Technische und organisatorische Schutzmaßnahmen (TOM)

I Allgemeine Maßnahmen
Maßnahmen zur Pseudonymisierung

Die eingehenden Bewerberdaten werden nach 180 Tagen aus Sicherheitsgründen pseudonymisiert. Dies geschieht dadurch, dass in der Datenbank personenbezogene Daten durch vorab definierte Platzhalterbegriffe ersetzt werden. 

Maßnahmen zur Verschlüsselung personenbezogener Daten

Die eingehenden Bewerberdaten werden in einer Datenbank gespeichert, die ihrerseits verschlüsselt ist. Dies stellt der externe Anbieter Hetzner Online GmbH sicher. Die Übertragung der Bewerberdaten wird zudem mit einer 256bit-SSL-Verschlüsselung abgesichert.

Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Die verantwortliche Stelle hat einen externen, zuverlässigen und sachkundigen Datenschutzbeauftragten bestellt, der die vorgenannten Maßnahmen anlassbezogen und im Übrigen anlasslos gemäß einem Prüfzyklus von 12 Monaten überprüft. Hierbei analysiert er zunächst die Risiken und dabei zumindest die Risikobereiche Verarbeitungsrisiken, Soft- und Hardwarerisiken, Mitarbeiterrisiken und Auslagerungsrisiken. Anschließend prüft er, ob die hier festgestellten Maßnahmen tatsächlich noch ergriffen werden und ob sie ggf. noch dem vorab festgestellten Risikoprofil entsprechen. Das Ergebnis wird dokumentiert. Sofern Anpassungsbedarf besteht, wird dieser ebenfalls dokumentiert und anschließend umgesetzt.

II Maßnahmen zur Wahrung der Vertraulichkeit
jobEconomy hat ihren Sitz in einer Gewerbeeinheit in Berlin Charlottenburg. Vor Ort befinden sich keine Server; die eingehenden Daten werden vielmehr auf externen Servern beim sicheren Anbieter Hetzner Online GmbH gespeichert. Dennoch ergreift die jobEconomy vor Ort folgende Maßnahmen:
Maßnahmen zur Zutrittskontrolle
  • Alarmanlage
  • Magnetkarten/Chipkarten mit speziellen Zutrittsprofilen
  • ausdifferenzierte Schlüsselregelung
  • manuelles Schließsystem
  • Sicherheitsschlösser
  • Absicherung durch einen Empfang / Rezeption
  • Besucher dürfen nur in Begleitung durch Mitarbeiter (m/w/d) die Räumlichkeiten betreten und sich dort aufhalten

Maßnahmen zur Zugangskontrolle

  • keine unbefugte Systembenutzung
  • sichere Kennwortverfahren / Passwort-Policy
  • verschlüsselte Benutzerauthentifizierung
  • automatische Sperrmechanismen
  • Verschlüsselung von Datenträgern
  • Einsatz von Firewalls und Virenschutz
  • Anti-Viren-Software Server
  • Anti-Virus-Software Clients
  • Intrusion Detection Systeme
  • BIOS Schutz (separates Passwort)
  • automatische Desktopsperre
  • zentrale Passwortvergabe
  • Richtlinie „Sicheres Passwort“
  • Richtlinie „Löschen / Vernichten“
  • Richtlinie „Clean desk“
Maßnahmen der Zugriffskontrolle
  • kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems;
  • Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte
  • Protokollierung von Zugriffen
  • externer Aktenvernichter (DIN 32757)
  • physische Löschung von Datenträgern
  • minimale Anzahl an Administratoren
  • Datenschutztresor
  • Verwaltung Benutzerrechte durch Administratoren

Maßnahmen der Weitergabekontrolle

  • kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport;
  • E-Mail-Verschlüsselung  
  • Protokollierung der Zugriffe und Abrufe 
  • Bereitstellung über verschlüsselte Verbindungen wie sftp, https 
  • Vereinbarungen zur Auftragsverarbeitung mit Auftragnehmern

Maßnahmen der Eingabekontrolle

  • Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Manuelle Kontrolle der Protokolle 
  • Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurde
  • klare Zuständigkeiten für Löschungen

Maßnahmen der Auftragskontrolle

Die verantwortliche Stelle hat einen externen, zuverlässigen und sachkundigen Datenschutzbeauftragten bestellt, der in jeden Auslagerungsvorgang dergestalt eingebunden wird, dass er bzgl. der auszulagernden Verarbeitung eine Risikoeinschätzung vornimmt und anhand dieses Risikoprofils den Auftragsverarbeiter prüft sowie die vertragliche Bindung nach Artikel 28 Absatz 3 DSGVO sicherstellt. Er prüft den Auftragsverarbeiter sodann anlassbezogen und im Übrigen anlasslos gemäß einem Prüfzyklus von 12 Monaten.

Maßnahmen der Trennungskontrolle

  • Trennung von Produktiv- und Testumgebung
  • physikalische Trennung (Systeme / Datenbanken / Datenträger)
  • Steuerung über ausdifferenziertes, tätigkeitsbezogenes Berechtigungskonzept 
  • Festlegung von Datenbankrechten 
  • Datensätze sind mit Zweckattributen versehen

Maßnahmen zur Sicherstellung der Vertraulichkeit auf Dauer

Die verantwortliche Stelle hat einen externen, zuverlässigen und sachkundigen Datenschutzbeauftragten bestellt, der die vorgenannten Maßnahmen anlassbezogen und im Übrigen anlasslos gemäß einem Prüfzyklus von 12 Monaten überprüft. Hierbei analysiert er zunächst die Risiken und dabei zumindest die Risikobereiche Verarbeitungsrisiken, Soft- und Hardwarerisiken, Mitarbeiterrisiken und Auslagerungsrisiken. Anschließend prüft er, ob die hier festgestellten Maßnahmen tatsächlich noch ergriffen werden und ob sie ggf. noch dem vorab festgestellten Risikoprofil entsprechen. Das Ergebnis wird dokumentiert. Sofern Anpassungsbedarf besteht, wird dieser ebenfalls dokumentiert und anschließend umgesetzt.

III Maßnahmen zur Wahrung der Verfügbarkeit, Wiederherstellbarkeit und Integrität

jobEconomy hat ihren Sitz in einer Gewerbeeinheit in Berlin Charlottenburg. Vor Ort befinden sich keine Server; die eingehenden Daten werden vielmehr auf externen Servern beim sicheren Anbieter Hetzner Online GmbH gespeichert. Dennoch ergreift die jobEconomy vor Ort folgende Maßnahmen:

Maßnahmen der Verfügbarkeitskontrolle

  • Feuer- und Rauchmeldeanlagen
  • unterbrechungsfreie Stromversorgung (USV)
  • Kontrolle des Sicherungsvorgangs 
  • Regelmäßige Tests zur Datenwiederherherstellung und Protokollierung der Ergebnisse

Maßnahmen zur Sicherstellung der Verfügbarkeit auf Dauer

Die verantwortliche Stelle hat einen externen, zuverlässigen und sachkundigen Datenschutzbeauftragten bestellt, der die vorgenannten Maßnahmen anlassbezogen und im Übrigen anlasslos gemäß einem Prüfzyklus von 12 Monaten überprüft. Hierbei analysiert er zunächst die Risiken und dabei zumindest die Risikobereiche Verarbeitungsrisiken, Soft- und Hardwarerisiken, Mitarbeiterrisiken und Auslagerungsrisiken. Anschließend prüft er, ob die hier festgestellten Maßnahmen tatsächlich noch ergriffen werden und ob sie ggf. noch dem vorab festgestellten Risikoprofil entsprechen. Das Ergebnis wird dokumentiert. Sofern Anpassungsbedarf besteht, wird dieser ebenfalls dokumentiert und anschließend umgesetzt.

Maßnahmen zur raschen Wiederherstellung der Verfügbarkeit bei einem physischen oder technischen Zwischenfall

jobEconomy hat ihren Sitz in einer Gewerbeeinheit in Berlin Charlottenburg. Vor Ort befinden sich keine Server; die eingehenden Daten werden vielmehr auf externen Servern beim sicheren Anbieter Hetzner Online GmbH gespeichert. Auf dessen Sicherheitsmaßnahmen, die hier angehängt sind, wird Bezug genommen.

IV Maßnahmen zur Belastbarkeit

Maßnahmen zur Sicherstellung der Belastbarkeit der Systeme und Dienste auf Dauer

jobEconomy hat ihren Sitz in einer Gewerbeeinheit in Berlin Charlottenburg. Vor Ort befinden sich keine Server; die eingehenden Daten werden vielmehr auf externen Servern beim sicheren Anbieter Hetzner Online GmbH gespeichert. Auf dessen Sicherheitsmaßnahmen, die hier angehängt sind, wird Bezug genommen.

Anlage: Aufzählung unserer Subunternehmer

Firma Unterauftragnehmer Anschrift/Land Leistungsbeschreibung Ort der Datenverarbeitung
Debitoor GmbH Choriner Str. 34
10435 Berlin
Deutschland 		Buchhaltung Die Debitoor Server Infrastruktur basiert auf sicheren Cloud Lösungen vertrieben von Amazon Web Services (AWS) mit Sitz in Dublin, Irland.
Hetzner Online GmbH Industriestr. 25
91710 Gunzenhausen
Deutschland 		Cloud Storage, Hosting Datacenterparks in Nürnberg und Falkenstein, Deutschland
Klick-Tipp Limited 15 Cambridge Court
210 Shepherd’s Bush Road
London W6 7NJ
Vereinigtes Königreich 		Marketing- und Recruiting-Automatisierung Amazon Web Services (AWS)
Anexia Deutschland GmbH, Konrad Zuse Platz, 81829 München
Podio
Citrix Systems GmbH Erika-Mann-Str. 67-69
80636 München
Deutschland 		Costumer Relation Management (CRM) System
Projektmanagement 		Frankfurt, Deutschland
Zoho Corporation BV Churchilllaan 11 (17th Floor)
3527 GV Utrecht
Niederlande 		CRM Niederlande