Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
Der Auftragsverarbeiter (Auftragnehmer des Auftragsverarbeitungsvertrags) hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die für eine Auftragsverarbeitung erforderlichen technischen und organisatorischen Maßnahmen getroffen, um bei der (Auftrags-)Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Die nachstehenden entsprechend dem Katalog aus § 64 BDSG (2017) beschriebenen Maßnahmen beziehen sich auf ergriffene Maßnahmen, die im Rahmen der Auftragsverarbeitung erforderlich sind. Aus Sicherheitsgründen erfolgt nachstehend nur eine allgemeine Beschreibung.
1. Vertraulichkeit
1.1 Zutrittskontrolle
Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle):
- Die Büroräume der Indiveon eood befinden sich in einem Bürohaus in Sofia (BG) und die Zugänge zu den Büroräumen sind Tag und Nacht verschlossen. Zugang zu den Bürohaus haben nur der Vermieter und die Mieter der Büroräume. Die Büro- und Geschäftsräume sind durch elektronische Schließsysteme gesichert. Nur berechtigte Personen haben entsprechende elektronische Schlüssel bzw. Zugangscodes. In den Büroräumen werden grundsätzlich keine personenbezogenen Daten für den Auftraggeber gespeichert. Alle auftragsbezogen genutzten IT-Systeme befinden sich in Rechenzentren, die Indiveon eood nutzt.
- Indiveon trägt Sorge dafür, dass nur Rechenzentren zum Einsatz kommen, die den jeweils geltenden Datensicherheitsanforderungen der Bundesrepublik Deutschland genügen.
- Die von uns verwendeten Rechenzentren verfügen über gut ausgestattete Zutrittskontrollmechanismen und –vorkehrungen.
- Die Zutrittscodevergabe und das Zutrittscodemanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt.
- Zutrittsberechtigungen werden einem Beschäftigten erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Personalabteilung angefordert wurde. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen.
- Die Eingänge der Büroräume der Indiveon eood sind mit einer Alarmanlage gesichert. Diese kann manuell aktiviert und deaktiviert werden. Unabhängig davon wird die Alarmanlage täglich jedoch stets um 21 Uhr automatisch aktiviert.
1.2 Zugangskontrolle
Es wurden folgenden Maßnahmen getroffen, die die Nutzung der Datenverarbeitungssysteme (Computer) durch unbefugte Dritte verhindern:
- Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde. Der Antrag kann auch über die Personalabteilung gestellt werden.
- Remote-Zugriffe auf IT-Systeme der Indiveon eood erfolgen stets über verschlüsselte Verbindungen.
- Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.
- Der Zugriff von Servern und Clients auf das Internet und der Zugriff auf diese Systeme über das Internet ist ebenfalls durch Firewalls gesichert. So ist auch gewährleistet, dass nur die für die jeweilige Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind entsprechend gesperrt.
- Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.
1.3 Zugriffskontrolle
Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Es ist Sache des Auftraggebers, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz/Webspace für die Dauer des Vertrages einer geeigneten Zugriffskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.
- Berechtigungen für IT-Systeme und Applikationen der Indiveon eood werden ausschließlich von Administratoren eingerichtet.
- Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind.
- Voraussetzung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei dem Office Team gestellt werden.
- Es erfolgen Protokollierung von Zugriffen auf die IT-Systeme, um eine unberechtigte Nutzung zu erkennen und auszuschließen.
- Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.
- Beschäftigten ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren.
- Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.
1.4 Trennung
Die folgenden Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
- Alle IT-Systeme, die Indiveon für Auftraggeber nutzt, verfügen über eine logische Mandantentrennung, so dass eine Trennung der Daten von Daten, die für andere Zwecke verarbeitet werden, gewährleistet ist.
- Es erfolgt eine getrennte Verarbeitung und/oder Lagerung von Daten mit unterschiedlichen Verarbeitungszwecken.
- Es ist Sache des Auftraggebers, für die Trennung von personenbezogenen Daten auf dem ihm überlassenen Speicherplatz und Systemen, selbst Sorge zu tragen.
1.5 Pseudonymisierung & Verschlüsselung
Die folgenden Maßnahmen gewährleisten, dass die Verarbeitung personenbezogene Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
- Es ist Sache des Auftraggebers, personenbezogenen Daten auf dem ihm überlassenen System bzw. Webspace selbst zu pseudonymisieren, soweit dies gesetzlich erforderlich ist.
- Es ist Sache des Auftraggebers, die Daten auf dem ihm vertragsgemäß überlassenen System bzw. Speicherplatz für die Dauer des Vertrages durch geeignete Techniken (Software) zu verschlüsseln.
- Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.
2. Integrität
2.1 Eingabekontrolle
Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- Die Eingabe, Änderung und Löschung von Daten wird auf Datenbankebene protokolliert.
- Es ist Sache des Auftraggebers, ggf. personenbezogene Daten dem ihm vertragsgemäß überlassenen System für die Dauer des Vertrages einzugeben und dazu, insbesondere nur geeigneten Dritte einzusetzen (z.B. Webagenturen, Administratoren). Die Beschäftigten des Auftragsverarbeiters dürfen grundsätzlich nicht auf diese Daten zugreifen bzw. Daten eingeben, verändern oder löschen.
- Das Verarbeiten von personenbezogenen Daten erfolgt somit grundsätzlich durch den Auftraggeber, so dass durch den Auftragsverantwortlichen nicht nachträglich überprüft werden und festgestellt werden kann, welche personenbezogenen Daten der Kunde zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert hat.
- Nur im Rahmen seiner Tätigkeiten nach zusätzlicher Weisung, die in schriftform und außerhalb des Administrationsbereichs stattfindet, protokolliert der Auftragsverarbeiter diese Eingaben und Veränderungen in angemessener Weise und dokumentiert die Uhrzeit und den Eingebenden.
- Muss der Auftragsverarbeiter (Indiveon) aus gesetzlichen Gründen Informationen entfernen oder den Zugang zu ihnen sperren (etwa im Falle der Nutzung vom Kunden auf den IT-Systemen für Dritte bereit gehaltenen Telemediendiensten bzw. elektronischen Kommunikationsdiensten), wird die Sperrungen bzw. die Entfernung von Inhalten protokolliert. Die Protokolldaten werden aufbewahrt und enthalten die Mitarbeiterkennung. Die Löschung erfolgt nach dem Vertragsende automatisiert und wird protokolliert.
2.2 Weitergabekontrolle
Die folgenden Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
- Für die Administration von Servern kommen nur verschlüsselte Verbindungen zum Einsatz. Eine Weitergabe von Daten des Auftraggebers findet grundsätzlich nicht statt. Ausgenommen hiervon sind Fälle, in denen Indiveon aufgrund gesetzlicher Regelungen oder richterlichen Anordnungen zur Herausgabe von Daten verpflichtet ist.
- Eine Weitergabe von Daten, die auf IT-Systemen von Indiveon im Auftrag des Auftraggebers gespeichert werden, erfolgt ansonsten nur im Zusammenhang mit dem vom Auftraggeber vorgesehenen Betrieb seiner Internetpräsenz (Aufruf der Internetseiten durch Besucher der Internetseite) im jeweils technisch erforderlichen Umfang.
- Die Gewährleistung der Vertraulichkeit der Übermittlung von personenbezogenen Daten wird durch SSL/TSL-Verschlüsselungen über die Webseiten des Auftragsverarbeiters gewährleistet.
- Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert.
- Soweit möglich werden Daten verschlüsselt an Empfänger übertragen.
- Die Nutzung von privaten Datenträgern ist den Beschäftigten bei Indiveon eood im Zusammenhang mit Kundenprojekten untersagt.
- Alle Mitarbeiter sind zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.
- Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen System bzw. Speicherplatz für die Dauer des Vertrages einer geeigneten Transportkontrolle zu unterziehen und geeignete Verschlüsselungstechniken einzusetzen.
3. Verfügbarkeit und Belastbarkeit
Die folgenden Maßnahmen gewährleisten, dass die eingesetzte Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
- Es ist ein flächendeckendes Brand- und Frühwarnsystem im Einsatz.
- Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung. Im Serverraum befindet sich eine Brandmeldeanlage sowie eine CO2-Löschanlage. Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Gewährleistungsziel: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung.
4.1 Datenschutz-Management
- Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird.
- Ein betrieblicher Datenschutzbeauftragter ist benannt.
4.2 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- Bei der Indiveo eood wird schon bei der Entwicklung der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. So können Pflichtfelder vorgesehen oder Felder deaktiviert werden.