Datenschutz und Informationssicherheit
Hier finden Sie aktuelle Informationen zu den Themen „Datenschutz und Informationssicherheit“ bei Pradtke
Informationssicherheit der TIMEOFFICE Mobile App
Entlang der Anforderung an ein ISO 27001 konformes Informationssicherheits-Managementsystem besitzt der Schutz von Informationen und die Einhaltung der Grundwerte Verfügbarkeit, Integrität und Vertraulichkeit im Hause Pradtke allerhöchste strategische Priorität. Das inkludiert den Schutz von Daten im Allgemeinen, selbstverständlich aber auch den Schutz von personenbezogenen Daten nach DSGVO.
Informationssicherheit
Mit der Einführung der App TIMEOFFICE Mobile erweitert Pradtke sein Portfolio um eine Lösung, die zwingenderweise die Einbindung eines Cloud-Dienstes erfordert. Hieraus ergeben sich aus der Sicht des Informationsschutzes besondere Herausforderungen, die einer besonderen Sorgfalt bedürfen und welche wir hiermit erläutern möchten.
Gegenstand: TIMEOFFICE Mobile App
Zur ordentlichen Bewertung der eingesetzten Schutzmechanismen auf Basis einer zuvor durchgeführten Risikobewertung möchten wir zunächst beschreiben, für was bzw. wie die App eingesetzt wird.
Aus der Sicht des Nutzers bzw. des Personals kann die App für Folgendes genutzt werden:
-
Einsicht der eigenen Dienst-/Einsatzpläne und die Vor- und Nachnamen der Schichtbegleiter (Früh-/Spät- und Nachdienst) sehen
-
Ansicht der eigenen Zeitkonten
-
Ansicht der eigene Profildaten und, sofern vom Arbeitgeber freigegeben, diese aktualisieren (z.B. Telefonnummer)
-
Textinformationen (ggf. mit Anhängen) des Arbeitgebers erhalten/öffnen, bestätigen oder auch als Umfragen beantworten
-
Krankmeldung unter der Angabe, ob eine elektronische Arbeitsunfähigkeitsbescheinigung (eAU) vorliegt
-
Arbeitszeiten elektronisch erfassen
-
Dienstangebote bei Dienstvakanz nutzen, darauf reagieren und einen Dienst zuzusagen oder abzusagen
Aus der Sicht des Arbeitgebers bzw. unseres Kunden kann die App für Folgendes genutzt werden:
-
Nachrichten (ggf. mit Anhängen) werden direkt auf die Smartphones der Personals gesendet, Bestätigungen eingefordert und Um/-Abfragen durchgeführt
-
Pflege gewisser Stammdaten wird durch das Personal vorgenommen, z.B. Telefonnummer
-
Bereitstellung eines zusätzlichen „Immer-Aktuell“-Komfort-Zugewinns für das Personal
-
Automatisierte Bereitstellung von DSGVO-konformen Dienstplänen
-
Prozessoptimierung der elektronischen Arbeitsunfähigkeitsbescheinigungen (eAU) des Personals mittels des TIMEOFFICE Systems (entsprechende Schnittstellen zum Lohnsystem vorausgesetzt)
-
Anfrage beim Personal zur Übernahme von Dienstvakanz
-
Dezentralisierung der elektronischen Arbeitszeiterfassung mit Ersetzung oder Ergänzung der Hardwareterminals
Um diese Funktionalität bereit zu stellen, werden ausschließlich folgende Daten aus TIMEOFFICE Desktop verarbeitet.
|
Datenkategorie |
Datenfelder |
Verarbeitung zwingend notwendig? |
TIMEOFFICE Mobile Free |
TIMEOFFICE Mobile Pro |
|---|---|---|---|---|
|
QR-Code |
Globally Unique Identifier (GUID) |
Ja |
X |
X |
|
QR-Code |
QR-Code PIN (hash) |
Ja |
X |
X |
|
Allgemein |
Personalnummer |
Ja |
X |
X |
| Allgemein |
Nachname |
Ja |
X |
X |
| Allgemein |
Vorname |
Ja |
X |
X |
| Allgemein |
Titel |
Ja |
X |
X |
| Allgemein |
Geburtsdatum |
Nein |
X |
X |
| Allgemein |
Familienstand |
Nein |
X |
X |
| Allgemein |
Foto |
Nein |
X |
X |
| Allgemein |
Geburtsort |
Nein |
X |
X |
| Allgemein |
Bemerkungsfelder (1-10) |
Nein |
X |
X |
| Allgemein |
Eintrittsdatum |
Ja |
X |
X |
| Allgemein |
Austrittsdatum |
Ja |
X |
X |
| Adressdaten |
Straße |
Nein |
X |
X |
| Adressdaten |
PLZ |
Nein |
X |
X |
| Adressdaten |
Wohnort |
Nein |
X |
X |
| Adressdaten |
Straße Nebenwohnsitz |
Nein |
X |
X |
| Adressdaten |
PLZ Nebenwohnsitz |
Nein |
X |
X |
| Adressdaten |
Wohnort Nebenwohnsitz |
Nein |
X |
X |
| Kontaktdaten |
Telefon (privat) |
Nein |
X |
X |
| Kontaktdaten |
Telefon mobil (privat) |
Nein |
X |
X |
| Kontaktdaten |
E-Mail (privat) |
Nein |
X |
X |
| Kontaktdaten |
Telefon (dienstlich) |
Nein |
X |
X |
| Kontaktdaten |
Telefon mobil (dienstlich) |
Nein |
X |
X |
| Kontaktdaten |
E-Mail (dienstlich) |
Nein |
X |
X |
| Kontaktdaten |
Telefax |
Nein |
X |
X |
| Mitteilungen vom Arbeitgeber |
Mitteilungstitel |
Nein |
|
X |
| Mitteilungen vom Arbeitgeber |
Mitteilungstext |
Nein |
|
X |
| Mitteilungen vom Arbeitgeber |
Dateianhänge |
Nein |
|
X |
| Dienstzeiten |
Schichtbezeichnung |
Ja |
X |
X |
| Dienstzeiten |
Arbeitsbeginn |
Ja |
X |
X |
| Dienstzeiten |
Arbeitsende |
Ja |
X |
X |
| Dienstzeiten |
Pausendauer |
Ja |
X |
X |
| Dienstzeiten |
Zusatzaufgaben (Einsatzarten) |
Ja |
X |
X |
|
Ausfallzeiten |
Art des Ausfalls |
Ja |
X |
X |
|
Einsatzort |
Name des Einsatzortes |
Ja |
X |
X |
|
Dienstplan Bemerkungen |
Bemerkung für den Einsatzort |
Ja |
X |
X |
|
Dienstplan Bemerkungen |
Bemerkung für den Mitarbeiter am Tag |
Ja |
X |
X |
|
Funktionen |
Tagesfunktionen |
Nein |
X |
X |
|
Funktionen |
Monatsfunktionen |
Nein |
X |
X |
|
Mitarbeiter im Dienst |
Name |
Nein |
X |
X |
|
Mitarbeiter im Dienst |
Vorname |
Nein |
X |
X |
|
Mitarbeiter im Dienst |
Schichtform (Früh, Spät oder Nacht) |
Nein |
X |
X |
|
Zeitkonten |
Eigene Zeitkonten je nach institutioneller Konfiguration |
Nein |
|
X |
|
Aufgaben |
Bezeichnung der Aufgabengruppe |
Ja |
|
X |
| Aufgaben |
Bezeichnung der Aufgabe |
Ja |
|
X |
| Aufgaben |
Beginn der Aufgabe |
Ja |
|
X |
| Aufgaben |
Ende der Aufgabe |
Ja |
|
X |
| Aufgaben |
Name der Person |
Ja |
|
X |
| Aufgaben |
Vorname der Person |
Ja |
|
X |
|
Einsatzplan Bemerkungen |
Bemerkung für den Einsatzort |
Ja |
|
X |
|
Einsatzplan Bemerkungen |
Bemerkung für den Mitarbeiter am Tag |
Ja |
|
X |
|
Einsatzplan Bemerkungen |
Bemerkung für die Aufgabe |
Ja |
|
X |
| Elektronische Krankmeldung |
Von-Datum |
Nein |
|
X |
| Elektronische Krankmeldung |
Bis-Datum |
Nein |
|
X |
| Elektronische Krankmeldung |
AU-Kennzeichen |
Nein |
|
X |
| Elektronische Krankmeldung |
Bemerkung zur Krankmeldung |
Nein |
|
X |
| Elektronische Krankmeldung |
Herkunft (z.B. TIMEOFFICE Mobile Appoder TIMEOFFICE Desktop) |
Nein |
|
X |
| Elektronische Krankmeldung |
Erstelldatum |
Nein |
|
X |
| Zeiterfassung |
Stempelgrund (Kommt, Geht, etc.) |
Nein |
|
X |
| Zeiterfassung |
Dienstplanstatus |
Nein |
|
X |
| Zeiterfassung |
Stempelzeit (Datum, Uhrzeit) |
Nein |
|
X |
| Zeiterfassung |
Kennzeichen für tel. Rufdienst |
Nein |
|
X |
| Zeiterfassung |
Standorte Zeiterfassung |
Nein |
|
X |
| Zeiterfassung |
Kennzeichen für eine nachbearbeitete Stempelung |
Nein |
|
X |
Diese Daten sind des Weiteren in folgender Art und Weise limitiert:
-
Der Nutzer der App kann ausschließlich seine persönlichen personenbezogenen Daten einsehen, nicht die der Kollegen (Ausnahme sind die Vor- und Nachnamen der Kollegen der eigenen, der vor- und nachgelagerten Schichten, wenn diese Ansicht im TIMEOFFICE DesktopMobile Center freigegeben wurde.)
-
Es werden nur die Nutzerdaten der App verarbeitet, die vom Arbeitgeber freigegeben wurden.
-
Diese freigegebenen Daten werden innerhalb eines rollierenden Zeitfensters vorgehalten (3 Monate in die Vergangenheit, 15 Monate in die Zukunft). Alle anderen Daten werden gelöscht.
Erforderliche Komponenten
Es wird ein Cloud Service benötigt, auf dem folgende Softwarekomponenten installiert sind:
-
Ein Lizenz Server, welcher die Anzahl erworbener und eingesetzter Nutzer pro Einrichtung vorhält und prüft.
-
Je Kunde eine eigene SQL-Datenbank, die als Zwischenspeicher eingesetzt wird (hier werden maximal die zuvor beschriebenen, freigegebenen Datenfelder vorgehalten).
-
Je Kunde eine TIMEOFFICE Core/TIMEOFFICE Mobile.Middleware, die sowohl die Authentifizierung als auch den Informationsaustausch von/zum TIMEOFFICE Mobile.Backend bzw. der TIMEOFFICE Mobile App ermöglicht.
-
Geolokalisierung zur Verifizierung optionaler Standorte, an denen Personal seine Arbeitszeit erfassen darf.
Im Hause unserer Kunden/des Arbeitgebers:
-
Eine aktuelle TIMEOFFICE DesktopJoseph Release (11.x.x.x) Installation mit freigegebener Funktion Mobile Center.
-
Ein lokal installiertes TIMEOFFICE Mobile.Backend, welches als Kommunikationszentrale zwischen der lokalen TIMEOFFICE Desktop Datenbank und dem Cloud-Dienst fungiert.
Auf dem Smartphone des freigegebenen Nutzers:
-
Eine installierte, authentifizierte App TIMEOFFICE Mobile
Beschreibung der Betriebsweise und des Datenflusses
Einrichtung
Nachdem alle technischen Voraussetzungen erfüllt sind und für die jeweilige Einrichtung sowohl das TIMEOFFICE DesktopMobile Center freigegeben ist als auch das notwendige Nutzerkontingent auf dem Lizenzserver des Cloud-Dienstes hinterlegt sind, stehen im neuen Register Mobile Center der TIMEOFFICE DesktopAnwendungen Lizenzen zur Zuordnung des Personals zur Verfügung. Für jede zugeordnete Person wird je ein QR-Code und eine PIN generiert, welche nur einmal eingesetzt werden können.
Mit der Freigabe einer Person wird zum einen ein einmaliger, nur auf einem Gerät nutzbarer, QR-Code mit zugehöriger PIN generiert, die zusammen mit den nutzerspezifischen „Datenfeldern" durch das TIMEOFFICE Mobile.Backend über eine SSL-gesicherte Verbindung in den kundenspezifischen SQL-Zwischenspeicher der Cloud kopiert werden (die PIN wird per Hash-Algorithmus mit Pbkdf2.SHA512 und mindestens 150.000 Iterationen generiert).
Damit das Personal die App einsetzen kann, müssen sie Folgendes durchführen:
-
TIMEOFFICE Mobile App herunterladen und installieren („Apple App Store“ oder „Google Play“)
-
QR-Code und PIN organisieren, entweder über einen Verantwortlichen TIMEOFFICE Desktop Benutzer/Planer/Vorgesetzen oder direkt über das TIMEOFFICE Selfservice
-
QR-Code aus der TIMEOFFICE Mobile App heraus einscannen und die einmalige PIN eingeben
Datenfluss
Das lokale TIMEOFFICE Mobile.Backend überprüft regelmäßig, ob sich die „Datenfelder“ sowohl in der Cloud als auch in der lokalen TIMEOFFICE Database geändert haben. Gibt es eine Neuerung, so werden diese in der jeweiligen TIMEOFFICE Database aktualisiert (lokal oder in der Cloud).
Wenn nun der App-Nutzer die App erstmalig öffnet, meldet sich die App nach Eingabe des QR-Codes plus PIN über eine sichere SSL-Verbindung über die einrichtungsspezifische TIMEOFFICE Core an der Cloud an.
Dort wird dem App-Nutzer ein eindeutiger Benutzername und ein zufallsgeneriertes 64-stelliges Passwort zugeordnet. Dies wird künftig für die Authentifizierung via Bearer-Token verwendet.
Nun werden zunächst die über das TIMEOFFICE Mobile.Backend auf der Cloud aktualisierten Datenfelder in die App kopiert bzw. überschrieben. Danach werden die durch den Nutzer in der App vorgenommene Änderungen in den Cloud-SQL-Zwischenspeicher geschrieben (überschrieben).
Bei der nächsten Änderungsüberprüfung durch das lokale TIMEOFFICE Mobile.Backend wird diese Änderung erkannt, von dieser abgeholt und in die lokale TIMEOFFICE Database geschrieben. Dem verantwortlichen TIMEOFFICE Desktop Benutzer wird diese Änderung in TIMEOFFICE Desktop oder in TIMEOFFICE Web angezeigt.
Nutzer ausschließen (z.B. bei Verlust des Smartphones oder automatisch bei Austritt)
Der zuständige Benutzer des TIMEOFFICE DesktopMobile Center entzieht dem Nutzer die App-Lizenz. Damit werden automatisch die Anmeldeinformationen des Nutzers und die zwischengespeicherten Daten aus der Cloud-SQL-Datenbank gelöscht.
Beim nächsten Öffnen der App werden die Daten nicht mehr aktualisiert und die Verbindung zur Einrichtung ist getrennt.
Ergänzungen zur technischen und organisatorischen Umsetzung der TIMEOFFICE Mobile App
Eingesetzte Cloud-Technologie
-
Deutscher Serverstandort und Datenspeicherung
-
ISO 27001 mit 27017 und 27018 zertifiziert
-
C5 testiert
-
Umsetzung Sicherheitsmaßnahmen nach CSI-Benchmark
-
Mittels Customer Key verschlüsselte SQL-Datenbanken, die immer nur Kopien der Originaldaten vorhalten
-
Standortbestimmung mittels Azure Maps
Eingesetzte Kommunikations-/Authentifizierungstechnologie
-
Geschützter Datentransport mit SSL-Verschlüsselung (TLS 1.2) – durchgängig
-
ReST-API Technologie. Lässt logisch keinen Zugriff auf lokale Infrastrukturen zu
-
Token basiertes Authentifizierungssystem
-
Permanente Berücksichtigung der OWASP Top-Ten
-
Rollierende Datenvorhaltung
-
RSA-Verschlüsselung mit 2048-Bit des Cloud-Servers
Datenspeicherung auf Smartphones
Die sicherheitsrelevanten Daten der App auf den Smartphones des Personals werden im Secure Store des Betriebssystems verschlüsselt abgelegt. Diese Sicherheit der Secure Stores der Betriebssysteme Android und iOS sind allgemein anerkannt und werden weltweit z.B. von Banking Apps genutzt.
Die Verschlüsselung des Dateisystems ist darüber hinaus in den von TIMEOFFICE Mobile unterstützenden Mobile-Betriebssystemen obligatorisch.
Push-Nachrichten Funktion
Um App-Nutzer auf Ereignisse innerhalb der App hinzuweisen, benutzen Smartphone-Betriebssysteme Push-Nachrichten. Um eine Push-Nachricht zu versenden ist es notwendig, die Infrastruktur der Betriebssystem-Hersteller (Apple, Google) zu verwenden. Hierbei wird notwendigerweise durch die App ein Request an Apple (bei iOS-Geräten) bzw. das Google Firebase Framework (bei Android-Geräten) gesendet, welche dann die Push-Nachrichten auf das Smartphone ausspielen. Hierzu muss die App den sogenannten Device Token des Smartphones verwenden, welcher als eindeutige ID des Gerätes fungiert.
Es werden lediglich die Routinen verwendet, welche zum Versand der Push-Nachrichten notwendig sind. Weiteres aktives App-Tracking, welches prinzipiell z.B. mit dem Framework Firebase Analytics möglich ist, wird nicht durchgeführt.
Standortdienste
Um Standorte definieren und verifizieren zu können, an denen das Personal seine Arbeitszeiten erfassen darf, sind Standortdienste notwendig. TIMEOFFICE nutzt zur Verifizierung den Service „Azure Maps“. Ist für die App-Nutzer das Erfassen von Arbeitszeiten an diese Standorte gebunden, nutzt die App die jeweiligen Standortdienste des Smartphone-Betriebssystems, um zu ermitteln, ob das Personal an diesem Standort zur Zeiterfassung berechtigt ist oder nicht. Die Standortdaten des Personals werden von der App nicht gespeichert.
Log-Dateien
Für die Bereitstellung der Funktionalitäten sowie für Fehlerbehebungen werden mehrere Log-Dateien auf der TIMEOFFICE Mobile.Middleware angelegt:
-
Push-Nachrichten: Device Tokens (s.o.), Metadaten (Zeitpunkt, ID, Typ, Status) zu gesendeten Push-Nachrichten, keine Inhalte der Nachrichten
-
Applog Items: Protokollierung der Aufrufe von API-Routen
-
Error-Reports: Mitarbeiter-Lizenz, Zeitpunkt, Fehlernachricht, Stacktrace mit Kontext zu auftretenden Fehlern
Keine dieser Log-Dateien wird routinemäßig manuell oder maschinell ausgewertet. Sie dienen lediglich zur Fehleranalyse und zur Bereitstellung eines stabilen Systems.
Des Weiteren wird zur Fehlerbehebung das Framework Firebase Crashlytics eingesetzt, um Fehlermeldungen aus den Apps erhalten zu können und die Stabilität von TIMEOFFICE Mobile zu verbessern. Hierbei werden keine Daten zum Verhalten des Personals o.ä. übertragen, sondern lediglich die Fehlermeldungen der App.
Weiteres zur Informationssicherheit und Datenschutz im Hause Pradtke
-
DSGVO- und BDSG-neu konform
-
Informationssicherheitssystem basierend auf ISO 27001 mit 27017
-
Etablierte Datenschutz- und Informationssicherheitsbeauftragte
-
Kein gesondertes Backup für kundenspezifische Cloud-Datenbestände nötig, da die Originaldaten immer in der lokalen Datenbank und dem dortigen Backup gesichert bleiben.