Besondere Datenschutzbestimmungen für den Test

Die fbtk Global GmbH, St. Johanner Strasse 41-43, D-66111 Saarbrücken (fbtk) ist im Umfang der Durchführung des folgenden fbtk Persönlichkeitstestes für die Einhaltung der gesetzlichen Bestimmungen, insbesondere zum Datenschutz, verantwortlich. fbtk erhebt verarbeitet und nutzt für die Durchführung des Testes ausschließlich die im Folgenden aufgeführten nicht personenbezogenen Daten, und zwar ausschließlich im Rahmen der Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO).

Umfang der Erhebung der Daten

Das Testverfahren wird von fbtk komplett anonym betrieben, es werden keine personenbezogenen Daten erhoben.

fbtk erhebt, verarbeitet und nutzt folgende anonyme Daten:

  • Persönlichkeitstyp: Mit der Nutzung des Testzuganges und Ihren Eingaben im Test wird ein Persönlichkeitstyp ermittelt. Dieser wird zur wiederholten Abrufbarkeit zusammen mit der TAN anonym gespeichert.
  • Nutzungsdaten: fbtk erhebt folgende Daten über jeden Zugriff auf den Test (so genannte Serverlogfiles): Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers aufgrund deren nicht auf eine einzelne Person geschlossen werden kann.
  • fbtk verwendet die Nutzungsdaten nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes. Der Anbieter behält sich vor, die Nutzungsdaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht.
  • Stammdaten: Es werden im Rahmen der Testabfrage Ihr Alter und Ihr Geschlecht erfasst und gespeichert.

Zweckgebundene freiwillige Erhebung und Weitergabe von Daten

Die Teilnahme an dem Test ist freiwillig. Die unter Nr. 1 genannten Daten werden für statistische Analysen verwendet. fbtk erhebt nur jene Daten, die zur Durchführung des Tests im Rahmen des Projekts erforderlich sind und maximal die unter Nr. 1 genannten Daten. Die Übermittlung an auskunftsberechtigte staatliche Institutionen oder Behörden erfolgt ausschließlich im Rahmen der gesetzlichen Auskunftspflichten oder wenn fbtk zur Auskunft verpflichtet wird.

Allgemeine Datenschutzbestimmungen

Zweck dieser Verhaltensgrundsätze

Für die fbtk Global GmbH ist der Datenschutz von höchster Bedeutung. Vertrauen in einen sicheren Umgang mit Daten von Kunden, Vertragspartnern und Dritten ist ein wesentliches Element in der Geschäftsphilosophie des Unternehmens.

Um Vertrauen und einen hohen Standard im Unternehmen zu erhalten und weiter auszubilden, sollen diese Verhaltensgrundsätze dienen. Sie sind eine Leitlinie für den Datenschutz und auch für die Informationssicherheit im Unternehmen. Ziel der Leitlinie ist es, einen einheitlichen Standard in den Bereichen Datenschutz und Datensicherheit bei der fbtk Global GmbH aufzustellen, der den hohen Anforderungen der (EU-) DSGVO entspricht.

Rechtsgrundlagen & Verhaltensgrundsätze

Diese Verhaltensgrundsätze sollen ein hohes Datenschutzniveau bei der fbtk Global GmbH gewährleisten. Die Verhaltensgrundsätze ersetzen jedoch nicht die notwendige, im Einzelfall maßgebliche gesetzliche Befugnis zur Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten.

Die Erhebung, Verarbeitung und Nutzung der Daten durch die fbtk Global GmbH erfolgt auf Grundlage der (EU-) DSGVO sowie des Rechts der Bundesrepublik Deutschlands in Verbindung mit ggf. bestehenden vertraglichen Regelungen, die mit den jeweiligen Vertragspartnern der fbtk Global GmbH bestehen.

Datenschutzbeauftragter

Die fbtk Global GmbH hat einen internen Datenschutzbeauftragten bestellt.

Grundsätze der Datenverarbeitung fbtk Global GmbH

Die fbtk Global GmbH fühlt sich nachfolgenden Grundsätzen bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten verpflichtet:

  • Personenbezogene Daten werden nicht verarbeitet und genutzt
  • Daten von Betroffenen sollen richtig und –falls erforderlich- aktuell sein. Es muss gewährleistet sein, dass nicht zutreffende oder unvollständige Daten gelöscht oder berichtigt werden.
  • Daten, die nicht mehr für den Geschäftszweck, für den sie ursprünglich erhoben wurden, erforderlich sind, werden unverzüglich gelöscht, sofern und soweit nicht gesetzliche Aufbewahrungspflichten bestehen.
  • Es werden die für Datensicherheit erforderlichen technischen und organisatorischen Maßnahmen getroffen.
  • Der Datenschutzbeauftragte ist Ansprechpartner der Unternehmensleitung und Mitarbeiter und berät bei der Anwendung der einschlägigen datenschutzrechtlichen Vorgaben.

Einwilligung

Sofern die Erhebung, Verarbeitung und/oder Nutzung nicht personenbezogener Daten nicht schon auf Grundlage einer gesetzlichen Befugnis besteht oder der ordnungsgemäßen Vertragserfüllung dient, wird spätestens bei der Datenerhebung eine Einwilligung vom Betroffenen eingeholt.

Die fbtk Global GmbH wird den Betroffenen vor Einholung der Einwilligung in transparenter und umfassender Weise, über Zweck, Art und Umfang der beabsichtigten Verwendung der Daten informieren.

Die Einwilligung muss zweifelsfrei und freiwillig erfolgen. Sofern die Verweigerung der Einwilligung Konsequenzen für den Betroffenen hat, wird dieser auf die Folgen der Verweigerung hingewiesen.

Die fbtk Global GmbH wird Sorge dafür tragen, dass die Informationen, die im Zusammenhang mit der Abgabe von Einwilligungserklärungen stehen, in verständlicher Form für den Betroffenen zur Verfügung stehen.

Die Abgabe einer Einwilligung kann schriftlich oder elektronisch erfolgen. In Ausnahmefällen kann die Einwilligung auch mündlich erfolgen. Die fbtk Global GmbH soll in diesen Fällen die besonderen Umstände, welche die mündliche Einwilligung angemessen erscheinen lassen, dokumentieren.

Datengeheimnis & Vertraulichkeit

Eine Erhebung, Verarbeitung und Nutzung von Daten ist nur den Mitarbeitern erlaubt, die auf die Einhaltung des Datengeheimnisses besonders verpflichtet wurden.

Jeder Mitarbeiter wird zu Beginn seines Arbeitsverhältnisses auf das Datengeheimnis verpflichtet und erhält eine Einführung zum Umgang mit personenbezogenen Daten sowie Betriebs- und Geschäftsgeheimnissen der fbtk Global GmbH und ihrer Kunden.

Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

Datenverarbeitung im Auftrag

Sofern ein anderes Unternehmen als „Subunternehmer“ Dienstleistungen für die fbtk Global GmbH erbringt und in diesem Zusammenhang auch Daten erhoben, verarbeitet und genutzt werden, trägt die fbtk Global GmbH Sorge dafür, dass der „Subunternehmer“ sorgfältig ausgewählt wird und die Auswahl sich insbesondere an dem Aspekt des Schutzes der Daten orientiert. Die fbtk Global GmbH wird vor jeder Beauftragung den Datenschutzbeauftragten der fbtk Global GmbH informieren und mit dem Datenschutzbeauftragten eine Kontrolle des Auftragnehmers im Hinblick auf die von ihm getroffenen technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit vornehmen.

Die fbtk Global GmbH wird den Auftragnehmer verpflichten, die gesetzlichen Vorgaben zum Schutz der Daten zu treffen und insbesondere auch auf Anfrage nachzuweisen, dass die Mitarbeiter, die im Rahmen der Erbringung von Leistungen für die fbtk Global GmbH tätig werden, auf das Datengeheimnis verpflichtet wurden.

Die fbtk Global GmbH wird schriftliche Weisungen bezüglich Art, Zweck und Umfang der
Verarbeitung der Daten an den Auftragnehmer erteilen und die Einhaltung der
Vorgaben ggf. durch Kontrollen sicherstellen.

Sofern die fbtk Global GmbH selbst im Wege der Auftragsdatenverarbeitung Leistungen durch Subunternehmer erbringen lassen wollen, wird zuvor eine Genehmigung vom Auftraggeber als verantwortliche Stelle für das Unterauftragsverhältnis eingeholt werden, sofern nicht bereits eine Genehmigung erteilt wurde oder vertragliche Regelungen bestehen, aus denen sich ergibt, dass die fbtk Global GmbH zur Begründung von Unterauftragsverhältnissen berechtigt ist.

Datenschutzmanagement

Die fbtk Global GmbH fühlt sich dem Datenschutz und der weiteren Entwicklung des Datenschutzes im Unternehmen verpflichtet. Um einen „lebendigen“ Datenschutz im Unternehmen zu gewährleisten, erfolgt eine frühzeitige Einbindung des Datenschutzbeauftragten bei der Vorbereitung von Unternehmensentscheidungen, sofern diese einen Bezug zur Verarbeitung von Daten haben. Die Unternehmensleitung wird den Datenschutzbeauftragten bei der Ausführung seiner gesetzlichen Aufgaben und der Aufgaben aus diesen Verhaltensgrundsätzen unterstützen.

Der Datenschutzbeauftragte berät und unterstützt die Unternehmensleitung bei der Implementierung von Datenschutz und datenschutzfreundlichen Technologien im Zusammenhang mit der Einführung neuer Geschäftsprozesse.

Bestehende Geschäftsprozesse werden im Rahmen turnusmäßiger Überprüfungen auch unter Berücksichtigung datenschutzrechtlicher Aspekte evaluiert und angepasst.

Der Datenschutzbeauftragte der fbtk Global GmbH wird unverzüglich über Verstöße (auch schon bei Verdacht auf Verstöße) gegen datenschutzrechtliche Verpflichtungen und diese Verhaltensgrundsätze informiert.

Der Datenschutzbeauftragte und die Unternehmensleitung koordinieren im Zusammenwirken die künftige Datenschutzpolitik des Unternehmens. Der Datenschutzbeauftragte ist im Rahmen der Ausübung seiner gesetzlichen Aufgaben weisungsfrei.

Die fbtk Global GmbH und der Datenschutzbeauftragte tragen Sorge dafür, dass alle Mitarbeiter in erforderlichem Umfang über das Thema Datenschutz im Allgemeinen und Datenschutz bei der fbtk Global GmbH im Besonderen unterrichtet werden. Mitarbeiter, deren Schwerpunkt die Verarbeitung von Daten ist, sollen besonders geschult werden.

Informationssicherheitsmanagement

Die Informationssicherheit bei der fbtk Global GmbH hat einen hohen Stellenwert im
Unternehmen. Die fbtk Global GmbH prüft derzeit die Planung und Implementierung eines Informationssicherheitsmanagementsystems (ISMS) in Anlehnung an den Standard ISO 27001.

Bei der Umsetzung und Planung von Datenschutz und Datensicherheit gibt es eine enge Kooperation mit dem zusätzlichen externen Datenschutzbeauftragten der fbtk Global GmbH. Dieser ist auch zuständig für den Kontakt mit Aufsichtsbehörden und sonstigen staatlichen Behörden im Zusammenhang mit den Themen Datenschutz und Informationssicherheit. Durch die Einbindung des Datenschutzbeauftragten in die Prozesse des Unternehmens (vgl. Datenschutzmanagement) ist gewährleistet, dass auch die Informationssicherheit im Projektmanagement berücksichtigt und eingebunden wird.

Bei der Einstellung neuer Mitarbeiter trägt die fbtk Global GmbH Sorge dafür, dass nur geeignete Personen mit der erforderlichen Fachkunde ausgewählt werden. Den Mitarbeitern ist bekannt, dass Verstöße gegen rechtliche Vorgaben oder vertraglichen Pflichten gegenüber Kunden im Zusammenhang mit dem Umgang mit Daten oder Informationen, arbeitsrechtlich geahndet werden können.

Die bei der fbtk Global GmbH verwendeten IT-Systeme und Applikationen werden dokumentiert und verwaltet. Beim Ausscheiden von Mitarbeitern ist durch interne Prozesse gewährleistet, dass IT-Systeme und Daten zurückgegeben werden und bestehende Benutzer-Accounts gesperrt werden.

Die Nutzung von externen Datenträgern ist nur nach einer ansprechenden Einweisung und der Erteilung von besonderen Hinweisen im Hinblick auf die zutreffenden Sicherheitsvorkehrungen zum Schutz der Daten (Verschlüsselung) zulässig. Bei mobilen Endgeräten sind Mitarbeiter gehalten, Daten nicht lokal zu speichern, sofern das Endgerät nicht hinreichend vor der unbefugten Kenntnisnahme von Daten durch Dritte im Falle des Verlusts des Geräts (z.B. Festplattenverschlüsselung) gesichert ist.

Die von der fbtk Global GmbH getroffenen Sicherheitsmaßnahmen im Hinblick auf den Zutritt und den Zugang zu Informationen („Access Control“) lassen sich dem Abschnitt zu den technischen und organisatorischen Maßnahmen zum Datenschutz entnehmen.

Beim Umgang mit Zulieferern von Produkten oder Services wird bei der fbtk Global GmbH stets der Datenschutzbeauftragte involviert, soweit es um den Umgang mit Daten oder dem Umgang mit Informationen zu Betriebs-und Geschäftsgeheimnissen der fbtk Global GmbH oder ihrer Kunden geht.

Auftragnehmer werden in diesem Zusammenhang vor dem Vertragsschluss im Hinblick auf ihre Eignung zu einem sicheren Umgang mit Daten oder Informationen vom Datenschutzbeauftragten in angemessener Weise kontrolliert. Abhängig vom Schutzbedarf der Daten findet eine Vor-Ort- Kontrolle oder eine Prüfung auf Basis von Dokumenten und Interviews oder externer Testate oder Zertifizierungen statt. Diese Audits bzw. Prüfungen werden grundsätzlich vom Datenschutzbeauftragten der fbtk Global GmbH durchgeführt.

Auch während der Vertragslaufzeit finden regelmäßige Kontrollen des Auftragnehmers durch den Datenschutzbeauftragten statt.

Bei der fbtk Global GmbH gibt es einen Notfallplan für Sicherheitsvorfälle im Bereich der
Informationssicherheit. Im Falle eines „Incidents“ werden die jeweils zuständigen Personen im Bereich der IT informiert. Gleiches gilt für die Information der Geschäftsführung. Im Anschluss an die Meldung eines Vorfalles findet eine unverzügliche Prüfung und Behebung des Vorfalles statt. Sofern Kunden der fbtk Global GmbH von dem Vorfall betroffen sind, werden entsprechende Meldungen erfolgen, soweit dies geboten ist. Es wird Sorge dafür getragen, dass nach Abschluss des Vorfalles eine umfassende Bewertung des Vorfalles Im Hinblick auf die Ursache, die Problemlösung und Optimierungsmöglichkeiten für die Zukunft erfolgt.

Die fbtk Global GmbH wird alle Vorgänge und Anweisungen im Zusammenhang mit dem
Management von Informationssicherheit regelmäßig, mindestens jährlich evaluieren und in
Kooperation mit dem Datenschutzbeauftragten und den für die IT-Sicherheit verantwortlichen Personen im Unternehmen koordinieren, welche Optimierungsmöglichkeiten es gibt und umzusetzen sind.

Im Hinblick auf die Compliance im Bereich der Informationssicherheit gibt es eine enge Kooperation zusätzlich mit dem externen Datenschutzbeauftragten der fbtk Global GmbH. Dieser weist in seiner Funktion als Rechtsanwalt auf die anzuwendenden Rechtsgrundlagen hin. Es findet zudem eine

Beratung dahingehend statt, wie die jeweils anzuwendenden Rechtsvorschriften bestmöglich durch die fbtk Global GmbH umzusetzen sind, wobei auch wirtschaftliche Belange berücksichtigt werden. Ein Fokus dieser rechtlichen Beratung besteht im Bereich des Datenschutzes und dem Recht der IT-Sicherheit.

Technische und organisatorische Maßnahmen zum Datenschutz

Die fbtk Global GmbH trifft die jeweils erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Die Datenverarbeitung findet ausschließlich im europäischen Rechenzentrum von Amazon AWS statt. Es werden folgende technische und organisatorische Maßnahmen getroffen:

Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen Daten verarbeitet oder genutzt werden, zu verwehren.

Die nachfolgenden Maßnahmen beziehen sich auf das von fbtk Global GmbH genutzte
Rechenzentrum der Amazon Web Services LLC („AWS“) in Frankfurt:

AWS hat folgende Maßnahmen zum Schutz vor unbefugter Kenntnisnahme getroffen:
In dem Rechenzentrum, dass der Auftragnehmer nutzt, werden hinreichende technische und organisatorische Maßnahmen zur Zutritts Kontrolle getroffen. Das Rechenzentrum und der Betrieb des Rechenzentrums sind mehrfach nach verschiedenen Sicherheitsstandards zertifiziert. Dazu gehört unter anderem auch eine Zertifizierung nach ISO 27001 und PCI/DSS (Level 1).

Der Eingangsbereich verfügt über Schrankentechnologie, die nur nach einer Authentisierung über eine elektronische Karte oder nach einer Überprüfung durch einen Mitarbeiter des Sicherheitspersonals durchschritten werden kann. Besucher sind im Rechenzentrum grundsätzlich nicht erlaubt. Zutritt zum Rechenzentrum haben nur Mitarbeiter des Rechenzentrums und Dienstleister, die Leistungen im Rechenzentrum zu erbringen haben. Besucher dürfen sich nicht unbeaufsichtigt in den Räumlichkeiten des Rechenzentrums bewegen und werden ständig begleitet.

Die Zutrittsberechtigungen zu den einzelnen Abschnitten des Rechenzentrums werden nach dem Need-to-know-Prinzip vergeben. Berechtigungen für Mitarbeiter werden regelmäßig überprüft und im Falle des Wegfalls der Erforderlichkeit einer Zutrittsberechtigung entzogen. Alle Zugänge zum Rechenzentrum sind regelmäßig verschlossen. Jeder Eingang wird mit Videoüberwachungstechnologie gesichert. Das Rechenzentrum verfügt zudem über Technologien, die Einbrüche oder unberechtigte Zutritt zum Rechenzentrum melden. Jeder Zutritt zum Rechenzentrum wird protokolliert, die Protokolle werden regelmäßig kontrolliert.

Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Alle Applikationen der fbtk Global GmbH sind erst nach entsprechender Authentifizierung per Benutzername und Passwort nutzbar. Dies gilt insbesondere auch für die Administration und Wartung der Applikationen.
Passwörter haben eine Mindestlänge von 8 Zeichen bei erzwungener Komplexität. Das Passwort muss mindestens zwei der folgenden Kriterien erfüllen: a) lower caps, b) upper caps, c) contain numbers , d) contain spec. characters

Ein Benutzer wird gesperrt, wenn das Passwort 5 Mal fehlerhaft eingegeben wurde.

Die fbtk Global GmbH trägt durch organisatorische Maßnahmen Vorsorge dafür, dass Beschäftigte mit Administratorrechten hinreichend lange und komplexe Passwörter verwenden.
Für die Administration von Applikationen werden ausschließlich verschlüsselte Verbindungen genutzt.

Die fbtk Global GmbH führt regelmäßig Penetrationstests durch bzw. diese werden von Kunden der fbtk Global GmbH durchgeführt. Im Falle eines Bekanntwerdens von Schwachstellen oder Risiken würden diese unverzüglich behoben werden.

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Berechtigungen werden bei der fbtk Global GmbH grundsätzlich nach dem Need-to-Know- Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Datenbanken oder Applikationen, die diese Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind.

Alle weiteren Personen erhalten nur Zugriffsrechte im jeweils erforderlichen Umfang.

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Eine Weitergabe von Daten erfolgt grundsätzlich nur über gesicherte und/oder verschlüsselte
Verbindungen.

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Eine Protokollierung der Speicherung, Veränderung oder Löschung von Daten kann auf Datenbankebene erfolgen.

Auftragskontrolle

Maßnahmen, die gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Im Falle der Beauftragung von Unterauftragnehmern stellt die fbtk Global GmbH sicher, dass ein vorheriges Audit erfolgt ist und ein Auftragsdatenverarbeitungsvertrag abgeschlossen wird, der rechtlichen Anforderungen einer Datenverarbeitung im Auftrag entspricht.

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Datensicherungen werden im Rechenzentrum von AWS mindestens einmal täglich in einer dem Stand der Technik entsprechenden Weise vorgenommen. Datensicherungen erfolgen räumlich getrennt.

Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden können.

Die von der fbtk Global GmbH zur Nutzung angebotenen Applikationen sind mandantenfähig. Eine Trennung der Daten ist auf diese Weise gewährleistet.

Fortentwicklung der Verhaltensgrundsätze

Die fbtk Global GmbH wird diese Verhaltensgrundsätze anlassbezogen oder in regelmäßigen Abständen im Hinblick auf seinen Anpassungsbedarf und seine Fortentwicklung prüfen. Der Datenschutzbeauftragte wird diese Aufgabe koordinieren und vorbereiten.

Eine Anpassung kann insbesondere erforderlich werden, wenn sich die maßgebenden Rechtsgrundlagen ändern und/oder neue Geschäftsprozesse eingeführt, oder bestehende Prozesse ganz oder teilweise geändert werden.

Stand: 06.06.2018