Datenschutz

Datenschutzinformation Nutzer (Mitarbeitende)

 

Präambel

  1. Die SalLab GmbH ist Entwickler und Betreiber der webbasierten Software Salfy Easy Benefits („Salfy“).

  2. Die SalLab GmbH stellt Salfy Arbeitgebern als Desktop- und App-Anwendung zur zur Verfügung, um die Implementierung und Administration von Mitarbeiter-Benefits zu ermöglichen und den Mitarbeitenden des Arbeitgebers Zugriff auf die Mitarbeiter-Benefits zu gewähren.

  3. Dies erfordert die Verarbeitung von personenbezogenen Daten der jeweiligen Nutzer (Mitarbeitende des Arbeitgebers).

  4. Zur Wahrung der Anforderungen der europäischen Datenschutz-Grundverordnung (nachfolgend „DSGVO“) an eine solche Auftragsverarbeitung von Daten und zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten dienen die nachfolgenden Informationen.

 

§ 1     Verantwortlicher für die Datenverarbeitung

Verantwortlich für die Datenverarbeitung im Zusammenhang mit der Nutzung der Software und App Salfy ist:

Unternehmen: SalLab GmbH

Anschrift: Pariser Straße 42

E-Mail: datenschutz@salfy.de             

Telefonnummer: 030 54 90 54 89

 

§ 2    Zwecke und Rechtsgrundlagen der Datenverarbeitung

Die Software und App Salfy werden zur Administration erforderlicher Arbeitsabläufe beim Einsatz von Benefits im Personal- und Lohnabrechnungswesen sowie in der generellen Nutzung durch Mitarbeitende eingesetzt, jeweils in Abhängig jedes einzelnen Benefits. Im Rahmen der Nutzung der Software und App werden personenbezogene Daten zu folgenden Zwecken verarbeitet:

    • Verwaltung von Mitarbeiterdaten (z. B. Name, Kontaktinformationen, Standort, Geburtsdatum)
    • Verarbeitung von Benefits und Budgets in Verbindung mit steuerlichen Freigrenzen und Freibeträgen
    • Kommunikation und Kollaboration (z. B. Nachrichten, Dokumentenverwaltung, Belegarchivierung)
    • Analyse und Verbesserung von Prozesse und der Nutzung (z. B. Auswertungen über die Nutzung von Benefits)
    • Datenmanagement zwischen HR-Software und Lohnsoftware

Rechtsgrundlage:

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf der Grundlage von Art. 6 Abs. 1 lit. b GDPR (Erfüllung eines Vertrags) und Art. 6 Abs. 1 lit. f GDPR (berechtigtes Interesse des Arbeitgebers, effiziente Arbeitsabläufe zu gewährleisten).

 

§ 3    Erhobene personenbezogene Daten

Im Rahmen der Nutzung von Salfy werden folgende personenbezogene Daten verarbeitet:

a) Stammdaten

    • Personenstammdaten (z.B. Name, Vorname, Geschlecht, Sprache)
    • Geburtsdatum
    • Adressdaten
    • Personalnummer
    • Kommunikationsdaten (z.B. E-Mail-Adressen)
    • Gehaltsdaten, lohnsteuerspezifische Daten 

b) Nutzungsdaten

    • Login, Nutzungsprotokolle, IP-Adressen

c) Dokumentendaten

    • Upload und Archivierung von Rechnungen, Belegen und Verträgen entsprechend der Beanspruchung jeweiliger Benefits

d) Kommunikationsdaten

    • Inhalte von Nachrichten oder Anfragen, die über die Plattform gesendet werden.

 

§ 4    Empfänger der Daten

Ihre personenbezogenen Daten werden innerhalb des Unternehmens nur an die Abteilungen weitergegeben, die diese für die Erfüllung der jeweiligen Aufgaben benötigen. Darüber hinaus erfolgt grundsätzlich keine Weitergabe der Daten an externe Dienstleister. Eine Weitergabe an externe Dienstleister erfolgt ausschließlich nur dann, wenn diese zur Bereitstellung der Software und App Salfy zwingend erforderlich sind. Bei externen Dienstleistern handelt es sich um

    • Provider von Server-Standorten
    • IT-Dienstleister
    • Andere Empfänger nur, sofern gesetzliche Verpflichtungen dies erfordern

Die externen Dienstleister wurden vertraglich zur Einhaltung der Datenschutzanforderungen verpflichtet (Art. 28 GDPR, Auftragsverarbeitung) und werden regelmäßig dahingehend geprüft.

 

§ 5    Datenübermittlung in Drittländer GmbH

  1. Wir verarbeiten und speichern Ihre personenbezogenen Daten ausschließlich in Deutschland.
  2. Eine Übermittlung Ihrer personenbezogenen Daten innerhalb der Europäischen Union erfolgt nur, wenn dies ausschließlich zur Erfüllung unserer Dienstleistung erforderlich ist. Wenn Daten übermittelt werden, tragen wir Sorge dafür, dass die Datenempfänger die Anforderungen der DSGVO und GDPR einhalten.
  3. Eine Übermittlung und/oder Speicherung Ihrer personenbezogenen Daten in Drittländer außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) erfolgt zu keinem Zeitpunkt.

 

§ 6    Speicherdauer

Wir verarbeiten und speichern Ihre personenbezogenen Daten nur so lange, wie dies für die Erfüllung der Zwecke erforderlich ist oder aufgrund gesetzlicher Aufbewahrungspflichten notwendig ist. Die Daten zu Benefits und eingereichten Belegen, die die Bewilligung einzelner Benefits nachweisen, werden für die Dauer der gesetzlichen Aufbewahrungsfristen von 10 Jahren gespeichert.

 

§ 7    Betroffenenrechte

Sie haben im Rahmen der GDPR folgende Rechte:

    • Auskunftsrecht (Art. 15 GDPR): Sie haben das Recht zu erfahren, welche personenbezogenen Daten über Sie gespeichert sind.
    • Recht auf Berichtigung (Art. 16 GDPR): Sie haben das Recht auf Berichtigung unrichtiger Daten.
    • Recht auf Löschung (Art. 17 GDPR): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
    • Recht auf Einschränkung der Verarbeitung (Art. 18 GDPR): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
    • Recht auf Datenübertragbarkeit (Art. 20 GDPR): Sie haben das Recht, Ihre bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
    • Widerspruchsrecht (Art. 21 GDPR): Sie können der Verarbeitung Ihrer Daten widersprechen, wenn sich diese auf ein berechtigtes Interesse stützt.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an die oben genannten Kontaktdaten wenden.

 

§ 8    Widerruf der Einwilligung

Falls die Datenverarbeitung auf einer Einwilligung basiert (Art. 6 Abs. 1 lit. a GDPR), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.Die SalLab GmbH wirkt an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten durch den Auftraggeber mit. Sie hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.

 

§ 9    Automatisierte Entscheidungsfindung/Profiling

Im Rahmen der Nutzung der Software und App Salfy findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 GDPR statt.

 

§ 10  Beschwerderecht bei einer Aufsichtsbehörde

Sollten Sie der Meinung sein, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die GDPR verstößt, haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsortes oder Arbeitsplatzes.

 

§ 11   Datenquellen und Systemverknüpfung/-integration

  1. Die gespeicherten und zu verarbeitenden personenbezogenen Daten werden vom Arbeitgeber des Nutzers bereitgestellt.
  2. Es werden hierbei nur diejenigen Daten bereitgestellt, die für die Erbringung der Services und Nutzung der Software Salfy, insbesondere entsprechend der Anforderungen an Daten hinsichtlich der eingesetzten Benefits, benötigt werden. Eine allumfassende Datenabfrage sämtlicher Personaldaten erfolgt nicht.
  3. Die Bereitstellung der Daten erfolgt aus dem HR-System / HCM-System des Arbeitgebers des Nutzers, per Datenaustausch durch Integration oder auf alternativem Weg. Gleichermaßen erfolgt die Übertragung der Daten von Salfy zurück in das HR-System des Arbeitgebers. Dies stellt sicher, dass alle Daten auf dem neusten Stand sind und alle Services in vollem Umfang genutzt werden können.
  4. Die verarbeiteten Daten, insbesondere Daten zur Auszahlung von Benefit-Werten, werden von Salfy in die Lohnsoftware des Arbeitgebers bzw. eines dafür externen Dritten per Schnittstellen übertragen.

                                                                                                                                             

Anlage 1 – Technisch organisatorische Maßnahmen

Die SalLab GmbH trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i. S. d. Art. 32 DSGVO.

 

1.     Vertraulichkeit

Zutrittskontrolle

  1. Die Eingangstür zu den Büroräumen der SalLab GmbH ist mit einem manuellen Schließsystem und einem automatischen Zuzieher ausgestattet. Die Tür ist während der Geschäftszeiten außer bei Betreten und Verlassen der Räume geschlossen. Außerhalb der Geschäftszeiten ist die Tür abgesperrt.
  2. Es besteht eine Zugangsbeschränkung zu den Büro- und Geschäftsräumen. Weiterhin besteht ein geregelter Ablauf zur Genehmigung, Verwaltung und Löschung von Zutrittsberechtigten. Zutrittsmittel werden ausschließlich zutrittsberechtigten Mitarbeitern gegen Nachweis gewährt und bei Erlöschen der Berechtigung wieder umgehend entzogen. Im Falle eines Verlusts der Zutrittsmittel erfolgt der Austausch des Schließsystems.
  3. Zu- und Abgänge betriebsfremder Personen werden mittels einer Besucherliste am Empfang dokumentiert. Betriebsfremde Personen werden vom Empfang durch den jeweiligen Ansprechpartner persönlich abgeholt. Der Aufenthalt betriebsfremder Personen erfolgt ausschließlich außerhalb der Büroräume der SalLab GmbH, im so genannten „öffentlichen Bereich“.
  4. Für das Rechenzentrum gelten die IT-Sicherheitsrichtlinien des jeweiligen Betreibers.

 

Zugangskontrolle

  1. Jeder Rechner verfügt über ein Zugangskontrollsystem in Form eines Benutzernamens und eines Passworts. Der Zugriff auf die Datenverarbeitungssysteme ist ebenfalls durch ein Passortsystem geschützt. Jeder Mitarbeiter hat eine individuelle Benutzerkennung sowie ein persönliches Passwort, welches geheim zu halten ist und nicht an Dritte weitergegeben werden darf. Die Zugangsberechtigungen sind protokolliert und werden auf ihre Aktualität hin überprüft. Sofern eine Berechtigung erlischt, erfolgt umgehend die Sperrung des Zugangs. Sämtliche Aktivitäten auf den Datenverarbeitungssystemen werden protokolliert.
  2. interne Netzwerk ist nach dem Stand der Technik von außen durch eine Firewall sowie durch Verschlüsselung gesichert. Bestimmungsgemäße Zugriffe von außen werden durch Virtual Private Network (VPN). Abgesichert.
  3. Daten und Festplatten mobiler Endgeräte werden verschlüsselt. Die Anwendung privater Speichermedien ist durch Organisationsanweisung verboten.

 

Zugriffskontrolle

  1. Zugriff auf Daten wird mittels eines Berechtigungskonzepts geregelt. Dieses umfasst die Verwaltung der Zugriffsrechte selbst sowie ein Rechtesystem zur Vergabe von Rollen und individuellen Berechtigungen zum Datenzugriff und zur Datenveränderung.
  2. Beantragung, Genehmigung, Vergabe sowie Rückgabe von Zugriffsberechtigungen ist in einer Organisationsanweisung geregelt.
  3. Zugriff auf Computersysteme und Netzlaufwerke ist auf berechtigte Benutzer beschränkt. Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. Das Berechtigungserfordernis wird regelmäßig geprüft.

 

Pseudonymisierung & Verschlüsselung

  1. Daten werden bei Datenanalysen pseudonymisiert und anonym verarbeitet.
  2. Die einzelnen Datenbanken sind verschlüsselt. Der Datenaustausch zwischen den Datenbanken und dem Backend erfolgt ausschließlich verschlüsselt über VPN.
  3. Die Arbeitsplatz-Rechner der Mitarbeiter und Datenträger sind standardisiert durch entsprechende Betriebssystemwerkzeuge verschlüsselt.
  4. Das Firmennetzwerk ist durch ein Unified Threat Management System abgesichert. Dieses vereint Firewall, Network Protection, Web Protection, E-Mail Protection und Wireless Protection.

 

2.     Integrität

Eingabekontrolle

Die Zugriffe auf die datenverarbeitenden Systeme werden über die Logfiles und Systemlogs kontrolliert.

 

Weitergabekontrolle

  1. Alle Mitarbeiter sind verpflichtet das Datengeheimnis zu wahren. Datenschutzschulungen für die Mitarbeiter werden regelmäßig durchgeführt.
  2. Die Datenübermittlung an den Auftraggeber erfolgt durch die SalLab GmbH in Form einer E-Mail, deren Anhänge in PDF-Form gespeichert und passwortgeschützt sind. Das Passwort wird vom Auftraggeber vergeben.

 

Löschen von Daten

  1. Nicht mehr benötigte Datenträger und Fehldrucke werden datenschutzgerecht entsorgt. Datenträger werden ordnungsgemäß durch physische Zerstörung, Papier mittels Schredder vernichtet.
  2. Die Aufbewahrungsfrist der Daten wird im Rahmen der Beauftragung durch die steuerrechtlichen Vorgaben vorgegeben.

 

Mandantentrennung

  1. Die Daten werden in einer Datenbank logisch voneinander getrennt.
  2. Jedem Auftraggeber wird eine eigene Instanz zugordnet, unter welcher Daten der einzelnen Mitarbeiter wiederum einzeln, dem jeweiligen Mitarbeiter zugeordnet gespeichert werden.
  3. Testsysteme sind vom Produktionssystem ebenfalls getrennt voneinander.

 

3.    Verfügbarkeit und Belastbarkeit

  1. Hardwareschutz ist durch eine unterbrechungsfreie Stromversorgung, Feuerlöschgeräte im bzw. unmittelbar am Serverraum und die Einhaltung der einschlägigen Brandschutzvorschriften gewährleistet.
  2. Eine Ausführung arbeitsplatzfremder Software wird durch Spamfilter, Aktualisierung des Betriebssystems sowie Sicherheitssoftware und Lizenzüberwachung verhindert.
  3. Für den Fall von Abwesenheiten (Urlaub, Krankheit etc.) sind Vertretungsregelungen getroffen.
  4. Die Verarbeitung von Auftragsdaten erfolgt ausschließlich entsprechend den Leistungsvereinbarungen mit dem Auftraggeber. Weisungen zur Verarbeitung und insbesondere zur Löschung von im Auftrag verarbeiteten Daten werden nur ausgeführt, wenn der Kunde sie in der vertraglich vorgeschriebenen Form erteilt.
  5. Zur Gewährleistung der Systemstabilität werden im Rechenzentrum Maßnahmen für eine zuverlässige und zeitgerechte Verarbeitung der Daten getroffen.
  6. Es werden laufende Überwachungen der Nutzung der Dienste und der Auslastung der Systeme durchgeführt. Speicher-, Zugriffs- und Leistungskapazitäten des Systeme und Dienste werden so ausgewählt, dass sie auch an Tagen planerischer Spitzen ohne merkliche Verzögerung von Zugriffs- und Übertragungszeiten genutzt werden können.
  7. Regelmäßige Datensicherungen werden durchgeführt. Sicherungskopien werden in geeigneten zeitlichen Abständen erstellt. Der Datenbestand wird täglich gesichert.

 

4.    Auftragskontrolle

  1. Die Vertragsgestaltung mit Dienstleistern und Kunden der SalLab GmbH erfolgt gemäß den gesetzlichen Vorgaben nach Art. 28 DSGVO.
  2. Technisch-organisatorische Maßnahmen der Dienstleister sind vorhanden.
  3. Es besteht eine aktuelle Übersicht der vorhandenen Dienstleister.

 

5.    Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  1. Ein interner Datenschutzbeauftragter wurde bestellt.
  2. Die Wirksamkeit der Maßnahmen wird laufend durch regelmäßige interne Kontrollen der Einhaltung der technischen und organisatorischen Maßnahmen der Datensicherheit überprüft.
  3. Die Dokumentationen der Datensicherheit werden regelmäßig auf Aktualität geprüft. Es erfolgt mindestens jährlich eine technische Überprüfung der Datenverarbeitungssysteme.
  4. Sicherheitsvorfälle werden dokumentiert und ausgewertet. Für etwaige Sicherheitsvorfälle besteht ein geschultes Team.