bauXpert Service

Die bauXpert Service wurde als IT-Dienstleister für die Gesellschafter der bauXpert GmbH gegründet. Im Jahr 2009 wurde das gemeinsame Rechenzentrum XpertCom in Bad Bramstedt aufgebaut. Anfang 2010 waren bereits die ersten Anwender auf dem Rechenzentrum aktiv, mittlerweile sind 21 Gesellschafterstandorte und Standorte von Kunden ausserhalb der bauXpert an insgesamt 568 Arbeitsplätzen aufgeschaltet.

Die zentralen Dienstleistungen werden den Kunden als Application Service Provider (ASP) über das Hochverfügbarkeitsrechenzentrum in einer Private Cloud bereitgestellt. Auf den vor Ort installierten Rechnern werden die jeweiligen Programme nur noch angezeigt. Die Software ist auf dem Rechenzentrum installiert, wo auch die Datenverarbeitung und Datensicherung stattfindet sowie für die IT-Sicherheit gesorgt wird. Für die Nutzer gibt es die Möglichkeit, sich per Sicherheits-Token über jeden Computer mit Internetzugang am Rechenzentrum anzumelden und zu arbeiten. Diese Möglichkeit sehen die meisten Anwender als komfortablen Mehrwert an, da die Dienste immer und überall verfügbar sind. Als gemeinsame Basis in der Warenwirtschaft wird das ERP-System gevis der GWS Gesellschaft für Warenwirtschafts-Systeme aus Münster eingesetzt.

Die Systemadministration der bauXpert Service beschäftigt sich für die Nutzer des Rechenzentrums mit den Themen Infrastruktur- und Netzwerkmanagement, Systemüberwachung und first-level-support für Technik und Warenwirtschaft, kurzum mit allem damit das Rechenzentrum rund läuft.

In der hauseigenen Stammdatenpflege werden neben dem zentralen Artikelstamm kurz ZAS, die Artikeldaten der Eurobaustoff sowie weitere Daten gepflegt, aufbereitet und zur Verfügung gestellt. Auch individuelle Wünsche werden mit der eigenen Mannschaft für die Kunden selbstverständlich gerne umgesetzt.

Des Weiteren bietet die bauXpert Service Prozessberatung an, um hauptsächlich neue Kundenanforderungen umzusetzen und wenn gewünscht in Abstimmung als neuen Standardprozess zu definieren. Hierzu gehören auch zentrale Lösungen für die Bereiche der Lagerbestandsoptimierung und Telekommmunikations-Einbindung (CTI/UC), die zentral reaslisiert und unterstützt werden.

Zum Thema Schulung werden neben dem täglichen Support auch regelmäßig Schulungen zu den verschiedensten Themen angeboten und auch gerne von den Anwendern angenommen.

Wenn Sie Fragen zur bauXpert Service oder dem Leistungsangebot haben wenden Sie sich an unsere Ansprechpartner.

bauXpert Service GmbH
Hunenkamp 15
24576 Bad Bramstedt

Impressum

Geschäftsführer:
Dipl.-Kfm. Stefan Freis
Handelsregister: Amtsgericht Kiel

HRB-Nr. 10703 KI
Steuer-Nr. 20/290/06457
Ust.-IdNr.: DE 264338938

Ansprechpartner IT:

Prokurist
Michael Becker
Leitung bauXpert Service
Tel. 04192-906 44-50
michael.becker[at]­bauXpert.­com

Björn Lundström
Systemadministration
Tel. 04192-906 44-52
bjoern.lundstroem[at]­bauXpert.­com

Florian Bartsch
Systemadministration
Tel. 04192-906 44-59
florian.bartsch@bauXpert.com

Kay Gräsel
Stammdatenmanagement
Tel.  04192-906 44-53
kay.graesel[at]­bauXpert.­com

Janine Kretschmann
Stammdatenmanagement
Tel. 04192-906 44-54
Janine.Kretschmann[at]­bauXpert.­com

Annette Weinreich
Stammdatenmanagement
Tel. 04192-906 44-57
Annette.Weinreich[at]­bauXpert.­com

Ansprechpartner XpertAS

XpertAS heißt Xpert Accounting Service und ist unsere Mandantenbuchhaltung für unsere Gesellschafter.

Mirja Kleeblatt
Prokuristin / Leitung Buchhaltung
Tel. 04192-906 44-151
mirja.kleeblatt@bauXpert.com 

Grit Gamerschlag
Buchhaltung
Tel. 04192-906 44-152
grit.gamerschlag[at]­bauXpert.­com

Melanie Hansen
Buchhaltung
Tel. 04192-906 44-153
melanie.hansen[at]­bauXpert.­com

Datenschutz

Lieber Kunde, lieber Interessent, lieber Bewerber, kurzum, an alle, die mit uns in Kontakt stehen.

Ihre persönlichen Daten sind ihr Eigentum und brauchen Schutz. Wir wiederum brauchen Ihre persönlichen Daten, um mit Ihnen, auch in Ihrem Interesse, interagieren zu können. Wir setzen alles daran, die Anzahl persönlicher Daten (Merkmale), die Nutzungsintensität und die Speicherdauer auf das notwendige Maß zu beschränken. 

Als ASP-Provider betreiben wir für unsere Auftraggeber u.a. das ERP-System, die Kommunikationssysteme MS Exchange / Outlook sowie eine CTI/UC und eine Faxlösung.
Unsere Auftraggeber speichern und verarbeiten eigenverantwortlich im zulässigen Maße personenbezogene Daten auf den bei uns betriebenen Systemen. Bei der vertragsgemäßen Wartung der Systeme sowie beim Anwendersupport für unsere Auftraggeber ist nicht ausgeschlossen, dass wir als Auftragnehmer Zugang zu personenbezogenen Daten des Auftraggebers erhalten. Deshalb haben wir selbstverständlich mit unseren Auftraggebern Vereinbarungen über die Auftragsdatenverarbeitung gem. Art. 28, Abs. 3 DS-GVO abgeschlossen. Damit Ihre Daten sicher sind.

Über unsere organisatorischen und technischen Maßnahmen zum Schutze Ihrer persönlichen Daten möchten wir Sie hier informieren. Damit Sich sicher sein können, dass Sie und Ihre Daten bei uns in den richtigen Händen sind.

Technische und organisatorische Maßnahmen gem. Art. 32 DS-GVO

Die folgenden technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes haben wir umgesetzt:

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

1) Zutrittskontrolle

In allen Gebäuden des Auftragnehmers sind Zutrittskontrollsysteme (Haupt- und Nebeneingänge der Gebäude) installiert.

Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten sind wie folgt geregelt:

Zutrittskontrollsystem
Elektrische Türschlösser
RFID-Chips mit individuellen Zutrittsberechtigungen
Personenbezogene Speicherung des Zugangs je Zugangspunkt
Empfang/ Besucherregelungen zur Begleitung von Gästen
Videoüberwachung
Automatische, zeitgesteuerte Gebäudeschließung

2) Zugangskontrolle

Der Zugang zu Netzwerk, Betriebssystemen, Benutzerverwaltung und Anwendungen wird durch ein Benutzerberechtigungskonzept festgelegt. Maßnahmen der Zugangskontrolle sind u.a.:

Kennwortverfahren (u.a. Zeichen-Mix, Sonderzeichen, Mindestlänge, regelmäßiger   Kennwortwechsel)
Automatische Sperrung (u.a. Zugangssperre bei mehr als 3 Anmeldeversuchen, Pausenschaltung)
Einrichtung eines Benutzerstammsatzes pro Anwender (keine ,,Gruppenpasswörter")
Verschlüsselung von Datenträgern/ Festplatten
Hardware-/ Software-Firewall (redundant)
Einsatz von Anti-Viren-Software(redundant)
Einsatz von VPN-Technologie
Regelmäßiges Einspielen von Sicherheits-Updates

3) Zugriffskontrolle

Die Zugriffskontrolle ist nach internen Richtlinien ausgeführt, wozu Zugangsrichtlinien zu Informationen der Organisation, Umsetzung einer Benutzerverwaltung und deren Zugriffsrechten, Sensibilisierung der Mitarbeiter im Umgang mit Informationen und ihrem Passwort, Zugangskontrolle zu Netzen inklusive Trennung von sensiblen Netzen, sowie die Zugriffskontrolle auf das Betriebssystem und die darunter liegenden Anwendungen gehören. Konkrete Maßnahmen sind u.a.:

Programmtechnisches Berechtigungskonzept
Differenzierte Berechtigungen (u.a. für Kenntnisnahme, Veränderung, Löschung)
Rollendefinitionen
Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
Physische Löschung von Datenträgern vor Wiederverwendung
Einsatz von Secure Token System zur Kommunikation bei Zugriff über das Internet
Anzahl der Administratoren ist auf das ,,Notwendigste" reduziert

4) Trennungskontrolle

Die Erfassung von Daten erfolgt stets zweckgebunden und in getrennten Systemen. Eine Datentrennung erfolgt in den Rechenzentren. U.a. wird Folgendes umgesetzt:

Funktionstrennung (Produktion-, Testdaten),
Trennung besonders sensibler Daten,
Interne Mandantenfähigkeit/ Zweckbindung/ Abschottung,
Regelungen/ Maßnahmen zur Sicherung der getrennten Speicherung, Veränderung,
Löschung und Übermittlung von Daten.

5) Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

II. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

1) Weitergabekontrolle

lm Sinne der Weitergabekontrolle werden personenbezogene Daten ausschließlich gesichert sowie verschlüsselt übertragen. Die Speicherung der Daten wird ausschließlich dediziert auf dem dafür vorgesehenen System in einem geschützten und überwachten Bereich durchgeführt. Jeglicher administrativer Zugriff erfolgt auf Basis der Zugangs- und Zugriffskontrolle. Einzelne Maßnahmen sind u.a.:

Verschlüsselte Datenübertragung (HTFPS, SFTP, VPN, Citrix)
Protokollierung
Transportsicherung

2) Eingabekontrolle

Die Eingabekontrolle wird auf Basis von Auditing-Mechanismen sowie Logfiles auf den einzelnen Systemen Überwacht. Folgende Systeme sind implementiert:

ProtokoIlierungs- und ProtokolIauswertungssysteme

III. Verfügbarkeitskontrolle und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Die Verfügbarkeitskontrolle wird anhand einer permanenten Netzwerküberwachung sichergestellt. Zum Schutz vor Datenverlusten wird täglich eine Datensicherung mit definierten Aufbewahrungszeiten durchgeführt. Weitere Maßnahmen sind u.a.:

Backup-Verfahren, Snap-Shot Technologie auf voll virtualisierten Systemen
Unterbrechungsfreie Stromversorgung (USV)/ Überspannungseinrichtungen,
Räumlich getrennte Aufbewahrung von Sicherungsdatenträgern,
Spiegeln von Server-Festplatten (RAID-Verfahren),
Virenschutz/ SPAM-Filter/ Firewall/ Intrusion Detection System/ Notfallplan,
Brandschutzeinrichtungen (Feuerlöscheranlage, Brandschutztüren).
Redundante Breitbandanbindung unterschiedlicher Anbieter aus unterschiedlichen Himmelsrichtungen
Backup Anbindung Kupfer über weiteren Anbieter
Leitungsführung jeweils über separate Rohre
Baulich getrennter Not-Serverraum
Jeweils mehrfach redundante Klimatisierung mit Temperaturüberwachung (remote)

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)

IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Auftragskontrolle wird im Sinne des Art. 28 DS-GVO durchgeführt und es erfolgt keine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers. Hierzu ist sichergestellt, dass personenbezogene Daten nur entsprechend den Weisungen der Auftraggeberin - z.B. zu Abrechnungszwecken - verarbeitet werden können. Zu den getroffenen Maßnahmen gehört u.a.:

Eindeutige Vertragsgestaltung,
Formalisierte Auftragserteilung,
Kontrolle der Vertragsausführung,
Auswahlkriterien,
Datenschutz-Management;
Incident-Response-Management;
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO),
Vorabüberzeugnungspflicht,
Nachkontrollen.

V. Ansprechpartner

Bei der Gesellschafter ist als betrieblicher Datenschutzbeauftragter für den Datenschutz bestellt:

René Rautenberg, Otto-Hahn-Str. 13b, 85521 Riemerling

Für nähere Informationen siehe unsere Datenschutzerklärung und unsere Erläuterung zur Datenschutzerklärung