Technische und Organisatorische Maßnahmen (TOMs) der 
5P Consulting GmbH 
zum Schutz personenbezogener Daten 

Einleitung
Wir, die 5P Consulting GmbH mit Sitz in Wien und die 5P Consulting Deutschland GmbH mit Sitz in Grünwald sind führende Beratungsunternehmen im Bereich Talent & Leadership Consulting.
Bei der Erbringung unserer Dienstleistungen sammeln, speichern und verarbeiten wir auch, teilweise sensible, personenbezogene Daten unserer Kunden. Die Verantwortung unseren Kunden gegenüber, diese Daten angemessen zu schützen und Missbrauch zu verhindern, hat für uns höchste Priorität. Um die Vertraulichkeit, Integrität und Verfügbarkeit der durch uns verarbeiteten personenbezogenen Daten sicherzustellen, haben wir die nachfolgenden technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten implementiert. Außerdem stellen wir sicher, dass alle unsere Sub-Verarbeiter dieselben Standards zum Schutz personenbezogener Daten einhalten. 
Technische und Organisatorische Maßnahmen

  • Büros sind grundsätzlich außerhalb der Geschäftszeiten verschlossen.
  • Besucher sind einfach identifizierbar und haben keinen Zugang zu internen oder vertraulichen Informationen.
  • Der Zutritt zu den Büros wird durch ein Zutrittssystem geregelt und Schlüssel werden dokumentiert, ausgegeben und bei Bedarf wieder eingezogen.
  • Fenster und Türen sind gegen unberechtigte Zutrittsversuche gesichert.
  • Physische Dokumente, welche personenbezogene oder andere sensible Daten enthalten, werden bei Nicht-Verwendung sicher versperrt gelagert.
  • Um Zugang zu IT-Systemen zu erhalten, müssen sämtliche Mitarbeiter über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von einem Administrator unter Zustimmung der Geschäftsführung vergeben und verwaltet.
  • Der Zugriff auf IT-Systeme und im speziellen personenbezogenen Daten ist nach dem „Need to Know“ Prinzip eingeschränkt. Das heißt, dass nur Mitarbeiter, welche Zugriff brauchen, diesen auch erhalten.
  • Die Rechtevergabe auf IT-Systeme erfolgt durch Administratoren unter Zustimmung der Geschäftsführung.
  • Die Vergabe der Rechte auf IT-Systeme erfolgt nach dem „Least Privilege“ Prinzip und besagt, dass nur jene Rechte vergeben werden, welche für die Ausübung der jeweiligen Tätigkeit notwendig sind. Dies beinhaltet Rechte zum Schreiben oder Lesen von personenbezogenen Daten.
  • Die Anzahl an Administratoren ist auf ein notwendiges Minimum beschränkt.
  • Die Vergabe von Zugriffen und Rechten wird protokolliert. 
  • Vergebene Zugriffe und Rechte werden in regelmäßigen Abständen überprüft. 
  • Bei Zugriff auf personenbezogene Daten sind geteilte Nutzer nicht erlaubt. 
  • Die Passwortvergabe für Endnutzer erfolgt zentral über ein Self-Service Portal, wobei bei der Passwort-Erstellung eine Passwortrichtlinie eingehalten werden muss.
  • Zugänge zu Unternehmensressourcen sind über MFA (Multi-Faktor-Authentifizierung ) abgesichert. (Wiederanmeldezeit 31 Tage)
  • Bei Ausscheiden oder Rollenwechsel von Mitarbeitern werden nicht mehr benötigte Zutrittsrechte entzogen.
  • Alle IT-Ressourcen sind über eine regelmäßig gewartete Firewall abgesichert.
  • Antivirus und Antimalware Software ist zum Schutz vor Schadsoftware in Verwendung.
  • Der BIOS der Unternehmensrechner ist durch ein separates Passwort geschützt.
  • Personenbezogene Daten, welche nicht mehr benötigt werden und keiner Aufbewahrungspflicht mehr unterliegen, werden im Rahmen eines Löschkonzeptes von definierten Verantwortlichen in regelmäßigen Abständen identifiziert und gelöscht. 
  • Alle DSGVO relevante Löschvorgänge werden angemessen dokumentiert. 
  • Jeder Zugriff auf IT-Systeme oder Anwendungen wird protokolliert, wobei wiederholte fehlerhafte Anmeldeversuche als Vorfall gemeldet und ab einem gewissen Schwellwert geblockt werden.
  • Passwörter, inklusive derjenigen, welche von Kunden bereitgestellt wurden, werden in einer sicheren Passwortmanagement-Lösung (Bitwarden) gespeichert, geteilt und verwaltet. 
  • Mitarbeiter müssen per Richtlinie ihre Rechner bei Verlassen des Arbeitsplatzes sperren. Dies wird durch eine technisch durchgesetzte automatische Sperrung nach einer gewissen Zeit an Inaktivität unterstützt.
  • Mobile Geräte, welche für die Verarbeitung von personenbezogenen Daten verwendet werden, sind Hardware-verschlüsselt. 
  • Eine Sicherheitsrichtlinie definiert den sicheren Umgang mit Informationen, Geräten und Medien zum Unternehmen.
  • Kommunikation über interne als auch externe Netzwerke ist verschlüsselt.
  • Die Nutzung von Portablen Datenträger (zum Beispiel USB-Sticks) zum Austausch oder Speichern von personenbezogenen Informationen ist untersagt.
  • Papierdokumente werden geschreddert und über externe zertifizierte Dienstleister entsorgt.
  • Nicht mehr benötigte IT-Geräte werden datenschutzkonform gelöscht, wobei Datenträger von Auftraggebern retourniert werden.
  • Informationen und Daten werden nach einem Klassifizierungsschema klassifiziert und je nach Klassifizierung behandelt bzw. geschützt. 
  • Daten von Kunden werden logisch getrennt gespeichert und Daten, welche zu unterschiedlichen Zwecken erhoben wurden, werden getrennt verarbeitet.
  • Produktive IT-Systeme sind von nicht-produktiven IT-Systemen getrennt und es werden keine Produktivdaten auf nicht-produktiven Systeme verarbeitet.
  • Wo technisch möglich und verhältnismäßig werden personenbezogene Informationen pseudonymisiert.
  • Eine Weitergabe von personenbezogenen Daten, die im Auftrag des Auftraggebers erfolgt, erfolgt jeweils nur in dem Umfang, wie und soweit dies mit dem Auftraggeber abgestimmt ist. 
  • Alle Sub-Auftragsverarbeiter sind dokumentiert und es bestehen entsprechende, datenschutz-konforme Auftragsverarbeiter-Vereinbarungen.
  • Ein Backup- und Wiederherstellungs-Konzept stellt die Verfügbarkeit von Daten im Falle eines Datenverlusts sicher.
  • Alle IT-Systeme werden regelmäßig mit Updates versorgt.
  • Zum Schutz vor schädlichen E-Mails werden Mailfilter eingesetzt.
  • Alle Beschäftigten sind zu Datenschutzvorfällen und im Speziellen der Erkennung und Meldung von Datenschutz-Vorfällen geschult. 
  • Alle Datenschutzvorfälle werden in einem definierten Prozess behandelt und dokumentiert. 
  • Aktuelle Verarbeitungsverzeichnisse sind vorhanden und werden laufend aktualisiert. 
  • Datenschutz-Folgeabschätzungen werden, wo nötig durchgeführt. 
  • Ein Datenschutzbeauftragter wurde bestellt und wird durch externe Spezialisten in seiner Arbeit unterstützt.
  • Sub-Verarbeiter werden nach Sicherheitsaspekten ausgewählt und auf Konformität zu Datenschutzverpflichtungen vertraglich verpflichtet. Die Fähigkeiten des Sub-Verarbeiters zur Einhaltung der Vorgaben werden vor Bestellung des Sub-Verarbeiters und danach einmal jährlich überprüft.
  • Es werden ausschließlich Sub-Verarbeiter aus dem Europäischen Wirtschaftsraum (EWR) beauftragt. Im Falle von Beauftragungen außerhalb des EWR werden Kunden vorab darüber informiert.
  • Ein Prozess zum On- und Off-Boarding von Sub-Verarbeitern existiert und wird eingehalten. 
Sie können Ihre Einstellungen jederzeit ändern und Ihre Zustimmung widerrufen. Die Rechtmäßigkeit, der aufgrund der Zustimmung bis zum Widerruf erfolgten Verarbeitung, wird dadurch nicht berührt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.