Unser Angebot
Themen
Über RSM Ebner Stolz
Karriere
Kontakt
Mediathek
Newsletter
Presse
Veranstaltungen
RSM Ebner Stolz / Vereinbarung für die Auftragsverarbeitung

Vereinbarung für die Auftragsverarbeitung

03.05.2022 | 15 Minuten Lesezeit

Vereinbarung über die Auftragsverarbeitung

zwischen dem Kunden (nachfolgend auch „Auftraggeber“ genannt) und der RSM Ebner Stolz Digital Solutions GmbH (nachfolgend auch „Auftragnehmer“ genannt) im Zusammenhang mit der Bereitstellung und Nutzung von ES Grundsteuer.

1 Gegenstand und Dauer der Auftragsverarbeitung

Gegenstand und Dauer (Laufzeit) dieser Auftragsverarbeitungs-Vereinbarung (Vereinbarung) ergeben sich aus dem Hauptvertrag.

2 Art und Zweck der Verarbeitung, Art der Daten, Kategorien Betroffener

Der Auftragsverarbeiter verarbeitet die in Anlage 1 genannten personenbezogenen Daten (Daten) im Auftrag des Auftraggebers zu den dort genannten Zwecken. Art der Daten und die Kategorien der Betroffenen ergeben sich ebenfalls aus Anlage 1.

3 Weisungsgebundene Verarbeitung, Ort der Verarbeitung

3.1 Der Auftragsverarbeiter verarbeitet Daten des Auftraggebers nur auf dessen zu dokumentierende Weisung. Dies gilt nicht, wenn der Auftragsverarbeiter zu einer eigenen Verarbeitung gesetzlich verpflichtet ist; in einem solchen Fall teilt er dem Auftraggeber dies vor der Verarbeitung mit, sofern eine solche Mitteilung nicht aus Rechtsgründen wegen eines wichtigen öffentlichen Interesses untersagt ist.

3.2 Der Auftraggeber erteilt alle Weisungen in Textform. Mündliche Weisungen sind in Textform zu bestätigen.

3.3 Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen das Datenschutzrecht verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

3.4 Die Auftragsverarbeitung findet in der EU oder im EWR statt. Jeder Verlagerung in ein Drittland z.B. durch Beauftragung eines Unterauftragnehmers bedarf der Zustimmung des Auftraggebers in Textform und muss den Anforderungen von Art. 44 ff. DSGVO entsprechen. Ziffer 5 bleibt hiervon unberührt.

4 Technische und organisatorische Maßnahmen

4.1 Der Auftragsverarbeiter ergreift nach Art. 32 DSGVO erforderliche Maßnahmen, die in Anlage 2 konkretisiert sind. Diese Maßnahmen kann der Auftragsverarbeiter der technischen Entwicklung anpassen, sofern dadurch das vereinbarte Schutzniveau nicht unterschritten wird.

4.2 Der Auftragsverarbeitet verpflichtet die zur Verarbeitung befugten Mitarbeiter und Personen zur Vertraulichkeit. Dies ist nicht erforderlich, sofern sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5 Unterauftragnehmer („Subunternehmer“)

5.1 Der Auftragsverarbeiter ist berechtigt, geeignete Unterauftragnehmer mit Sitz in der EU und im EWR zu beauftragen. Er informiert den Auftraggeber rechtzeitig über eine beabsichtigte Änderung in Bezug auf die Beauftragung oder den Wechsel von Unterauftragnehmern; der Auftraggeber kann gegen eine solche Beauftragung oder einen solchen Wechsel aus wichtigem Grund Einspruch erheben. Der Auftraggeber erteilt bereits jetzt seine Genehmigung in die Beauftragung folgender Unterauftragnehmer:

  • fino taxtech GmbH, Universitätsplatz 12, 34127 Kassel, Germany (Bereitstellung der Webanwendung)
  • fino data services GmbH, Universitätsplatz 12, 34127 Kassel, Germany (OCR, Postversand)
  • Mailgun Technologies Inc., 535 Mission St, San Francisco, CA 94105, USA, (Email-Management Services, Rechenzentrumsstandort: EU)
    Mailgun wird für den Versand systemseitiger Emails verwendet. In den Mails sind keine personenbezogenen Daten enthalten. Lediglich die in der Emailadresse enthaltenen personenbezogene Daten werden durch Mailgun verarbeitet.
    Mailgun ermöglicht es, sämtliche Datenverarbeitung auf Servern innerhalb der EU vorzunehmen. Diese Einstellung wurde durch uns entsprechend vorgenommen, um einen direkten Zugriff auf Daten durch (US)-Behörden zu verhindern. In Einzelfällen kann aus Supportgründen nach vorheriger Freigabe auf die innerhalb der EU liegenden Mail-Daten aus den USA durch Mailgun zugegriffen werden.
    Grundlage für die Datenübermittlung sind die aktuellen Standardvertragsklauseln der EU-Kommission und Zuhilfenahme von additional safeguards wie Datenverschlüsselung, Datenaggregation, getrennte Zugangskontrollen und Grundsätze der Datenminimierung.
  • TripleS Manufaktur Bochum GmbH, Harmoniestraße 1, 44787 Bochum (Support)
  • DATEV eG, Paumgartnerstraße 6 – 14, 90429 Nürnberg (Druck-, Scan- und Versandleistungen)
  • fino run GmbH, Universitätsplatz 12, 34127 Kassel, Germany (Management der IT-Infrastruktur)
  • SkenData GmbH, Mühlendamm 8b, 18055 Rostock (Abruf von Flurkarten, Gebäudedaten, Gebäudewertermittlungen, etc.)

5.2 Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter, so verpflichtet er diesen schriftlich mindestens zu vergleichbaren Datenschutzpflichten, die auch in dieser Vereinbarung festgelegt sind. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

5.3 Für Subunternehmer des Unterauftragnehmers gilt Ziff. 5. entsprechend.

6 Mitwirkungspflichten des Auftragsverarbeiters, Kontrollrechte

6.1 Der Auftragsverarbeiter unterstützt den Auftraggeber angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten Maßnahmen, damit der Auftraggeber seine Pflichten gegenüber Betroffenen (Art. 12 ff. DSGVO) erfüllen kann. Der Auftragsverarbeiter leitet mögliche Anfragen Betroffener an den Auftraggeber weiter.

6.2 Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO.

6.3 Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung. Der Auftraggeber oder ein von ihm beauftragter Dritter ist berechtigt, sich regelmäßig in angemessener Weise von der Einhaltung der in dieser Vereinbarung festgelegten Verpflichtungen beim Auftragsverarbeiter zu überzeugen. Der Auftragsverarbeiter unterstützt den Auftraggeber dabei in erforderlichem und zumutbarem Maße.

7 Pflichten des Auftraggebers

7.1 Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich über Datenschutzvorfälle und sonstige Unregelmäßigkeiten, die der Auftraggeber in Bezug auf die Auftragsverarbeitung feststellt.

7.2 Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich.

8 Pflichten des Auftragsverarbeiter bei Ende der Laufzeit

Der Auftragsverarbeiter wird nach Ende der Laufzeit alle die Auftragsverarbeitung betreffende Daten und Kopien nach Wahl des Auftraggebers löschen oder zurückgeben, sofern der Auftragsverarbeiter nicht zu einer Speicherung verpflichtet ist.

 

Anlage 1

1 Zweck der Verarbeitung

  • Die in der Leistungsvereinbarung getroffenen Regelungen zur Auftragsverarbeitung finden Anwendung für alle Leistungen der RSM Ebner Stolz Digital Solutions GmbH in Bezug auf personenbezogene Daten, die in der Anwendung ES Grundsteuer erbracht werden. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung erforderlichen Vertragszwecke.
  • Fehlerbehebung
  • Qualitätssicherung

2 Art der Verarbeitung

  • Erfassung von Unternehmens- und Eigentümerstammdaten,
  • Erfassung von Grundstücken/wirtschaftlichen Einheiten, welche dem Kunden zugeordnet werden
  • Erstellung von Feststellungserklärungen/Grundsteuerdeklarationen
  • Berechnung der Neubewertung basierend auf dem jeweiligen Bewertungsmodell
  • Plausibilitätsprüfung ggü. ELSTER Eric
  • Einholung und Erfassung von Freigaben
  • Übertragung über ELSTER Eric und die Bescheidprüfung

3 Art personenbezogener Daten

  • Stammdaten: Vor-/Nachname, Geburtsdaten (zur Identifizierung und Freigabe zu bestimmten Aktivitäten), Telefonnummer, (Unternehmens-)Anschrift, E-Mail-Adresse
  • Konto-/ Bankdaten
  • Systemereignisse und Protokolldaten
  • Profilbild der Mitarbeiter
  • Daten von Unternehmen und Eigentümern, die durch den Kunden eingepflegt werden wie Stammdaten (Name, Steuernummer, Anschrift, Geburtsdatum, Titel/ akademischer Grad) sowie grundsteuerrelevante Daten und weitere in durch den Kunden hochgeladenen Dokumenten enthaltene personenbezogene Daten
  • Unterschriften/ Faksimiles des Kunden
  • Besondere Kategorien personenbezogenen Daten werden durch den Dienst ausschließlich nur dann verarbeitet werden, sofern der Kunde solche Daten für die Nutzung freigibt. Eine aktive Verarbeitung solcher Daten ohne Veranlassung der Kunden findet nicht statt
  • Alle weiteren Daten, die im Rahmen des Betriebs der Anwendung ES Grundsteuer durch den Auftraggeber eingepflegt werden

4 Kategorien Betroffener

  • Beschäftigte und Geschäftspartner des Kunden
  • Beschäftigte, Familienangehörige und Geschäftspartner des Geschäftspartners
  • Beschäftigte des Geschäftspartners des Geschäftspartners
  • Andere Personen, ggf. auch als Verbraucher, sofern sie Nutzer einer unserer Leistungen sind

 

Anlage 2

Technische und organisatorische Maßnahmen

Nachstehend erfolgt eine Aufstellung der wesentlichen technischen und organisatorischen Maßnahmen der RSM Ebner Stolz Digital Solutions GmbH (nachfolgend: RSM Ebner Stolz). Soweit Daten bei unseren Subunternehmern verarbeitet werden, gelten insofern ausschließlich die technischen und organisatorischen Maßnahmen des jeweiligen Subunternehmers. Diese Maßnahmen senden wir Ihnen auf Anfrage per E-Mail zu.

I. Allgemeine Maßnahmen zum Schutz personenbezogener Daten

1. Verschlüsselung

Die Inhalte von Festplatten lokaler Computer und Laptops sind mit Bitlocker (AES 256bit) oder DriveLock (RIPEMD 160bit) verschlüsselt. Mobile Datenträger werden in der Regel automatisch durch DriveLock verschlüsselt.

2. Sicherstellung der Vertraulichkeit

Zutrittskontrolle

Sämtliche Räumlichkeiten von RSM Ebner Stolz sind durch Schließanlagen mit Sicherheitsschlössern vor unbefugtem Zutritt gesichert; teilweise werden Schlüssel mit elektronischer Kodierung eingesetzt. Die Schlüsselvergabe erfolgt pro Standort entsprechend einem definierten Prozess, bei dem die Zutrittsberechtigungen an die Mitarbeiter entsprechend ihrer jeweiligen beruflichen Position bzw. Aufgaben vergeben werden. An Dienstleister erfolgt eine Ausgabe von Schlüsseln nur in Ausnahmefällen, die einer besonderen Genehmigung bedürfen, sofern diese die Schlüssel außerhalb der Geschäftszeiten von RSM Ebner Stolz zwingend benötigen. Bei Schlüsselverlust besteht die organisatorische Anweisung, dass die Mitarbeiter sich umgehend melden müssen. Die entsprechenden Schlüssel werden dann gesperrt bzw. in Fällen ohne elektronische Kodierung erfolgt ein Wechsel des Schlosses.

Der Zutritt zu den Büroräumen wird teilweise, der Zutritt zu den Serverräumen jederzeit protokolliert. Die öffentlichen Verkehrsflächen der Gebäude der größeren Standorte von RSM Ebner Stolz werden durch das Gebäudemanagement des Vermieters videoüberwacht. Der Zutritt für Gäste ist nur über Anmeldung beim Empfang möglich. Gäste haben grundsätzlich nur Zutritt im Gäste- und Besprechungsbereich. Außerhalb dieser Bereiche dürfen sich Gäste nur ausnahmsweise und nur in Begleitung eines Mitarbeiters aufhalten. Die Serverräume von RSM Ebner Stolz sind mit separaten Schließanlagen ausgerüstet, die nicht mit den Schlüsseln für die Büroräume von RSM Ebner Stolz geöffnet werden können. Schlüssel zu den Serverräumen sind ausschließlich an Mitarbeiter der EDV-Abteilung sowie an den für die EDV zuständigen Partner ausgegeben.

An manchen Standorten erfolgt außerhalb der gewöhnlichen Bürozeiten eine Überwachung der Räumlichkeiten durch einen privaten Sicherheitsdienst.

Organisatorisch ist geregelt, dass bei allen EDV-Arbeitsplätzen eine automatische Bildschirmsperrung nach 10 Minuten erfolgen soll. Mitarbeiter, die ihren Laptop im Außendienst an öffentlich zugänglichen Orten nutzen, sollen einen Sichtschutz für ihren Laptop benutzen und sind angehalten, ihren Laptop nicht unbeaufsichtigt zu lassen.

Das Rechenzentrum von RSM Ebner Stolz befindet sich in angemieteten Serverschränken. Der Vermieter dieser Serverschränke ist nach ISO 27001 und 9001 zertifiziert. Ein Zutritt zu diesen Serverschränken ist nur mit einem Schlüssel möglich, der vom Eigentümer der Räumlichkeiten verwahrt wird und nur gegen Vorlage eines Personalausweises an Berechtigte ausgegeben wird. Das Rechenzentrum wird rund um die Uhr überwacht. Hinzu kommen ein elektronisch überwachter Sicherheitszaun samt Übersteig- und Untergrabschutz sowie Video-Überwachung der Zugänge.

Zugangskontrolle

Der Zugang zu den datenverarbeitenden Systemen kann nur über ein Zugangskontrollsystem erfolgen. Ein Zugang zur EDV ist nur nach sicherer Authentifizierung mittels Benutzerkennung und individuellem Passwort möglich. Es existiert eine Passwortrichtlinie (mindestens 6 Zeichen, davon mindestens jeweils ein Großbuchstabe, Sonderzeichen und eine Ziffer, Verpflichtung zur Änderung der Passwörter alle 90 Tage und technische Unterbindung der Verwendung der letzten 10 Passwörter). Jede Benutzerkennung wird nur für einen Mitarbeiter verwendet.

Ein Zugriff auf die EDV von RSM Ebner Stolz über mobile Geräte von außerhalb erfolgt nur durch Berufsträger und Mitarbeiter der EDV Abteilung und in der Regel über einen gesondert zu beantragenden passwortgesicherten VPN-Zugang. Handys und Tabletts sind passwortgeschützt. Sämtliche betriebliche Daten werden dort in einer gekapselten Umgebung gehalten.

Die Absicherung nach außen erfolgt durch Firewall-Systeme und mittels separater VPN-Zugänge. Die Firewall-System sind als fehlerredundante Cluster-Lösung ausgeführt. Sollte eines der Firewall-Systeme ausfallen, über-nimmt automatisch das verbliebene System sämtliche Aufgaben. Zusätzlich wird ein sogenannter Netzwerk- und Vulnerability-Scanner eingesetzt

Für sämtliche Sicherheitssysteme ist ein Wartungsvertrag mit einem externen Dienstleister abgeschlossen, der sich auf IT-Security Lösungen spezialisiert hat. Dieser Dienstleister hat ausschließlich auf Sicherheitssysteme Zugriff.

Die Auswahl von Dienstleistern, z.B. Reinigungskräfte, erfolgt sorgsam. Alle Dienstleister mit potentiellem Zugang zu personenbezogenen Daten müssen entsprechende Verschwiegenheitserklärungen unterschreiben.

Im Rechenzentrum betreibt RSM Ebner Stolz eigene Server in abgeschlossenen Serverschränken; der Vermieter der Serverschränke kann auf die Daten, die auf diesen Servern gespeichert sind, nicht zugreifen.

Zugriffskontrolle

Die Berechtigungen einzelner Mitarbeiter für die einzelnen EDV-Systeme werden entsprechend dem Berechtigungskonzept von RSM Ebner Stolz vergeben und hängen von beruflicher Position bzw. Aufgaben des einzelnen Mitarbeiters ab. Externe Dienstleister bekommen – entsprechend ihrer Tätigkeit – nur zeitlich und inhaltlich begrenzten Zugang bzw. Zugriff. Berechtigungen können nur von ausgewählten Administratoren entsprechend dem Berechtigungsvergabeprozess vergeben werden. Sämtliche Änderungen werden im Ticketsystem dokumentiert.

Die Zugriffsberechtigungen der Mitarbeiter auf Kundendaten der IT-Systeme werden zuerst durch die Zugriffsrechte der Windows Domäne und der Active Directory Services verwaltet. Kundendaten, die sich auf Netzlaufwerken befinden, werden teils durch zusätzliche Administrationssoftware und NTFS-Rechte verwaltet. Sämtliche Veränderungen der Zugriffsrechte werden im Logbuch des Admin-Center dokumentiert. Bei datenbankgestützten Datenbeständen (CRM und DATEV) erfolgt auf einer weiteren Ebene die Benutzerverwaltung durch das jeweilige Datenbanksystem. Sowohl CRM als auch DATEV setzen hierfür eigene Verwaltungswerkzeuge ein. DATEV verwendet hierzu die Benutzer- und Rechteverwaltung (BRV).

Mitarbeiter der EDV-Abteilung können auf personenbezogene Daten von Kunden erst dann Zugriff nehmen, wenn sie von dem Verantwortlichen dazu unter Nutzung eines internen Ticketsystems angewiesen worden sind. Die als Administratoren in der EDV-Abteilung beschäftigten Mitarbeiter von RSM Ebner Stolz haben technisch Zugriff auf die Datenbestände. Dieser Zugriff wird sowohl durch die Administrationssoftware als auch durch die Benutzerverwaltungen der Datenbanken beschränkt. Bei den datenbankgestützten Datenbeständen beschränkt sich der Zugriff der Administratoren auf die Datenbank selbst. Die Datenbankadministratoren von RSM Ebner Stolz haben keinen Zugriff auf die Datensätze einer Datenbank.

Sicherstellung weisungsgebundener Verarbeitung

Mitarbeiter, die nicht bereits gesetzlich zur Verschwiegenheit verpflichtet sind, werden schriftlich zur Vertraulichkeit verpflichtet. Darüber hinaus ist jeder Mitarbeiter arbeitsvertraglich zur Verschwiegenheit aufgrund einer ausdrücklichen Regelung im Arbeitsvertrag verpflichtet. Subunternehmer von RSM Ebner Stolz müssen ihre Mitarbeiter ebenso zur Vertraulichkeit verpflichten. Sonstige Dienstleister und deren Mitarbeiter mit Zutritt zu den Büroräumen von RSM Ebner Stolz werden schriftlich zur Verschwiegenheit und zur Vertraulichkeit verpflichtet. Neue Mitarbeiter erhalten zu Beginn ihrer Beschäftigung eine IT-Grundschulung und werden dort auch mit den Grundzügen des Datenschutzes vertraut gemacht.

Trennungskontrolle

Soweit technisch möglich und wirtschaftlich vertretbar, können die zu unterschiedlichen Zwecken erhobenen Daten getrennt verarbeitet werden. Daten im Zusammenhang mit der Auftragsverarbeitung für verschiedene Kunden werden in unterschiedlichen Ordnern abgelegt. Dabei erfolgt eine eindeutige Bezeichnung des Kunden im CRM, DATEV, dem Fileserver bzw. auf dem Ordnerdeckblatt. Die Zugriffsrechte auf Daten eines Kunden, die in Ordnern im Dateisystem gespeichert werden, können auf die Mitarbeiter beschränkt werden, die für diesen Kunden tätig sind. Im Rechenzentrum befinden sich in den von RSM Ebner Stolz gemieteten Serverschränken nur Server von RSM Ebner Stolz.

3. Sicherstellung der Datenintegrität

Allgemeines

Sämtliche PC-Arbeitsplätze werden durch eine Anti-Viren-Software geschützt, die zentral verwaltet und auf jeden PC, der sich an die Windows Domäne von RSM Ebner Stolz anmeldet, automatisch installiert wird. Darüber hinaus besteht ein zusätzlicher Malwareschutz auf Serverebene. Im Bereich der E-Mails wird ein Spam-Filter eingesetzt. Die Mitarbeiter werden in Schulungen über den sicheren Umgang mit unbekannten E-Mails, der Internetnutzung sowie sozialen Netzwerken informiert.

Weitergabekontrolle

Der Zugriff von Dienstleistern von RSM Ebner Stolz auf Systeme von RSM Ebner Stolz erfolgt nur über passwortgeschützte VPN-Verbindung. Wenn möglich, werden bei Durchführung von Wartungsarbeiten durch Dritte Echt-Daten durch Testdaten ersetzt, sofern dadurch die Fehleranalyse und Fehlerbehebung nicht beeinträchtigt wird.

Es erfolgt eine Protokollierung der Anmelde- und Abmeldezeit von Mitarbeitern, von Anmelde- und Zugriffsversuchen auf IT-Systeme und der Installation von Anwendungen. Eine Kontrolle der Log-Daten erfolgt bei Verdacht auf einen Datenschutzvorfall. Es erfolgt eine Protokollierung von Netzwerkaktivitäten in der Firewall und zwar hinsichtlich Zeit, Source-IP, Empfänger-IP-Adresse und Port-Nutzung. Protokolldateien des File-Servers und auf Applikationsebene können nicht abgeändert werden. Es erfolgt eine Protokollierung der Dritten, an die Daten übermittelt werden dürfen und können.

Entsorgungsgut mit schutzwürdigem Inhalt wird in verschlossenen Behältern gesammelt und durch Spezialunternehmen entsorgt. Es werden nur zertifizierte Dienstleister zur Entsorgung von Datenträgern eingesetzt (z.B. DIN 66399). Die Rückgabe von Akten, die Daten aus dem Bereich der Auftragsverarbeitung enthalten, erfolgt regelmäßig persönlich durch den auftragsverantwortlichen Mitarbeiter, als nachverfolgbares Paket oder als Einschreiben.

Eingabekontrolle

Ein mehrstufiges Protokoll- und Auditingverfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden können. Ein Lese-/Schreibschutz erfolgt über das Berechtigungskonzept.

4. Verfügbarkeit und Belastbarkeit von Systemen

Die Serverlandschaften sind an den meisten Standorten auf mehrere Serverräume aufgeteilt. Die Serverräume verfügen über Klimatisierung und an manchen Standorten über Gasdrucklöschanlagen. Es ist eine unterbrechungsfreie Stromversorgung (USV) für einen kurzen Zeitraum und ein Überspannungsschutz gewährleistet. Server werden nicht unter Sanitäreinrichtungen aufgestellt. In den Räumlichkeiten sind Rauchmelder mit automatischer Brandmeldung verbaut. Netzwerk-Anschlüsse sind galvanisch getrennt.

Die Infrastruktur im Rechenzentrum ist völlig redundant und ausfallsicher aufgebaut. Es werden Rechenzentren mit Redundanzen im Hinblick auf Datenträger, Standort, Stromversorgung und Zugang zum RSM Ebner Stolz Netz-werk eingesetzt. Das Rechenzentrum verfügt über ein Notstromaggregat für 72 Stunden sowie Anbindungen an zwei unabhängige Stromnetze. Das Rechenzentrum ist direkt an den Internet-Knoten DE-CIX in Frankfurt angebunden. Das Rechenzentrum verfügt über ein Entrauchungs- und Gasfeuerlöschsystem.

Die gesamte Serverlandschaft ist über VMware vSPHERE virtualisiert. Das Mailsystem Microsoft Exchange sowie die separaten Microsoft SQL-Datenbankserver für CRM, WMS und DATEV sind als Hochverfügbarkeitslösungen, über vSPHERE High Availability (HA), realisiert. Als Plattensysteme kommen an den unterschiedlichen Standorten Systeme diverser Hersteller zu Einsatz. Im Rechenzentrum werden Komplettsysteme von Nutanix eingesetzt.

Es erfolgt ein Monitoring der Verfügbarkeit und Auslastung der Server sowie der Temperatur im Serverraum und Rechenzentrum. Es werden zusätzliche DATEV-Profile vorgehalten, damit RSM Ebner Stolz bei Belastungsspitzen weitere Mitarbeiter als Sachbearbeiter einsetzen kann. Eine Anmietung weiterer Rechenkapazitäten ist kurzfristig möglich. Ein Schutz vor DoS-Angriffen erfolgt durch die Firewall des Rechenzentrums von RSM Ebner Stolz.

RSM Ebner Stolz prüft angebotene Updates auf Auswirkungen auf die Systemintegrität und führt Updates nach positiver Prüfung durch. Updates werden in der Regel erst nach entsprechender Systemsicherung durchgeführt. Es existieren zahlreiche Pflegeverträge mit Softwareunternehmen zur Sicherstellung der Aktualität der Software, der schnellen Fehlerbehebung und einer hohen Verfügbarkeit.

5. Wiederherstellung der Verfügbarkeit bei einem Zwischenfall (Notfallkonzept)

Entsprechende Notfall- und Wiederanlaufpläne liegen vor. Es wurden entsprechende SLA (service level agreement) mit den Lieferanten von RSM Ebner Stolz vereinbart.

EDV-Mitarbeiter und andere Mitarbeiter in wichtigen Positionen müssen bei der Beantragung von Urlaub eine Vertretung angeben. Bei sonstiger Abwesenheit dieser Mitarbeiter ist durch Vertretungspläne und mehr als 30 Mitarbeiter im Bereich IT/EDV sichergestellt, dass schnell auf Zwischenfälle reagiert werden kann.

Es wurde ein Datensicherungskonzept mit Datensicherungsroutinen und Zeiträumen für Datensicherung ausgearbeitet. Es werden Backup-Server eingesetzt. An den einzelnen Standorten erfolgt eine tägliche Sicherung. Das File-System wird stündlich gesichert. Zusätzlich erfolgen Datensicherungen auf magnetischen Datenträgern. Es kommen nur zuverlässige und langlebige Datenträger aufgrund langjähriger Erfahrungswerte zum Einsatz. Datensicherungen erfolgen nach dem Generationenprinzip, werden in abgeschlossenen Räumen getrennt von Servern aufbewahrt und entweder in einem separaten Brandabschnitt oder in einem Datensafe aufbewahrt. Datensicherungsläufe werden dokumentiert.

6. Überprüfung, Bewertung und Evaluierung von Maßnahmen

Auftragskontrolle und Sicherstellung der Authentizität

Vor Anlage des Kunden im CRM wird die Identität des Kunden geprüft. Eingehende Weisungen des Kunden in Bezug auf die von der Auftragsverarbeitung erfassten personenbezogenen Daten erfolgen i.d.R. schriftlich per Post oder E-Mail. Alle ein- und ausgehenden E-Mails werden zentral auf Serverebene gespeichert, soweit und solange dies erforderlich ist. In Ausnahmefällen können auch mündliche Weisungen erfolgen, die vom Kunden oder von RSM Ebner Stolz per E-Mail bestätigt werden. Ansprechpartner des Kunden und deren E-Mail-Adressen werden im CRM von RSM Ebner Stolz hinterlegt. Der Kunde kann weisungsberechtigte Mitarbeiter und deren Vertreter angeben und festlegen, über welche Kommunikationswege Weisungen erteilt werden dürfen. Weichen die Identifikationsmerkmale des Anweisenden von den hinterlegten Kontaktdaten ab, wird vor Ausführung der Weisung zunächst Rücksprache mit dem Kunden gehalten.

Die Einhaltung von Einzelweisungen wird dem Kunden in Textform bestätigt, sofern dies nicht bereits aus der allgemeinen Auftragsdurchführung ersichtlich ist.

RSM Ebner Stolz hat entsprechende Prozesse zur Umsetzung der Betroffenenrechte definiert, auf die zum Teil analog zurückgegriffen werden kann, wenn der Kunde von RSM Ebner Stolz Unterstützung benötigt, weil Betroffene gegenüber ihm ihre Rechte nach Art. 15 ff. DSGVO geltend machen. Insbesondere sind Datenfelder vorhanden, in denen z.B. eine vom Kunden angewiesene Sperrung der Daten vermerkt werden kann. Einzelne Datensätze einzelner Mitarbeiter der Kunden können ohne Beeinträchtigung der anderen Datensätze gesperrt oder, sofern wir nicht zu einer Aufbewahrung verpflichtet sind, gelöscht werden. Es besteht die Möglichkeit für den Kunden, sich Daten von Mitarbeitern zusammenstellen zu lassen, sofern diese von ihren Auskunftsrechten Gebrauch machen.

Kontrollverfahren

Es erfolgt eine Kontrolle der Umsetzung von neuen Maßnahmen durch den Datenschutzbeauftragten von RSM Ebner Stolz. Außerdem werden die Maßnahmen durch den Datenschutzbeauftragten und IT-Sicherheits-Beauftragten regelmäßig geprüft. In diesem Zusammenhang erfolgen auch simulierte Angriffe auf die IT von RSM Ebner Stolz und Tests zur Prüfung der Wirksamkeit der Maßnahmen von RSM Ebner Stolz. Die Ergebnisse dieser Test und Kontrollen werden dokumentiert. Datenschutzvorfälle werden nach einem definierten Prozess dokumentiert, internen und ggf. auch externen Stellen bzw. im Bereich der Auftragsverarbeitung dem Auftraggeber gemeldet. Nach einem möglichen Datenschutzvorfall erfolgt eine Überprüfung der Maßnahmen zum Datenschutz.

7. Datenschutz durch Voreinstellungen, Datenminimierung und Speicherbegrenzung

Von Kunden werden nur die Daten angefordert, die auch tatsächlich für die Bearbeitung des entsprechenden Kundenauftrags notwendig sind. Übermittelt der Kunde RSM Ebner Stolz Daten, die für die Auftragsverarbeitung nicht erforderlich sind, so weist RSM Ebner Stolz den Kunden darauf hin und wird diese Daten nach Wahl des Kunden löschen oder zurückgeben.

Die Daten werden nach Beendigung des Auftragsverhältnisses oder auf Weisung des Kunden gelöscht, sofern RSM Ebner Stolz nicht zu einer Verarbeitung gesetzlich verpflichtet ist. Werden Daten im Rahmen gesetzlicher Verpflichtungen durch RSM Ebner Stolz verarbeitet, so stellt RSM Ebner Stolz durch ein Löschkonzept sicher, dass die Daten gelöscht oder vernichtet werden, sobald die gesetzliche Verpflichtung zur Verarbeitung weggefallen ist.

Die physikalische Vernichtung von Datenträgern erfolgt durch Spezialunternehmen. Festplatten werden zusätzlich vorher nach VSITR-Standard und unter Beachtung der Empfehlungen des BSI gelöscht.

8. Rechtmäßigkeit, Transparenz und Zweckbindungsgrundsatz

Sollte ein Mitarbeiter von RSM Ebner Stolz der Auffassung sein, dass RSM Ebner Stolz zu einer Verarbeitung nach Art. 28 Abs. 3 S. 2 a) a.E. DSGVO verpflichtet ist, ist durch eine interne Arbeitsanweisung sichergestellt, dass diese Frage an den Verantwortlichen weiterzuleiten ist, der diese Frage zusammen mit dem Datenschutzbeauftragten und einem Rechtsanwalt prüft. Es existiert eine interne Richtlinie zur Information von Kunden über Verarbeitung nach Art. 28 Abs. 3 S. 2 a) a.E. DSGVO.

Sind mit der Durchführung der Auftragsverarbeitung neue Verarbeitungsprozesse verbunden, so werden diese auf ihre Rechtmäßigkeit geprüft und in dem Verarbeitungsverzeichnis dokumentiert.

9. Rechenschaftspflicht und Revisionsfähigkeit

RSM Ebner Stolz hat u.a. für den Bereich der Auftragsverarbeitung ein Verarbeitungsverzeichnis erstellt.

II. Zusätzliche Maßnahmen für besondere Kategorien personenbezogener Daten

1. Sensibilisierung der Mitarbeiter

Alle mit den Kundenaufträgen betrauten Mitarbeiter werden laufend geschult. Mitarbeiter von RSM Ebner Stolz, die mit der Lohnbuchhaltung betraut sind, werden neben der Verpflichtung zur Vertraulichkeit auf die besondere Schutzbedürftigkeit besonderer Kategorien personenbezogener Daten durch ein Merkblatt sowie in Schulungen hingewiesen.

2. Benennung eines Datenschutzbeauftragten

RSM Ebner Stolz hat einen Datenschutzbeauftragten bestellt.

3. Spezifische Verfahrensregelung für den Fall der Zweckänderung

Möchte der Kunde besondere Kategorien an Daten zu anderen Zwecken nutzen und erteilt er eine entsprechende Weisung an RSM Ebner Stolz, so wird RSM Ebner Stolz die Verarbeitung zunächst unter Hinweis auf Art. 6 Abs. 4 und Art. 28 Abs. 3 S. 3 DSGVO aussetzen und auf Verlangen und Kosten des Kunden die Zulässigkeit der Zweckänderung rechtlich prüfen. Die Prüfung erfolgt unter Einbeziehung des Datenschutzbeauftragten von RSM Ebner Stolz und eines Rechtsanwalts.

Ansprechpartner

Daniel Spieker, Head of Tax Technology
Daniel Spieker Head of Tax Technology