Technische und organisatorische Maßnahmen nach Art. 32 EU DS-GVO

Allgemeines

Gemäß Art. 32 DSGVO müssen der Kunde als Verantwortlicher und Personio als Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen  treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wobei der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen sind.

Der Kunde ist selbst für die Identifizierung und Umsetzung geeigneter Maßnahmen gemäß Art. 24 DSGVO verantwortlich. Personio rät, den Empfehlungen einschlägiger Richtlinien und Standards, wie etwa der ISO/IEC 27002 und dem deutschen Bundesamt für Sicherheit in der Informationstechnologie, zu folgen.

Die von Personio ergriffenen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sind nachstehend aufgeführt. Soweit erforderlich, sind entsprechende Maßnahmen relevanter Unterauftragnehmer, insbesondere im Hinblick auf die physische Sicherheit bei Infrastructure-as-a-Service-Providern sowie Rechenzentrumsbetreibern aufgeführt und entsprechend gekennzeichnet bzw. in Bezug genommen

Technische und organisatorische Maßnahmen gem. Art. 32 DSGVO

Personio hat die folgenden technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO getroffen, um Verschlüsselung und Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, Wiederherstellbarkeit sowie entsprechende Prüfverfahren zu gewährleisten.

Maßnahmen zur Gewährleistung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um die Anforderungen der Datenschutzgrundverordnung zu erfüllen und durch geeignete Voreinstellungen sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Zweck der Verarbeitung erforderlich ist.

Personio berücksichtigt die Anforderungen des Art. 25 DSGVO bereits in der Konzeptions- und Entwicklungsphase der Produktentwicklung. Dies wird durch die proaktive Einbeziehung der Rechtsabteilung, des Datenschutzbeauftragten und der IT-Sicherheitsingenieure sichergestellt. Prozesse und Funktionalitäten werden so eingerichtet, dass Datenschutzgrundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden.

1. Maßnahmen zur Gewährleistung der Vertraulichkeit

Vertraulichkeit ist der Schutz vor unberechtigter Offenlegung von Informationen. Vertrauliche Daten und Informationen dürfen nur berechtigten Personen in zulässiger Weise zugänglich sein.

1.1. Organisatorische Steuerung

Es soll sichergestellt werden, dass die interne Organisation die spezifischen Anforderungen des Datenschutzes erfüllt.

a) Organisatorische Anweisungen (gem. 5 und 6 ISO/IEC 27002/2017)

Die Ziele des Datenschutzes und der Informationssicherheit sind in Datenschutz- und Informationssicherheitsrichtlinien festgelegt und für alle Personio-Mitarbeiter verbindlich. Darüber hinaus werden weitere Organisationsanweisungen implementiert, um den Mitarbeitern konkrete Vorgaben für die Verarbeitung personenbezogener Daten zu machen (z.B. Richtlinien für Heim- und Telearbeit oder Richtlinien für die Nutzung von IT, Internet und E-Mail).

b) Bestellung eines Datenschutzbeauftragten gem. Art. 37 DSGVO

Die Geschäftsführung hat einen Datenschutzbeauftragten bestellt. Der Datenschutzbeauftragte wirkt auf die Einhaltung der datenschutzrechtlichen Bestimmungen hin und erfüllt diese Aufgaben im Sinne des Art. 39 DSGVO. Dazu gehören u.a. die Unterstützung beim Aufbau und der Weiterentwicklung eines Datenschutzmanagementsystems, die Erstellung, Weiterentwicklung und Überwachung entsprechender Richtlinien sowie die Durchführung regelmäßiger Sensibilisierungsmaßnahmen.

c) Verpflichtung zur Vertraulichkeit und zum Datenschutz

Alle Mitarbeiter werden bei Aushändigung des Arbeitsvertrages oder spätestens bei Beschäftigungsbeginn schriftlich zur Verschwiegenheit und zum Datenschutz sowie zur Einhaltung anderer einschlägiger Gesetze verpflichtet. Die Verpflichtung gilt über die Dauer des Arbeitsverhältnisses hinaus. Freie Mitarbeiter oder externe Dienstleister werden auf Grundlage von Non-Disclosure-Agreements (NDAs) schriftlich zur Verschwiegenheit verpflichtet und unterzeichnen zusätzlich einen Vertrag zur Auftragsdatenverarbeitung, wenn sie personenbezogene Daten im Auftrag von Personio verarbeiten.

d) Datenschutzschulungen

Jeder Mitarbeiter von Personio erhält Informationen und Merkblätter zum Datenschutz und bestätigt dies mit dem Arbeitsvertrag. Darüber hinaus werden regelmäßige Schulungen  als Sensibilisierungsmaßnahmen durchgeführt. Mitarbeiter aus besonders sensiblen Bereichen wie der Personalabteilung, der Produktentwicklung oder dem Kundenservice erhalten bei Bedarf auch gesonderte Informationen und Schulungen zu spezifischen Fachthemen.

e) Einschränkungen der privaten und geschäftlichen Nutzung von Kommunikationsgeräten

Personio-Mitarbeitern ist es nicht gestattet, das betriebliche E-Mail-System für private Zwecke zu nutzen. Das Internetsystem und die Telefondienste dürfen nur in eingeschränktem Umfang privat genutzt werden. Es ist strikt auf die Trennung von privaten und betrieblichen Daten zu achten. Darüber hinaus ist es den Mitarbeitern von Personio nicht gestattet, personenbezogene Daten oder sonstige Daten des Kunden, insbesondere aus dem Auftragsverarbeitungsverhältnis zum Kundenauftrag, auf privaten Kommunikationsgeräten zu verarbeiten. Die Personio-Mitarbeiter verpflichten sich zur Einhaltung entsprechender Richtlinien, deren Einhaltung im Rahmen des zulässigen und erforderlichen Umfangs kontrolliert wird.

f) Zuverlässigkeit des Personals (gem. 7 ISO/IEC 27002:2017)

Personio führt vor, während und nach der Einstellung Maßnahmen durch, um die Zuverlässigkeit der Mitarbeiter zu gewährleisten. Dies umfasst in der Regel:

  • Überprüfung und Bestätigung der angegebenen akademischen und beruflichen Qualifikationen

  • Vertragliche Vereinbarungen zur Festlegung von Verantwortlichkeiten und Verhaltensregeln

  • Durchführung von Schulungen, Sensibilisierungs- und Kontrollmaßnahmen

  • Sensibilisierung und Sanktionsverfahren bei Datenschutzverstößen

  • Durchführung eines dokumentierten Off-Boarding-Prozesses (u.a. Rücknahme von Schlüsseln, Entzug von Zugriffsrechten, Sicherstellung einer ausreichenden Dokumentation, Herausgabe und Weitergabe von Daten, Informationen und Kenntnissen usw.) bei Beendigung des Arbeitsverhältnisses

1.2 Verschlüsselung und Pseudonymisierung von personenbezogenen Daten

Es wird sichergestellt, dass personenbezogene Daten im System nur in einer Weise gespeichert werden, die es Dritten nicht ermöglicht, die betroffene Person zu identifizieren.

a) Schlüsselverwaltung (gem. 10.1.2 ISO/IEC 27002:2017)

Für die Verwendung, den Schutz und die Lebensdauer von Schlüsseln sowie für die Verwendung von Verschlüsselungsmethoden, die dem Stand der Technik entsprechen, setzt Personio eine Richtlinie für die Verwendung von kryptographischen Methoden um. Der Master-Schlüssel wird im Verantwortungsbereich des Infrastructure-as-a-Service-Anbieters generiert, sodass weder Personio noch andere Personen, außer dem verantwortlichen AWS-Personal Zugriff auf das Schlüsselmaterial haben, um das Risiko einer Leckage stark zu reduzieren.

Der Zugriff auf die Schlüsselverwaltung wird protokolliert und automatisiert sowie bei konkretem Verdacht durch autorisiertes Personio-Personal auf Unregelmäßigkeiten überprüft. Die entsprechenden Schlüssel werden einmal pro Jahr automatisch gewechselt. Darüber hinaus sind die Schlüssel strikt nach Umgebung getrennt (Produktionsverschlüsselungsschlüssel können z.B. nicht von der Staging-Umgebung zum Ver- oder Entschlüsseln von Daten verwendet werden).

b) Datenbank- und Speicherverschlüsselung

Sämtliche Kundendaten werden, in Übereinstimmung mit gängigen Branchenstandards, stets „im Ruhezustand“ verschlüsselt. Nur die Systeme, die für die Verarbeitung der Daten vorgesehen sind, dürfen die Verschlüsselungsschlüssel nach dem Grundsatz der geringsten Berechtigung verwenden. Backups werden nur verschlüsselt aufbewahrt.

c) Datenübertragung über verschlüsselte Datennetze oder Tunnelverbindungen („data in transit“)

Alle privaten Daten, die von der Personio-Anwendung über ein unsicheres oder öffentliches Netz an einen Kunden oder an andere Plattformen übermittelt werden, werden ausschließlich verschlüsselt übertragen. Dies gilt insbesondere für den Zugang zum Kunden- und Verwaltungssystem. Personio gewährleistet die Verwendung eines dem Stand der Technik entsprechenden Verschlüsselungsverfahrens in Abhängigkeit von dem auf der Kunden-Seite kompatiblen Verschlüsselungsalgorithmus (derzeit HTTPS-Verbindungen oder Transport Layer Security [TLS], Stichwort „Abwärtskompatibilität“: der Kunde ist für die Verwendung von dem Stand der Technik entsprechenden Geräten/Browsern verantwortlich). 

Der administrative Zugriff auf Serversysteme von Personio sowie die Übertragung von Backups erfolgt ausschließlich über verschlüsselte Verbindungen, z.B. Secure Shell (SSH) oder Virtual Private Network (VPN). Eine VPN-Verbindung wird für den Zugriff auf Kundensysteme im Rahmen von Heim- und Telearbeit genutzt. Es werden nur VPN-Server verwendet, die unter der direkten Kontrolle von Personio stehen. Die Nutzung von öffentlichen VPN-Anbietern ist nicht gestattet.

d) Verschlüsselung von mobilen Speichermedien

Mobile Speichermedien, auf denen Daten von Personio genutzt oder verarbeitet werden, werden ausschließlich verschlüsselt eingesetzt. Dies gilt insbesondere für die Verwendung von USB-Sticks, externen Festplatten o.ä. Die Nutzung von privaten mobilen Speichermedien zur Speicherung von Kundendaten ist jedoch nicht gestattet.

e) Verschlüsselung von Speichergeräten auf Laptops

Alle Laptops der Mitarbeiter sind mit einer modernen Festplattenverschlüsselung ausgestattet.

f) Verschlüsselter Austausch von Informationen und Dateien.

Der Austausch von Informationen und Dateien zwischen dem Kunden und Personio erfolgt grundsätzlich direkt verschlüsselt über die Personio-Anwendung (siehe c.). Müssen personenbezogene Daten oder vertrauliche Informationen des Kunden auf Server übertragen werden, die nicht über TLS-verschlüsselte HTTPS-Uploads versendet werden können, werden diese mittels Secure File Transfer Protocol (SFTP) oder einem anderen dem Stand der Technik entsprechenden verschlüsselten Mechanismus übertragen. Der Kunde ist dafür verantwortlich, diesen sicheren Datentransport bei Bedarf anzufordern oder bereitzustellen.

g) E-Mail-Verschlüsselung

Grundsätzlich werden alle E-Mails, die von Personio-Mitarbeitern oder innerhalb der Personio-Anwendung verschickt werden, mit TLS verschlüsselt. Ausnahmen können sein, wenn der empfangende Mailserver TLS nicht unterstützt. Der Kunde muss sicherstellen, dass der für die Bestellung verwendete Mailserver TLS-Verschlüsselung unterstützt. Auf Wunsch bietet Personio die Möglichkeit, Inhalte verschlüsselt zu versenden (z.B. S/MIME).

1.3.Physische Zugangskontrolle

Der Zugang von Unbefugten zu IT-System und Verarbeitungseinrichtungen, mit denen die Verarbeitung durchgeführt wird, ist untersagt.

a) Elektronische Türschlösser

Die Eingangstüren zu den Büroräumen von Personio sind immer verschlossen und elektronisch gesichert. Die Türen werden mit einem persönlichen elektronischen Schlüssel geöffnet.

b) Kontrollierte Schlüsselverteilung

Es erfolgt eine zentrale, dokumentierte Verteilung der Schlüssel an die Personio-Mitarbeiter. Diese elektronischen Schlüssel können zentral von der Geschäftsleitung oder der Personalabteilung deaktiviert werden.

c) Beaufsichtigung und Begleitung von Fremden

Personen, die nicht für Personio tätig sind, etwa externe Dienstleister oder sonstige Fremdpersonen, dürfen die Büros nur mit vorheriger Genehmigung und in Begleitung eines Personio-Mitarbeiters betreten. Ein Verzeichnis der Besucher wird auf dem neuesten Stand gehalten.

d) Absicherung von Räumen mit erhöhtem Schutzbedürfnis

Räume oder Schränke mit erhöhtem Schutzbedarf, wie z. B. Routerräume, Büros der Personalabteilung, Schränke mit Vertragsunterlagen usw., werden nach dem Verlassen oder der Benutzung stets verschlossen. Der Zugang zu diesen Räumen wird nur befugtem Personal gewährt. Erhöhter Schutzbedarf wird in den nicht-technischen Bereichen durch einen Vertreter aus dem Management oder gemeinsam durch die Office-IT und das IT-Sicherheits- und Legalteam bestimmt. 

e) Geschlossene Türen und Fenster

Personio sorgt dafür, dass alle Fenster und Türen außerhalb der Bürozeiten geschlossen oder verriegelt sind.

f) Physische und umgebungsbedingte Sicherheit von Serversystemen in Rechenzentren

Personio nutzt ausschließlich Serversysteme von Rechenzentrumsbetreibern, die über eine gültige Zertifizierung nach ISO/IEC 27001 verfügen und somit entsprechende technische und organisatorische Maßnahmen zur physischen und umgebungsbezogenen Sicherheit umsetzen, z.B.:

  • Das Rechenzentrum und die dort eingesetzten Systeme sind in unauffälligen Gebäuden untergebracht, die von außen nicht sofort als Rechenzentrum zu erkennen sind.

  • Das Rechenzentrum selbst ist durch physische Sicherheitsmaßnahmen gegen unbefugten Zutritt sowohl von außen (z.B. Zäune, Mauern) als auch innerhalb der Gebäude geschützt.

  • Der Zugang zum Rechenzentrum wird durch elektronische Zugangskontrollen verwaltet und durch Alarmsysteme gesichert, die einen Alarm auslösen, wenn die Tür geöffnet oder offengehalten wird.

  • Die Zugangsberechtigung wird von einer autorisierten Person erteilt und innerhalb von 24 Stunden nach Deaktivierung eines Mitarbeiter- oder Lieferanteneintrags widerrufen.

  • Alle Besucher müssen sich ausweisen und anmelden und werden stets von autorisiertem Personal begleitet.

  • Der Zugang zu diesen

     

    sensiblen Bereichen wird zusätzlich per Videoüberwachung kontrolliert.

  • Geschultes Sicherheitspersonal bewacht das Rechenzentrum und seine unmittelbare Umgebung 24 Stunden am Tag, 7 Tage die Woche.

g) Einsatz von Wachpersonal

Zur Sicherung der Räumlichkeiten des Unternehmenshauptsitzes in München wird ein externer Wachdienst eingesetzt. Dieser gewährleistet, dass sich nach Beendigung der regulären Arbeitszeit keine unbefugten Personen in den Räumlichkeiten von Personio aufhalten und alle Fenster und Türen verschlossen sind.

1.4 Berechtigungskontrolle

Die Nutzung und Verarbeitung datenschutzrechtlich geschützter Daten durch Unbefugte wird verhindert.

a) Verwendung von Authentifizierungsverfahren

Der Zugriff auf personenbezogene Daten erfolgt immer über verschlüsselte Protokolle: SSH, SSL/TLS, HTTPS oder vergleichbare Protokolle.

i) Authentifizierungsverfahren bei IT-System/Laptop

  • Die Authentifizierung mit Benutzernamen und Kennwort ist die Mindestsicherheitsanforderung.

  • Je nach den Fähigkeiten des Laptops können alternative und sichere Authentifizierungsverfahren aktiviert werden.

ii)  Authentifizierungsverfahren bei Kundensystem

(Kundensystem = Zugang für Administratoren und Nutzer des Kunden)

  • Authentifizierung mit einer E-Mail-Adresse

  • Selbstgewähltes Passwort (8 Zeichen, Zahlen, Buchstaben und Sonderzeichen; Speicherung über Bcyrpt-Hash, Einhaltung technisch erzwungen)

  • Zurücksetzen des Passworts über einen per E-Mail versandten Reset-Link

  • Sperrung des Kontos nach fünf fehlgeschlagenen Anmeldeversuchen

  • 2-Faktor-Authentifizierung möglich und empfohlen

  • Zusätzlich kann der Kunde die Authentifizierung und Passwortsicherheit durch die Integration von OAuth2 steuern

iii)  Authentifizierungsverfahren bei Admin-System

(Admin-System = Zugriff auf Kundensysteme über eine Benutzeroberfläche für den Kundenservice und die Produktentwicklung durch Personio, sofern vom Kunden zu Supportzwecken freigegeben)

  • Authentifizierung mit E-Mail-Adresse

  • 2-Faktor-Authentifizierung erzwungen:

    • Selbst gewähltes Passwort (8 Zeichen, Zahlen, Buchstaben und Sonderzeichen; Speicherung via Bcrypt-Hash, Einhaltung technisch erzwungen, Passwortänderung wird vom Teamlead alle drei Monate angeordnet)

    • Token Generator zur Authentifizierung

  • Sperrung des Admin-Accounts nach fünf fehlgeschlagenen Login-Versuchen

iv)  Authentifizierung bei Server-/Datenbank-System

(Server-/ Datenbank-System = Zugang auf die gespeicherten Daten durch Produktentwicklung des Auftragnehmers)

  • Administrativer Zugriff über VPN, SSH oder AWS API

  • Authentifizierung mit SSO (MFA erzwungen)

b) Bestimmung von Support- und Weisungsberechtigten 

Der Kunde kann über die Systemeinstellungen Support- und Weisungsberechtigte festlegen, wer Weisungen erteilen darf. Die Zuordnung zu support- und weisungsberechtigten Person erfolgt über die von Personio zur Verfügung gestellten Kontaktdaten (z.B. Name, E-Mail-Adresse, Telefonnummer, Benutzerkennung). Das Kundenservice-Team von Personio ist verpflichtet, nur von den genannten Personen Aufträge anzunehmen oder Auskünfte zu erteilen und zu überprüfen. Bei telefonischen Anfragen muss die in Personio gespeicherte persönliche Telefon-PIN vorab verifiziert werden.

c) Verwendung sicherer Passwörter

Bei der Vergabe und regelmäßigen Aktualisierung von sicheren Passwörtern sind die Maßgaben des BSI IT Grundschutz oder anderer äquivalenter, anerkannter Sicherheitsstandards für den Personio Account sowie für die Laptops, Computer oder sonstige mobile Endgeräte zu berücksichtigen (d.h. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennwortes). Nutzer von Personio sind dazu angehalten, vergleichbare Maßnahmen zur Sperrung bei Inaktivität zu treffen. Der Kunde hat dafür Sorge zu tragen.

d) Verbot der Weitergabe von Passwörtern und Nutzung von „Shared Accounts“

Sowohl für Nutzer von Personio als auch Mitarbeiter gilt das Verbot der Weitergabe von Passwörtern für die Nutzung von Personio sowie die Nutzung von sogenannten „Shared Accounts“ für den Zugang zu Kunden-, Admin- und administrativen Systemen (d.h. ausschließliche Nutzung persönlicher und individueller User Login bei Anmeldung am System).

e) Automatische Sperrung bei Inaktivität

Personio-Mitarbeitern wird empfohlen, ihre Laptops ständig zu sperren, wenn sie nicht benutzt werden. Darüber hinaus ist eine automatische Bildschirmsperre nach 3 Minuten Inaktivität eingerichtet. Die Entsperrung erfordert das unter “Authentifizierungsverfahren bei IT-System/Laptop” beschriebene Authentifizierungsverfahren.

f) Einsatz von Anti-Viren-Software

Laptops der Mitarbeiter von Personio sind mit einer dem Stand der Technik entsprechenden und aktuell gehaltenen Anti-Viren-Software auf allen betrieblichen oder betrieblich genutzten IT-Systemen ausgestattet. Es dürfen grundsätzlich keine Rechner ohne residenten Virenschutz betrieben werden, es sei denn, es sind andere äquivalente Sicherheitsmaßnahmen nach dem Stand der Technik getroffen worden oder ein Risiko besteht nicht. Vorgegebene Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.

g) „Clean Desk Policy“

Personio-Mitarbeiter sind dazu angehalten, personenbezogene Daten von Kunden nicht auszudrucken oder lokal zu speichern, Arbeitsmaterialien grundsätzlich nicht offen herumliegen zu lassen und ordnungsgemäß zu verstauen. Unterlagen mit personenbezogenen Daten sind nach Gebrauch entweder in abschließbaren Schränken oder Schubfächern zu verstauen oder datenschutzkonform zu entsorgen.

h) Öffentliche Drahtlosnetzwerke und Verbindung zum Firmennetz

Öffentliche drahtlose Netzwerke werden ausschließlich über eine VPN-Verbindung, welche von Personio bereitgestellt wird, verwendet.

1.5 Zugriffskontrolle

Es wird gewährleistet, dass die zur Nutzung eines automatisierten Verarbeitungssystems befugten Personen nur Zugang zu den personenbezogenen Daten erhalten, für die ihre Zugriffsberechtigung gilt.

a) Rollen- und Berechtigungskonzept

i) Rollen- und Berechtigungskonzept bei Kunden-System

Administratoren des Auftraggebers können ein mehrstufiges Rollenkonzept zur Rechtevergabe individuell konfigurieren und dabei zwischen Ansichts-, Vorschlags- und Bearbeitungsrechten je Funktion bzw. Bereich innerhalb von Personio für individuelle Nutzer unterscheiden.

ii) Rollen- und Berechtigungskonzept bei Admin-System

Der Zugriff auf das Admin-System ist grundsätzlich auf geschulte Mitarbeiter im Bereich Kundenservice und Produktentwicklung beschränkt. Mitarbeiter aus dem Vertriebs- und Finance-Team haben über das Admin-System lediglich Zugriff auf Kunden-Systeme während der kostenfreien Testphase bzw. auf entsprechende Abrechnungsdaten und können somit keine Kundendaten einsehen.

iii) Rollen- und Berechtigungskonzept bei Server-/Datenbank-Systemen

Der Zugriff auf das Server-/ Datenbank-System ist grundsätzlich auf eine begrenzte Anzahl geschulter Mitarbeiter im Bereich Produktentwicklung und Infrastruktur beschränkt.

b) Kontrolle der Zugriffsberechtigung für Personio auf Kunden-Systeme durch Auftraggeber

Der Auftraggeber hat über die Systemeinstellungen im Kunden-System die Möglichkeit zu entscheiden, ob Personio Zugriff auf das Kunden-System nehmen kann. Die Berechtigung des Zugriffs ist dabei als Voreinstellung deaktiviert und kann von dazu berechtigten Mitarbeitern des Auftraggebers jederzeit aktiviert oder deaktiviert werden.

c) Vergabe von Zugriffsrechten

Die Vergabe von Zugriffsrechten erfolgt bei Personio grundsätzlich nach dem „Need-to-Know“-Prinzip. Zugänge erhalten demnach ausschließlich Personen, die ihn nachvollziehbar benötigen und solange sie ihn benötigen. Den Bedarf muss die beantragende Person bei der Beantragung schlüssig begründen. Das Berechtigungskonzept ist rollenbasiert. Jedem Mitarbeiter wird grundsätzlich eine bestimmte Rolle zugewiesen. Von dieser Rolle abweichende Berechtigungen müssen begründet sein. Die Zugriffsberechtigungen werden zentral dokumentiert sowie unmittelbar nach Erlöschen der Notwendigkeit des Zugriffs vom Administrator entzogen. Die Zugänge werden auf die minimal notwendigen Privilegien beschränkt. Zugriffe auf Admin-System oder Server-/ Datenbank-System werden durch das Management, die Leitung der Infrastruktur-Abteilung oder den Information Security Manager freigegeben und erfolgen in der Regel nach dem 4-Augen-Prinzip. Die Administratoren bzw. der Information Security Manager prüfen regelmäßig, ob erteilte Berechtigungen noch erforderlich sind. Vorgesetzte sind darüber hinaus verpflichtet, im Falle von Aufgabenwechsel von Mitarbeitern eine entsprechende Korrektur von Berechtigungen bei der IT-Administration zu beantragen. Im Falle des Ausscheidens von Mitarbeiter informieren die Personalverantwortlichen die Administratoren bzw. die Personalabteilung unverzüglich über anstehende Veränderungen, damit die entsprechenden Berechtigungen entzogen werden können. Der Entzug von Berechtigungen erfolgt nach Möglichkeit binnen 24 Stunden nach Ausscheiden eines Mitarbeiters.

d) Host-basiertes Intrusion Detection System (IDS)

Personio verwendet ein Intrusion Detection System (IDS). Dieses überwacht Mindestparameter wie verdächtige Log-Einträge, Signaturen bekannter Rootkits und Trojaner, Anomalien im Gerätedateisystem oder Brute-Force-Angriffe. Alle Parameter mit Ausnahme von Änderungen an Dateisystemen werden in Echtzeit ausgewertet. Dateisysteme werden mindestens einmal pro Tag überprüft. Bei Auffälligkeiten werden die zuständigen Mitarbeiter (Betriebs- und Produktentwicklung) sofort per E-Mail informiert.

e) Netzsicherheit

Die Server und Datenbanken von Personio werden nur in privaten Subnetzen ohne öffentliche IPs eingesetzt, wodurch sichergestellt wird, dass keine Dienste direkt vom Internet aus zugänglich sind. Öffentlich zugängliche Dienste werden über Load Balancer oder Bastion Hosts geroutet, die nur die für den jeweiligen Dienst erforderlichen Protokolle und Ports zulassen. Öffentliche Ressourcen wie Bilder, JavaScript- oder CSS-Dateien können über ein CDN wie AWS CloudFront bereitgestellt werden. Darüber hinaus wird eine Web-Firewall zum Schutz vor gängigen Web-Exploits und Bots eingesetzt, die die Verfügbarkeit beeinträchtigen oder die Sicherheit gefährden können.

d) Protokollierung von An- und Abmeldevorgängen

Alle versuchten oder erfolgreichen Zugriffe auf Verwaltungssysteme, Infrastruktur und Kundensysteme werden protokolliert. Die Protokolleinträge enthalten mindestens: Zeitstempel, Benutzer-ID, IP-Adresse und Authentifizierungsergebnis. Die Protokolle werden derzeit bis zu einem Jahr lang gespeichert und auf Anfrage zur Verfügung gestellt.

1.6 Trennbarkeit

Es wird sichergestellt, dass personenbezogene Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden können und von anderen Daten und Systemen so getrennt sind, dass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen ist.

a) Trennung von Entwicklungs-, Test- und Betriebsumgebungen (gem. 12.1.4 ISO/IEC 27002:2017)

Daten aus der Betriebsumgebung dürfen nur in Test- oder Entwicklungsumgebungen überführt werden, wenn sie vor der Überführung vollständig anonymisiert wurden. Die Übertragung der anonymisierten Daten muss verschlüsselt oder über ein vertrauenswürdiges Netz erfolgen. Software, die in die Betriebsumgebung überführt werden soll, muss zuerst in einer identischen Test-Umgebung („Staging“) getestet werden. Programme für Fehleranalysen oder das Erstellen/ Kompilieren von Software dürfen in der Betriebsumgebung nur verwendet werden, wenn sich dies nicht vermeiden lässt. Dies ist vor allem dann der Fall, wenn Fehlersituationen von Daten abhängig sind, die aufgrund der Anforderungen für die Anonymisierung bei der Überführung in Testumgebungen verfälscht würden.

b) Trennung in Netzwerken (gem. 13.1.3 ISO/IEC 27002:2017)

Personio trennt seine Netzwerke nach Aufgaben. Hierbei kommen die folgenden Netzwerke dauerhaft zum Einsatz: Betriebsumgebung („Production“), Testumgebung („Staging“), Office-IT Mitarbeiter, Office-IT Gäste. Zusätzlich zu diesen Netzwerken werden bei Bedarf weitere separate Netzwerke erstellt, z.B. für Restore-Tests und Penetration-Tests. Die Trennung der Netzwerke erfolgt, je nach technischen Möglichkeiten, physisch oder mittels virtueller Netzwerke.

c) Softwareseitige Mandantentrennung

Personio stellt die getrennte Verarbeitung und Speicherung von Daten unterschiedlicher Auftraggeber über eine logische Mandantentrennung auf Basis einer Multi-Tenancy-Architektur sicher. Die Zuordnung und Identifizierung der Daten erfolgt dabei über die Zuweisung einer eindeutigen Kennung je Auftraggeber (bspw. Kundennummer/ „Company ID“). Die Absicherung der Architektur erfolgt durch die Implementierung von Integrationstests, welche sicherstellen, dass keine Datenbank-Abfragen ohne Abfrage und Zuordnung zu dieser Kennung durchgeführt werden und das Risiko der Umgehung der Mandantentrennung durch Programmierfehler minimiert wird. Regelmäßige Security-Audits sowie verbindliche Code-Reviews (4-bis 6-Augen-Prinzip) sichern die Architektur zusätzlich ab.

2. Maßnahmen zur Integritätswahrung

Integrität bedeutet die Gewährleistung der Korrektheit/Echtheit der Daten und das ordnungsgemäße Funktionieren der Systeme.

2.1) Übermittlungskontrolle

Es wird sichergestellt, dass die Vertraulichkeit und Integrität privater Daten bei der Übertragung und beim Transport der Speichermedien geschützt sind.

a) Transportverschlüsselung („Data in Transit“)

Siehe “Verschlüsselung und Pseudonymisierung von personenbezogenen Daten”, Sicherstellung der Datenintegrität während des Transports durch Berechnung von Prüfsummen.

b) Verbot der Weitergabe an unbefugte Dritte

Eine Weitergabe personenbezogener Daten, die im Auftrag des Auftraggebers erfolgt, darf jeweils nur im Umfang der Weisungen und soweit dies zur Erbringung der vertraglichen Leistungen für den Auftraggeber erforderlich ist, erfolgen. Insbesondere ist die Weitergabe von personenbezogenen Daten aus dem Auftrag an unberechtigte Dritte, z.B. durch Speicherung in einem anderen Cloud-Speicher, nicht gestattet.

2.2 Eingabekontrolle

Es soll sichergestellt werden, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welchem Zeitpunkt und von wem in automatisierte Verarbeitungssysteme eingegeben oder geändert worden sind.

Protokollierung der Systemaktivitäten im Admin- und Kundensystem sowie Auswertung

Alle wesentlichen Systemaktivitäten werden protokolliert. Die Protokolleinträge enthalten mindestens: Zeitstempel, Benutzer-ID, Zugriffsrolle, IP-Adresse, Systemkomponente oder -funktion, durchgeführte Aktivitäten. Zu den protokollierten Aktivitäten gehören alle Eingabe-, Änderungs- und Löschaktionen in Bezug auf Daten, Benutzer, Berechtigungen oder Systemeinstellungen. Die Protokolle werden derzeit bis zu einem Jahr lang gespeichert und auf Anfrage zur Verfügung gestellt.

3. Maßnahmen zur Sicherstellung der Verfügbarkeit

Die Verfügbarkeit von Diensten, Funktionen eines IT-Systems, von IT-Anwendungen oder IT-Netzen oder auch von Informationen ist gegeben, wenn sie von den Nutzern jederzeit bestimmungsgemäß verwendet werden können.

3.1 Verfügbarkeitskontrolle

Sicherstellen, dass personenbezogene Daten gegen versehentliche Zerstörung oder Verlust geschützt sind.

a) Datensicherungsverfahren/Backups

Personio implementiert ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten des Kunden sowie das Speichermedium mit den entsprechend gespeicherten Dokumenten nach dem Stand der Technik, um eine ausreichende Verfügbarkeit zu gewährleisten.

b) Georedundanz in Bezug auf die Serverinfrastruktur von Produktivdaten und Backups

Um im Falle eines unvorhergesehenen Ereignisses, wie z.B. einer Naturkatastrophe, Georedundanz zu gewährleisten, stellt Personio sicher, dass angemessene räumliche Trennungsanforderungen in Bezug auf die Serverinfrastruktur der Produktivdaten und Backups erfüllt werden. Dies kann durch die Nutzung verschiedener Rechenzentren in ausreichender Entfernung oder Rechenzentren mit unterschiedlichen Verfügbarkeitszonen gewährleistet werden. Das Backup-System ist so konzipiert, dass die Daten im unwahrscheinlichen Fall eines Ausfalls einer AWS-Region dank der Backup-Replikation über mehrere AWS EU-Regionen hinweg nicht gefährdet sind.

c) Kapazitätsmanagement

Es gibt ein Kapazitätsmanagement mit Überwachung und automatischer Skalierung im Falle von Kapazitätsengpässen.

d) Warnsysteme zur Überwachung der Erreichbarkeit und des Zustands der Server-Systeme

Es besteht ein Warnsystem zur Überwachung der Verfügbarkeit und des Status der Serversysteme. Bei Ausfällen wird die Infrastrukturabteilung automatisch benachrichtigt, um sofortige Maßnahmen zur Behebung des Problems zu ergreifen. Ein Bereitschaftsdienst ist eingerichtet, um die Verfügbarkeit kritischer Komponenten außerhalb der Geschäftszeiten zu gewährleisten.

e) IT-Störungsmanagement („Incident Response Management“) (gem. 16 ISO/IEC 27002:2017)

Für den Umgang mit Störungen und sicherheitsrelevanten Ereignissen bestehen Konzepte und dokumentierte Verfahren. Dazu gehören insbesondere die Planung und Vorbereitung von Reaktionen auf Vorfälle, Verfahren zur Überwachung, Identifizierung und Analyse von sicherheitsrelevanten Ereignissen sowie die Festlegung von entsprechenden Verantwortlichkeiten und Meldewegen im Falle einer Verletzung des Schutzes personenbezogener Daten im Rahmen der gesetzlichen Vorgaben.

f) Weitere Maßnahmen zur Gewährleistung der Verfügbarkeit in den Rechenzentren

Im Rechenzentrum ist ein automatisches Brandmelde- und Brandbekämpfungssystem installiert. Das Brandmeldesystem verwendet Rauchsensoren in der gesamten Umgebung des Rechenzentrums, in den mechanischen und elektrischen Bereichen der Infrastruktur, in den Kühlräumen und in den Räumen, in denen die Generatoren untergebracht sind.

Alle Stromversorgungssysteme sind redundant ausgelegt. Im Falle eines Stromausfalls sorgt eine unterbrechungsfreie Stromversorgung (USV) dafür, dass kritische Bereiche der Anlage weiterhin mit Strom versorgt werden. Das Rechenzentrum verfügt außerdem über Generatoren, die die gesamte Anlage mit Notstrom versorgen können. Das Rechenzentrum ist klimatisiert und temperaturgesteuert. Es werden vorbeugende Wartungsmaßnahmen durchgeführt, um den kontinuierlichen Betrieb zu gewährleisten.

3.2 Wiederherstellbarkeit

Es wird sichergestellt, dass Systeme im Falle eines physischen oder technischen Ausfalls zuverlässig wiederhergestellt werden können.

Notfallplan („Disaster Recovery Concept“)

Es gibt ein Konzept für den Umgang mit Notfällen/Katastrophen und einen entsprechenden Notfallplan. Personio gewährleistet die Wiederherstellung aller Systeme auf der Grundlage von Datensicherungen, in der Regel innerhalb von 24 Stunden (Recovery Time Objective – RTO). Das Recovery Point Objective (RPO) ist auf 24 Stunden festgelegt.

4. Maßnahmen zur Überprüfung und Evaluierung

Beschreibung der Verfahren zur regelmäßigen Überprüfung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

a) Team Datenschutz und Informationssicherheit

Für die Planung, Umsetzung, Bewertung und Anpassung von Maßnahmen im Bereich Datenschutz und Datensicherheit wurde ein Datenschutz- und Informationssicherheitsteam (DST) eingerichtet.

b) Risikomanagement

Im Rahmen des Datenschutz- und Informationssicherheitsmanagementsystems von Personio gibt es einen Prozess zur Analyse, Bewertung und Zuordnung von Risiken, zur Ableitung von Maßnahmen auf Basis dieser Risiken sowie zur regelmäßigen Bewertung der Wirksamkeit dieser Maßnahmen.

c) Unabhängige Überprüfung der Informationssicherheit (gem. 18.2.1 ISO/IEC 27002:2017)

i) Durchführung von Audits

Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt, wobei die Unabhängigkeit des Auditors (z.B. aus einem anderen Bereich oder extern) gewährleistet ist. Die Audits werden auf der Grundlage gemeinsamer Prüfkriterien/-schemata (insbesondere gesetzlicher Anforderungen der DSGVO, Sicherheitsstandards usw.) durchgeführt und prüfen insbesondere die Vollständigkeit und Richtigkeit von Richtlinien und Konzepten sowie die Dokumentation und Einhaltung entsprechender Prozesse.

ii) Überprüfung der Einhaltung von Sicherheitsrichtlinien und Standards (gem. 18.2.2 ISO/IEC 27002:2017)

Die Einhaltung der geltenden Sicherheitsrichtlinien, Normen und sonstigen Sicherheitsanforderungen bei der Verarbeitung personenbezogener Daten wird regelmäßig überprüft. Soweit möglich, geschieht dies stichprobenartig und unerwartet.

iii) Überprüfung der Einhaltung technischer Spezifikationen (gem. 18.2.3 ISO/IEC 27002:2017)

Der IT-Sicherheits-Manager oder andere qualifizierte Mitarbeiter führen regelmäßig automatisierte und manuelle Schwachstellenscans durch, um die Sicherheit der Anwendungen und der Infrastruktur sowie die regelmäßige Weiterentwicklung des Produkts zu überprüfen. Bei Bedarf werden detaillierte Penetrationstests durch einen externen Dienstleister durchgeführt, um die Anwendungen und die Infrastruktur gezielt auf Schwachstellen zu untersuchen.

iv) Verfahren zur kontinuierlichen Verbesserung des Datenschutz- und Informationssicherheitsmanagementsystems

Zu den Datenschutz- und Informationssicherheitsprozessen gehören auch eine regelmäßige Überprüfung und Bewertung der getroffenen technischen und organisatorischen Maßnahmen. Ebenfalls besteht ein Verbesserungs- und Vorschlagswesen, an dem sich die Mitarbeiter beteiligen können. Personio sorgt so für eine kontinuierliche Verbesserung der Prozesse im Umgang mit personenbezogenen Daten.

d) Vertragsüberwachung

Es wird gewährleistet, dass personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden, nur gemäß den Anweisungen des Kunden verarbeitet werden können.

i) Auftragsverarbeitung

Die Mitarbeiter von Personio sind angewiesen, personenbezogene Daten des Auftraggebers nur auf dokumentierte Weisung im Rahmen des Auftragsverarbeitungsvertrages und der Nutzungsvereinbarung zu verwenden. Nach dem Auftragsverarbeitungsvertrag nimmt Personio die Weisungen des Auftraggebers sowohl in schriftlicher Form als auch über die vom Auftragnehmer angebotenen elektronischen Formate entgegen. Mündliche Weisungen sind nur in dringenden Fällen zulässig und müssen vom Auftraggeber unverzüglich schriftlich oder in einem von Personio angebotenen elektronischen Format bestätigt werden.

ii) Sorgfältige Auswahl von Lieferanten

Im Falle des Outsourcings erfolgt die Beauftragung von Lieferanten/Dritten auf der Grundlage eines sorgfältigen Auswahlverfahrens in Zusammenarbeit mit dem Informationssicherheitsbeauftragten, dem Datenschutzbeauftragten und der Rechtsabteilung nach festgelegten Kriterien, insbesondere im Hinblick auf den Datenschutz und die IT-Sicherheit, im Besonderen:

  • Prüfung der Dokumentation und Einhaltung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO

  • Je nach Schutzniveau und Umfang der personenbezogenen Daten werden möglichst nur ISO/IEC 27001 zertifizierte Unternehmen beauftragt (gilt in jedem Fall für Rechenzentren)

Um Risiken vorzubeugen, wird im Rahmen des Prozesses auch eine Risikobewertung für die jeweiligen Lieferanten durchgeführt, wenn der Drittanbieter regelmäßig mit personenbezogenen Daten arbeitet.

iii) Auftragsverarbeitung gem. Art. 28 DSGVO

Eine Beauftragung und der Einsatz eines Unterauftragnehmer erfolgt ausschließlich nach Maßgabe des Auftragsverarbeitungsvertrages zwischen Personio und dem Kunden, der gesetzlichen Bestimmungen sowie nach Abschluss einer entsprechenden Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen Personio und dem Unterauftragnehmer. Diese Vereinbarung soll, soweit möglich, regelmäßig zumindest die folgenden Aspekte berücksichtigen:

  • Vereinbarung von wirksamen Kontrollrechten (entsprechend den Rechten des Auftraggebers, möglichst einschließlich Kontrollen vor Ort)

  • Vereinbarung von entsprechenden Kontroll- und Informationsrechten bei der Beauftragung weiterer Unterauftragnehmer

  • Vereinbarung von Vertragsstrafen für Verstöße, soweit erforderlich und möglich

  • Ausschließliche Verarbeitung nach dokumentierten Anweisungen

  • Ausschluss unzulässiger Verarbeitungsschritte

  • Verbot der Anfertigung von Kopien personenbezogener Daten (außer Sicherungskopien)

  • Verpflichtung der Mitarbeiter des Unterauftragnehmers zur Wahrung der Vertraulichkeit

  • Mitwirkung bei der Wahrung der Rechte der betroffenen Personen

  • Ernennung eines Datenschutzbeauftragten, sofern gesetzlich vorgeschrieben

  • Informationspflicht bei meldepflichtigen Verstößen gegen den Schutz personenbezogener Daten gemäß Art.33 und 34 DSGVO, bei Betriebsstörungen und anderen Unregelmäßigkeiten im Umgang mit personenbezogenen Daten

  • Sicherstellung der Löschung/Vernichtung von Daten nach Erledigung des Auftrags

iv) Durchführung regelmäßiger Kontrollen / Anforderung von Nachweisen

Personio wird sich vor Beginn des Einsatzes und danach regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen der von ihr beauftragten Unterauftragnehmer überzeugen oder sich diese nachweisen lassen.

Version 09-2022