{"id":13012,"date":"2021-01-29T10:26:45","date_gmt":"2021-01-29T10:26:45","guid":{"rendered":"https:\/\/www.stepstone.de\/ueber-stepstone\/?page_id=13012"},"modified":"2023-09-05T09:54:28","modified_gmt":"2023-09-05T09:54:28","slug":"auftragsverarbeitung-advisory-und-activation","status":"publish","type":"page","link":"https:\/\/www.stepstone.de\/ueber-stepstone\/auftragsverarbeitung-advisory-und-activation\/","title":{"rendered":"Auftragsverarbeitung Advisory und Activation"},"content":{"rendered":"\n
DPA-Advisory-and-Activation_ger<\/a>Download<\/a><\/div>\n\n\n\n

Vereinbarung zur Auftragsverarbeitung \u2013 Advisory und Activation<\/strong><\/p>\n\n\n\n

 <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Pr\u00e4ambel<\/strong><\/p>\n\n\n\n

StepStone Deutschland GmbH (\u201eStepStone\u201c), V\u00f6lklinger Str.1, 40219 D\u00fcsseldorf, Deutschland und der Kunde haben einen Vertrag \u00fcber Beratungsleistugnen (Advisory und\/oder Activation) geschlossen und sind dar\u00fcber \u00fcbereingekommen, dass dieser Vertrag zur Auftragsverarbeitung als Anhang zum Hauptvertrag Bestandteil des Hauptvertrages wird. Mit Wirksamkeit des Hauptvertrages tritt insoweit dieser Vertrag in Kraft und Bedarf zur Wirksamkeit keiner weiteren Unterschrift. Rechte und Pflichten aus diesem Vertrag leiten sich nur ab, soweit der Kunde mit StepStone den Hauptvertrag abgeschlossen hat. F\u00fcr Leistungen, die nicht als Beratungsleistung  \u201eAdvisory\u201c oder \u201eActivation\u201c gekennzeichnet oder benannt sind, ist dieser Vertrag nicht anwendbar.<\/p>\n\n\n\n

1. Auftragsverarbeitung<\/strong><\/p>\n\n\n\n

1.1. <\/p>\n\n\n\n

Gem\u00e4\u00df der Pr\u00e4ambel haben StepStone und der Kunde einen Vertrag \u00fcber Advisory und\/oder Activation Leistungen geschlossen. Gegenstand und Zweck der Verarbeitung richten sich nach dem Statement of Work.<\/p>\n\n\n\n

1.2. <\/p>\n\n\n\n

Unter Advisory versteht man die Entwicklung und Implementierung einer Employer Branding Strategie f\u00fcr den Kunden. Diese Advisory Dienstleistungen beinhalten verschiedene methodische Ans\u00e4tze wie beispielsweise interne und\/oder externe auf den Kunden zugeschnittene Umfragen und Kommunikationsstrategien mit dem Ziel f\u00fcr den Kunden eine Arbeitgebermarke (\u201eEmployer Value Proposition\u201c) zu entwickeln und zu implementieren. Im Rahmen dieser methodischen Ans\u00e4tze verarbeitet StepStone f\u00fcr den Kunden personenbezogene Daten im Auftrag.<\/p>\n\n\n\n

1.3.       <\/p>\n\n\n\n

Innerhalb “Activation” wird die Arbeitgebermarke neu positioniert und an die ausgew\u00e4hlten Empf\u00e4nger transportiert. Zu diesem Zwecke k\u00f6nnen f\u00fcr die Anfertigung relevanten Inhalts unter anderem Fotos und\/oder Videos von Mitarbeitern des Kunden, sowie verschiedenste andere Medialeistungen erbracht werden, abh\u00e4ngig von den Kundenw\u00fcnschen.<\/p>\n\n\n\n

1.4.       <\/p>\n\n\n\n

StepStone verarbeitet als Auftragsverarbeiter f\u00fcr den Kunden personenbezogene in der jeweils beschriebenen Art im Auftrag im Sinne des Art. 28 DSGVO unter Beachtung nachfolgender Regelungen und den Regelungen des Statements of Work und dies ausschlie\u00dflich zu den dort beschriebenen Zwecken.<\/p>\n\n\n\n

1.5.       <\/p>\n\n\n\n

Gegenstand und Zweck sowie die Dauer der Auftragsverarbeitung richten sich nach den Regelungen und Laufzeit des Hauptvertrages.<\/p>\n\n\n\n

1.6.       <\/p>\n\n\n\n

Die Kategorien der Betroffenen und die Art der personenbezogenen Daten richten sich nach der konkreten gebuchten Leistung und ergeben sich aus dem Appendix 1 des Statement of Work.<\/p>\n\n\n\n

1.7.       <\/p>\n\n\n\n

StepStone verarbeitet die personenbezogenen Daten ausschlie\u00dflich im Rahmen des Auftrages und gem\u00e4\u00df den dokumentierten Weisungen des Kunden au\u00dfer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DS-GVO vor.<\/p>\n\n\n\n

1.8.      <\/p>\n\n\n\n

Die Auftragsverarbeitung erfolgt ausschlie\u00dflich in Mitgliedsstaaten der Europ\u00e4ischen Union oder in einem anderen Vertragsstaat des Abkommens \u00fcber den Europ\u00e4ischen Wirtschaftsraum, soweit nicht eine anderweitige Weisung erteilt wurde und eine \u00dcbermittlung nach den Regelungen der Art. 44 bis 49 DSGVO zul\u00e4ssig ist. Bereits mit Vertragsschluss wird die Weisung erteilt, im Rahmen der nach Ziff. 4.2 zu treffenden Ma\u00dfnahmen personenbezogene Daten an den weiteren Auftragsverarbeiter Akamai Technologies, Inc., 150 Broadway, Cambridge, 02142 MA, USA gem\u00e4\u00df untenstehendem Abschnitt 5 zu \u00fcbermitteln. Die \u00dcbermittlung ist nach Art. 46 II lit c DSGVO zul\u00e4ssig, da mit Akamai Technologies die Standardvertragsklauseln der Europ\u00e4ischen Union abgeschlossen wurden und der Kunde diesen gem. Ziff. 3.11 dieses Vertrages beitritt. Es ist dem Kunden zudem unbenommen die Standardvertragsklauseln mit Akamai Technologies direkt abzuschlie\u00dfen. Diese sind abrufbar unter https:\/\/www.akamai.com\/de\/de\/multimedia\/documents\/akamai\/akamai-pre-signed-eu-standard-contractual-clauses.pdf<\/a>. Der Datenschutzbeauftragte von Akamai kann unter privacy@akamai.com<\/a> kontaktiert werden.<\/p>\n\n\n\n

2. Pflichten des Kunden als Auftraggeber<\/h4>\n\n\n\n

2.1.        <\/p>\n\n\n\n

Der Kunde ist gem\u00e4\u00df Art. 4 Nr. 7 DSGVO Verantwortlicher im datenschutzrechtlichen Sinne f\u00fcr die bei StepStone vertragsgem\u00e4\u00df verarbeiteten personenbezogenen Daten.<\/p>\n\n\n\n

2.2.        <\/p>\n\n\n\n

Der Kunde informiert StepStone unverz\u00fcglich und vollst\u00e4ndig, wenn er bei der Pr\u00fcfung der Auftragsergebnisse Fehler oder Unregelm\u00e4\u00dfigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.<\/p>\n\n\n\n

2.3.        <\/p>\n\n\n\n

Der Kunde f\u00fchrt ein Verzeichnis f\u00fcr Verarbeitungst\u00e4tigkeiten gem\u00e4\u00df Art. 30 Abs. 1 DSGVO.<\/p>\n\n\n\n

3. Pflichten von StepStone als Auftragnehmer<\/h4>\n\n\n\n

3.1.        <\/p>\n\n\n\n

StepStone informiert den Kunden unverz\u00fcglich, wenn StepStone der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verst\u00f6\u00dft. StepStone darf die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden best\u00e4tigt oder abge\u00e4ndert wurde.<\/p>\n\n\n\n

3.2.        <\/p>\n\n\n\n

StepStone h\u00e4lt die Bestimmungen dieses Vertrages und einschl\u00e4gige Datenschutzrechte, einschlie\u00dflich der DSGVO, ein.<\/p>\n\n\n\n

3.3.        <\/p>\n\n\n\n

StepStone trifft geeignete organisatorische und technische Ma\u00dfnahmen entsprechend den einschl\u00e4gigen Datenschutzgesetzen, einschlie\u00dflich der DSGVO und insbesondere deren Art. 32, um die personenbezogenen Daten der Betroffenen und ihre Rechte und Freiheiten unter Ber\u00fccksichtigung von Implementierungskosten, dem Stand der Technik, Art, Umfang und Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos zu sch\u00fctzen. Diese Schutzma\u00dfnahmen sind in der beiliegenden \u00dcbersicht zu technisch-organisatorischen Ma\u00dfnahmen festgehalten. Die technischen und organisatorischen Ma\u00dfnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist StepStone zur Wirkungs\u00fcberpr\u00fcfung und entsprechender Anpassung bei Fortschritten nach dem Stand der Technik verpflichtet. Alternative Sicherheitsma\u00dfnahmen sind gestattet, soweit das Sicherheitsniveau der festgelegten Ma\u00dfnahmen nicht unterschritten wird. Wesentliche \u00c4nderungen sind zu dokumentieren und dem Kunden unverz\u00fcglich anzuzeigen. Werden die Ma\u00dfnahmen so ge\u00e4ndert, dass aus der Sicht des Kunden StepStone keinen gleichwertigen oder einen h\u00f6heren Schutz der Daten garantieren kann, hat der Kunde nach erfolgloser Erteilung von Weisungen das Recht zur au\u00dferor\u00addentlichen K\u00fcndigung in Bezug auf die nach dieser Vereinbarung zur Auftragsverarbeitung erfassten Leistungen. Gleiches gilt bei unterlassener Anzeige solcher \u00c4nderungen.<\/p>\n\n\n\n

3.4.        <\/p>\n\n\n\n

StepStone stellt dem Kunden die f\u00fcr das Verzeichnis von Verarbeitungst\u00e4tigkeiten nach Art. 30 Abs. 1 DSGVO not\u00adwendigen Angaben zur Verf\u00fcgung und f\u00fchrt gem\u00e4\u00df Art. 30 Abs. 2 bis 5 DSGVO ein eigenes Verzeichnis zu allen Katego\u00ad<\/del>rien von im Auftrag von Kunden durchgef\u00fchrten T\u00e4tigkeiten der Verarbeitung.<\/p>\n\n\n\n

3.5.        <\/p>\n\n\n\n

Alle Personen, die auftragsgem\u00e4\u00df auf im Auftrag des Kunden verarbeitete personenbezogene Daten zugreifen k\u00f6nnen, sind gem\u00e4\u00df Art. 28 Abs. 3 b) DSGVO zur Vertraulichkeit zu verpflichten und \u00fcber die sich aus diesem Auftrag er\u00adgebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung zu belehren.<\/p>\n\n\n\n

3.6.        <\/p>\n\n\n\n

StepStone ist zur Bestellung eines betrieblichen Datenschutzbeauftragten<\/strong> verpflichtet und dieser kann jederzeit unter datenschutz@stepstone.de<\/strong><\/a> kontaktiert werden.<\/p>\n\n\n\n

3.7.        <\/p>\n\n\n\n

StepStone gew\u00e4hrleistet den Schutz der Rechte betroffener Personen und unterst\u00fctzt den Kunden im notwendigen Umfang bei der Beantwortung von Antr\u00e4gen auf Wahrnehmung von Betroffenenrechten gem\u00e4\u00df Art. 12 \u2013 23 DSGVO. StepStone informiert den Kunden unverz\u00fcglich, falls sich ein Betroffener zum Zwecke der Auskunft, Berichtigung, L\u00f6schung oder Einschr\u00e4nkung der Verarbeitung seiner personenbezogenen Daten unmittelbar an StepStone wendet.<\/p>\n\n\n\n

StepStone unterst\u00fctzt den Kunden bei der Durchf\u00fchrung von Datenschutz-Folgenabsch\u00e4tzungen gem\u00e4\u00df Art. 35 DSGVO und der daraus resultierenden Konsultation der Aufsichtsbeh\u00f6rde gem\u00e4\u00df Art. 36 DSGVO im notwendigen Umfang. StepS\u00adtone unterst\u00fctzt den Kunden im Hinblick auf die Gew\u00e4hrleistung der Melde- und Benachrichtigungspflichten im Fall von Datenschutzverletzungen im Sinne von Art. 33 und 34 DSGVO.<\/p>\n\n\n\n

3.8.        <\/p>\n\n\n\n

StepStone unterrichtet den Kunden unverz\u00fcglich in Textform bei St\u00f6rungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen gem\u00e4\u00df Art. 4 Nr. 12 DSGVO im Zusammenhang mit der Datenverarbeitung oder anderen Un\u00adregelm\u00e4\u00dfigkeiten bei der Verarbeitung der Daten f\u00fcr den Kunden. StepStone hat im Benehmen mit dem Kunden an\u00adgemessene Ma\u00dfnahmen zur Sicherung der Daten sowie zur Minderung m\u00f6glicher nachteiliger Folgen f\u00fcr Betroffene zu ergreifen, soweit die Datenschutzverletzung der Verantwortung von StepStone lag.<\/p>\n\n\n\n

3.9.        <\/p>\n\n\n\n

Bei Ermittlungen der Datenschutzbeh\u00f6rde bei StepStone ist der Kunde, soweit diese Ermittlungen den Vertragsgegenstand betreffen, unverz\u00fcglich zu informieren.<\/p>\n\n\n\n

3.10.      <\/p>\n\n\n\n

F\u00fcr den Fall, dass StepStone eine Verarbeitung von Daten vom Kunden \u2013 einschlie\u00dflich einer \u00dcbermittlung in ein Drittland oder an eine internationale Organisation \u2013 \u00adbeabsichtigt, ohne hierzu vom Kunden angewiesen worden zu sein, d.h. weil StepStone hierzu entsprechend Art. 28 Abs. 3 S. 1 a DSGVO verpflichtet ist, wird StepStone den Kunden unverz\u00fcglich \u00fcber Zweck, Rechtsgrund und betroffene Daten informieren, soweit und solange StepStone eine solche Mitteilung nicht gesetzlich untersagt ist.<\/p>\n\n\n\n

3.11.     <\/strong><\/p>\n\n\n\n

Soweit eine \u00dcbermittlung von personenbezogenen Daten des Verantwortlichen in Drittstaaten au\u00dferhalb der europ\u00e4ischen Union\/EEA vorgesehen ist oder bereits vorgenommen wird und kein Angemessenheitsbeschluss der Europ\u00e4ischen Union gem. Art 45 DSGVO vorliegt, wird StepStone die Daten nur \u00fcbermitteln, sofern geeignete Garantien vorgesehen sind und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verf\u00fcgung stehen. Soweit die \u00dcbermittlung personenbezogener Daten auf dem Abschluss der Standardvertragsklauseln (SCC) der Europ\u00e4ischen Union st\u00fctzt, wird hiermit vereinbart, dass der Verantwortliche als unabh\u00e4ngiger Inhaber von Rechten und Pflichten diesen Standardvertragsklauseln beitritt (Beitrittsmodell). Es ist dem Verantwortlichen zudem unbenommen die Standardvertragsklauseln mit dem Datenimporteur direkt abzuschlie\u00dfen.<\/p>\n\n\n\n

4.            \u00dcberpr\u00fcfungen einschlie\u00dflich Inspektionen<\/h4>\n\n\n\n

4.1.        <\/p>\n\n\n\n

StepStone stellt dem Kunden alle erforderlichen Informationen zum Nachweis der in diesem Vertrag niedergelegten Pflichten zur Verf\u00fcgung. StepStone erm\u00f6glicht dem Kunden vor Beginn und w\u00e4hrend der Laufzeit dieser Vereinbarung nach angemessener vorherige Ank\u00fcndigung und w\u00e4hrend der \u00fcblichen Gesch\u00e4ftszeiten (9:00-18.00 Uhr) die Durchf\u00fchrung von \u00dcberpr\u00fcfungen, einschlie\u00dflich Inspektionen nach Ma\u00dfgabe des Art. 28 Abs. 3 h) DSGVO. Der Kunde ist berechtigt, sich selbst oder durch geeignete, zur Berufsverschwiegenheit verpflichtete Dritte vor Beginn und w\u00e4hrend der Auftragsverarbeitung, nach rechtzeitiger Anmeldung in den Betriebsst\u00e4tten zu den \u00fcblichen Gesch\u00e4ftszeiten ohne St\u00f6rung des Betriebsablaufs, von der Einhaltung der technischen und organisatorischen Ma\u00dfnahmen zu \u00fcberzeugen. Das Ergebnis dieser \u00dcberpr\u00fcfungen wird jeweils dokumentiert und ist von beiden Parteien zu unterschreiben.<\/p>\n\n\n\n

4.2.        <\/p>\n\n\n\n

Zum Nachweis der technischen und organisatorischen Ma\u00dfnahmen kann StepStone auch aktuelle Testate, Berichte oder Berichtsausz\u00fcge unabh\u00e4ngiger Instanzen (z. B. Wirtschaftspr\u00fcfer, Revision, Datenschutzbeauftragter, IT-Sicherheits\u00adabteilung, Datenschutzauditoren, Qualit\u00e4tsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) vorlegen.<\/p>\n\n\n\n

5.         Weitere Auftragsverarbeiter<\/h4>\n\n\n\n

5.1.        <\/p>\n\n\n\n

Mit Erteilung des Auftrags werden die im beiliegenden Unterauftragnehmerverzeichnis aufgelisteten Unterauftragsverarbeiter genehmigt. Ferner definieren StepStone und der Kunde im Rahmen des Statement of Work weitere Auftragsnehmer, soweit diese zur Erf\u00fcllung der Leistung notwendig sind. StepStone kann Auftr\u00e4ge an weitere Auftragsverarbeiter (Unterauftragsverarbeiter) vergeben, indem StepStone den Kunden vorab \u00fcber die Hinzuziehung oder Ersetzung neuer Unterauftragsverarbeiter durch Mitteilung \u00fcber die \u00c4nderung des Unterauftragsverzeichnisses in Textform informiert und der Kunde binnen 4 Wochen keinen Einspruch erhebt. Im Falle eines Einspruches ist StepStone berechtigt, die Leistungen einzustellen wenn eine Erbringung der vertraglichen Leistung nicht mehr gew\u00e4hrleistet werden kann.<\/p>\n\n\n\n

5.2.        <\/p>\n\n\n\n

StepStone hat den Unterauftragsverarbeitern dieselben Datenschutzpflichten aufzuerlegen, die in dieser Vereinbarung zur Auftragsverarbeitung festgelegt sind, so dass die Verarbeitung den Anforderungen der DSGVO entspricht.<\/p>\n\n\n\n

5.3.        <\/p>\n\n\n\n

Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdr\u00fccklichen Zustimmung des Hauptauftragnehmers (min. Textform); s\u00e4mtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.<\/p>\n\n\n\n

5.4.        <\/p>\n\n\n\n

Dienstleistungen, die bei Dritten als Nebenleistung zur Unterst\u00fctzung bei der Auftragsdurchf\u00fchrung in Anspruch genommen werden, gelten nicht als Unterauftragsverarbeiter. Dazu z\u00e4hlen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskr\u00e4fte, Pr\u00fcfer oder die Entsorgung von Datentr\u00e4gern. StepStone ist jedoch verpflichtet, zur Gew\u00e4hrleistung des Schutzes und der Sicherheit der Daten vom Kunden auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie \u00dcberpr\u00fcfungsma\u00dfnahmen zu ergreifen.<\/p>\n\n\n\n

6. L\u00f6schung und R\u00fcckgabe<\/h4>\n\n\n\n

StepStone l\u00f6scht s\u00e4mtliche mit dem Vertrag einhergehenden personenbezogenen Daten drei Monate nach Lieferung der Hauptleistung oder wenn ein legitimer Kontakt des Kunden dies schriftlich (Textform gen\u00fcgt) beauftragt.<\/p>\n\n\n\n

Anlage 1 zur StepStone Auftragsverarbeitung \u2013 Unterauftragnehmerverzeichnis <\/h3>\n\n\n\n

Die im Folgenden aufgelisteten Unterauftragsverarbeiter von StepStone werden bei Erteilung des Auftrags genehmigt.<\/p>\n\n\n\n

Universum Communications Sweden AB, Jakobsbergsgatan 22, 111 44 Stockholm, Schweden.<\/p>\n\n\n\n

Leistungen: StepStone nutzt Universum f\u00fcr die Durchf\u00fchrung von Befragungen\/Studien der beauftragten Hauptleistung. Im Zuge dessen kann Universum, soweit dies f\u00fcr den Auftrag notwendig ist Unternehmenst\u00f6chter (Affiliates) einsetzen. Dies k\u00f6nnen sein:<\/p>\n\n\n\n

Universum Communications Sweden Aktiebolag Finland Filial (Branch), 2039587, Espoo, Finnland<\/p>\n\n\n\n

Universum Communications Ltd., org. nr. 3121113, London, Vereinigtes K\u00f6nigkreich<\/p>\n\n\n\n

Universum Communications Norway A\/S (NO), org. nr. 992 297 786, Oslo, Norwegen<\/p>\n\n\n\n

Universum Communications Switzerland AG, org. nr. CH270.3.014.025-6, Z\u00fcrich, Schweiz<\/p>\n\n\n\n

Universum Communications SARL, org. nr. FR96 802 026 583, Paris, Frankreich<\/p>\n\n\n\n

Universum Communications Pte. Ltd., org. nr. 199502683R, Singapore, Singapur<\/p>\n\n\n\n

Universum Communications Inc, org. nr. 134094742, New York, USA<\/p>\n\n\n\n

Universum Communications SA (PTY) LTD, org. nr. 2012\/166762\/07, Johannesburg, S\u00fcd Afrika<\/p>\n\n\n\n

Universum Business Consulting Shanghai Co. Ltd.91310000674593535E, Shanghai, China<\/p>\n\n\n\n

Universum Employer Branding Services GmbH, HRB 10178 B, Berlin, Deutschland<\/p>\n\n\n\n

Universum Communications Italy S.R.L., org.nr. 11036880968, Milan, Italien<\/p>\n\n\n\n

The Stepstone Group GmbH, V\u00f6lklinger Str. 1, 40215 D\u00fcsseldorf, Deutschland
Leistungen:
\u2013 Hosting and damit verbundene Sicherheitsleistungen
\u2013 Back-Up Leistungen
\u2013 Kundendienst-Unterst\u00fctzung zur Fehlerbehebung<\/p>\n\n\n\n

The Stepstone Group EMEA GmbH, V\u00f6lklinger Stra\u00dfe 1, 40219 D\u00fcsseldorf, Deutschland
Leistungen:
\u2013 Hosting and damit verbundene Sicherheitsleistungen
\u2013 Back-Up Leistungen
\u2013 Kundendienst-Unterst\u00fctzung zur Fehlerbehebung<\/p>\n\n\n\n

StepStone N.V., Koningsstraat 47 Rue Royale, 1000 Br\u00fcssel, Belgien
Leistungen:
\u2013 Hosting and damit verbundene Sicherheitsleistungen
\u2013 Back-Up Leistungen
\u2013 Kundendienst-Unterst\u00fctzung und Fehlerbehebung<\/p>\n\n\n\n

StepStone Services sp. z o.o., ul. Domaniewska 50, 02-672 Warschau, Polen
Leistungen:
\u2013 Kundendienst-Unterst\u00fctzung zur Fehlerbehebung<\/p>\n\n\n\n

Akamai Technologies GmbH, Parkring 20-22, 85748 Garching, Deutschland
Leistungen:
\u2013 StepStone nutzt Akamai im Rahmen der technisch-organisatorischen Schutzma\u00dfnahmen als Web Application Firewall und liefert Inhalte an die Webseitenbesucher daher \u00fcber Akamai aus, um seine Systeme zu sch\u00fctzen.<\/p>\n\n\n\n

Akamai Technologies, Inc., 150 Broadway, Cambridge, 02142 MA, USA
Leistungen:
\u2013 s. bei Akamai Technologies GmbH, Akamai Technologies GmbH schaltet als Subunternehmer Akamai Technologies, Inc ein.<\/p>\n\n\n\n

Amazon Webservices, Inc., 410 Terry Drive Ave North, WA 98109-5210 Seattle, USA
Leistungen:
\u2013 Hosting und damit verbundene Sicherheitsleistungen (ausschlie\u00dflich innerhalb der EU erbracht)<\/p>\n\n\n\n

Cammio GmbH, Philipp-Franck-Weg 19, 14109 Berlin, Deutschland
Leistungen:
\u2013 StepStone nutzt Cammio im Rahmen der Durchf\u00fchrung von Video Job Interviews.<\/p>\n\n\n\n

Anlage 2 zur StepStone Auftragsverarbeitung \u2013 technisch-organisatorische Ma\u00dfnahmen<\/h3>\n\n\n\n

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)<\/p>\n\n\n\n

  • Zutrittskontrolle: Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, gew\u00e4hrleistet durch:
    Die Datencenter haben eine vielschichtige Sicherheitsstruktur. Die Au\u00dfenbereiche der Datencenter sind durch Hochsicherheitsz\u00e4une und Mauern ausgestattet. Die Eing\u00e4nge sind durch Sicherheitspersonal 24 Stunden, sieben Tage die Woche gesch\u00fctzt. Die Anlagen werden mit Sicherheitskameras \u00fcberwacht. Zugang zu den Serverr\u00e4umen ist durch Magnetkarten gesichert. Die Anlagen sind in verschlossenen Serverschr\u00e4nken aufbewahrt.
    Umfassende Sicherheitsma\u00dfnahmen bestehen auch bei den jeweiligen StepStone-Standorten. Zutritt ist nur mittels Magnetkarten m\u00f6glich und Besuchern muss speziell Zutritt gew\u00e4hrt werden.<\/li>
  • Zugangskontrolle: Keine unbefugte Systembenutzung, gew\u00e4hrleistet durch:
    Der Kunde kann ausschlie\u00dflich auf die in seinem Auftrag verarbeiteten Daten zugreifen, nachdem er sich in den Kundenbereich mit dem von ihm definierten Passwort eingeloggt hat. StepStone speichert die Log-In Details ausschlie\u00dflich in verschl\u00fcsselter Form.
    Der Datenfluss zwischen Nutzern und dem System ist standardm\u00e4\u00dfig Ende-zu-Ende verschl\u00fcsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird
    StepStone nutzt die Dienste von Akamai als Web Application Firewall f\u00fcr seine Systeme.
    StepStone hat eine interne Passwortrichtlinie f\u00fcr seine Mitarbeiter, die unter anderem erfordert, dass Passworte mindestens acht Zeichen lang sein und regelm\u00e4\u00dfig gewechselt werden m\u00fcssen, nicht identisch oder \u00e4hnlich mit dem Benutzernamen sein d\u00fcrfen, mindestens drei der vier folgenden Zeichen enthalten m\u00fcssen: i) Gro\u00dfbuchstaben, ii) Kleinbuchstaben, iii) Ziffern, iv)Symbole.<\/li>
  • Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Ver\u00e4ndern oder Entfernen innerhalb des Systems, gew\u00e4hrleistet durch:
    Die Zugriffsrechte des Kunden sind streng begrenzt auf die Daten, die tats\u00e4chlich im Auftrag des jeweiligen Kunden verarbeitet werden. Nur spezifisch definiertes StepStone-Personal kann auf Daten zugreifen, die im Auftrag des Kunden verarbeitet werden, soweit dies im Rahmen von Systemadministration und Kundendienstzwecken auf Anfrage des Kunden erforderlich ist
    Das System protokolliert s\u00e4mtliche Vorg\u00e4nge \u00fcber Datenverarbeitungen im Auftrag des Kunden.<\/li>
  • Trennungskontrolle: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, gew\u00e4hrleistet durch:
    Das StepStone Kundencenter ist mandantenf\u00e4hig, so dass jeder einzelne eingeloggte Kunde nur die Daten einsehen kann, die mit seinem Account verbunden sind.<\/li>
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO): Ist nicht einschl\u00e4gig, da der Kunde einen nicht-pseudonymisierten Zugriff auf die Daten ben\u00f6tigt.<\/li><\/ul>\n\n\n\n

    2. Integrit\u00e4t (Art. 32 Abs. 1 lit. b DS-GVO)<\/p>\n\n\n\n

    • Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Ver\u00e4ndern oder Entfernen bei elektronischer \u00dcbertragung oder Transport, gew\u00e4hrleistet durch:
      S\u00e4mtliche \u00fcber \u00f6ffentlich zug\u00e4ngliche Netzwerke gesendete Daten sind Ende-zu-Ende verschl\u00fcsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird<\/li>
    • Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, ver\u00e4ndert oder entfernt worden sind, gew\u00e4hrleistet durch:
      Das StepStone System protokolliert die Aktivit\u00e4ten eines jeden Log-Ins und Log-Outs sowie jegliche Bearbeitung, Hinzuf\u00fcgung, Ver\u00e4nderung und L\u00f6schung von Daten durch den jeweils vornehmenden Nutzer, sowie die Zeit (durch Zeitstempel).<\/li><\/ul>\n\n\n\n

      3. Verf\u00fcgbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)<\/p>\n\n\n\n

      • Verf\u00fcgbarkeitskontrolle: Schutz gegen zuf\u00e4llige oder mutwillige Zerst\u00f6rung bzw. Verlust, gew\u00e4hrleistet durch:
        Antivirusproramme und Firewalls werden eingesetzt. StepStone nutzt Akamais Dienste als Web Application Firewall f\u00fcr seine Systeme.
        Die Hosting Umgebung ist mit Feuermeldern, Wasserundichtigkeitsdetektoren und erh\u00f6hten B\u00f6den ausgestattet. Temepratur und Luftfeuchtigkeit werden konstant \u00fcberwacht, um vordefinierte Werte einzuhalten. Es besteht eine ununterbrochene Stromversorgung von mindestens 72 Stunden.<\/li>
      • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO), wird gew\u00e4hrleistet durch
        Back-up Prozeduren;
        Ununterbrochene Stromversorgung (USV);
        Getrennte Speicherung;
        Virenschutz und Firewalls;
        Notfallpl\u00e4ne und Krisenpl\u00e4ne;
        Mitarbeiterschulungen;<\/li><\/ul>\n\n\n\n

        4. Verfahren zur regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO), wird gew\u00e4hrleistet durch:<\/p>\n\n\n\n

        • StepStone veranstaltet regelm\u00e4\u00dfige Pr\u00fcfungen mit externen Dienstleistern, um seine Datensicherheitsstandards und-prozesse zu pr\u00fcfen. Network Penetration Tests werden regelm\u00e4\u00dfig durchgef\u00fchrt.<\/li>
        • Wir verfolgen und \u00fcberpr\u00fcfen Protokolle auf zwei Ebenen, bevor die entsprechende Anfrage unsere Anwendungsserver erreicht. Dies erfolgt auf einer Firewall und einer Web Application Firewall Ebene. Dadurch k\u00f6nnen wir s\u00e4mtliche au\u00dfergew\u00f6hnlichen Anfragen auf Datenbereitstellungsebene an die Datenbank analysieren und sperren, und dadurch SQL injectionVersuche unterbinden. Das System selbst protokolliert fehlerhafte Anmeldeversuche, wenn die Anfrage durch Firewall und WAF erfolgte.<\/li>
        • Unsere Datenschutzma\u00dfnahmen werden kontinuierlich in einem PDCA-Zyklus \u00fcberpr\u00fcft.<\/li><\/ul>\n\n\n\n

          Stand 01.02.2021<\/p>\n\n\n\n

          <\/p>\n","protected":false},"excerpt":{"rendered":"

          Vereinbarung zur Auftragsverarbeitung \u2013 Advisory und Activation   Pr\u00e4ambel StepStone Deutschland GmbH (\u201eStepStone\u201c), V\u00f6lklinger Str.1, 40219 D\u00fcsseldorf, Deutschland und der Kunde haben einen Vertrag \u00fcber Beratungsleistugnen (Advisory und\/oder Activation) geschlossen und sind dar\u00fcber \u00fcbereingekommen, dass dieser Vertrag zur Auftragsverarbeitung als Anhang zum Hauptvertrag Bestandteil des Hauptvertrages wird. Mit Wirksamkeit des Hauptvertrages tritt insoweit dieser Vertrag […]<\/p>\n","protected":false},"author":19,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":[],"yst_prominent_words":[],"_links":{"self":[{"href":"https:\/\/www.stepstone.de\/ueber-stepstone\/wp-json\/wp\/v2\/pages\/13012"}],"collection":[{"href":"https:\/\/www.stepstone.de\/ueber-stepstone\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.stepstone.de\/ueber-stepstone\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.stepstone.de\/ueber-stepstone\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/www.stepstone.de\/ueber-stepstone\/wp-json\/wp\/v2\/comments?post=13012"}],"version-history":[{"count":30,"href":"https:\/\/www.stepstone.de\/ueber-stepstone\/wp-json\/wp\/v2\/pages\/13012\/revisions"}],"predecessor-version":[{"id":15613,"href":"https:\/\/www.stepstone.de\/ueber-stepstone\/wp-json\/wp\/v2\/pages\/13012\/revisions\/15613"}],"wp:attachment":[{"href":"https:\/\/www.stepstone.de\/ueber-stepstone\/wp-json\/wp\/v2\/media?parent=13012"}],"wp:term":[{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/www.stepstone.de\/ueber-stepstone\/wp-json\/wp\/v2\/yst_prominent_words?post=13012"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}