Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

//Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
Technische und organisatorische Maßnahmen nach Art. 32 DSGVO 2018-05-22T17:08:00+00:00

Anlage 1 zum Auftrag gemäß Art. 28 DS-GVO

Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO

  1. Vertraulichkeit
  • Zutrittskontrolle
    • Die Büroräume der IDC International Development Cybercorporation GmbH (im Folgenden Auftragnehmer) befinden sich in einem Bürogebäude in Düsseldorf.
      • Die Zugänge zu den Büroräumen des Auftragnehmers sind Tag und Nacht verschlossen. Zugang zu den Räumen haben nur die Mitarbeiter des Auftragnehmers. Es kommt ein elektronisches Schließsystem für den Zugang zum Gebäude zum Einsatz, dass vom Vermieter verwaltet wird. Jeder Mieter des Bürohauses hat jedoch die Möglichkeit, die jeweils vergebenen Zahlencodes selbst zu verwalten und zu entziehen. Dies wird von der Personalabteilung des Auftragnehmers verwaltet.
      • Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt.
      • Zutrittsberechtigungen werden einem Beschäftigten erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Personalabteilung angefordert wurde. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen.
      • Besucher dürfen sich nicht ohne Begleitung in den Büroräumen frei bewegen.
      • Server (physikalisch) sind bei der Compositiv GmbH angemietet. Es gelten die technischen und organisatorischen Maßnahmen von Compositiv GmbH unter https://www.compositiv.com/
    • Zugangskontrolle
      • Für die Zugangskontrolle sind nachfolgende Maßnahmen vom Auftragnehmer getroffen worden:
        • bei internen Verwaltungssystemen des Aufragnehmers
          • Um Zugang zu IT-Systemen zu erhalten, müssen Mitarbeiter über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde. Der Antrag kann auch über die Personalabteilung gestellt werden.
          • Der Mitarbeiter erhält dann einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.
          • Remote-Zugriffe auf IT-Systeme des Auftragnehmers erfolgen stets über verschlüsselte Verbindungen. Wenn möglich kommen zusätzliche Verfahren wie z.B. Zwei-Faktor-Authorisierung zum Einsatz.
          • Alle Client-Systeme verfügen über Virenschutzsoftware, bei der eine tagesaktuelle Versorgung mit Signaturupdates gewährleistet ist.
          • Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.
          • Der Zugriff von Servern und Clients auf das Internet und der Zugriff auf diese Systeme über das Internet ist ebenfalls durch Firewalls gesichert. So ist auch gewährleistet, dass nur die für die jeweilige Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind entsprechend gesperrt.
          • Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.
          • Passwörter werden grundsätzlich verschlüsselt gespeichert.
        • Infrastruktur bei Compositiv GmbH
          • Der Zugriff auf Server erfolgt grundsätzlich verschlüsselt.
    • Zugriffskontrolle
      • bei internen Verwaltungssystemen des Auftragnehmers
        • Berechtigungen für IT-Systeme und Applikationen des Auftragnehmers werden ausschließlich von Administratoren eingerichtet.
        • Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind
        • Voraussetzung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei der Personalabteilung gestellt werden.
        • Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.
        • Die Vernichtung von Datenträgern erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet.
        • Alle Mitarbeiter beim Auftragnehmer sind angewiesen, Informationen mit personenbezogenen Daten und/oder Informationen über Projekte in die hierfür ausgewiesenen Vernichtungsbehältnisse einzuwerfen.
        • Beschäftigten ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren.
        • Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.
      • Trennung
        • Alle vom Auftragnehmer für Kunden eingesetzten IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden ist stets gewährleistet.
      • Pseudonymisierung & Verschlüsselung
        • Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.
        • Darüber hinaus werden Daten auf lokalen Computern auf verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende Festplattenverschlüsselungssysteme im Einsatz.
        • Kundendaten werden von dem Auftragnehmer pseudonymisiert
  1. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
    • Eingabekontrolle
      • Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die vom Auftragnehmer im Auftrag verarbeitet werden, wird grundsätzlich protokolliert.
      • Mitarbeiter sind verpflichtet, mit denen ihnen zugewiesenen Accounts zu arbeiten.
    • Weitergabekontrolle
      • Eine Weitergabe von personenbezogenen Daten, die im Auftrag der Kunden des Auftragnehmers erfolgt, darf jeweils nur in dem Umfang erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.
      • Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert.
      • Soweit möglich werden Daten verschlüsselt an Empfänger übertragen.
      • Die Nutzung von privaten Datenträgern ist den Beschäftigten beim Auftragnehmer im Zusammenhang mit Kundenprojekten untersagt.
      • Mitarbeiter beim Auftragnehmer werden regelmäßig zu Datenschutzthemen geschult. Alle Mitarbeiter sind auf zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.
      • Alle Mitarbeiter wurden gemäß §5 BDSG vertraglich auf das Datengeheimnis verpflichtet

III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

    • Daten auf Serversystemen vom Auftragnehmer werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort aufbewahrt.
    • Das Einspielen von Backups wird regelmäßig getestet.
    • Verfügbarkeitskontrolle
      • Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst.
      • Einsatz von Festplattenspiegelung bei allen relevanten Servern.
      • Monitoring aller relevanten Server.
      • Server (physikalisch) sind z.T. bei der 1&1 Internet SE angemietet. Es gelten die technischen und organisatorischen Maßnahmen von 1&1 Internet SE unter https://hosting.1und1.de/terms-gtc/terms-privacy/
      • Es gibt bei dem Auftragnehmer einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.
    • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
      • Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.
  1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
    • bei internen Verwaltungssystemen des Auftragnehmers
      • Es ist ein Datenschutz- und Informationssicherheits-Team (DST) eingerichtet, das Richtlinien und Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.
      • Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.
      • Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.
      • Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.
    • Auftragskontrolle
      • Die Verarbeitung der Datenhaltung erfolgt ausschließlich in der Europäischen Union bzw. mit Ländern die ein Abkommen mit der Europäischen Union haben (z.B. durch EU-US-Privacy-Shield oder entsprechende Modelklauseln).
      • Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.
    • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
      • Bei dem Auftragnehmer wird schon bei der Entwicklung der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. So können Pflichtfelder vorgesehen oder Felder deaktiviert werden.
      • Die Software des Auftragnehmers unterstützt sowohl die Eingabekontrolle durch einen Audit-Trail, der eine unveränderliche Speicherung von Änderungen an Daten und Nutzerberechtigungen ermöglicht.
      • Berechtigungen auf Daten oder Applikationen können flexibel gesetzt werden.