Technische und organisatorische
Maßnahmen zur Datensicherheit
Inhaltsübersicht
- 1.1. Zutrittskontrolle
- 1.2. Zugangskontrolle
- 1.3. Zugriffskontrolle
- 1.4. Trennungskontrolle
- 1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
3. Verfügbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
4. Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- 5.1. Verantwortliche Ansprechpartner des Auftragsverarbeiters
- 5.2. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
- 5.3. Incident-Response-Management; Meldeweg
- 5.4. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
- 5.5. Auftragskontrolle
ANHANG III – Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten, zum Vertrag über die Datenverarbeitung im Auftrag (https://berta-rudi.com/auftragsverarbeitung/ ) gemäß den EU-Standardvertragsklauseln nach Artikel 28 Absatz 7 DSGVO.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1.1. Zutrittskontrolle
Die Datenverarbeitung durch den Auftragsverarbeiter findet in einem gesicherten Rechenzentrum statt. Das Rechenzentrum ist nach Standard ISO 27001 für das Informationssicherheits-Managementsystem zertifiziert. Der Zutritt zu dem Rechenzentrum wird durch modernste Kontrollsysteme gesichert. Hierzu gehören folgende Sicherheitsmaßnahmen und -infrastrukturen:
- Untergliederung der Einrichtung in einzelne Sicherheitsbereiche,
- physikalischer Zutrittsschutz beispielsweise durch Stahltüren, fensterlose Räume oder gesicherte Fenster,
- Schutz der Sicherheitsbereiche durch ein elektronisches Zutrittskontrollsystem,
- Überwachung der Einrichtung durch Sicherheitsdienst und Protokollierung der Zutritte,
- Videoüberwachung aller sicherheitsrelevanten Sicherheitsbereiche, wie Eingänge, Notausgänge und Serverräume,
- zentrale Vergabe und Entzug der Zutrittsberechtigung,
- Identifikation aller Besucher mittels Personalausweis,
- Ausweispflicht innerhalb der Sicherheitsbereiche für alle Mitarbeiter und Besucher,
- kontinuierliche Begleitung von Besuchern durch Mitarbeiter.
1.2. Zugangskontrolle
Der Auftragsverarbeiter hat das Eindringen Unbefugter in Systeme und Anwendungen, die zur Verarbeitung von personenbezogenen Daten eingesetzt werden, zu verhindern. Der Auftragsverarbeiter gewährleistet dies, indem ausschließlich explizit autorisierte Administratoren Zugang zu den datenverarbeitenden Systemen des IaaS-Anbieters erhalten. Die Anmeldung ist ausschließlich über Verbindungen möglich, welche über den aktuellen Stand der Technik verschlüsselt werden.
Das bürointerne Netzwerk wird durch eine hardwarebasierte Firewall gegen den unbefugten Zugang von außen geschützt. Der Zugang zu Rechnern in den Büroräumen des Auftragsverarbeiters wird über Benutzerkonten kontrolliert. Auf das bürointerne Netzwerk kann von außerhalb der Büroräume ausschließlich über eine verschlüsselte VPN-Verbindung (Virtual Private Network) zugriffen werden.
Der Verantwortliche kann auf die berta & rudi -Instanz ausschließlich über eine verschlüsselte Verbindung (SSL/HTTPS) zugreifen.
1.3. Zugriffskontrolle
Der Auftragsverarbeiter hat unerlaubte Tätigkeiten in den datenverarbeitenden Systemen zu verhindern. Demzufolge hat ausschließlich der betreffende Verantwortliche sowie eine kleine Gruppe einzeln benannter Administratoren Zugriff auf die Daten. Es wird technisch sichergestellt, dass ein Verantwortlicher keine Daten anderer Verantwortlicher einsehen, verändern oder löschen kann. Innerhalb einer berta & rudi -Instanz wird der Zugriff über ein umfangreiches Rollen- und Berechtigungskonzept gesteuert. Innerhalb der berta & rudi Instanz erfolgt die Rechtevergabe durch den Verantwortlichen durch Rollen- und Rechtezuweisungen. Der Verantwortliche hat zusätzlich die Möglichkeit, für seine Organisation über eine Administrationsoberfläche die vorkonfigurierten Rollen und Rechte auf seine Bedürfnisse hin anzupassen.
Der Zugriff auf Daten des Verantwortlichen für Kundendienst-Mitarbeiter des Auftragsverarbeiters ist auf Stammdaten und Abrechnungsdaten beschränkt, welche für die Wahrnehmung ihrer Kundendienst-Aufgabe und der Abrechnung der Hosting-Dienstleistung erforderlich sind. Kundendienst-Mitarbeiter haben keinen Zugriff auf die Kundendaten innerhalb einer berta & rudi – Instanz.
1.4. Trennungskontrolle
Sämtliche Datensätze, die von den Systemen und Anwendungen des Auftragsverarbeiters erhoben, verarbeitet oder genutzt werden, werden explizit und eindeutig dem jeweiligen Verantwortlichem zugeordnet und technisch von anderen Daten getrennt. Die datenverarbeitenden Systeme des Auftragsverarbeiters sind speziell auf die zweckgebundene und mandantengerechte Verarbeitung ausgerichtet. Der Zugriff auf die Daten eines anderen Verantwortlichen ist damit technisch ausgeschlossen.
1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Pseudonymisierung soll gewährleisten, dass die Identifizierung der von der Datenverarbeitung betroffenen Person ausgeschlossen bzw. wesentlich erschwert wird.
Die Daten von gelöschten Nutzern in berta & rudi werden anonymisiert, sodass keine Zuordnung zu den jeweiligen Personen mehr möglich ist.
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
2.1. Weitergabekontrolle
Die Kontrolle der Weitergabe von Daten des Verantwortlichen wird durch verschiedene technische und organisatorische Sicherheitsmaßnahmen gewährleistet. Hierbei speichert der Auftragsverarbeiter Daten des Auftragsverarbeiters nicht außerhalb des Rechenzentrums. Mitarbeiter des Rechenzentrumbetreibers haben keinen Zugriff oder Zugang zu den Kundendaten, können diese also weder einsehen, löschen oder verändern. Datensicherungen werden ausschließlich verschlüsselt abgelegt. Ein Transport von Daten des Verantwortlichen auf physischen Datenträgern erfolgt nicht. Zum Zwecke der Abrechnung der Dienstleistung werden Abrechnungsdaten über eine verschlüsselte Verbindung in die Buchhaltungssysteme des Auftragsverarbeiters überführt.
2.2. Eingabekontrolle
Der Auftragsverarbeiter hat die Nachvollziehbarkeit bzw. Dokumentation der Datenverarbeitung zu gewährleisten. Hierzu werden alle Eingaben in die Systeme und Anwendungen durch den Auftragsverarbeiter protokolliert. Die Protokolle werden archiviert und nach Zweckerreichung oder gesetzlichen Vorgaben gelöscht. Die berta & rudi -Applikation unterstützt die Eingabe und Änderung der eigenen Daten ausschließlich über hierzu vorgesehene Nutzeroberflächen und Schnittstellen gemäß einem detaillierten Rollen- und Berechtigungskonzept.
3. Verfügbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
3.1. Verfügbarkeitskontrolle
Der Auftragsverarbeiter hat personenbezogene Daten gegen zufällige Zerstörung oder Verlust zu schützen. Hierzu ist die Architektur der datenverarbeitenden Systeme des Auftragsverarbeiters einschließlich der Netzwerkinfrastruktur, der Stromversorgung und der Anbindung an das Internet redundant ausgelegt.
Zur Vermeidung von Datenverlusten ist ein umfangreiches Sicherungs- und Wiederherstellungs-Konzept implementiert. Die Daten des Verantwortlichen werden kontinuierlich über einen Replikationsmechanismus in separaten Verfügbarkeitszone gesichert. Zusätzlich werden täglich vollständige Sicherungen aller Systeme und Daten vorgenommen.
Die Systeme und Anwendungen werden laufend hinsichtlich Verfügbarkeit, Funktionstüchtigkeit, Sicherheit und Auslastung überwacht. Es existiert ein schriftlicher Notfallplan, um die Sicherungen bei Verlust oder Zerstörung zurückzuspielen.
3.2. Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
Nach einem eingetretenen Datenverlust muss eine rasche Wiederherstellbarkeit der Daten gewährleistet werden.
Zum Schutz gegen den Verlust von Kundendaten wird eine Kombination von redundanten Systemen sowie Backup-Lösungen eingesetzt. Alle Daten werden mindestens einmal täglich gesichert. Im Fall eines Datenverlustes können diese Daten aus den erstellten Backups wiederhergestellt werden. Die Speicherung der Daten erfolgt in unabhängigen Verfügbarkeitszonen.
4. Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Belastbarkeit meint die Fähigkeit, Angriffen zu widerstehen bzw. Systeme nach einer Attacke zügig wieder in funktionsfähigen Zustand zu bringen.
Die technischen Systeme der berta & rudi -Plattform sind in der Lage erwartbare Störereignisse wie z.B. einem Stromausfall in der Region des Rechenzentrums zu bewältigen, ohne dass deren Funktionsfähigkeit wesentlich beeinträchtigt werden. Die IT Systeme werden kontinuierlich gehärtet, um gegen bekannte Angriffe, wie beispielsweise Denial-of-Service-Attacken geschützt zu sein.
Zusätzlich ist jede wesentliche Komponente redundant ausgelegt, so dass im Falle einer Störung ein automatischer Wechsel auf eine störungsfreie Komponente erfolgt. Auch können zusätzliche Kapazitäten flexibel getauscht oder erweitert werden.
Die berta & rudi-Plattform verfügt über eine moderne Schichten-Architektur. Hierbei sind die Zugriffe der einzelnen Dienste über Netztrennungen so eingeschränkt, dass beispielsweise das Datenbank-Management-System nicht aus dem Internet erreicht werden kann, sondern lediglich die Load-Balancer.
Es bestehen Notfallpläne, welche im Falle einer Störung exakte Handlungsanweisungen für die Wiederherstellung des gewünschten Zustandes geben. Diese Notfallpläne sowie die Schutzkonzepte werden kontinuierlich geprüft und deren Anwendung regelmäßig von den verantwortlichen Mitarbeitern trainiert.
5. Datenschutz-Management
5.1. Verantwortliche Ansprechpartner des Auftragsverarbeiters
Digital Building Industries AG
Schickardstraße 60
D-71034 Böblingen
E-Mail: info@berta-rudi.com
5.2. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Zur Gewährleistung der Sicherheit der Datenverarbeitung muss ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der ergriffenen technischen und organisatorischen Maßnahmen implementiert sein. Die regelmäßige Überprüfung umfasst dabei das Durchlaufen von sog. Penetrationstests.
Im Rahmen eines kontinuierlichen Verbesserungsprozesses werden die getroffenen technischen und organisatorischen Maßnahmen auf deren Wirksamkeit geprüft und optimiert.
5.3. Incident-Response-Management; Meldeweg
Es muss gewährleistet sein, dass bei Datenschutzverstößen bzw. des Verdachts von Datenschutzverstößen der Auftragsverarbeiter unverzüglich den Verantwortlichen informiert.
Alle Vertragspartner sind vertraglich verpflichtet Datenschutzvorfälle innerhalb der gesetzlichen Fristen zu melden. Interne Prozesse stellen sicher, dass im Falle eines Datenschutzvorfalls die Einbindung des Datenschutzbeauftragten gewährleistet ist.
5.4. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
Durch datenschutzfreundliche Voreinstellungen ist zu gewährleisten, dass nur personenbezogenen Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden.
Zusätzlich dazu kann der Kunde selbständig einzelne Nutzer innerhalb seiner berta & rudi -Anwendung löschen. Hierbei werden folgende personenbezogenen Daten gelöscht:
- Name,
- Vorname,
- E-Mail-Adresse,
- Organisation
- Nutzer-Profilbild (Avatar-Bild).
Die erstellten Daten, wie beispielsweise Projekte werden nach dem Löschen einem anonymisierten Nutzer zugeordnet.
Datenschutzfreundliche Technikgestaltung und datenschutzfreundliche Einstellungen (Privacy-by-Design/Default) werden bei Entwicklung und Betrieb der Software berücksichtigt.
5.5. Auftragskontrolle
Der Auftragsverarbeiter verarbeitet die eingereichten Daten gemäß dem geschlossenen Vertrag und gewährleistet hierbei die gesetzlichen Vorschriften und per Vertrag definierten Anforderungen im Rahmen der Weisungen des Verantwortlichen. Die berta & rudi -Plattform verfügt über eine Administrationsoberfläche, über die der Verantwortliche sein Kundenkonto verwalten kann. Der Verantwortliche legt seine Zugangsdaten bei der initialen Erstellung in seinem Nutzerkonto selbst fest. Nur wer über diese Zugangsdaten verfügt, kann im Rahmen der zugeordneten Berechtigung Kundendaten eingeben, verändern oder löschen. Für sonstige Aufträge, welche der Verantwortliche nicht selbständig über die Administrationsoberfläche durchführen kann, gilt die Schriftform.