Technische und organisatorische Schutzmaßnahmen (TOM)
Die eingehenden Bewerberdaten werden nach 180 Tagen aus Sicherheitsgründen pseudonymisiert. Dies geschieht dadurch, dass in der Datenbank personenbezogene Daten durch vorab definierte Platzhalterbegriffe ersetzt werden.
Die eingehenden Bewerberdaten werden in einer Datenbank gespeichert, die ihrerseits verschlüsselt ist. Dies stellt der externe Anbieter Hetzner Online GmbH sicher. Die Übertragung der Bewerberdaten wird zudem mit einer 256bit-SSL-Verschlüsselung abgesichert.
Die verantwortliche Stelle hat einen externen, zuverlässigen und sachkundigen Datenschutzbeauftragten bestellt, der die vorgenannten Maßnahmen anlassbezogen und im Übrigen anlasslos gemäß einem Prüfzyklus von 12 Monaten überprüft. Hierbei analysiert er zunächst die Risiken und dabei zumindest die Risikobereiche Verarbeitungsrisiken, Soft- und Hardwarerisiken, Mitarbeiterrisiken und Auslagerungsrisiken. Anschließend prüft er, ob die hier festgestellten Maßnahmen tatsächlich noch ergriffen werden und ob sie ggf. noch dem vorab festgestellten Risikoprofil entsprechen. Das Ergebnis wird dokumentiert. Sofern Anpassungsbedarf besteht, wird dieser ebenfalls dokumentiert und anschließend umgesetzt.
- Alarmanlage
- Magnetkarten/Chipkarten mit speziellen Zutrittsprofilen
- ausdifferenzierte Schlüsselregelung
- manuelles Schließsystem
- Sicherheitsschlösser
- Absicherung durch einen Empfang / Rezeption
- Besucher dürfen nur in Begleitung durch Mitarbeiter (m/w/d) die Räumlichkeiten betreten und sich dort aufhalten
Maßnahmen zur Zugangskontrolle
- keine unbefugte Systembenutzung
- sichere Kennwortverfahren / Passwort-Policy
- verschlüsselte Benutzerauthentifizierung
- automatische Sperrmechanismen
- Verschlüsselung von Datenträgern
- Einsatz von Firewalls und Virenschutz
- Anti-Viren-Software Server
- Anti-Virus-Software Clients
- Intrusion Detection Systeme
- BIOS Schutz (separates Passwort)
- automatische Desktopsperre
- zentrale Passwortvergabe
- Richtlinie „Sicheres Passwort“
- Richtlinie „Löschen / Vernichten“
- Richtlinie „Clean desk“
- kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems;
- Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte
- Protokollierung von Zugriffen
- externer Aktenvernichter (DIN 32757)
- physische Löschung von Datenträgern
- minimale Anzahl an Administratoren
- Datenschutztresor
- Verwaltung Benutzerrechte durch Administratoren
Maßnahmen der Weitergabekontrolle
- kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport;
- E-Mail-Verschlüsselung
- Protokollierung der Zugriffe und Abrufe
- Bereitstellung über verschlüsselte Verbindungen wie sftp, https
- Vereinbarungen zur Auftragsverarbeitung mit Auftragnehmern
Maßnahmen der Eingabekontrolle
- Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
- Manuelle Kontrolle der Protokolle
- Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurde
- klare Zuständigkeiten für Löschungen
Maßnahmen der Auftragskontrolle
Maßnahmen der Trennungskontrolle
- Trennung von Produktiv- und Testumgebung
- physikalische Trennung (Systeme / Datenbanken / Datenträger)
- Steuerung über ausdifferenziertes, tätigkeitsbezogenes Berechtigungskonzept
- Festlegung von Datenbankrechten
- Datensätze sind mit Zweckattributen versehen
Maßnahmen zur Sicherstellung der Vertraulichkeit auf Dauer
III Maßnahmen zur Wahrung der Verfügbarkeit, Wiederherstellbarkeit und Integrität
jobEconomy hat ihren Sitz in einer Gewerbeeinheit in Berlin Charlottenburg. Vor Ort befinden sich keine Server; die eingehenden Daten werden vielmehr auf externen Servern beim sicheren Anbieter Hetzner Online GmbH gespeichert. Dennoch ergreift die jobEconomy vor Ort folgende Maßnahmen:
Maßnahmen der Verfügbarkeitskontrolle
- Feuer- und Rauchmeldeanlagen
- unterbrechungsfreie Stromversorgung (USV)
- Kontrolle des Sicherungsvorgangs
- Regelmäßige Tests zur Datenwiederherherstellung und Protokollierung der Ergebnisse
Maßnahmen zur Sicherstellung der Verfügbarkeit auf Dauer
Die verantwortliche Stelle hat einen externen, zuverlässigen und sachkundigen Datenschutzbeauftragten bestellt, der die vorgenannten Maßnahmen anlassbezogen und im Übrigen anlasslos gemäß einem Prüfzyklus von 12 Monaten überprüft. Hierbei analysiert er zunächst die Risiken und dabei zumindest die Risikobereiche Verarbeitungsrisiken, Soft- und Hardwarerisiken, Mitarbeiterrisiken und Auslagerungsrisiken. Anschließend prüft er, ob die hier festgestellten Maßnahmen tatsächlich noch ergriffen werden und ob sie ggf. noch dem vorab festgestellten Risikoprofil entsprechen. Das Ergebnis wird dokumentiert. Sofern Anpassungsbedarf besteht, wird dieser ebenfalls dokumentiert und anschließend umgesetzt.
Maßnahmen zur raschen Wiederherstellung der Verfügbarkeit bei einem physischen oder technischen Zwischenfall
IV Maßnahmen zur Belastbarkeit
Maßnahmen zur Sicherstellung der Belastbarkeit der Systeme und Dienste auf Dauer
jobEconomy hat ihren Sitz in einer Gewerbeeinheit in Berlin Charlottenburg. Vor Ort befinden sich keine Server; die eingehenden Daten werden vielmehr auf externen Servern beim sicheren Anbieter Hetzner Online GmbH gespeichert. Auf dessen Sicherheitsmaßnahmen, die hier angehängt sind, wird Bezug genommen.
Anlage: Aufzählung unserer Subunternehmer