDSG) als rechtlicher Rahmen Für die Nutzung der geva-Verfahren gilt das Bundesdatenschutzgesetz (BDSG) in seiner jeweils gültigen Fassung. Sofern der Auftraggeber dem Anwendungsbereich eines Datenschutzgesetzes (DSG) eines Bundeslandes unterliegt, verpflichtet sich das geva-institut, zum Schutz personenbezogener Daten die Bestimmungen dieses DSG zu befolgen. 1.2 Umfang, Art und Zweck der Datenverarbeitung Das Verfahrensverzeichnis gemäß § 4g BDSG ist als Anhang 1 der ANLAGE II beigefügt. 1.3 Örtlicher Bereich Die Erhebung, Verarbeitung und/oder Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind. 2. Rechte und Pflichten des geva-instituts und des Auftraggebers beim Datenschutz 2.1 Der Auftraggeber sowie das geva-institut werden bei der Durchführung der geva-Verfahren die Bestimmungen des Bundesdatenschutzgesetzes sowie der sonstigen datenschutzrechtlichen Bestimmungen beachten. Das geva-institut ist beim Bayerischen Landesamt für Datenschutzaufsicht für den nicht-öffentlichen Bereich (früher zuständig: Regierung von Mittelfranken) unter der Registriernummer DSA-1085.6-49 entsprechend § 4d BDSG gemeldet. Das geva-institut hat einen Datenschutzbeauftragten gemäß § 4f BDSG bestellt. 2.2 In begründeten Fällen darf das geva-institut bezüglich aller für die Durchführung dieses Vertrages erforderlichen datenschutzrelevanten Sachverhalte vom Auftraggeber Auskunft verlangen. 2.3 Bei der Durchführung der geva-Verfahren sind vom Auftraggeber oder aufgrund gesonderter Vereinbarung vom geva-institut gemäß Weisung des Auftraggebers gegenüber dem Teilnehmer Hinweise zum Ablauf der geva-Verfahren und zum Umgang mit seinen Daten zu geben. Der Teilnehmer ist dabei insbesondere über die Empfänger der Auswertung und den Verarbeitungszweck zu informieren. 2.4 Zusätzlichen Personen dürfen Auswertungen der geva-Verfahren nur mit dem ausdrücklichen schriftlichen Einverständnis der Teilnehmer zur Kenntnis gelangen. © 2016 geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V07.2016 Seite 1 Stadtsparkasse München IBAN DE57 7015 0000 0023 1066 77 BIC SSKMDEMM BLZ 701 500 00 Kto. 23 106 677 Deutsche Bank München IBAN DE34 7007 0024 0663 7441 00 BIC DEUTDEDBMUC BLZ 700 700 24 Kto. 663 744 100 Will der Auftraggeber die Ergebnisse der geva-Verfahren anderen Personen zur Kenntnis geben, so hat er diesbezüglich den Teilnehmer vor der Durchführung der geva-Verfahren darauf hinzuweisen und dessen Einwilligung einzuholen; dies kann durch eine schriftliche Einverständnis- und Datenschutzerklärung für die Inempfangnahme und Nutzung des Ergebnisses geschehen. 2.5 Der Auftraggeber verpflichtet sich, sofern und soweit erforderlich, die von ihm für den Datenschutz aufgestellten Regelungen und verwendeten Unterlagen nach entsprechender Aufforderung durch das geva-institut den datenschutzrechtlichen Anforderungen zur Durchführung der geva-Verfahren unentgeltlich anzupassen. 2.6 Allgemeine Regelungen 2.6.1 Hinweispflichten der Vertragsparteien Das geva-institut weist den Auftraggeber unverzüglich darauf hin, wenn eine Weisung nach seiner Ansicht gegen das BDSG oder eine andere Datenschutzvorschrift verstößt. Der Auftraggeber seinerseits hat bei der Feststellung von Fehlern oder Unregelmäßigkeiten, die er insbesondere bei der Prüfung von Ergebnissen feststellt, unverzüglich das gevainstitut zu informieren. 2.6.2 Verantwortung für die rechtliche Zulässigkeit der Datenverarbeitung Der Auftraggeber ist alleine verantwortlich für die Beurteilung der datenschutzrechtlichen Zulässigkeit der durchgeführten Datenverarbeitung durch das geva-institut. Dies umfasst insbesondere die Berichtigung, Löschung und Sperrung von Daten. 2.6.3 Wahrung der Betroffenenrechte Der Auftraggeber ist alleine verantwortlich für die Wahrung der Rechte der Betroffenen. 2.6.4 Verpflichtungserklärungen Das geva-institut ist verpflichtet, das Datengeheimnis zu wahren, § 5 BDSG. Die Mitarbeiter des geva-instituts sind auf das Datengeheimnis verpflichtet. 2.6.5 Technische und organisatorische Maßnahmen entsprechend § 9 BDSG Das geva-institut sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten allgemeinen, technischen und organisatorischen Maßnahmen entsprechend § 9 BDSG sowie gemäß Anlage zu § 9 BDSG zu. Die Maßnahmen sind im Anhang 2 zu dieser ANLAGE II dargestellt. Der Nachweis zur Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen wird durch eine dieser ANLAGE II beigefügten Fotokopie einer aktuellen Bestätigung des Betrieblichen Datenschutzbeauftragten des geva-instituts erbracht. Insbesondere wird das geva-institut seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Es wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes entsprechen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem geva-institut gestattet, alternative adäquate Maßnahmen umzusetzen. © 2016 geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V07.2016 Seite 2 Anhang 1 zur ANLAGE II Verfahrensverzeichnis gemäß § 4g BDSG (Verfahrensverzeichnis für jedermann) Durchführung von geva-Verfahren, insbesondere geva-Testverfahren Das Verfahren ist nicht Teil eines gemeinsamen oder verbundenen Verfahrens nach § 10 BDSG: 1. Verantwortliche Stelle Name / Bezeichnung der verantwortlichen Stelle geva-institut geva Gesellschaft für Verhaltensanalyse und Evaluation mbH Elisabethstraße 25, 80796 München Telefon +49 89 273211-0 Telefax +49 89 273211-11 E-Mail: [email protected] Internet: www.geva-institut.de 2. Vertretung 2.1 Leitung der verantwortlichen Stelle (einschl. Vertreter) Michael Kratzmair, Geschäftsführer Gerhard Bruns, Geschäftsführer Britta Grebe-Bruns, Geschäftsführerin 2.2. Mit der Leitung der Datenverarbeitung beauftragte Person(en) Markus Strauß 3. Angaben zur Person des 3.1 betrieblichen Datenschutzbeauftragten Frank Schabert Elisabethstraße 25, 80796 München Telefon +49 89 273211-0 Telefax +49 89 273211-11 E-Mail: [email protected] Internet: www.geva-institut.de 3.2 externen Datenschutzbeauftragten Rechtsanwalt Andreas M. Harder Candidplatz 13, 81543 München Telefon: +49 89 614696-50 Telefax: +49 89 614696-66 E-Mail: [email protected] Internet: www.advocando.de © 2016 geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V07.2016 Seite 3 4. Zweckbestimmung, Verfahrensbezeichnung, Rechtsgrundlage 4.1 Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung Durchführung und Auswertung von Testverfahren im Rahmen der Personalauswahl, der Eignungsdiagnostik, der Potentialanalyse, der Personalentwicklung oder der beruflichen Orientierung 4.2 ggf. Bezeichnung des Verfahrens Online- bzw. Printtestungen mit Teilnahmebedingungen; Erstellung von Auswertungen für den Auftraggeber. 4.3 Rechtsgrundlage (ggf. nach Art der Datenverarbeitung unterschieden) Einwilligung des Teilnehmers bzw. dessen gesetzlichen Vertreters. 5. Betroffene Personengruppen und Daten oder Datenkategorien 5.1 Beschreibung der betroffenen Personengruppen Bewerber und/oder Mitarbeiter des Auftraggebers bzw. in sonstiger Weise mit dem Auftraggeber verbundene Personen. 5.2 Beschreibung der diesbezüglichen Daten oder Datenkategorien Personaldaten; Testungsdaten; Verwaltungsdaten des Auftraggebers (z.B. Ansprechpartner, Adress-, Vertrags-, Zahlungs-, Steuerungsdaten). 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können; bei Datentransfer in Drittstaaten siehe Nr. 8 Auftraggeber. 7. Regelfristen für die Löschung der Daten, Zeitraum Nach Weisung des Auftraggebers, regelmäßig nach Ablauf der vertraglichen Aufbewahrungsfristen. 8. Geplante Übermittlung in Drittstaaten Keine Übermittlung in Drittstaaten. © 2016 geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V07.2016 Seite 4 Anhang 2 zur ANLAGE II Allgemeine technische und organisatorische Maßnahmen des geva-instituts nach § 9 BDSG und dessen Anlage (Änderungen/Ergänzungen bleiben vorbehalten) 1. Zutrittskontrolle Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten: Zutrittskontrollsystem durch vorhandenen Empfang Schlüssel/Schlüsselvergabe durch zentrale Schlüsselvergabe Türsicherung (elektrische Türöffner usw.) durch elektrischen Türöffner, Sicherheitsschloss Überwachungseinrichtung durch Alarmanlage 2. Zugangskontrolle Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung: Kennwortverfahren (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts): Das Kennwort enthält Buchstaben, Ziffern und Sonderzeichen und ist zwischen 8 und 16 Zeichen lang. Das Kennwort wird turnusmäßig gewechselt Automatische Sperrung (z. B. Kennwort oder Pausenschaltung): Falscheingabe des Kennwortes führt zur Sperrung des Benutzerzugangs; dieser muss anschließend durch einen Administrator entsperrt werden. Automatische Sperrung eines DV-Arbeitsplatzes erfolgt spätestens nach 5 Minuten; zur Reaktivierung ist Kennworteingabe erforderlich Einrichtung eines Benutzerstammsatzes pro User: Jeder Benutzer hat einen eigenen Benutzerstammsatz Verschlüsselung von Datenträgern: keine 3. Zugriffskontrolle Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung: Die Zugriffskontrolle erfolgt durch zentrale Rechtevergabe. Die Zugriffsrechte orientieren sich an den Anforderungen im Rahmen der ausgeübten Tätigkeit. Neben dem eigentlichen Zugriffsrecht werden auch Bearbeitungsrechte (Lesen, Schreiben, Löschen) vergeben. Die Zugriffe auf DV-Systeme werden nach Benutzer und Zugriffsart protokolliert und ausgewertet. 4. Weitergabekontrolle Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung: Ergebnisdokumente, die ggf. personenbezogene Daten enthalten, werden elektronisch per Download über das Online-Administrationssystem oder per E-Mail übermittelt. Die Download-Daten werden über eine HTTPS Verbindung übertra- © 2016 geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V07.2016 Seite 5 gen und sind nur von autorisierten und registrierten Mitarbeitern des Auftraggebers nach einem Login erreichbar. Bei E-Mail Übermittlungen werden diese Daten mit Passwort verschlüsselt. Die Übermittlung können nur entsprechend berechtigte Personen vornehmen. 5. Eingabekontrolle Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind: Zugriffe auf alle relevanten DV-Systeme (Datenbanken, File-System, E-Mail) werden nach Benutzer und Zugriffsart protokolliert (siehe auch Punkt 3). Abhängig vom DV-System können die Protokolle im Rahmen ihrer jeweiligen Vorhaltezeit ausgewertet werden. 6. Auftragskontrolle Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer: Siehe ggf. Nutzungsvereinbarung 7. Verfügbarkeitskontrolle Maßnahmen zur Datensicherung (physikalisch / logisch): Backup-Verfahren Redundantes System-Cluster durch mehrere ESX-Server Mehrere virtuelle Server innerhalb eines Clusters Loadbalancer Unterbrechungsfreie Stromversorgung (USV) Getrennte Aufbewahrung Virenschutz / Firewall Notfallplan Personenbezogene Daten werden ausschließlich auf Servern (Datenbank- / File-Server) gespeichert. Alle Server-Festplatten werden im gespiegelten Modus betrieben. Ihr Inhalt wird je nach Server-Typ im Rahmen eines mehrstufigen Backup-Plans gesichert. Die gesicherten Inhalte werden an einem vom jeweiligen Server unabhängigen Ort aufbewahrt. USV vorhanden. Das gesamte Netzwerk des geva-instituts ist durch zwei Firewalls geschützt. Alle DV-Systeme (Server, Clients) im Netzwerk des geva-instituts sind mit einer zentral gesteuerten Virenschutzanwendung ausgestattet. 8. Trennungskontrolle Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken: „Interne Mandantenfähigkeit“/ Zweckbindung Funktionstrennung / Produktion / Test Die mandantenfähige Verarbeitung der personenbezogenen Daten kann zu jeder Zeit auch physisch sichergestellt werden. Die logische Trennung ist gewährleistet. © 2016 geva-institut, München. Alle Rechte vorbehalten NVF_Pilot_Anlage_II_Datenschutz_V07.2016 Seite 6
© Copyright 2024 ExpyDoc