Vereinbarung hokify Joint-Controllership

Vertragsparteien

Zwischen der hokify GmbH, FN 439296z, mit Sitz in Österreich, 1020 Wien, Jakov-Lind-Straße 2/Stiege 2 – im Folgenden auch kurz als hokify oder Verantwortlicher1 bezeichnet – und

und

mit Sitz in
,
,
,
- im Folgenden auch kurz als Auftraggeber oder Verantwortlicher2 bezeichnet – wird der folgende Vertrag geschlossen:

Präambel

Der Auftraggeber nutzt hokify zur Suche von neuen Mitarbeitern. Bei hokify handelt es sich um eine mobile Job-Plattform bei der potentielle Arbeitgeber Zugriff auf Bewerberdaten erhalten a) weil Bewerber sich auf ein ausgeschriebenes Inserat melden oder b) weil der Arbeitgeber die Funktion hokify Kanddiatensuche nutzt bei der auf hokify registrierte Kandidaten angesprochen werden können. In beiden Fällen legen Bewerber Accounts mit Ihren Bewerberdaten bei hokify an und können diese Accounts a) zur Suche für Arbeitgeber freischalten oder b) zur Bewerbung für ein Inserat nutzen. Der Account und die dort hinterlegten personenbezogenen Daten können vom Bewerber jederzeit durch Anfrage an hokify gelöscht werden. hokify ist gemäß den Bestimmungen der DSGVO Verantwortlicher, da es die Bewerberdaten gemäß ihren eigenen Strukturen zum Zwecke der Zusammenführung mit potentiellen Arbeitgeber verarbeitet. Sohin hat es einen rechtlichen und tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden. Ebenso ist der Auftraggeber für die Funktion Kandidatensuche gemäß den Bestimmungen der DSGVO Verantwortlicher, da die Bewerberdaten in dessen Unternehmen zum Zwecke der Mitarbeitersuche verarbeitet werden, ohne dass es zu einer Weisung durch hokify kommt oder kommen kann. Der Auftraggeber hat einen rechtlichen und tatsächlichen Einfluss auf die Entscheidung, wie personenbezogene Daten verarbeitet werden. Es handelt sich daher um eine gemeinsame Verantwortung. Es handelt sich daher um die Übermittlung von einem Verantwortlichen (hokify) an einen anderen Verantwortlichen (Auftraggeber), wobei der Erlaubnistatbestand der Übermittlung an und Verarbeitung durch den Auftraggeber in der Handlung der zweckgebundenen freiwilligen Überlassung der Daten durch den Bewerber an hokify sowie der informierten Einwilligung in die Überlassung an Dritte ist.

Vertragsgegenstand

Die Vertragsparteien planen bzw. unterhalten bereits eine Geschäftsbeziehung. Es handelt sich hierbei um nachstehend beschriebene Dienstleistung/Auftrag, die im Folgenden auch als Hauptvertrag bezeichnet wird. Auf den Hauptvertrag wird verwiesen:
hokify Kandidatensuche: Zugriff auf die hokify Bewerberdatenbank, Suche nach geeigneten Kandidaten und gegebenenfalls Kontaktaufnahme mit Bewerbern aus dem hokify Pool.

Gegenstand, Dauer und Umfang richten sich ausschließlich nach dem Hauptvertrag, insofern nicht in diesem Vertrag aus rechtlichen Notwendigkeiten abweichende Erfordernisse getroffen werden mussten.

Im Rahmen des Hauptvertrages erbringt hokify an den Auftraggeber Dienstleistungen, die im Hauptvertrag näher beschrieben sind. Hierbei kommt es zur Übermittlung von personenbezogenen Daten der Bewerber an den Auftraggeber aus der Bewerberdatenbank. Daher ist es erforderlich, dass die Vertragsparteien eine Vereinbarung zur gemeinsamen Datenverarbeitung gem. Art. 26 EU-DSGVO schließen. Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, welche mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte der Vertragsparteien oder durch diese Beauftragte personenbezogene Daten im Rahmen des Hauptvertrages verarbeiten.
Beide Vertragsparteien sind im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich („Verantwortliche“ im Sinne des Art. 4 Ziff. 7 DSGVO). Dabei legen beide Verantwortliche im Rahmen des Hauptvertrages und der gegenständlichen Joint-Controllership-Vereinbarung die Zwecke und Mittel der Verarbeitung eigenständig fest.
Beide Vertragsparteien führen für die Verarbeitung ein Verzeichnis der bei ihnen stattfindenden Verarbeitungstätigkeiten im Sinne des Art. 30 DSGVO. Auf wechselseitige Anforderung werden die für die Übersicht nach Art. 30 DSGVO notwendigen Angaben zur Verfügung gestellt.

Definitionen

Personenbezogene Daten: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verantwortlicher: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Drittland: Ein Land, das sich außerhalb der EU/EWR befindet.

Dies vorausgeschickt, vereinbaren die Vertragsparteien zum Schutz der obigen Informationen und personenbezogenen Daten, welche zum Zweck der Verarbeitung von hokify an den Auftraggeber übermittelt werden, im Sinne der DSGVO und der Vertraulichkeit Nachstehendes:

Datenschutz

  1. Datenverarbeitung Auftraggeber:

    Der Auftraggeber verarbeitet im Einzelnen folgende personenbezogene Daten:

    • Bewerber in der hokify Bewerberdatenbank (hokify Kandidatenpool): Name, Vorname, Kontaktdaten und weitere personenbezogene Daten, die aus dem Bewerbungsschreiben und dem Lebenslauf hervorgehen im Rahmen des Bewerbungsprozesses und Bewerbermanagements sowie zum Support und zur Wartung des Systems.
    • Mitarbeiter von hokify: Name, Vorname, Kontaktdaten im Rahmen der vertraglichen Zusammenarbeit sowie zum Support und zur Wartung des Systems.

  2. Datenverarbeitung hokify:

    hokify verarbeitet im Einzelnen folgende personenbezogene Daten:

    • Bewerberdaten die bei der Nutzung von hokify entstehen aufgrund deren freiwilliger Bekanntgabe bzw. Registrierung: Name, Vorname, Kontaktdaten und weitere personenbezogene Daten, die aus dem Lebenslauf hervorgehen im Rahmen der Nutzung der hokify Funktionen “Bewerbung über hokify” und “Kandidat will gefunden werden” sowie zum Support und zur Wartung des Systems.
    • Mitarbeiter des Auftraggebers: Name, Vorname, Kontaktdaten im Rahmen der vertraglichen Zusammenarbeit sowie zum Support und zur Wartung des Systems.

  3. Datenverwendung Auftraggeber:

    Der Auftraggeber verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen des Hauptvertrages, der Joint-Controllership-Vereinbarung, der Allgemeinen Geschäftsbedingungen von hokify sowie der geltenden datenschutzrechtlichen Bestimmungen zu den unter Punkt V.1. genannten Zwecken zu verarbeiten. Die Vervielfältigung der erhaltenen personenbezogenen Daten, Unterlagen und Informationen durch den Auftraggeber bedarf ausdrücklich der vorherigen schriftlichen Zustimmung von hokify. Desgleichen bedarf eine Verwendung der überlassenen Daten für andere Zwecke des Auftraggebers der vorherigen schriftlichen Zustimmung von hokify. Der Auftraggeber verpflichtet sich zur Dokumentation der Datenverarbeitung von Bewerberdaten und Offenlegung gegenüber hokify auf Anfrage. Der Auftraggeber bestätigt und garantiert mit der Einwilligung in diese Vereinbarung, dass sämtliche ihn betreffenden datenschutzrechtlichen Bestimmungen eingehalten werden.

  4. Datenverwendung hokify:

    hokify verpflichtet sich, Bewerbern vor der Anlage eines Accounts die notwendigen Datenschutzinformationen in rechtlich ausreichender Form zur Verfügung zu stellen, damit Bewerber informiert, freiwillig und vorab darüber entscheiden können, ob und in welchem Ausmaße ihre personenbezogenen Daten im Account potentiellen Arbeitgebern zur Verfügung gestellt werden. hokify verpflichtet sich zur Dokumentation der Rechtmäßigkeit der Datenverarbeitung von Bewerberdaten. Weiters verpflichtet sich hokify Bewerberdaten nur Unternehmen zur Verfügung zu stellen, die der gegenständlichen Vereinbarung zustimmen und personenbezogene Daten gemäß den geltenden datenschutzrechtlichen Standards verarbeiten.

  5. Verpflichtung zur Verschwiegenheit:

    Die Vertragsparteien erklären, dass alle mit der Datenverarbeitung beauftragten Personen, insbesondere die Mitarbeiter, vor Aufnahme der Tätigkeit zur Wahrung des Datengeheimnisses im Sinne der DSGVO verpflichtet wurden. Dies gilt insbesondere für sämtliche Erhebungen, Verarbeitungen und Nutzungen von personen- und firmenbezogenen Daten, die die Vertragsparteien im Zusammenhang mit dem von Auftraggeber beauftragten Leistungen durchführen. Insbesondere bleibt die Verschwiegenheitsverpflichtung, der mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht. Die Verpflichtung zur Verschwiegenheit ist auch für Daten von juristischen Personen und handelsrechtlichen Personengesellschaften einzuhalten.

  6. Verschwiegenheitserklärung der Mitarbeiter:

    Die Vertragsparteien setzen im Rahmen der Vertragsbeziehung nur solche Mitarbeiter ein, die bei der Aufnahme ihrer Tätigkeit gemäß der DSGVO auf das Datengeheimnis und die in dieser Vereinbarung geregelten Voraussetzungen mit schriftlicher Bestätigung verpflichtet worden sind. Vertrauliche Informationen werden nur an berechtigte Personen weitergegeben, die sie aufgrund ihrer Tätigkeit zur Erreichung des Zwecks dieser Vereinbarung erhalten müssen.

  7. Sperre:

    Der Auftraggeber darf Daten von betroffenen Personen (Bewerbern) nur im Rahmen dieses Vertrages zu den hierin genannten Zwecken verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 lit. a DSGVO vor. Der Auftraggeber informiert hokify unverzüglich, wenn er der Auffassung ist, dass ein Verstoß gegen datenschutzrechtliche Bestimmungen vorliegt oder ein Data Breach. Für den Fall, dass der Auftraggeber personenbezogene Daten, die im Rahmen dieses Vertragsverhältnisses übermittelt wurden, rechtswidrig, zweckwidrig oder in sonstiger unzulässiger Weise behandelt oder diese Daten nicht mit der gebotenen Sorgfalt verarbeitet, ist hokify berechtigt, den Account des Auftraggebers zu sperren und die Löschung oder Vernichtung der übermittelten Daten zu verlangen. Dies beeinträchtigt den vereinbarten Entgeltsanspruch von hokify in keiner Weise.

  8. Zugriffsberechtigte Personen des Auftraggebers:

    Der Auftraggeber gibt im Zuge des Eingehens des Vertragsverhältnisses jene Personen bekannt, die Zugriff auf die Bewerberdaten haben.

  9. Sicherheitsmaßnahmen:

    Die Vertragsparteien erklären, dass ausreichende Sicherheitsmaßnahmen im Sinne der DSGVO ergriffen wurden, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden. Insofern eine Vertragspartei Unregelmäßigkeiten bezüglich der Datenschutzanwendungen feststellt, wird dies umgehend dem Vertragspartner mitgeteilt.

  10. Technische und organisatorische Maßnahmen:

    Die Vertragsparteien gestalten in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Es werden technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten getroffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Die Vertragsparteien haben technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dies beinhaltet beispielsweise folgende Maßnahmen, die vor Missbrauch und Verlust der Daten schützen, wie beispielsweise:

    • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle),
    • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
    • dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
    • dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
    • dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
    • dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
    • dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
    • dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle).

    Maßnahme ist beispielsweise die Verwendung eines dem Stand der Technik entsprechenden Verschlüsselungsverfahrens. Eine Darstellung dieser technischen und organisatorischen Maßnahmen seitens hokify ist in Anlage 1 verfügbar. Bei Änderung der getroffenen Sicherheitsmaßnahmen muss sichergestellt sein, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

  11. Auftragsverarbeiter:

    Die Vertragsparteien können ein anderes Unternehmen auch ohne Zustimmung zur Durchführung von Verarbeitungen heranziehen. Hierbei ist jede Vertragspartei verpflichtet, dass ein Vertrag im Sinne der DSGVO geschlossen wird. In diesem Vertrag stellt der Verantwortliche sicher, dass der Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Verantwortlichen auf Grund dieser Vereinbarung obliegen.

  12. Rechte von betroffenen Personen:

    Die Vertragsparteien sind verpflichtet, alle technischen und organisatorischen Voraussetzungen zu treffen, damit den Rechten von Betroffenen, insbesondere der Art. 15 (Auskunftsrecht), Art. 16 (Recht auf Berichtigung, Art. 17 (Recht auf Löschung/Recht auf Vergessenwerden), Art. 18 (Recht auf Vergessenwerden), Art. 19 (Recht auf Mitteilung von Änderungen), Art. 20 (Recht auf Datenübertragbarkeit), und Art. 21 (Recht auf Widerspruch) DSGVO gegenüber Betroffenen innerhalb der gesetzlichen Fristen entsprochen werden kann. Dabei vereinbaren die Vertragsparteien, dass sie sich wechselseitig unterstützen. hokify ist berechtigt Art und Umfang der Unterstützung selbst zu bestimmen und hierfür dem Auftraggeber ein angemessenes Entgelt zu verrechnen. Der Auftraggeber verpflichtet sich hinsichtlich der personenbezogenen Daten entsprechend den vertraglichen Bestimmungen zu handeln und diese auf Anforderung von hokify oder von Betroffenen zu löschen, zu sperren, zu berichtigen, zu übertragen oder hierüber Auskunft zu geben. Soweit ein Betroffener sich unmittelbar an eine Vertragspartei zwecks Berichtigung, Löschung oder Sperrung seiner Daten wenden sollte, wird diese Vertragspartei dieses Ersuchen unverzüglich an den Vertragspartner weiterleiten. Die Betroffenen sind berechtigt sich an beide Verantwortliche zu wenden. Sollte zwischen den Vertragsparteien kein Einvernehmen über die Bearbeitung von Anfragen von Betroffenen und Betroffenenrechte erzielt werden, so haben beide Verantwortliche die Bearbeitung in ihrer eigenen Sphäre durchzuführen.

  13. Kontrolle:

    Die Vertragsparteien verpflichten sich, wechselseitig geeignete Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Dieser Nachweis kann beispielsweise aufgrund einer Selbstauskunft, eines Testats eines Sachverständigen, unternehmensinterner Verhaltensregeln, Zertifikaten oder genehmigter Verhaltensregeln erbracht werden.

  14. Einsichtnahme:

    hokify wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht der Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen beim Auftraggeber eingeräumt. Die Einsichtnahmen werden zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt.

  15. Löschung von Daten:

    Nach Beendigung der Zusammenarbeit oder nach Aufforderung durch hokify, werden die Daten nach Wahl von hokify berichtigt oder gelöscht. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftraggeber die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch hokify oder gibt diese Datenträger an hokify zurück, sofern nicht im Vertrag bereits vereinbart. hokify ist jeweils hierüber seitens des Auftraggebers gegebenenfalls ein geeigneter Nachweis zu erbringen (Protokoll). Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

  16. Unterstützung:

    Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftraggeber hokify bei der Erfüllung der Anfragen und Ansprüche oder Abwehr der Ansprüche Art. 12 -23 DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten im Rahmen seiner Möglichkeiten zu unterstützen.

  17. Bestellung eines Datenschutzbeauftragten:

    Die Vertragsparteien werden einen Datenschutzbeauftragten benennen, soweit die Voraussetzungen des Art. 37 DSGVO vorliegen. Sofern kein Datenschutzbeauftragter benannt ist, benennen die Vertragsparteien einen Ansprechpartner. Die von hokify benannte Person ist auf der hokify Website angeführt. Seitens des Auftraggebers wird die Person separat genannt.

  18. Data Breach Notification:

    Die Vertragsparteien verpflichten sich wechselseitig darüber unverzüglich zu informieren, wenn eine Vertragspartei, dessen Organe, Mitarbeiter oder Berater Kenntnis davon erlangen, dass personenbezogene Daten oder vertrauliche Informationen unter Verstoß gegen diese Vereinbarung weitergegeben wurden. Ebenso unterrichten sich die Vertragsparteien unverzüglich von schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung von Daten. Die Vertragsparteien treffen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen und sprechen sich hierzu unverzüglich mit dem Vertragspartner ab.

  19. Haftung:

    Auftraggeber und hokify haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

  20. Regress:

    Im Innenverhältnis wird vereinbart, dass hokify berechtigt ist, sich beim Auftraggeber wegen eines Fehlers oder Verstoßes des Vertragspartners gegen die Bestimmungen des Vertrages oder der DSGVO oder sonstiger anzuwendender datenschutzrechtlicher Bestimmungen schad- und klaglos zu halten. Dies umschließt die Haftung wegen leichter Fahrlässigkeit, beinhaltet den Ersatz von entgangenem Gewinn und den Regress auch von behördlichen/gerichtlichen Strafen, sowie sämtlichen Aufwendungen, insbesondere Anwalts-, Gerichts- und Behördenkosten, die zur Abwehr oder Bearbeitung von Anfragen und Verfahren im Zusammenhang mit den Bestimmungen des Datenschutzes aufgewendet wurden.

Schriftform, Gerichtsstand, Verschiedenes

  1. Form:

    Dieser Vertrag wird mit Zustimmung durch den Auftraggeber rechtskräftig. Die Zustimmung kann auch konkludent, beispielsweise durch die Annahme des Hauptvertrages erteilt werden. Änderungen und Ergänzungen dieser Vereinbarung und all seiner Bestandteile bedürfen der Schriftform und eines ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung des Vertrages handelt. Dies gilt auch für den Verzicht auf das Formerfordernis.

  2. Rechtswahl:

    Es gilt österreichisches Recht.

  3. Gerichtsstand:

    Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist das für hokify sachlich und örtlich zuständige Gericht. Dabei steht es hokify frei, etwaige Ansprüche aus dieser Vereinbarung auch bei dem für den Sitz des Auftraggebers sachlich und örtlich zuständigen Gericht geltend zu machen. Gesetzliche Regelungen über ausschließliche Zuständigkeiten bleiben unberührt.

  4. Exekution/Insolvenz:

    Sollten die Daten von hokify beim Auftraggeber durch Pfändung oder Beschlagnahme, durch ein Konkurs-, Sanierungs- oder Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftraggeber unverzüglich darüber zu informieren. Der Auftraggeber wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei hokify im Sinne der DSGVO liegen.

  5. Salvatorische Klausel:

    Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor. Sollte eine Bestimmung dieser Vereinbarung ungültig sein oder werden, bleibt die Vereinbarung selbst, samt aller übrigen Bestimmungen gültig und aufrecht.

Anlage 1 - Technisch-organisatorische Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen wir bei hokify folgende technischen und organisatorischen Maßnahmen um ein dem Risiko angemessenes Schutzniveau für die uns anvertrauten Daten zu gewährleisten:

  1. Zutrittskontrolle:

    Durch Zutrittskontrollen verwehren wir Unbefugten den Zutritt zu unseren Büroräumlichkeiten und damit zu unseren PCs und Laptops:

    • Mit Sicherheitsschlüssel (EVVA) versperrte Außentüren
    • Zur Dokumentation über die Schlüssel für diese Außentüren gibt es ein Schlüsselbuch
    • Eigene Schlüssel nur für befugte und Datenschutz geschulte Mitarbeiter
    • Für die Reinigung der Büroräumlichkeiten wird auf ein renommiertes Dienstleistungsunternehmen vertraut

    Hinweis: In den Büroräumlichkeiten befinden sich keine Serveranlagen. Alle unsere Server werden bei Amazon in Frankfurt gehostet.

  2. Zugangskontrolle und Zugriffskontrolle:

    Durch Zugangskontrollen verwehren wir Unbefugten Zugang zu unseren PCs/Laptops beziehungsweise zu unseren IT-Systemen:

    • Zugang zu unseren IT-Systemen ist mit Benutzernamen und Passwörtern geschützt
    • Zusätzlich vergibt der IT-Administrator die Benutzerrechte so, dass von den jeweiligen Benutzern nur die wirklich benötigten Daten eingesehen werden können (need to know Prinzip)
    • Datenkritische Kommunikation wird über VPN Verbindung durchgeführt
    • Es besteht eine Passwort-Policy und diese ist den Befugten auch bekannt. Passwörter sind in periodischen Abständen zu ändern. Es ist sichergestellt, dass alle befugten Personen informiert sind, dass Passwörter sicher zu verwahren sind und nicht weitergegeben werden. Die befragten Personen sind informiert, dass einzigartige Passwörter, dh Passwörter, die vom Nutzer bei keinem anderen (insbesondere privaten) Systemen verwendet werden sollen.
    • Alle Datenrelevanten Änderungen im IT-System werden protokolliert und aufgezeichnet
    • Unsere IT-Systeme sind durch eine Firewall geschützt
    • Wir verwenden modernste Verschlüsselungen (SSL mit 2048 Bits Verschlüsselung) für unsere IT-Systeme

  3. Datenträgerkontrolle:

    Es soll sichergestellt werden, dass Datenträger, dh Speichermedien, Festplatten etc nur von berechtigten Personen verwendet werden können und ein Zugriff auf die Geräte von unbefugten Personen unterbleibt:

    • Personenbezogene Daten werden bei Amazon auf Servern in einem Hochsicherheitsgebäude gespeichert
    • Zusätzlich sind die Daten verschlüsselt
    • Die PCs/Laptops selbst sind mit Benutzernamen und Passwörtern geschützt
    • Unsere Daten laufen in der Cloud und sobald einem Benutzer die Berechtigung entzogen wird hat dieser keinen Zugriff mehr auf die Datencloud
    • Es besteht die Weisung, dass Daten nicht auf mobilen Datenträgern gespeichert werden (USB-Sticks, Smartphones).
    • Der Laptop/PC darf nur von befugten Personen verwendet und transportiert werden.

  4. Speicherkontrolle:

    Es soll sichergestellt werden, dass nur befugte (zuständige) Personen die Möglichkeit haben, personenbezogene Daten zu verarbeiten und auf diese zuzugreifen, um diese zu manipulieren:

    • Die personenbezogenen Daten sind nur von Berechtigten mit Passwort zugänglich.
    • Zugriffe werden protokolliert (need to know).
    • Die Daten werden überdies verschlüsselt abgelegt

  5. Eingabekontrolle:

    Es wird - wenn mehrere Benutzer auf Systeme und personenbezogene Daten zugreifen können - mitprotokolliert, welcher Benutzer welche Daten zu welchem Zeitpunkt manipuliert hat. Diese Protokolle stehen der IT-Administration zur Verfügung und werden nur im Anlassfall (zB. bei technischen Beeinträchtigungen oder aus datenschutzrechtlichen Gründen) eingesehen. Dadurch soll die Nachvollziehbarkeit sichergestellt werden.

  6. Übertragungskontrolle:

    Durch unsere Maßnahmen soll sichergestellt werden, dass Daten im Rahmen der Übertragung nur an berechtigte Empfänger übermittelt werden.

    • Unser Email verschlüsselt Nachrichten und führt automatisch einen Virenscan durch

  7. Wiederherstellung:

    Durch unsere Maßnahmen soll sichergestellt werden, dass die IT-Systeme nach einem Zwischenfall möglichst rasch – mit den personenbezogenen Daten – wiederhergestellt werden können:

    • Es besteht eine Sicherung der Daten - tägliche Backups auf getrennten Servern
    • IT-Administration ist in der Lage, die Sicherung zeitnahe einzuspielen; das Szenario wird in periodischen Abständen getestet

  8. Zuverlässigkeit und Integrität:

    Durch unsere Maßnahmen wird so gut wie möglich sichergestellt, dass es durch Fehlfunktionen keine Beeinträchtigungen an den personenbezogenen Daten gibt.

    • Es erfolgen die notwendigen Updates der Software und der sonstigen Programme.
    • Es gibt einen ausreichend Schutz gegen Intrusion und Viren.
    • Es gibt ein laufendes Monitoring des IT-Systems mit automatischen Alerts bei Fehlfunktionen
    • Es gibt eine komplett getrennte Testumgebung um neue Funktionen vorab zu testen

  9. Evaluierungsmaßnahmen:

    Es ist bei hokify min. 1 Mal halbjährlich ein explizites Meeting eingeplant um die Wirksamkeit der oben festgelegten Maßnahmen zur Gewährleistung der Datensicherheit zu überprüfen, zu bewerten und dementsprechend anzupassen. Zusätzlich werden alle Mitarbeiter regelmäßig zum Thema Datenschutz eingewiesen.

Jetzt Dokument ausdrucken.