Technische und Organisatorische Maßnahmen nach Art. 32 DSGVO

1. Allgemeine Überlegungen

Der/die Kund:in als Datenverantwortliche:r und Personio als Datenverarbeiter:in müssen gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen treffen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Wahrscheinlichkeit des Eintretens und des Schweregrades des Risikos für die Rechte und Freiheiten natürlicher Personen.

Der/die Kund:in ist selbst für die Identifizierung und Umsetzung seiner/ihrer eigenen geeigneten Maßnahmen gemäß Art. 24 DSGVO verantwortlich. Zu diesem Zweck empfiehlt Personio, sich an bewährte Sicherheitsmaßnahmen zu halten.

Personio ist nach ISO/IEC 27001:2022 und ISO/IEC 27017:2015 zertifiziert, was unser Engagement für internationale Standards im Bereich Informationssicherheitsmanagement belegt.

Nachfolgend erläutern wir die Maßnahmen, die Personio ergriffen hat, um die Sicherheit von Daten zu gewährleisten.

2. Technische und organisatorische Maßnahmen

Personio hat die folgenden technischen und organisatorischen Maßnahmen implementiert, um Verschlüsselung und Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit und Kapazität, Wiederherstellbarkeit sowie geeignete Verfahren zur Überprüfung zu gewährleisten.

Personio hält sich bereits in der Konzeptions- und Entwicklungsphase der Produktentwicklung an die Anforderungen von Art. 25 DSGVO. Dabei werden Prozesse und Funktionen so gestaltet, dass Datenschutzgrundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung usw. sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden. Dies wird durch die proaktive Einbeziehung der Rechtsabteilung, des Datenschutzteams und des Information Security Teams gewährleistet.

Maßnahmen zur Gewährleistung der Vertraulichkeit

2.1. Organisatorische Kontrollen

a. Unternehmensrichtlinien

Die Richtlinien für Datenschutz und Informationssicherheit regeln die Verwaltung des Datenschutzes und der Informationssicherheit und sind für alle Mitarbeitende von Personio verbindlich. Darüber hinaus wurden weitere Unternehmensrichtlinien und -verfahren implementiert, um Mitarbeitenden spezifische Anweisungen zur Verarbeitung personenbezogener Daten zu geben (z. B. Richtlinien zur Heimarbeit und Telearbeit oder Richtlinien zur Nutzung von IT, Internet und E-Mail).

b. Ernennung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO

Personio hat einen Datenschutzbeauftragten ernannt. Details zu unserem Datenschutzbeauftragten finden Sie auf unserer Website. Der Datenschutzbeauftragte arbeitet an der Einhaltung der Datenschutzbestimmungen und nimmt Aufgaben gemäß Art. 39 DSGVO wahr.

c. Verpflichtung zur Vertraulichkeit und zum Datenschutz

Alle Mitarbeitenden sind bei Ausstellung ihres Arbeitsvertrags oder spätestens bei Arbeitsantritt schriftlich verpflichtet, die Vertraulichkeit und den Datenschutz sowie andere relevante Gesetze einzuhalten. Die Verpflichtung besteht über die Dauer des Arbeitsverhältnisses hinaus. Personio gewährleistet, dass mit Dritten angemessene schriftliche Vereinbarungen in Bezug auf Aspekte der Vertraulichkeit und des Datenschutzes getroffen werden.

d. Datenschutzschulungen

Jede:r Mitarbeitende von Personio erhält regelmäßig Schulungen zum Sicherheitsbewusstsein und zusätzliche Datenschutzschulungen.

e. Beschränkung der privaten und geschäftlichen Nutzung von Kommunikationsgeräten

Personio Mitarbeitenden ist es nicht gestattet, das betriebliche E-Mail-System für private Zwecke zu nutzen. Eine Trennung von privaten und geschäftlichen Daten muss strikt eingehalten werden. Personio Mitarbeitende dürfen nur dann auf Kund:innendaten zugreifen, wenn sie von Personio verwaltete Geräte nutzen. Private Geräte dürfen nicht zur Verarbeitung von Kund:innendaten verwendet werden. Personio Mitarbeitende verpflichten sich bei Eintritt in das Unternehmen zur Einhaltung dieser Richtlinien.

f. Personalsicherheit

Personio implementiert Maßnahmen vor, während und nach der Beschäftigung, um die Sicherheit der Mitarbeitenden zu gewährleisten. In der Regel umfasst dies:

  • Vertragliche Vereinbarungen zur Festlegung von Verantwortlichkeiten,

  • Durchführung von Maßnahmen zur Schulung, Sensibilisierung und Überwachung,

  • Prozess der Sensibilisierung für und Sanktionen bei Verstößen gegen das Datenschutzrecht und

  • Durchführung eines dokumentierten Offboarding-Prozesses (einschließlich Rückgabe von Personio eigenen Geräten, Zugangsschlüsseln/-ausweisen, Entzug von Zugriffsrechten, Übergabe und Weitergabe von Daten, Informationen und Wissen usw.) bei Beendigung des Arbeitsverhältnisses.

2.2. Technische Kontrollen

a. Sicherheit von Unternehmensgeräten

Das IT-Sicherheitsteam von Personio setzt eine Vielzahl von Technologien und Methoden zur Erkennung von Eindringlingen und zur erweiterten Erkennung und Reaktion ein, um die Infrastruktur und die Kund:innendaten zu schützen.

Die Laptops der Personio Mitarbeitenden sind mit Endpoint Protection Agents ausgestattet und werden nahezu in Echtzeit aktualisiert. Ohne diese Endpoint Protection Agents dürfen keine Computer betrieben werden. Die Sicherheitseinstellungen der Organisation dürfen nicht deaktiviert oder umgangen werden.

b. Infrastruktursicherheit

Jeder Server ist mit einem hostbasierten Eindringlingserkennungssystem ausgestattet. Dieses System sammelt Host- und Containerinformationen und überwacht kontinuierlich Prozesse, Dateien, Netzwerk- und Systemaufrufe auf verdächtige Ereignisse. Alle Parameter werden in Echtzeit ausgewertet und bieten eine Laufzeitvalidierung von Schwachstellen, um anfällige ausführbare Dateien und Bibliotheken zu erkennen und die Ausführung von Malware oder böswilligem Verhalten zu erkennen. Bei Anomalien werden die zuständigen Mitarbeitenden von Personio sofort über das Benachrichtigungssystem benachrichtigt.

c. Sicherheit des Unternehmensnetzwerks

Personio Mitarbeitende dürfen sich nur über eine vom Unternehmen bereitgestellte VPN-Verbindung mit gesicherten öffentlichen WLAN-Netzwerken verbinden.

Die Server von Personio sind durch Paketfilter-Firewalls geschützt, die gewährleisten, dass keine Dienste direkt aus dem Internet erreichbar sind. Öffentlich zugängliche Dienste werden über Load Balancer geleitet, die nur den für das jeweilige Gerät erforderlichen Zugriff gestatten.

2.3. Verschlüsselung personenbezogener Daten

a. Schlüsselmanagement

Personio setzt kryptografische Verfahren für die Verwendung, den Schutz und die lange Lebensdauer von Schlüsseln sowie für die Verwendung von Verschlüsselungsverfahren nach dem Stand der Technik ein. Der Prozess der Erstellung, Verwaltung und Speicherung der Verschlüsselungsschlüssel wird von dem von Personio genutzten Cloud-Dienstleister abgewickelt, aber die Schlüssel sind Eigentum von Personio und werden vollständig von Personio verwaltet. Der Zugriff auf den Schlüsselverwaltungsdienst wird protokolliert und automatisiert, und bei verdächtigen Ereignissen wird er von durch Personio autorisierten Mitarbeitenden auf Unregelmäßigkeiten überprüft. Die entsprechenden Schlüssel werden in regelmäßigen Abständen rotiert.

b. Datenbank- und Speicherverschlüsselung („Data at Rest”)

Alle von Personio verwendeten Datenbanken verwenden standardmäßig eine Verschlüsselung im Ruhezustand, sodass die Daten aus der Datenbank nur nach ordnungsgemäßer Authentifizierung gelesen werden können. Die zur Speicherung von Dokumenten verwendeten Speichermedien sind auf Dateisystemebene ebenfalls verschlüsselt. Sicherungskopien der Datenbanksysteme werden ausschließlich in verschlüsselter Form gespeichert.

c. Übertragung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen („Data in Transit”)

Alle personenbezogenen Daten, die von der Personio Software über ein ungesichertes oder öffentliches Netzwerk an eine:n Kund:in oder an andere Plattformen übertragen werden, werden ausschließlich in verschlüsselter Form übertragen. Dies gilt insbesondere für den Zugriff auf das Kund:innen- oder Verwaltungssystem. Daten, die übertragen werden, werden mit Transport Layer Security (TLS v1.2 oder höher) verschlüsselt, einem starken Standard, insbesondere in Kombination mit starken Cipher Suites mit größeren Schlüsselgrößen und modernen Verschlüsselungsalgorithmen. Der administrative Zugriff auf die Serversysteme von Personio sowie die Übertragung von Backups erfolgen ausschließlich über verschlüsselte Verbindungen. Für den Zugriff auf Systeme mit Kund:innendaten wird stets eine VPN-Verbindung verwendet. Hierfür werden ausschließlich VPN-Server verwendet, die unter der direkten Kontrolle von Personio stehen. Die Nutzung öffentlicher VPN-Anbieter:innen ist nicht gestattet.

d. Kontrollen von Datenträgern und mobilen Geräten

Datenträger (von Personio verwaltete Laptops) werden an sicheren Orten aufbewahrt, die den Zugriff auf diese Datenträger durch unbefugte Personen verhindern.

Personenbezogene Kund:innendaten, die auf Datenträgern weitergegeben werden, müssen verschlüsselt werden. Die Nutzung jeglicher Art von privatem Internet- oder Cloud-Speicher für die Speicherung solcher Daten ist verboten, auch nur vorübergehend. Daten werden nicht auf Wechseldatenträgern oder Endgeräten gespeichert, da die Verwendung von Wechseldatenträgern verboten ist.

e. Verschlüsselter Austausch von Informationen und Dateien

Der Austausch von Informationen und Dateien zwischen Kund:in und Personio erfolgt in direkt verschlüsselter Form über die Personio Software. Wenn die Kund:innendaten oder vertraulichen Informationen nicht mit TLS-Verschlüsselung gesendet werden können, müssen HTTPS-Uploads auf Server übertragen und mit dem Secure File Transfer Protocol (SFTP) oder einem anderen verschlüsselten Mechanismus übertragen werden. Der/die Kund:in ist dafür verantwortlich, diesen sicheren Datentransport bei Bedarf anzufordern oder bereitzustellen. 

Alle E-Mails, die von Personio Mitarbeitenden oder innerhalb der Personio Software gesendet werden, sind mit TLS verschlüsselt. Es kann Ausnahmen geben, wenn der empfangende Mailserver TLS nicht unterstützt. Der/die Kund:in muss sicherstellen, dass die  für den Softwaredienst verwendeten Mailserver TLS-Verschlüsselung unterstützen.

2.4. Datenlöschung

a. Datenlöschung aus Systemen

Die Daten werden für einen Zeitraum von 30 Tagen nach Beendigung der Vereinbarung mit Personio aufbewahrt. Nach Ablauf dieser Frist löschen alle Dienste, die Kund:innendaten verarbeiten, die Daten automatisch. Bei Diensten, die die Daten nicht automatisch löschen können, wird der Löschvorgang manuell erneut gestartet.

b. Datenlöschung von Datenträgern

Alle auf Datenträgern gespeicherten Daten werden durch eine:n externe:n Dienstleister:in an hauseigenen Datenlöschstationen unwiderruflich gelöscht. Der/die Dienstleister:in verwendet eine Datenlöschsoftware, die unter anderem von Common Criteria (ISO/IEC 15408), EAL3+ (vom BSI anerkannt) und dem National Cyber ​​Security Center (NCSC) zertifiziert ist.

c. Datenlöschung in physischen Dokumenten

Vom Ausdrucken von Dokumenten wird abgeraten, aber wenn nötig, werden sie entsorgt, sobald sie nicht mehr benötigt werden. Sie müssen vernichtet oder unlesbar gemacht werden, um zu gewährleisten, dass die Daten nicht abgerufen werden können.

2.5. Physische Kontrollen

a. Elektronische Türschlösser

Die Räumlichkeiten von Personio sind verschlossen und elektronisch gesichert. Die Türen werden mit einem persönlichen elektronischen Schlüssel geöffnet.

b. Kontrollierte Schlüsselverteilung

Die Schlüsselverteilung an Personio Mitarbeitende wird zentral verwaltet und überwacht. Diese elektronischen Schlüssel können  zentral durch das Arbeitsplatzmanagement deaktiviert werden.

c. Beaufsichtigung und Begleitung externer Personen

Externe Parteien dürfen nur mit vorheriger Genehmigung, Registrierung an der Rezeption und in Begleitung eines Personio Mitarbeitenden Büroräume betreten.

d. Physische Zugangskontrolle

Sichere Bereiche (Zonen) werden auf der Grundlage von Anforderungen an die Informationssicherheit und den Datenschutz definiert. Der Zugang wird durch geeignete physische Sicherheitsmaßnahmen eingeschränkt, darunter physische Zugangssperren, Videoüberwachung, Verschleierung und weitere Zugangsbeschränkungen in Hochrisikozonen. Das Konzept der physischen Sicherheit unterscheidet zwischen öffentlichen Bereichen, kontrollierten Bereichen und Hochrisikozonen, die weitere eingeschränkte interne Bereiche sind.

e. Besucher und Lieferung

Es gibt Besucher- und Lieferverfahren, um zu verhindern, dass unbefugte Personen ohne Begleitung eine:r Personio Mitarbeitenden Zugang zu internen Bereichen erhalten. Die Daten der Besucher:innen werden ebenfalls erfasst.

f. Richtlinie für Schreibtische und Bildschirme

Es wird eine klare Richtlinie für Schreibtische und Bildschirme verfolgt, um die physischen Sicherheitsstandards aufrechtzuerhalten. Wenn Laptops unbeaufsichtigt sind, müssen die Computer gesperrt werden (Bildschirmsperre). Bildschirmsperren werden nach Inaktivität automatisch aktiviert. Dokumente mit vertraulichen Informationen dürfen nicht offen oder unbeaufsichtigt auf Schreibtischen oder in frei zugänglichen Ablagen liegen gelassen werden.

2.6. Zugriffskontrollen - Authentifizierung

a. Authentifizierungsmechanismen

Alle Datenverarbeitungssysteme sind durch eine Single-Sign-On-Lösung (SSO) geschützt und erfordern eine Multi-Faktor-Authentifizierung (MFA). Für die Gewährung von Zugriffsrechten auf privilegierte Systeme, wie z. B. solche, die kritische Prozesse steuern oder Zugriffsrechte für andere Systeme verwalten, werden spezielle Protokolle eingerichtet.

b. Sichere Passwortrichtlinien

Für die Authentifizierung auf Datenverarbeitungssystemen, die SSO verwenden, gelten strenge Passwortrichtlinien.

c. Verbot der Weitergabe von Passwörtern und der Nutzung gemeinsam genutzter Konten

Das Verbot der Weitergabe von Passwörtern gilt sowohl für Kund:innen als auch für Mitarbeitende von  Personio. Die Nutzung von gemeinsam genutzten Konten für den Zugriff auf Kund:innensysteme ist ebenfalls verboten.

d. Protokollierung von An- und Abmeldeprozessen

Anmelde- und Abmeldeversuche bei Administrator-, Kunden- und Serversystemen/-software werden protokolliert (E-Mail-Adresse, Benutzer-ID, IP-Adresse, Ergebnis des Anmeldeversuchs und Zeitstempel), und diese Protokolle werden derzeit 30 Tage lang gespeichert. Diese Protokolle können auf Anfrage und/oder bei einem konkreten Verdacht analysiert werden.

2.7. Zugriffskontrolle - Autorisierung

a. Rollen- und Berechtigungskonzept

Der Zugriff auf Informationen wird nur nach festgelegten Verfahren und nach dem Prinzip der geringsten Berechtigungen gewährt. Der Zugriff auf Verwaltungssysteme oder Server und Datenbanken ist auf eine begrenzte Anzahl von Mitarbeitenden beschränkt, je nach ihrer Rolle und ihren Verantwortlichkeiten.

b. Kontrollen der Zugriffsberechtigung für Personio auf Kund:innensysteme

Der/die Kund:in hat die Möglichkeit, über die Systemeinstellungen in seinem/ihrem Account zu entscheiden, ob Personio Mitarbeitende bei Bedarf auf sein/ihr Konto zugreifen können. Dies kann vom/von der Kund:in jederzeit deaktiviert werden. 

c. Zuweisung von Zugriffsrechten

Führungskräfte beantragen beim IT-Team gegebenenfalls eine Korrektur von Berechtigungen, z. B. wenn sich die Rolle eine:r Mitarbeitenden ändert. Der autorisierte Zugriff wird mindestens einmal jährlich überprüft.

Wenn ein:e Mitarbeitende kündigt, benachrichtigt das Personalteam die Administratoren umgehend über anstehende Änderungen, damit die entsprechenden Berechtigungen über die vorhandene SSO-Lösung deaktiviert werden können. Der gesamte Zugriff wird innerhalb von 24 Stunden nach dem Ausscheiden de:r Mitarbeitenden widerrufen.

2.8. Trennbarkeit

a. Trennung von Entwicklungs-, Test- und Betriebsumgebungen

Softwareänderungen, die in die Betriebsumgebung übertragen werden sollen, müssen zunächst in einer Testumgebung getestet werden. Programme zur Fehleranalyse oder zur Erstellung/Kompilierung von Software dürfen nur dann in der Betriebsumgebung ausgeführt werden, wenn dies unvermeidbar ist. Dies ist vor allem dann der Fall, wenn Fehlersituationen von Daten abhängen, die aufgrund der Anforderungen an die Anonymisierung bei der Übertragung in Testumgebungen beschädigt wurden.

b. Trennung in Netzwerken

Personio trennt seine Netzwerke nach Aufgaben. Dabei werden folgende Netzwerke langfristig genutzt: Betriebsumgebung („Produktion“), Entwicklungsumgebung, Testumgebung, Büronetzwerk für Mitarbeitende, Büronetzwerk für Gäste. Die Trennung der Netzwerke wird entweder durch physische oder virtuelle Netzwerke erreicht.

c. Softwareseitige Mandantentrennung

Personio gewährleistet die getrennte Verarbeitung und Speicherung von Daten verschiedener Kund:innen durch eine logische Kund:innentrennung auf Basis einer mandantenfähigen Architektur. Dabei erfolgt die Klassifizierung und Identifizierung der Daten durch die Zuordnung eines eindeutigen Identifikators zu jede:r Kund:in (z. B. Kund:innennummer/„Unternehmens-ID“). Die Architektur wird durch die Implementierung von Integrationstests abgesichert, die gewährleisten, dass keine Datenbankabfragen ohne Abfrage und Klassifizierung dieses Identifikators durchgeführt werden, und das Risiko, dass die Mandantentrennung aufgrund von Programmierfehlern umgangen wird, minimiert wird.

Maßnahmen zur Gewährleistung der Integrität

2.9. Kontrolle von Transport und Offenlegung

a. Pseudonymisierung und Anonymisierung

Maßnahmen zur Pseudonymisierung und Anonymisierung personenbezogener Kund:innendaten werden im erforderlichen Umfang umgesetzt. Wir verwenden keine personenbezogenen Kundendaten in unseren Entwicklungs- oder Testumgebungen.

b. Kontrollen von Übertragung und Verbreitung

Mechanismen zur Sicherung des Datenverkehrs und der Kommunikationsverbindungen sowie zur Überwachung und Protokollierung von Aktivitäten in Netzwerken wurden im erforderlichen Umfang eingerichtet.

Wo sinnvoll, werden Firewalls und Systeme zur Erkennung und Verhinderung von Eindringlingen (IDS/IPS) eingesetzt. 

Die sichere End-to-End-Verschlüsselung personenbezogener Daten, die über öffentliche Kommunikationsnetze übertragen werden, ist gewährleistet. Beim Aufbau sicherer Verbindungen (VPN-Tunnel), die den Zugriff auf IT-Ressourcen über öffentliche Netze ermöglichen, wird standardmäßig eine Multi-Faktor-Authentifizierung eingesetzt.

Beim Transport von personenbezogenen Kund:innendaten, die auf Datenträgern gespeichert sind, wird neben anderen Maßnahmen eine Verschlüsselung eingesetzt, um die Daten vor unbefugtem Zugriff, Manipulation oder Verlust zu schützen.

c. Verbot der Offenlegung gegenüber unbefugten Dritten

Die Weitergabe personenbezogener Daten auf Anweisung de:r Kund:in darf nur im Rahmen der Weisungen und in dem Umfang erfolgen, wie es für die Erbringung der vertraglichen Leistungen für den/die Kund:in erforderlich ist. Insbesondere ist eine Weitergabe personenbezogener Daten aus dem Auftrag an unbefugte Dritte, z. B. durch Speicherung bei eine:r anderen Cloud-Anbieter:in, untersagt.

2.10. Eingabekontrollen

a. Protokollierung von Systemaktivitäten innerhalb des Admin- und Kund:innensysteme

Systemaktivitäten werden protokolliert (Benutzende-ID, Rechte gemäß Rollenkonzept, IP-Adresse, Systemkomponenten oder -ressourcen, Art der durchgeführten Aktivitäten sowie Zeitstempel) und 30 Tage lang aufbewahrt. Dies umfasst auch die Eingabe, Änderung und Löschung von Daten, Benutzenden und Berechtigungen sowie die Änderung von Systemeinstellungen. Auf Anfrage oder bei einem konkreten Verdacht kann eine entsprechende Analyse der Protokolle durchgeführt werden.

Maßnahmen zur Gewährleistung der Verfügbarkeit

2.11. Verfügbarkeitskontrollen

a. Datensicherungsverfahren / Backups

Um eine angemessene Verfügbarkeit zu gewährleisten, erstellt Personio alle 24 Stunden Backups für die Datenbanken mit den Daten und Dokumenten de:r Kund:in und speichert diese 30 Tage lang.

Datensicherungen von Datenbanken und Betriebssystem-Images werden im erforderlichen Umfang und mit dem Ziel durchgeführt, den Verlust personenbezogener Daten im Falle einer technischen Störung oder eines menschlichen Fehlers zu verhindern. Für Netzlaufwerke und Server in der Produktionsumgebung werden Sicherungen durchgeführt, und die Leistung wird protokolliert und überwacht. Die Wiederherstellung von Datensicherungen wird regelmäßig getestet.

b. Geo-Redundanz in Bezug auf die Serverinfrastruktur der Produktivdaten und Backups

Um im Falle eines unvorhergesehenen Ereignisses, z. B. einer Naturkatastrophe, Georedundanz zu gewährleisten, hält Personio die entsprechenden Anforderungen an die räumliche Trennung in Bezug auf die Serverinfrastruktur der Produktionsdaten und Backups ein. Dies wird durch die Nutzung verschiedener Rechenzentren in ausreichender Entfernung oder von Rechenzentren verschiedener Verfügbarkeitszonen innerhalb der EU gewährleistet.

c. Kapazitätsmanagement

Es gibt ein Kapazitätsmanagement, das die Überwachung und automatische Benachrichtigung der zuständigen Personio Mitarbeitenden bei Kapazitätsengpässen umfasst.

d. Warnsysteme zur Überwachung der Erreichbarkeit und des Zustands der Serversysteme

Es gibt Warnsysteme zur Überwachung der Zugänglichkeit und des Zustands der Serversysteme. Bei Ausfallzeiten wird die Technik automatisch benachrichtigt, damit sie sofort Maßnahmen zur Fehlerbehebung ergreifen kann.

e. IT-Störungsmanagement („Incident Response Management”)

Es gibt ein Konzept und dokumentierte Verfahren für den Umgang mit Störungen und sicherheitsrelevanten Vorfällen. Dazu gehören die Planung und Vorbereitung von Reaktionen auf Ereignisse, Verfahren zur Überwachung,  Erkennung und Analyse sicherheitsrelevanter Vorfälle sowie die Festlegung der entsprechenden  Verantwortlichkeiten und Meldewege im Falle einer Verletzung des Schutzes personenbezogener Daten im  Rahmen der gesetzlichen Anforderungen.

f. Maßnahmen zur Gewährleistung der Verfügbarkeit in Rechenzentren

Unser:e Cloud-Dienstleister:in ist nach ISO 27001, SOC 2 und BSI C5 zertifiziert. Diese Zertifizierungen und Sicherheitsmaßnahmen gelten auch für Rechenzentren, um deren physische Perimeter vor Bedrohungen und Katastrophen zu schützen.

2.12. Wiederherstellbarkeit

a. Regelmäßige Tests der Datenwiederherstellung („Restore-Tests”)

Es werden regelmäßige, vollständige Wiederherstellungstests durchgeführt, um die Wiederherstellbarkeit im Notfall/Katastrophenfall zu gewährleisten.

b. Notfallplan („Disaster Recovery Concept”)

Es gibt ein Konzept für den Umgang mit Notfällen/Katastrophen sowie einen entsprechenden Notfallplan. Dies umfasst die Wiederherstellung kritischer Infrastrukturen, die Datenverarbeitung sowie die Speicherung von Daten und Dokumenten.

Maßnahmen zur Verifizierung und Bewertung

2.13. Einhaltung

a. Team für Datenschutz und Informationssicherheit

Ein Team für Datenschutz und Informationssicherheit ist für die Planung, Umsetzung und Bewertung von Maßnahmen im Bereich Datenschutz und Datensicherheit sowie für Anpassungen zuständig.

b. Risikomanagement

Jedes identifizierte Risiko wird gemäß unserer Risikomanagementrichtlinie analysiert, bewertet und klassifiziert. Auf der Grundlage dieser Risiken werden weitere Abhilfe- und Minderungsmaßnahmen abgeleitet. Diese Maßnahmen werden regelmäßig auf ihre Wirksamkeit im Rahmen des Datenschutz- und Informationssicherheitsmanagementsystems von Personio überprüft.

c. Unabhängige Überprüfung der Informationssicherheit
i. Durchführung von Audits

Interne Audits zum Datenschutz und zur Informationssicherheit werden jährlich von einer externen Partei durchgeführt, um eine unabhängige und unvoreingenommene Überprüfung unseres Sicherheitsprogramms zu gewährleisten. Die Audits werden durchgeführt, um die Einhaltung internationaler Standards wie ISO/IEC 27001 zu gewährleisten.

ii. Überprüfung der Einhaltung von Sicherheitsrichtlinien und -standards

Es werden regelmäßige Überprüfungen durchgeführt, um die Einhaltung der Sicherheitsrichtlinien, -standards und anderer Sicherheitsanforderungen zu gewährleisten, die bei der Verarbeitung personenbezogener Daten gelten.

iii. Überprüfung der Einhaltung technischer Anforderungen

Zur Sicherheit von Anwendungen und Infrastruktur werden regelmäßig automatische und manuelle Scans auf Schwachstellen durchgeführt. Ein:e externe:r Dienstleister:in führt in regelmäßigen Abständen Penetrationstests durch.

d. Kontrollmaßnahmen
i. Verarbeitung nach Anweisungen

Die Mitarbeitenden von Personio sind angewiesen, die personenbezogenen Daten der Kund:innen nur dann zu verarbeiten, wenn dokumentierte Anweisungen eine:r autorisierten Personio Benutzenden vorliegen. Gemäß der geltenden Dokumentation kann Personio die Anweisungen de:r Kund:in schriftlich oder in den  von Personio zu diesem Zweck angebotenen elektronischen Formaten erhalten. Mündliche Anweisungen sind nur zulässig, wenn die Zeit Dringlichkeit erfordert, und der/die Kund:in muss sie unverzüglich schriftlich oder in einem von Personio angebotenen elektronischen Format bestätigen.

ii. Sorgfältige Auswahl von Lieferanten

Die Einbindung von Lieferanten erfolgt beim Outsourcing auf der Grundlage eines sorgfältigen Auswahlverfahrens in Zusammenarbeit mit dem Team für Informationssicherheit, dem Beschaffungsteam und dem Team für Datenschutz und Recht nach festgelegten Kriterien, insbesondere in Bezug auf Datenschutz und IT-Sicherheit, einschließlich, aber nicht beschränkt auf Folgendes:

  • Prüfung der Dokumentation und Einhaltung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO

  • Je nach Schutzniveau und Umfang der personenbezogenen Daten, wenn möglich, Beauftragung nur von ISO/IEC 27001-zertifizierten Unternehmen (dies gilt in allen Fällen für Rechenzentren). Es wird ebenfalls eine Risikobewertung für die jeweiligen Lieferanten durchgeführt, um Risiken während des Prozesses zu vermeiden, wenn der Drittanbieter regelmäßig mit personenbezogenen Daten arbeitet.  

iii. Auftragsverarbeitung gemäß Art. 28 DSGVO

Der Einsatz eine:r Unterauftragnehmer:in darf nur gemäß den zwischen Personio und de:r Kund:in vereinbarten Datenschutzbedingungen gemäß Art. 28 DSGVO erfolgen. 

iv. Durchführung regelmäßiger Überprüfungen / Anforderung von Nachweisen

Vor der Beauftragung eine:r neuen Unterauftragnehmer:in und danach in regelmäßigen Abständen wird Personio gewährleisten, dass die von ihm beauftragten Unterauftragnehmer:innen die technischen und organisatorischen Maßnahmen einhalten oder Nachweise dafür vorlegen.

Ergänzende Datenschutzmaßnahmen

Gemäß Art. 32 DSGVO setzt Personio eine Reihe technischer und organisatorischer Maßnahmen um, um ein Schutzniveau zu gewährleisten, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen ist. 

Darüber hinaus setzt Personio gemäß Art. 46 DSGVO zusätzliche technische und organisatorische Maßnahmen um, die auf den Empfehlungen des Europäischen Datenschutzausschusses für ergänzende Maßnahmen für die Übermittlung personenbezogener Daten in Drittländer basieren. Diese Maßnahmen werden umgesetzt, um dem Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18, auch bekannt als Schrems II, im Zusammenhang mit der Verwendung von Rechtsinstrumenten für die Übermittlung personenbezogener Daten in Drittländer gerecht zu werden.

Die zusätzlichen technischen und organisatorischen Maßnahmen sind notwendig, da die Personio SE & Co. KG („Personio“) ihrer in den Vereinigten Staaten ansässigen Tochtergesellschaft, der Personio Corp., möglicherweise Zugriff auf Daten gewährt. Es ist wichtig zu beachten, dass sich alle Kund:innendaten in der EU befinden. Die Personio Corp. ist darüber hinaus gem. den Anforderungen des EU-US Data Privacy Framework zertifiziert. 

Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

Personio hat die folgenden zusätzlichen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO und die ergänzenden Maßnahmen nach Schrems II ergriffen.

1. Maßnahmen zur Gewährleistung der Vertraulichkeit

Gewährleistung, dass die interne Organisation die besonderen Anforderungen des Datenschutzes bei der Datenübermittlung zwischen Europa (Europäische Union und Vereinigtes Königreich) und Drittländern erfüllt.

1.1. Transportverschlüsselung

a. Richtlinie

Die Informationssicherheitsrichtlinien von Personio schreiben die Verschlüsselung personenbezogener Daten sowohl während der Übertragung als auch im Ruhezustand vor. Es gibt Richtlinienmaßnahmen, um den Schutz personenbezogener Daten zu bestimmen, wenn ein:e Mitarbeitende:r in einem Drittland ansässig ist.

b. Implementierung einer auf Zero-Trust basierenden Zugriffstechnologie

Beim Umgang mit personenbezogenen Daten werden weitere Maßnahmen ergriffen. In solchen Fällen werden zwei Verschlüsselungsebenen eingesetzt, wobei die Anwendungsschicht den Datenverkehr mit TLS v1.2 oder höher verschlüsselt und die Netzwerkschicht den Datenverkehr mit einer Zero-Trust-basierten Zugriffstechnologie verschlüsselt.

1.2. Zugriffsbeschränkungen

a. Rollen- und Berechtigungskonzept

Das Rollen- und Berechtigungskonzept gewährleistet die Unterscheidung zwischen Personio Mitarbeitenden in der Europäischen Union (einschließlich Großbritannien) und in Drittländern. Der Zugriff aus Drittländern ist eingeschränkt und segmentiert.

b. Netzwerksegmentierung

Systeme, die personenbezogene Daten verarbeiten und speichern, werden identifiziert und durch eine standortbezogene Authentifizierung geschützt. Der Zugriff auf solche Systeme ist nur möglich, wenn die vom Unternehmen bereitgestellte Zero-Trust-Zugangstechnologie verwendet wird.

c. Technologieumsetzung

Die Computer von Personio sind mit einer zentralisierten Verwaltungssoftware in Form eines Endpunktschutzes ausgestattet. Dadurch wird die Installation von Sicherheitsrichtlinien und die Verwendung eines auf Zero Trust basierenden Zugriffs durch Mitarbeitende in Drittländern erzwungen.

1.3. Einschränkungen der Datenübertragung

a. Richtlinie

Die Informationssicherheitsrichtlinien von Personio enthalten Regeln, die die Übermittlung personenbezogener Daten in ein Drittland kontrollieren.

b. Gerätekontrolle

Die Computer von Personio sind technisch so konfiguriert, dass sie Datenübertragungen auf Wechselmedien wie USB-Sticks und externe Festplatten blockieren.

1.4. Not-Aus-Mechanismus

a. Verfahren zur Aufhebung des Zugangs

Es gibt ein Verfahren zur Aufhebung des Zugriffs, falls der Zugriff auf personenbezogene Daten von Mitarbeitenden in einem Drittland sofort gesperrt werden muss. Die Verwaltung und Durchführung eines solchen Verfahrens obliegt Mitarbeitenden in Europa (einschließlich Großbritannien), und es ist kein Personal aus Drittländern erforderlich, um die Durchsetzung zu gewährleisten.

b. Technische Verfahren

Mitarbeitende in Europa befolgen dokumentierte und bewährte technische Verfahren, um das Verfahren zur Aufhebung des Zugangs jederzeit ausführen zu können, wenn dies erforderlich ist. Der Prozess wird im Rahmen des kontinuierlichen Verbesserungsprozesses des Sicherheitsprogramms regelmäßig vom Management überprüft.

1.5. Globale Zugriffsverwaltung in der EU

a. Richtlinie

Die Sicherheitsrichtlinien werden dahingehend verbessert, dass für alle Systeme, die personenbezogene Daten enthalten, festgelegt wird, dass die technische Verwaltung auch von Mitarbeitenden innerhalb Europas (einschließlich Großbritannien) durchgeführt wird.

b. Zentrale Zugriffsverwaltung

Für alle Systeme, die personenbezogene Daten enthalten, werden zu jeder Zeit Mitarbeitende in Europa eingesetzt, um Systemverwaltungsaufgaben zusammen mit Mitarbeitenden in Drittländern durchzuführen. Dadurch wird gewährleistet, dass der Prozess zur Aufhebung des Zugriffs für potenzielle Administratoren in Drittländern eingehalten wird.

Version 04-2025