Hrmony legt großen Wert auf den Schutz personenbezogener Daten. Die rechtliche Grundlage bildet der Auftragsverarbeitungsvertrag (AVV), der Bestandteil der AGB ist und die Anforderungen des Art. 28 Abs. 3 und 4 DSGVO erfüllt.
Auftragsverarbeitungsvertrag (AVV)
Mit jedem Kunden schließt Hrmony einen AVV ab, der als Teil der AGB (Teil B) automatisch Vertragsbestandteil wird. Darin ist geregelt:
- Welche personenbezogenen Daten erfasst und verarbeitet werden
- Zu welchen Zwecken die Datenverarbeitung erfolgt
- Welche technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten ergriffen werden
- Welche Unterauftragsverarbeiter eingesetzt werden
Im Verhältnis zwischen Hrmony und dem Kunden gilt: Der Kunde ist der Verantwortliche im Sinne der DSGVO, Hrmony agiert als Auftragsverarbeiter. Hrmony verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden.
Welche Daten werden verarbeitet?
Hrmony verarbeitet grundsätzlich folgende Datenkategorien:
| Datenkategorie | Details |
|---|---|
| Personenstammdaten | Vorname, Nachname, E-Mail-Adresse, Personalnummer |
| Accountdaten | E-Mail-Adresse, Passwort |
| Belegdaten (Essenszuschuss) | Aussteller, Datum, Rechnungsdaten, Beträge |
| Belegdaten (Mobilität) | Verkehrsunternehmen, Datum, Ticketpreis, Gültigkeitszeitraum |
| Belegdaten (Internetzuschuss) | Anbieter, Rechnungsdatum, Rechnungssumme |
| Geschenkdaten | Anlass, Gutscheinbetrag, Datum der Auslösung |
Hrmony richtet Verarbeitung und Systeme nach dem Grundsatz der Datensparsamkeit aus und verarbeitet personenbezogene Daten ausschließlich, soweit dies für die vertraglich geschuldeten Zwecke erforderlich ist.
Technische und organisatorische Maßnahmen (TOM)
Hrmony setzt umfangreiche Sicherheitsmaßnahmen ein, die sich an bewährten Standards der IT- und Cloud-Sicherheit orientieren:
Infrastruktur und Hosting
- Die Plattform wird ausschließlich in einer dedizierten Cloud-Umgebung bei Amazon Web Services (AWS) betrieben
- Datenverarbeitung erfolgt ausschließlich in Rechenzentren innerhalb des Europäischen Wirtschaftsraums – konkret in Frankfurt am Main und Dublin
Verschlüsselung
- Alle Daten werden bei der Übertragung per TLS 1.2 oder höher verschlüsselt
- Im Ruhezustand erfolgt Verschlüsselung mit AES-256
Zugangs- und Zugriffsschutz
- Zwei-Faktor-Authentifizierung (2FA) für alle relevanten Systeme
- Rollenbasiertes Rechtemanagement nach dem Least-Privilege-Prinzip
- Vollständige revisionssichere Protokollierung aller Zugriffe
Datensicherung
- Vollständige Datenbank-Backups wöchentlich, inkrementelle Backups täglich
- Backups werden 4 Wochen gespeichert
Weitere Maßnahmen
- Firewalling, Netzsegmentierung, Intrusion Detection & Prevention (IDS/IPS)
- Regelmäßige externe Penetrationstests
- Dokumentiertes internes Datenschutz- und Sicherheitsmanagementsystem (DSMS)
Unterauftragsverarbeiter
Hrmony setzt folgende genehmigte Unterauftragsverarbeiter ein:
| Unternehmen | Standort | Leistung |
|---|---|---|
| Amazon Web Services EMEA SARL (AWS) | Luxemburg (Verarbeitung: Frankfurt/Dublin) | Cloud-Hosting & Computing |
| Sendinblue GmbH | Berlin, Deutschland | E-Mail-Dienst für Newsletter |
| Zendesk Inc. | USA (Verarbeitung: EU, Dublin) | Support- & Helpcenter-Plattform |
Änderungen an der Unterauftragsverarbeiterliste werden dem Kunden mindestens 30 Tage im Voraus mitgeteilt. Kunden haben ein Widerspruchsrecht.
Internationale Datenübermittlungen
Bei Drittlandübermittlungen (z. B. Zendesk/USA) nutzt Hrmony EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO sowie ergänzende technische und organisatorische Maßnahmen wie EU-Datenhaltung, Verschlüsselung und rollenbasierte Zugriffskonzepte.
Datenschutzbeauftragter
Als Datenschutzbeauftragter ist schriftlich bestellt:
Simpliant GmbH, Boris Arendt Fasanenstr. 12, 10623 Berlin 📧 datenschutz@hrmony.de
Weiterführende Informationen
- 📄 Weitere Informationen zum Datenschutz bei Hrmony
- 📄 Wie lange werden die Belege meiner Mitarbeitenden aufbewahrt?
- 📄 Was passiert im Kündigungsfall mit den archivierten Belegen?
Fragen zum Datenschutz? Unser Operations-Team hilft Ihnen gerne weiter: 📧 operations@hrmony.de