Die Daten werden beim Transport über https (TLS1.2) verschlüsselt.
Die Speicherung der folgenden Daten erfolgt unter Verwendung einer AES 256 Bit Verschlüsselung:
Zeugnisdokument (PDF)
Bewertungen bzw. Zeugnisnoten
Zeugnisinhalte (Text, inkl. TÄtigkeitsbeschreibung)
Werdeganginhalte (Text)
Kommentare (Text)
Der Login in die Applikation erfolgt über E-Mail-Adresse und Passwort. Es besteht jedoch auch die Möglichkeit einer SSO-Anbindung über das SAML-Protokoll.
Es existiert ein Rollen- und Berechtigungskonzept, welches den Zugriff auf die Daten des jeweiligen Lizenznehmers beschränkt:
Lizenzierte Benutzer (Administratoren und Nutzer in der HR-Abteilung) greifen mit ihrem individuellen, selbst generierten Passwort in Kombination mit der im System hinterlegten E-Mail- Adresse zu. Hierbei kommen ausschließlich etablierte Standard-Protokolle zum Einsatz.
Im Audit-Log werden Aktionen (keine Zeugnisdaten) mit der UserID und OrganisationsID protokolliert. Diese Protokollierung dient der Sicherheit und erfasst u.a.:
Zeugnis laden
Zeugnis editieren
Zeugnis an Vorgesetzte weiterleiten
Zeugnis archivieren
Zeugnis löschen
Zeugnis aus dem Archiv bearbeiten
Zeugnis wandeln
Alle Haufe-Server werden über ein eigenes Backup-LAN gesichert. Somit ist eine Trennung des Sicherungsnetzes und des Haufe-Applikationsnetzes gegeben.
Alle Filesysteme und Verzeichnisse werden inkrementell gesichert. Bei allen Haufe-Datenbanken werden neben dem Backup der Transaktionslogs auch Vollsicherungen der Datenbanken erstellt.
Für alle Haufe-Server werden Sicherungen der Filesysteme, Verzeichnisse und Datenbanken auf Sicherungsrobotersystemen durchgeführt.
Diese Sicherungssysteme sind verteilt auf zwei Rechenzentren und werden in eigenen Brandschutzzonen betrieben. Diese Zonen sind von den betriebenen Haufe-Servern getrennt und gewährleisten somit die Sicherheit der Haufe-Applikationsdaten.
Innerhalb der Haufe Group existieren diverse Richtlinien und Vorgaben hinsichtlich der Informationssicherheit beziehungsweise der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Zu unseren internen Richtlinien gehören unter anderem:
Innerhalb der Haufe Group existieren diverse Vorlagen für ein- oder beidseitige Vertraulichkeitsvereinbarungen. Auch sind entsprechende Vereinbarungen Teil der Verträge, die durch den Stabsbereich Legal erstellt sowie betreut werden.
Ziel und Zweck ist es, die Grundlagen für die Umsetzung der Datenschutzanforderungen aus der Datenschutz-Grundverordnung (DSGVO) und dem BDSG-neu festzulegen. Festgelegt sind Grundprinzipien der Datenverarbeitung, der Aufbau der Datenschutzorganisation, Rollenverteilung der Organe innerhalb der Datenschutzorganisation, Datenschutzmanagement-Grundlagen, die Datenübertragung an Dritte, das Verhalten bei Datenschutzvorfällen sowie die Sanktionen bei Verstößen.
Geregelt werden der Umgang mit Datenschutzvorfällen oder Datenpannen, angemessene und rechtskonforme Reaktion bei Datenschutzvorfällen und die rechtlichen Meldepflichten.
Darüber hinaus existieren bei der Haufe Group Richtlinien zum Themengebiet der Datensicherheit, welche Handlungsanweisungen hinsichtlich sicherer Entwicklung, Authentifizierung und dem Umgang mit Passwörtern enthalten.
Für die Haufe-Lexware GmbH & Co. KG, Haufe-Lexware Services GmbH & Co. KG und Haufe Service Center GmbH ist:
Herr Raik Mickler
E-Mail: dsb@haufe-lexware.com
als Datenschutzbeauftragter bestellt.
Alle Mitarbeiter/-innen sind schriftlich auf die Vertraulichkeit verpflichtet. Die Dokumentation der Verpflichtung erfolgt in der Personalabteilung der Haufe-Lexware Services GmbH & Co. KG. Weiterhin erfolgen jährliche Datenschutzschulungen der Datenschutzvorgaben in Form von Präsenzschulungen oder webbasierten Trainings.
Die Haufe-Lexware Services GmbH & Co. KG verarbeitet die Daten ausschließlich im Zusammenhang mit der Erfüllung von Vertrags-/Bestellverpflichtungen ihrer Kunden. Zu diesem Zweck werden Verträge gem. Art. 28 DSGVO über die Auftragsdatenverarbeitung abgeschlossen.
Der Betrieb der Haufe Zeugnis Manager Applikation erfolgt in einem ISO 27001 zertifizierten Rechenzentrum der Arvato Systems GmbH, An der Autobahn 200, 33333 Gütersloh. Mit diesem Dienstleister besteht ein Vertrag nach Art. 28 DSGVO über Auftragsdatenverarbeitung.
Dieses Unternehmen verfügt über die folgenden Zertifizierungen:
Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems
EN ISO 9001 legt die Mindestanforderungen an ein Qualitätsmanagementsystem (QM-System) fest, denen eine Organisation zu genügen hat, um Produkte und Dienstleistungen bereitstellen zu können, welche die Kundenerwartungen sowie allfällige behördliche Anforderungen erfüllen.
Als IT-Grundschutz bezeichnet die Bundesverwaltung eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik (IT). Das Ziel des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme. Zum Erreichen des Ziels empfehlen die IT-Grundschutz-Kataloge technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.
Die Information Technology Infrastructure Library (ITIL) ist eine Sammlung vordefinierter Prozesse, Funktionen und Rollen, wie sie typischerweise in jeder IT-Infrastruktur mittlerer und großer Unternehmen vorkommen.
Die praktische Zuweisung der Tätigkeiten erfolgt anhand von Rollen und Funktionen. Es handelt sich dabei um Best-Practice-Vorschläge, die an die Bedürfnisse des Unternehmens angepasst werden müssen
Der Betrieb der HZM-Lösung erfolgt in einem ISO 27001 zertifizierten Rechenzentrum bei der Arvato Systems GmbH. Im Rahmen der ISO 27001 und ISO 9001 werden jährlich ein Überwachungsaudit und alle drei Jahre ein Re-Zertifizierungsaudit durchgeführt.
Es werden in regelmäßigen Abständen Penetrationstests auf die Anwendung durch unabhängige Prüfunternehmen durchgeführt.
Ergänzend werden die Basis-Systeme der Haufe Gruppe zyklisch durch das Vulnerability Management gescannt.
Ja. Alle personenbezogene Daten verbleiben in Deutschland.
Ja, es kommt eine 256 Bit AES Verschlüsselung für die folgenden Zeugnisdaten zum Einsatz: Bewertungen bzw.
• Zeugnisnoten
• Zeugnistext inkl. Tätigkeitsbeschreibung
• Werdegangtext
• Zeugnisdokument (PDF)
• Kommentare (Text)
Der Schlüssel wird individuell für den Lizenznehmer erzeugt und separiert von den sonstigen personenbezogenen Daten gespeichert.
Auf den Testsystemen (Staging) werden nur anonymisierte Echtdaten verwendet, bei der sämtliche schützenswerten personenbezogene Daten anonymisiert sind. Die Zeugnisse können nicht gelesen werden, da keine Entschlüsselungs-Schlüssel nach der Anonymisierung vorliegen.
Für die HZM Applikation bei der Arvato Systems GmbH am Standort Gütersloh ist entsprechendes über die ISO 27001 - Baustein A.14 Business continuity management abgedeckt.
Mit diesem oben genannten Dienstleister besteht ein Vertrag gem. Art. 28 DSGVO; die Mitarbeiter, die Zugriff auf Daten des Auftraggebers haben, sind auf das Datengeheimnis / Vertraulichkeit verpflichtet.