Technische und organisatorische Maßnahmen des Auftragnehmers
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
1. Datenschutzkonzept, Betroffenenrechte, Technikgestaltung und Datenschutz auf Mitarbeiterebene
Grundsätzliche Maßnahmen, die der Wahrung der Betroffenenrechte, unverzüglichen Reaktion in Notfällen, den Vorgaben der Technikgestaltung und dem Datenschutz auf Mitarbeiterebene dienen:
Es besteht ein betriebsinternes Datenschutz-Management, dessen Einhaltung ständig überwacht wird sowie anlassbezogenen und mindestens halbjährlichen evaluiert wird.
Es besteht ein Konzept, welches die Wahrung der Rechte der Betroffenen (Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche) innerhalb der gesetzlichen Fristen gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.
Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen
Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt (Art. 25 DSGVO).
Die eingesetzte Software wird stets auf dem aktuell verfügbaren Stand gehalten, ebenso wie Virenscanner und Firewalls.
Mitarbeiter werden im Hinblick auf den Datenschutz auf Verschwiegenheit verpflichtet, belehrt und instruiert, als auch auf mögliche Haftungsfolgen hingewiesen. Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden oder Privatgeräte für betriebliche Tätigkeiten einsetzen, existieren spezielle Regelungen zum Schutz der Daten in diesen Konstellationen und der Sicherung der Rechte von Auftraggebern einer Auftragsverarbeitung.
Das Reinigungspersonal, Wachpersonal und übrige Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden, werden sorgfältig ausgesucht und es wird sichergestellt, dass es den Schutz personenbezogener Daten beachtet.
2. Zutrittskontrolle
Das Ziel einer Zutrittskontrolle ist es, Unbefugten den Zutritt (z.B. zu Datenverarbeitungsanlagen) zu verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden. Der Begriff des Zutritts ist dabei räumlich zu verstehen.
Den Zutritt zu unserem Firmengebäude stellen wir durch folgenden Maßnahmen sicher:
Protokollierte Vergabe von Zutrittsberechtigungen.
Entzug der Zutrittsberechtigung nach Ausscheiden.
Türsicherungen (elektrische Türöffner) mit Chipkarte.
Der Zutritt jeglicher Personen (auch Mitarbeiter) muss durch autorisiertes Personal im Voraus genehmigt werden und wird durch eine Personenkontrolle überprüft.
Der Zutritt zu den Datenverarbeitungsanlagen (EDV-Räumlichkeiten am Serverstandort) ist unbefugten Personen vollständig verwehrt und nur zutrittsberechtigten Mitarbeitern gewährt.
3. Zugangskontrolle
Das Ziel einer Zugangskontrolle ist es, mit Hilfe geeigneter Maßnahmen zu verhindern, dass Unbefugte Datenverarbeitungsanlagen und -systeme, mit denen personenbezogene Daten verarbeitet oder genutzt werden, eindringen oder nutzen können.
Um den Zugang zu unserem Netzwerk zu schützen, haben wir folgende Maßnahmen getroffen:
Es wird ein „papierloses Büro“ geführt und Unterlagen werden grundsätzlich nur digital gespeichert und nur in Ausnahmefällen in Papierform aufbewahrt.
Es werden, bis auf die Arbeitsplatzrechner und mobile Geräte, keine Datenverarbeitungsanlagen in den eigenen Geschäftsräumlichkeiten unterhalten. Die Daten des Auftraggebers werden bei externen Hosting-Anbieter unter Beachtung der Vorgaben für Auftragsverarbeitung gespeichert.
Benutzerverwaltung zur Anmeldung.
Individueller Benutzername und Passwort.
Segmentierung von Netzwerken nach Schutzbedürftigkeit.
Einsatz von Virenscanner und Firewall.
Passwortregelung (Anzahl Zeichen, Sonderzeichen, Historie, keine Zeichenfolgen).
4. Zugriffskontrolle
Das Ziel einer Zugriffskontrolle ist es zu gewährleisten, dass ausschließlich die zur Benutzung der Datenverarbeitungssysteme Berechtigten auf die ihrer Zugriffsberechtigung unterliegenden personenbezogene Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, vervielfältigt, verändert oder entfernt werden können.
Um unerlaubte Tätigkeiten innerhalb der Systeme außerhalb der eingeräumten Berechtigungen zu verhindern, haben wir folgende Maßnahmen getroffen:
Rechtevergabe nach Rollen / Organisationseinheiten.
Verwaltung der Zugriffsrechte durch Administratoren.
Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt.
Datenschutzkonforme Entsorgung von Datenträgern und Papier.
Die Website und/oder Zugänge zu Online-Software-Angeboten sind durch eine aktuelle TLS/SSL Verschlüsselung geschützt.
Die internen Systeme werden per Firewall sowie Benutzername und Passwort und/oder ClientZertifikate vor unberechtigten Zugriffen geschützt.
Soweit technisch unterstützt, wird die Zwei-Faktor-Authentifizierung genutzt.
Beim Zugriff auf betriebsinterne Systeme von außen (z.B. bei Fernwartung), werden verschlüsselte Übertragungstechnologien verwendet (z.B. VPN).
Es werden Serversysteme und Dienste eingesetzt, die über Intrusion-Detection-Systeme verfügen.
Mobile Datenträger werden verschlüsselt.
5. Trennungskontrolle
Das Ziel des Trennungsgebots ist es zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten ebenfalls getrennt voneinander verarbeitet werden.
Um sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt voneinander verarbeitet werden, haben wir die folgenden Maßnahmen getroffen:
Funktionstrennung durch mandantenfähige Systeme.
Erstellung Berechtigungskonzept und Vergabe nach Rollen.
Datentrennung durch Netzsegmentierung.
Trennung von Entwicklungs-, Test- und Produktivsystemen.
6. Weitergabekontrolle
Das Ziel einer Weitergabekontrolle ist es zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, vervielfältigt, verändert oder entfernt werden können und dass überprüft sowie festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zu Datenübertragung vorgesehen ist.
Folgende Maßnahmen haben wir im Bezug auf die Weitergabe von personenbezogenen Daten getroffen:
Unternehmenseigene Domain zur E-Mail-Kommunikation.
Weitergabe an Dritte nur nach Prüfung der Rechtsgrundlage.
Schriftliche Festlegung der Weitergabe in Drittländer.
Sichere Übertragung von Datenlieferungen (SFTP, VPN).
Sofern erforderlich, möglich und zumutbar, werden Daten in anonymisierter Form bzw. in pseudonymisierter Form weitergegeben.
Es wird eine E-Mail-Verschlüsselung eingesetzt, sofern diese möglich, zumutbar und vom Kommunikationspartner gewünscht oder sonst als erforderlich und/oder angemessen zu betrachtet ist.
7. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen von Auftraggebern verarbeitet werden können:
Verpflichtung von Mitarbeitern und Beauftragten auf die Beachtung von Weisungen.
Schriftliche Festlegung und Dokumentation der Weisungen.
Die vertraglichen und gesetzlichen Vorgaben für die Beauftragung von Unterauftragsverarbeitern werden durch Abschluss von AV-Verträgen und Sicherstellung notwendiger Garantien sowie deren Kontrolle beachtet.
Es wird sichergestellt, dass Daten nach Beendigung des Auftrags zurückgegeben oder vernichtet werden.
8. Eingabekontrolle
Das Ziel einer Eingabekontrolle ist es, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten in die Systeme und Anlagen zur Datenverarbeitung eingegeben, verändert oder entfernt worden sind.
Die Nachvollziehbarkeit innerhalb der Datenverwaltung stellen wir wie folgt sicher:
Protokollierung der Eingabe personenbezogener Daten
Zweckfestlegung der Protokolldaten
9. Verfügbarkeitskontrolle
Das Ziel der Verfügbarkeitskontrolle ist es zu gewährleisten, dass personenbezogene Daten gegen die Zerstörung oder Verlust physisch sowie auch logisch geschützt sind.
Da die Daten ausschließlich in den Räumlichkeiten unserer externen Rechenzentren verarbeitet werden.
Es werden ausfallsichere Serversysteme und Dienste eingesetzt, die doppelt, bzw. mehrfach ausgelegt sind, Belastbarkeitstests und Hardwaretests unterliegen, über einen DDoS-Schutz verfügen sowie eine unterbrechungsfreie Stromversorgung bieten (z.B. RAID, HA-Netzteile).
Es werden Serversysteme und Dienste eingesetzt, die ein Backupsystem an anderen Orten, bzw. zumindest in anderen Brandabschnitten bieten, auf dem die aktuellen Daten vorgehalten werden und so ein lauffähiges System auch im Katastrophenfall zur Verfügung stellen.
Es werden Serversysteme und Dienste eingesetzt, die über Feuchtigkeitsmelder verfügen, als auch über Feuer- und Rauchmeldeanlagen sowie entsprechende Feuerlöschvorrichtungen oder Feuerlöschgeräte im EDV Raum verfügen.
Es werden Serversysteme und Dienste eingesetzt, die ein zuverlässiges und kontrolliertes Backupkonzept & Recoverykonzept bieten. Backups erfolgen täglich. Die Backups werden verschlüsselt.
Backups werden ebenfalls für die Datenverarbeitung auf Arbeitsplatzrechnern sowie Mobilgeräten erstellt und kontrolliert. Backups erfolgen laufend (Cloud).
Die Verfügbarkeit der Datenverarbeitungssysteme wird permanent überwacht.