Staffbase Auftragsverarbeitungsvertrag

9. Juli 2020

Dieser Staffbase Auftragsverarbeitungsvertrag („AVV”) ist Bestandteil der Staffbase Nutzungsbedingungen oder, wenn zutreffend, Bestandteil des zwischen Staffbase und dem Kunden abgeschlossenen Master Subscription Agreement (die Staffbase Nutzungsbedingungen bzw. das Master Subscription Agreement jeweils die „Anwendbare Vereinbarung”). Im Falle eines Widerspruchs zwischen der Anwendbaren Vereinbarung und dem AVV ist der AVV maßgeblich.

Die vorherige Version unseres Auftragsverarbeitungsvertrags finden Sie hier.

  1. DEFINITIONEN.
    1. „Aufsichtsbehörde” bedeutet jede unabhängige Behörde, die für die Überwachung der Anwendung des Anwendbaren Datenschutzrechts zuständig ist.
    2. „Anwendbares Datenschutzrechtbedeutet alle anwendbaren Gesetze und Vorschriften in Bezug auf den Datenschutz und die Privatsphäre, denen der Kunde unterliegt und die für die Verarbeitung Personenbezogener Daten im Rahmen der Vereinbarung gelten. Anwendbares Datenschutzrecht beinhaltet: (i) EU-Datenschutzrecht; (ii) in Bezug auf das Vereinigte Königreich alle anwendbaren nationalen Gesetze, die die DSGVO ersetzen oder in nationales Recht umsetzen oder alle anderen Gesetze in Bezug auf Datenschutz und Privatsphäre infolge des Austritts des Vereinigten Königreichs aus der Europäischen Union; und (iii) das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 sowie die Verordnung zum Bundesgesetz über den Datenschutz; jeweils in der geänderten, aufgehobenen, abgelösten oder ersetzten Fassung.
    3. „EU-Datenschutzrecht” bedeutet alle für die Europäische Union („EU”), den Europäischen Wirtschaftsraum („EWR”) und für die Mitgliedstaaten der Vorgenannten geltenden Datenschutzgesetze und -vorschriften, einschließlich (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („DSGVO”); (ii) die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, geändert durch die Richtlinie 2009/136/EG; und (iii) die anwendbaren nationalen Umsetzungen von (i) und (ii) in den EU-und EWR-Mitgliedsstaaten.
    4. „Modellklauseln” sind die Standardvertragsklauseln für Auftragsverarbeiter, die gemäß dem Beschluss 2010/87/EU der Europäischen Kommission vom 5. Februar 2010 genehmigt wurden, oder alle aktualisierten Standardvertragsklauseln, die von der Europäischen Kommission genehmigt wurden.
    5. „Personenbezogene Daten” sind alle Kundendaten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, soweit diese Informationen durch das Anwendbare Datenschutzrecht geschützt sind. Personenbezogene Daten umfassen unter anderem die in Anlage 1 beschriebenen Personenbezogenen Daten.
    6. Unterauftragsverarbeiter bezeichnet jeden Auftragsverarbeiter, der von Staffbase oder von Verbundenen Unternehmen von Staffbase beauftragt wurde, um bei der Erfüllung der Verpflichtungen von Staffbase im Rahmen der Vereinbarung zu unterstützen. Zu den Unterauftragsverarbeitern können auch Dritte  oder Verbundene Unternehmen von Staffbase gehören. Die Unterauftragsverarbeiter sind auf https://staffbase.com/de/legal/unterauftragsverarbeiter/ (die „Unterauftragsverarbeiter-Seite”) aufgeführt.
    7. „Verbundenes Unternehmen” hat die gleiche Bedeutung wie in der Vereinbarung.
    8. „Verletzung des Schutzes Personenbezogener Daten” bedeutet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf Personenbezogene Daten geführt hat, die von Staffbase und/oder den Unterauftragsverarbeitern von Staffbase im Zusammenhang mit der Bereitstellung der Staffbase-Dienste übertragen, gespeichert oder anderweitig verarbeitet wurden.
    9. „Weisungen” sind die schriftlichen Weisungen des Kunden an Staffbase für die Verarbeitung Personenbezogener Daten, bestehend aus der Vereinbarung, allen Bestellungen, allen Weisungen, die der Kunde über die Nutzung der Staffbase-Dienste erteilt, sowie allen zusätzlichen Weisungen, die von den Parteien einvernehmlich schriftlich vereinbart wurden.
      Die Begriffe „Verantwortlicher”, „Betroffene Person”, „Auftragsverarbeiter” und „Verarbeitung” haben die Bedeutung, die ihnen nach dem EU-Datenschutzrecht zukommt, und „verarbeiten”, „verarbeitet” und „verarbeitete” werden entsprechend ausgelegt. Alle anderen Begriffe, die in diesem AVV nicht explizit definiert sind, haben die gleiche Bedeutung wie in der Vereinbarung.
  2. ROLLEN UND VERANTWORTLICHKEITEN.
    1. Rollen der Parteien. Die Parteien verstehen und vereinbaren, dass in Bezug auf die Verarbeitung Personenbezogener Daten der Kunde der Verantwortliche und Staffbase der Auftragsverarbeiter ist. Staffbase oder die Verbundenen Unternehmen von Staffbase können Unterauftragsverarbeiter nach Maßgabe der in diesem AVV festgelegten Anforderungen beauftragen. Die Einzelheiten der Verarbeitung werden in Anlage 1 erläutert.
    2. Verarbeitung durch den Kunden. Der Kunde verarbeitet Personenbezogene Daten in Übereinstimmung mit den Anwendbaren Datenschutzrecht und stellt sicher, dass seine Weisungen auch Anwendbares Datenschutzrecht einhalten. Zwischen den Parteien hat der Kunde die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Personenbezogenen Daten und die Methoden, mit denen er die Personenbezogenen Daten erfasst.
    3. Verarbeitung durch Staffbase. Staffbase verarbeitet Personenbezogene Daten nur wie in diesem AVV, der Vereinbarung, allen relevanten Bestellungen und allen anderen schriftlichen Weisungen des Kunden beschrieben („Zweck”). Staffbase wird die Personenbezogene Daten nicht für andere Zwecke verarbeiten, es sei denn: (i) dies ist mit dem Kunden schriftlich vereinbart; oder (ii) dies ist nach geltendem Recht erforderlich. Staffbase wird den Kunden unverzüglich informieren, wenn nach Ansicht von Staffbase eine Weisung gegen Anwendbares Datenschutzrecht verstößt. In diesem Fall behält sich Staffbase das Recht vor, die Ausführung der Weisungen zu verweigern und/oder auszusetzen.
  3. ANTRÄGE UND KONSULTATION.
    1. Anträge Betroffener Personen. Unter Berücksichtigung der Art der Verarbeitung wird Staffbase den Kunden in angemessener Weise unterstützen, damit der Kunde seinen Verpflichtungen gegenüber den Rechten der Betroffenen Personen gemäß dem Anwendbaren Datenschutzrecht nachkommen kann. Zu den Rechten der Betroffenen Person gehören unter anderem: Auskunftsrecht, Recht auf Berichtigung, Recht auf Einschränkung der Verarbeitung, Recht auf Löschung („Recht auf Vergessenwerden”), Widerspruchsrecht oder Recht auf Datenübertragbarkeit (jeweils ein Antrag der Betroffenen Person). Wenn ein Antrag der Betroffenen Person direkt an Staffbase gestellt wird, wird Staffbase den Kunden, soweit gesetzlich zulässig, umgehend informieren. Staffbase wird ohne vorherige Zustimmung des Kunden nicht direkt auf einen Antrag der Betroffenen Person antworten, es sei denn, dies ist angemessen, z.B. um die Betroffene Person an den Kunden zu verweisen. Der Kunde ist allein verantwortlich für die Beantwortung von Anträgen der Betroffenen Person.
    2. DSFA. Auf Anfrage des Kunden und in dem nach Anwendbarem Datenschutzrecht erforderlichen Umfang leistet Staffbase dem Kunden angemessene Zusammenarbeit und Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) bezogen auf die Nutzung der Staffbase-Dienste durch den Kunden.
    3. Konsultierung der Aufsichtsbehörde. Soweit nach dem Anwendbaren Datenschutzrecht erforderlich, leistet Staffbase dem Kunden angemessene Unterstützung bei der Zusammenarbeit oder der vorherigen Konsultation mit einer Aufsichtsbehörde.
  4. SICHERHEIT UND VERTRAULICHKEIT.
    1. Vertrauliche Informationen. Staffbase wird alle Personenbezogene Daten als Vertrauliche Informationen behandeln, wie in der Anwendbaren Vereinbarung festgelegt.
    2. Personal. Staffbase stellt sicher, dass die Mitarbeiter von Staffbase sowie die Mitarbeiter der Verbundenen Unternehmen von Staffbase sowie externe Dienstleister, die Zugang zu Personenbezogenen Daten haben: (i) einer schriftlichen Verpflichtung unterliegen, Personenbezogene Daten vertraulich zu behandeln; und (ii) in angemessener Weise in den sorgfältigen Umgang mit Personenbezogenen Daten eingewiesen werden. Staffbase wird Maßnahmen zur Beschränkung des Zugangs der Mitarbeiter zu Personenbezogenen Daten gemäß den Sicherheitsmaßnahmen durchführen.
    3. Sicherheitsmaßnahmen. Unter Berücksichtigung des Standes der Technik, der Kosten der Implementierung und der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten der Betroffenen Person wird Staffbase geeignete technische und organisatorische Maßnahmen, wie in Anlage 2 dieses AVVs („Sicherheitsmaßnahmen”) beschrieben, implementieren und aufrechterhalten, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Staffbase überwacht regelmäßig die Einhaltung seiner Sicherheitsmaßnahmen. Staffbase kann von Zeit zu Zeit alternative angemessene Sicherheitsmaßnahmen implementieren und dabei sicherstellen, dass das Sicherheitsniveau der definierten Maßnahmen nicht verringert wird.
  5. VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN.
    1. Meldung. Sobald Staffbase von einer Verletzung des Schutzes Personenbezogener Daten Kenntnis erlangt, wird Staffbase diese dem Kunden unverzüglich melden und wird bei der Ermittlung der Ursache der Verletzung des Schutzes Personenbezogener Daten in wirtschaftlich angemessener Weise kooperieren und Unterstützung leisten. Die Meldung muss, soweit verfügbar, Folgendes umfassen: (i) eine Beschreibung was geschehen ist; (ii) den Umfang der Verletzung des Schutzes Personenbezogener Daten, einschließlich einer Beschreibung der Art der betroffenen Personenbezogenen Daten; (iii) eine Beschreibung der Reaktion von Staffbase sowie alle Abhilfe- oder mildernden Maßnahmen, die von Staffbase ergriffen wurden oder geplant sind; und (iv) andere Informationen, deren Offenlegung gemäß Anwendbarem Recht zum Schutz der Privatsphäre in angemessener Weise verlangt werden kann. Staffbase stellt dem Kunden Informationen zur Verfügung, die für die Erfüllung der Melde- und Kommunikationspflichten des Kunden erforderlich sind, soweit diese Informationen Staffbase wirtschaftlich angemessen zur Verfügung stehen. Die Verpflichtung von Staffbase, eine Verletzung des Schutzes Personenbezogener Daten gemäß dieser Ziffer zu melden oder darauf zu reagieren, stellt kein Schuldanerkenntnis oder eine Anerkenntnis der Haftbarkeit seitens Staffbase in Bezug auf die Verletzung des Schutzes Personenbezogener Daten dar.
    2. Kooperation. Außerdem wird Staffbase wirtschaftlich angemessene Maßnahmen ergreifen, um die Auswirkungen der Verletzung des Schutzes Personenbezogener Daten zu beheben oder zu mindern, soweit dies in der Kontrolle von Staffbase liegt. Staffbase kann seine Mitteilungen verzögern, wenn dies von Verfolgungsbehörden verlangt wird oder wenn es legitimerweise notwendig ist, um eine Verletzung des Schutzes Personenbezogener Daten zu untersuchen oder zu beheben. Aus Sicherheitsgründen verpflichten sich die Parteien, Informationen über eine Verletzung des Schutzes Personenbezogener Daten vertraulich zu behandeln, es sei denn, eine Offenlegung ist gesetzlich vorgeschrieben.
  6. UNTERAUFTRAGSVERARBEITER.
    1. Einschaltung von Unterauftragverarbeitern. Der Kunde stimmt der Verwendung der auf der Unterauftragsverarbeiter-Seite aufgeführten Unterauftragsverarbeiter durch Staffbase zu. Staffbase ist berechtigt, zusätzliche Unterauftragsverarbeiter einzuschalten oder Unterauftragsverarbeiter zu ersetzen, vorausgesetzt, Staffbase informiert den Kunden über die Identität des Unterauftragsverarbeiter und den Umfang der geplanten Verarbeitung. Staffbase wird mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung mit Datenschutzpflichten eingehen, die mindestens das gleiche Schutzniveau enthalten wie die in diesem AVV, soweit dies auf die Art der vom Unterauftragsverarbeiter erbrachten Dienstleistungen anwendbar ist. Der Kunde erkennt an, dass er den Staffbase-Dienst zusammen mit Drittanbieterdiensten nutzen kann und dass diese Produkte keine Unterauftragsverarbeiter von Staffbase sind.
    2. Einspruch gegen Unterauftragsverarbeiter. Einspruch gegen Unterauftragsverarbeiter. Staffbase wird den Kunden über einen neuen Unterauftragsverarbeiter informieren, bevor dieser Unterauftragsverarbeiter zur Verarbeitung Personenbezogener Daten in Verbindung mit den Staffbase-Diensten autorisiert wird. Der Kunde kann gegen die Einschaltung eines neuen Unterauftragsverarbeiters Einspruch erheben, jedoch ausschließlich aus vernünftigen Gründen, die sich auf den Datenschutz beziehen. Der Kunde wird Staffbase über seinen Einspruch innerhalb von 30 Kalendertagen nach Mitteilung von Staffbase informieren. Der Einspruch des Kunden muss schriftlich (E-Mail ausreichend), unter Angabe der vernünftigen Gründe, an privacy@staffbase.com erfolgen. Die Parteien vereinbaren, die Bedenken des Kunden nach Treu und Glauben zu erörtern, um eine wirtschaftlich angemessene Lösung zu erreichen.
    3. Nicht-EWR-Unterauftragsverarbeiter. Staffbase übermittelt keine Personenbezogenen Daten in Länder außerhalb des EWRs, es sei denn, Staffbase hat angemessene Maßnahmen ergriffen, um sicherzustellen, dass die Übermittlung mit EU-Datenschutzrecht vereinbar ist. Solche Maßnahmen können unter anderem die Übermittlung Personenbezogener Daten: (i) an einen Unterauftragsverarbeiter in einem Land, dem die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt hat; oder (ii) auf der Grundlage von Modellklauseln, umfassen. In Bezug auf Modellklauseln ermächtigt der Kunde Staffbase, bei Bedarf Modellklauseln mit einem Unterauftragsverarbeiter für die Verarbeitung der relevanten Personenbezogenen Daten abzuschließen.
  7. ÜBERPRÜFUNGEN.
    1. Durch den Kunden. Staffbase stellt dem Kunden alle relevanten Informationen zur Verfügung, die sich im Besitz oder unter der Kontrolle von Staffbase befinden und die erforderlich sind, um die Einhaltung dieses AVVs nachzuweisen. Staffbase wird auch Überprüfungen, einschließlich Inspektionen, durch den Kunden (oder durch von ihm beauftragte externe Prüfer) im Zusammenhang mit der Verarbeitung Personenbezogener Daten durch Staffbase ermöglichen und zu diesen beitragen. Der Kunde erklärt sich bereit, alle angemessenen Maßnahmen zu ergreifen, um unnötige Störungen des Betriebs von Staffbase zu verhindern, und seine Prüfungsrechte nur einmal alle zwölf (12) Kalendermonate auszuüben, außer, wenn: (i) und soweit dies auf Anweisung einer Aufsichtsbehörde erforderlich ist; (ii) der Kunde glaubt, dass eine weitere Überprüfung aufgrund einer Verletzung des Schutzes Personenbezogener Daten erforderlich ist, oder (iii) der Kunde dokumentierte sachliche Gründe für den Verdacht vorlegen kann, dass Staffbase wesentliche Verpflichtungen dieses AVVs verletzt hat. Die Kosten der Überprüfung, einschließlich aller angemessenen Kosten, die Staffbase für die Zusammenarbeit mit der Überprüfung aufbringen muss, werden vom Kunden getragen. Jeder externe Prüfer muss entsprechend qualifiziert sein und vor jeder Überprüfung eine entsprechende Geheimhaltungs- und Vertraulichkeitsvereinbarung mit Staffbase unterzeichnen.
    2. Durch Aufsichtsbehörden. Staffbase gewährt dem Kunden oder einer Aufsichtsbehörde angemessenen Zugang zur Dokumentation und den Systemen von Staffbase im Falle einer von einer Aufsichtsbehörde geforderten Überprüfung, soweit die Überprüfung für die Einhaltung des Anwendbaren Datenschutzrechts erforderlich ist. Die Parteien werden sich einvernehmlich über den Zeitpunkt und den Umfang dieser Überprüfungen einigen, die: (i) in einer solchen Weise durchgeführt werden, dass sie Unterbrechungen des Geschäftsbetriebs von Staffbase minimieren; und (ii) auf alleinige Kosten des Kunden durchgeführt werden.
    3. Vertrauliche Informationen von Staffbase. Alle Zusammenfassungen, Prüfungsberichte oder andere Prüfungsergebnisse werden als Vertrauliche Informationen von Staffbase betrachtet und unterliegen dem Abschnitt „Vertrauliche Informationen” der Vereinbarung. Staffbase ist nicht verpflichtet, Geschäftsgeheimnisse, einschließlich Algorithmen, Quellcode, Betriebsgeheimnisse und ähnliche Informationen offenzulegen.
  8. BEENDIGUNG UND LÖSCHUNG.
    1. Rückgabe oder Löschung Personenbezogener Daten. Nach Ablauf der Abonnementdauer oder der Beendigung der Vereinbarung wird Staffbase alle im Rahmen dieses AVVs verarbeiteten Personenbezogenen Daten löschen oder zurückgeben. Diese Anforderung gilt nicht, soweit Staffbase nach geltendem Recht verpflichtet ist, einige oder alle Personenbezogenen Daten aufzubewahren.
    2. Speicherung der Dokumentation. Staffbase kann nach Beendigung der Vereinbarung eine Dokumentation zum Nachweis der Einhaltung ihrer Verpflichtungen im Rahmen dieses AVVs behalten.
  9. ALLGEMEINES. Wenn der Kunde und Staffbase einen vorherigen Auftragsverarbeitungsvertrag unterzeichnet haben, wird dieser hiermit beendet und durch diesen AVV zum Datum der letzten Unterschrift der letzten Bestellung ersetzt. Wenn eines der Verbundenen Unternehmen des Kunden als Verantwortlicher (entweder allein oder zusammen mit dem Kunden) hinsichtlich der Verarbeitung Personenbezogener Daten angesehen wird, ist der Kunde gemäß diesem AVV für diese Personenbezogenen Daten und für dieses Verbundene Unternehmen verantwortlich. Dieser AVV ist als Anlage zur Vereinbarung Teil der Vereinbarung und unterliegt allen Bedingungen und Bestimmungen, einschließlich der Regelungen der Vereinbarung hinsichtlich Haftungsbeschränkungen, Kündigung/Beendigung, Gerichtsbarkeit und geltendem Recht.

Anlage 1 – Personenbezogene Daten

  1. A. Art und Zweck der Verarbeitung.

Staffbase verarbeitet Personenbezogene Daten, soweit dies für die Erbringung der Staffbase-Dienste gemäß der Vereinbarung erforderlich ist, wie in der Bestellung näher erläutert wird, und nach näherer Weisung des Kunden bei seiner Nutzung der Staffbase-Dienste.

  1. B. Dauer der Verarbeitung.

Vorbehaltlich Ziffer 9 des AVVs verarbeitet Staffbase Personenbezogene Daten für die Dauer der Vereinbarung, es sofern nicht schriftlich etwas anderes vereinbart wurde.

  1. C. Kategorien Betroffener Personen.

Die übermittelten Personenbezogenen Daten betreffen die folgenden Kategorien Betroffener Personen:

Autorisierte Nutzer: Nutzer, die vom Kunden speziell benannt und autorisiert werden, auf den Staffbase-Dienst zuzugreifen.

Nicht Registrierte Nutzer: Nutzer, die auf den Öffentlichen Bereich zugreifen und keine Admin-Nutzer oder Registrierten Nutzer sind.

  1. D. Kategorien Personenbezogener Daten.

Der Kunde kann Personenbezogene Daten an die Staffbase-Dienste übermitteln, deren Umfang vom Kunden bestimmt und kontrolliert wird und die möglicherweise Folgendes enthalten:

Profilinformationen: Profilinformationen des Nutzers, wie z.B. Name, E-mail-Adresse, Position, Abteilung und Standort sowie weitere erforderlichen oder freiwilligen Profilinformationen.

Login-Daten: E-Mail and Passwort.

Inhalte: Alle anderen Personenbezogenen Daten, die in den Kundendaten enthalten sind, z.B. Personenbezogene Daten in Chats oder Mediendateien.      

Technische Informationen: Gerätetyp, IP-Adresse, User-ID, Betriebssystem, Browser-Typ, User-Agent, Zeitstempel der Besuche und lokale Speicherung.

  1. E. Besondere Kategorien Personenbezogener Daten (falls zutreffend).

Der Kunde darf die Staffbase-Dienste nur für die Verarbeitung besonderer Kategorien Personenbezogener Daten nutzen, wie in den Servicespezifischen Bedingungen ausdrücklich erlaubt. Der Umfang besonderer Kategorien Personenbezogener Daten wird vom Kunden bestimmt und kontrolliert und kann die folgenden Kategorien betreffen:

  • Rasse oder ethnische Herkunft;
  • Politische Meinungen;
  • Religiöse oder weltanschauliche Überzeugungen;
  • Gewerkschaftszugehörigkeit;
  • Gesundheitsdaten; und
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Anlage 2 – Technische und Organisatorische Maßnahmen (TOMs)

  1. SICHERHEIT.
    1. Sicherheitsmaßnahmen. Staffbase wird die in dieser Anlage beschriebenen Sicherheitsmaßnahmen aufrechterhalten und kann zusätzliche oder alternative Sicherheitsmaßnahmen durchführen, wobei sichergestellt wird, dass das Sicherheitsniveau der definierten Maßnahmen nicht verringert wird.
    2. ISO 27001. Staffbase wird ihre ISO/IEC 27001:2013-Zertifizierung (oder einen gleichwertigen Ersatz) aufrechterhalten. Kunden können eine Kopie der aktuellsten ISO-Zertifikate von Staffbase unter https://staffbase.com/de/sicherheit/ herunterladen.
  2. ZUTRITTSKONTROLLEN.
    1. Physische Zutrittskontrolle. Staffbase wird angemessene Maßnahmen ergreifen, um Unbefugte daran zu hindern, physischen Zugang zu Personenbezogenen Daten zu erhalten. Die Sicherheitsmaßnahmen umfassen u.a.:
      1. Die Anwendung wird in ISO 27001-zertifizierten Datenzentren gehostet. Der physische Zugang zu diesen Datenzentren ist stark eingeschränkt.
      2. Die Büros von Staffbase sind gesichert und der Zugang zu den Büros von Staffbase ist auf Mitarbeiter von Staffbase sowie autorisierte Reinigungsdienste beschränkt. Mitarbeiter und Reinigungsdienste erhalten Zugangsmedien (wie Schlüssel und Key Card). Gäste werden an der Tür begrüßt und zur Kontaktperson begleitet. Die Ausgabe und Rückgabe der Zugangsmedien wird schriftlich dokumentiert.
    2. Interne Zugriffskontrolle. Staffbase wird angemessene Maßnahmen ergreifen, um zu verhindern, dass unbefugte Mitarbeiter von Staffbase Zugriff auf Personenbezogene Daten erhalten. Zu den Sicherheitsmaßnahmen gehören u.a.:
      1. Zugriff auf Personenbezogene Daten des Kunden haben ausgewählte Mitarbeiter von Staffbase in folgenden Rollen:

        3rd Level Access – Systemadministrator: Personengebundener Zugriff auf alle Personenbezogenen Daten innerhalb der zugehörigen Kundeninstanz inkl. Datenbank.

        2nd Level Access – Supportadmininistration: Personengebundener Zugriff auf alle Personenbezogenen Daten innerhalb der zugehörigen Kundeninstanz, aber keinen Server/Datenbankzugriff.

        1st LevelAccess – Customer Success Access: Zugriff auf alle Personenbezogenen Daten  innerhalb einer Kundeninstanz über die Applikation entsprechend der Freigabe durch den Kunden. Dieser legt auf Applikationsebene die Rechte des Accounts fest (App-Admin, Redakteur, Nutzer etc.). Kein Zugriff auf Datenbanken sowie Login-Daten (E-Mail und Passwort) der einzelnen Nutzer möglich. Dieser Supportzugang ist nicht personengebunden und steht prinzipiell allen Mitarbeitern des Customer Success/Support Teams zur Verfügung.

      2. Die oben definierten Rollen werden ausschließlich an den minimal notwendigen Kreis von Staffbase Mitarbeitern vergeben. Die Vergabe der Rollen wird protokolliert und mindestens einmal jährlich überprüft.
    3. ElektronischeZugangskontrolle. Staffbase ergreift angemessene Maßnahmen, um zu verhindern, dass unbefugte Personen elektronischen Zugriff auf Personenbezogene Daten erhalten. Zu den Sicherheitsmaßnahmen gehören u.a.:
      1. Der Zugang zum Datenverarbeitungssystem ist auf autorisierte Personen beschränkt und erfordert eine Identifizierung und erfolgreiche Authentifizierung durch Benutzername und Passwort unter Verwendung modernster Sicherheitsmaßnahmen.
      2. Authentifizierungsmedien sowie Zugangskennungen für den Zugang zu Datenverarbeitungssystemen sind auf 3rd und 2nd Level Ebene an ein persönliches Credential (Passwort und User ID) geknüpft. Zugänge für temporär beschäftigte Personen (externe Entwickler, Praktikanten, Auszubildende) werden individuell vergeben. Es werden keine wiederverwendbaren Kennungen (z.B. Azubi1) vergeben.
      3. Ein Prozess zur Beantragung, Genehmigung, Vergabe und Rücknahme von Authentifizierungsmedien und Zugangsberechtigungen ist eingerichtet und wird dokumentiert.
      4. Bei mehr als fünf Minuten Inaktivität der Arbeitsstation bzw. des Terminals wird ein kennwortgeschützter Bildschirmschoner mit Hilfe der betriebssystemeigenen Mechanismen automatisch aktiviert.
      5. Arbeitsstationen und Terminals werden bei vorübergehendem Verlassen des Arbeitsplatzes gegen unbefugte Nutzung  geschützt (durch manuelle Aktivierung des kennwortgeschützten Bildschirmschoners oder durch Sperrung des Systems).
      6. Passwörter werden mittels Passwortmanager verwaltet und werden mit einer minimalen Komplexität von mindestens 32 Zeichen sowie einem Zeichenmix aus Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben generiert.
      7. Der Zugang zu den Arbeitsstationen sowie zum Passwortmanager wird durch ein Passwort geschützt. Das Passwort muss aus mindestens 10 Zeichen bestehen sowie einem Zeichenmix aus Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben.
    4. Trennungskontrolle. Die Test- und Staging-Systeme von Staffbase werden logisch von den Produktionssystemen getrennt. Für das Testen ermöglicht Staffbase dedizierte Testdaten.
  3. PSEUDONYMISIERUNG & VERSCHLÜSSELUNG.
    1. Verschlüsselung. Die gesamte Kommunikation unserer Systeme über öffentliche Netze wird nach dem Stand der Technik verschlüsselt. Staffbase verschlüsselt die Benutzerkennwörter mit Hilfe von Best-Practice One-Way-Hash-Functions, und die Kerndatenbanken werden im Ruhezustand mit Verschlüsselungsschemata verschlüsselt, die den besten Praktiken der Branche entsprechen.
    2. Pseudonymisierung. Staffbase verwendet Pseudonyme zur Speicherung benutzerbezogener Interaktionen, wann immer dies möglich ist.
  4. INTEGRITÄT.
    1. Weitergabekontrolle. Daten werden ausschließlich unter Verwendung des verschlüsselten HTTPS Protokolls ausgetauscht.
    2. Eingabekontrolle. Die Aktivitäten des Kunden im Zusammenhang mit der Anlage und Aktualisierung von Nutzerdatensätzen werden protokolliert.
  5. VERFÜGBARKEIT UND BELASTBARKEIT.

    Staffbase hat ein System entwickelt, das dazu dient, Dienstunterbrechungen aufgrund von Naturkatastrophen, Hardware-Ausfällen oder anderen unvorhergesehenen Katastrophen oder Unglücksfällen zu minimieren. Der Disaster Recovery-Ansatz von Staffbase umfasst:

    1. Einsatz hochmoderner Dienstleistungsanbieter, die bei der Erbringung der Dienstleistungen unterstützen.
    2. Backups. Staffbase führt auf allen relevanten Systemen tägliche Backups durch, die bis zu einem Monat gespeichert werden und auf der Grundlage identifizierter Vorfälle zur Wiederherstellung zur Verfügung stehen.
    3. Dual-Mode. Alle Produktionssysteme laufen mindestens im Dual-Mode, um ein schnelles Failover zu ermöglichen.
    4. Weltweite Büros. Staffbase ist in vier Ländern tätig; im Falle regionaler Probleme in einem der Büros von Staffbase können unsere Teams an anderen Standorten Unterstützung leisten, um eine reibungslose Wiederherstellung zu ermöglichen.
    5. Disaster Recovery Plan. Das Disaster Recovery Programm von Staffbase konzentriert sich auf technische Katastrophen für den Betrieb der Staffbase-Plattform und umfasst Pläne für verschiedene Szenarien sowie regelmäßige Schulungen für das Recovery Team. Das Team ist daher in der Lage, in Notfällen Daten wiederherzustellen.
  6. PRÜFUNG, BEWERTUNG UND EVALUIERUNG.
    1. Datenschutz-Management. Staffbase hat für die Verarbeitung von Personenbezogenen Daten Prozesse und Arbeitsabläufe definiert. Die Kontrolle der Umsetzung findet regelmäßig durch das Security-Team und das Legal-Team statt.
    2. Schulung. Alle Mitarbeiter von Staffbase erhalten jährlich eine Schulung zum Thema Sicherheits- und Datenschutzbewusstsein.
    3. Kundenanweisungen. Die Personen, die seitens Staffbase befugt sind, Anweisungen des Kunden anzunehmen und auszuführen, werden von Staffbase verbindlich festgelegt. In der Regel sind dies der Account Manager des Kunden sowie Mitarbeiter des Customer Success und Support-Teams von Staffbase.