Technical and Organizational Measures
Last Updated: Juni, 2024
Nachfolgend stellt der Auftragnehmer die technischen und organisatorischen Maßnahmen dar, die jeweils in unserem Verantwortungsbereich oder im Rechenzentrum des unter Art. 6 Abs. 2 genannten Unterauftragnehmers getroffen worden sind.
Vorbemerkung
Diese Dokumentation beschreibt die als verbindlich festgelegten technischen und organisatorischen Maßnahmen im Zusammenhang mit durchgeführten Auftragsverarbeitungsvorgängen zwischen Auftraggeber und Auftragnehmer. Die dargestellten Maßnahmen stellen somit ein Abbild des gelebten Datenschutz- und Datensicherheitskonzept der Founders1 GmbH dar.
Der Auftragnehmer ist ein vollständig verteiltes, mobil arbeitendes Unternehmen, das keine eigenen Büroräumlichkeiten unterhält. Der Auftragnehmer handelt nach einer strengen Vorgabe in Bezug auf das Prinzip des Papierlosen Arbeitens.
Als verteiltes und mobiles Unternehmen betreibt der Auftragnehmer ebenso keinerlei interne Kommunikations- und/oder Büroinfrastruktur.
Der Auftragnehmer betreibt seine Software ausschließlich in Cloud-Infrastrukturen, im Rahmen dieses Vertrages Microsoft Azure. Der Auftraggeber betreibt keine eigenen Rechenzentren.
Wo zutreffend verweisen die Technisch Organisatorischen Maßnahmen entsprechend auf diese Rahmenbedingungen.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
A) Zutrittskontrolle
Mit Verweis auf die Präambel treffen Maßnahmen zur Zutrittskontrolle zu Datenverarbeitungsanlagen und Büro- und Geschäftsräume nicht auf den Auftragsnehmer zu.
Der Auftragnehmer betreibt kein eigenes Rechnenzentrum. Software wird bei Microsoft Azure betrieben. Die Antworten beziehen sich auf MS Azure –Datacenter Security und MS Azure – Datacenter Physical Access Security (Stand Juni 2024).
☑ Zutritt zum Gebäude nur durch Legitimation über eine persönliche Code-Karte (RFID) https://learn.microsoft.com/en-us/compliance/assurance/assurance-datacenter-security
☑ Besucher können nur nach vorheriger Anmeldung das Gebäude betreten. Während des gesamten Aufenthalts begleitet mindestens ein Mitarbeiter die Gäste, welche einen gesonderten Ausweis erhalten, der jedoch keinen Zutritt zu geschützten Bereichen ermöglicht
☑ Wachschutz 24h/Tag, 365 Tage im Jahr, Kontrollgänge werden durchgeführt
☑ Alarmanlagensystem mit Aufschaltung auf örtliche Polizeidienststellen
☑ abgesichertes Rechenzentrum mit eigenem Eingang, geschützt durch speziell codierte Zugangskarten (personenbezogen, RFID)
☑ Schleusensystem, Kameraüberwachung und Protokollierung von Zugängen sichern den Aufenthalt ab
☑ Serverracks sind verschlossen und werden nur im Bedarfsfall geöffnet. Die Schlüssel zu den Racks liegen in einem verschlossenen Safe, zu dem nur autorisierte Personen Zugang haben
B) Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
☑ Login mit Benutzername sowie geeignetem Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, bedarfsorientierter Wechsel des Kennworts)
☑ Einsatz aktueller Antivirus-Client (Endpoint-Security)
☑ Automatische Bildschirm- bzw. Desktopsperre
☑ Verwalten von Benutzerberechtigungen durch Systemadministratoren
☑ Erstellen von Benutzerprofilen (insbesondere Einrichtung eines Benutzerstammsatzes pro User)
☑ Richtlinie für die Erstellung und Verwendung sicherer Passwörter sowie Logindaten
☑ Richtlinie für einen aufgeräumten Schreibtisch (Clean-Desk-Policy)
Alle IT-Systeme und Applikationen des Auftragnehmers sind erst nach vorheriger Authentifizierung zugänglich.
Die Mindestpasswortlänge beträgt derzeit 20 Zeichen. Passwörter müssen zudem komplex sein (Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen).
Alle Server-Systeme sind mit Firewall-Technologie (Hardware) gesichert. Auf allen Systemen ist moderne Antiviren-Software installiert, bei der eine regelmäßige Aktualisierung gewährleistet ist.
C) Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
☑ Aktenvernichter (Sicherheitsstufe 5 nach DIN 66399)
☑ Einsatz externer Datenvernichter zur Löschung / Vernichtung von Daten und Datenträgern wie Festplatten, PCs, Notebooks und sonstiger Speichermedien (zertifiziert, AVV erforderlich)
☑ Protokollierung der Zugriffe auf Anwendungen, insbesondere von Eingabe, Änderung und Löschung von Daten
☑ Einsatz eines Berechtigungskonzepts inkl. Rollendefinition
☑ Kontrolle der ordnungsgemäßen Löschung von Daten und Vernichtung von Datenträgern anhand von Stichproben
☑ minimale Anzahl an Administratoren (Begrenzung auf die unbedingt erforderliche Anzahl)
Die Protokollierung erfolgt im jeweiligen System oder, sofern technisch nicht möglich, an separater Stelle.
Ein Berechtigungskonzept ist im Einsatz. Alle Applikationen und Datenbanken sehen eine differenzierte Einräumung von Berechtigungen vor (Profile, Rollen, Transaktionen und Objekte). Im Verantwortungsbereich des Auftragnehmers werden Berechtigungen ausschließlich nach dem „Need-to-know-Prinzip“ vergeben.
Bei ausscheidenden Mitarbeitenden wird dafür Sorge getragen, dass die Berechtigungen rechtzeitig wieder entzogen werden.
Die Zugriffsrechte von Datenbanknutzern sind auf das Notwendigste reduziert, um die Integrität der Daten bestmöglich zu gewährleisten.
D) Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.
Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:
☑ Trennung von Produktiv- und Testumgebung
☑ Physikalische Trennung von Systemen, Datenbanken und Datenträgern
☑ Strikte räumliche Trennung von Arbeitsplätzen und Servern
☑ Mandantenfähigkeit relevanter Anwendungen
☑ Steuerung über Berechtigungskonzept
☑ Festlegung/Zuweisung von Datenbankrechten
☑ Datensätze sind mit Zweckattributen versehen (so dass eine zweckgebundene Verarbeitung jederzeit gewährleistet ist)
Eine Trennung der Daten ist so jederzeit gewährleistet.
E) Pseudonymisierung (Art. 32 Abs. 1 lit. DSGVO, Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt, sofern der Anforderungsfall dies zulässt, in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen:
☑ Soweit Pseudonymisierung verwendet wird: Trennung der jeweiligen Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten Systemen (unter Verwendung einer geeigneten Verschlüsselung
Eine Pseudonymisierung wird je nach Schutzbedarf der personenbezogenen Daten angewendet.
2. Integrität (Art. 32. Abs. 1 lit. b DSGVO)
A) Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
☑ Einsatz von VPN geschützten Verbindungen (Virtual Private Network)
☑ Bereitstellung von Daten mittels verschlüsselter Verbindungen wie sftp, https etc.
☑ https verschlüsselte Datenübertragung über Website und Webapp
☑ Einsatz von aktueller Firewall
Alle selektierten Punkte werden vom Auftragnehmer erfüllt.
Der Auftragnehmer gibt grundsätzlich keine Daten an Dritte weiter, sofern dies nicht zu den Vertragspflichten gegenüber dem Auftraggeber gehört.
Es werden verschlüsselte Verbindungen zur Nutzung der Applikation verwendet.
B) Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.
Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:
☑ Stichproben und Anlass basierte Kontrolle von Protokollen
☑ Sicherstellung durch Übersicht mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
☑ Die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten wird durch individuelle Benutzernamen mit einem Benutzer gewährleistet
☑ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
☑ Klare Zuständigkeiten für Vornahme/Kontrolle/Protokollierung von Löschungen
☑ Protokollierung und Nachvollziehbarkeit von Eingaben, Änderungen und Löschung von Daten (durch Logfiles). Der Zugriff auf Datenbestände erfolgt anhand von Berechtigungen. Das Verfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden können
Die Eingabe, Änderung und Löschung von Daten werden, soweit technisch und unter angemessenem Aufwand möglich, protokolliert. Vornahmen von Eingaben oder Datenveränderungen können Nutzern zugeordnet werden.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.
Der Auftragnehmer betreibt kein eigenes Rechnenzentrum. Software wird bei Microsoft Azure betrieben. Die Antworten beziehen sich auf MS Azure –Datacenter Security und MS Azure – Datacenter Physical Access Security (Stand Juni 2024).
Backup und Recovery-Konzepte sind implementiert und werden, gemäß der Business Continuity Policy regelmäßig getestet.
Maßnahmen zur Datensicherung (physikalisch/logisch):
☑ Moderne Feuer- und Rauchmeldeanlage (Büros (n.a.) / Rechenzentrum)
☑ Inertgas-Löschanlage (Rechenzentrum)
☑ Klimatisierter Serverraum (Rechenzentrum)
☑ USV (Unterbrechungsfreie Stromversorgung, insbesondere Rechenzentrum)
☑ RAID System (gespiegelte Festplatten, Rechenzentrum)
☑ Serverräume sind hochwassergeschützt errichtet (Rechenzentrum)
☑ Videoüberwachung Serverraum (Rechenzentrum)
☑ Alarmmeldung bei unberechtigtem Zutritt zu Serveräumen (Rechenzentrum)
☑ Sprinkleranlage (Rechenzentrum)
☑ Brandklasseneinteilung (Kennzeichnung besonders gefährdeter Räume, Rechenzentrum)
☑ Feuerlöscher an/in den PC-Arbeitsräumen (Rechenzentrum / Büros)
☑ Einsatz eines geeigneten Antiviren-Programms
☑ Bestehendes Backup & Recovery-Konzept
☑ Regelmäßige Test zur Datenwiederherstellung und Protokollierung der Ergebnisse
☑ Keine sanitären Anschlüsse im oder oberhalb der Serverräume
☑ Vorliegen eines geeigneten Notfallplans
☑ Getrennte Partitionen für Betriebssysteme und Daten
Alle eingesetzten Serversysteme arbeiten mit gespiegelten Festplattensystemen (RAID). Das Backup-Konzept sieht mindestens eine tägliche inkrementelle und eine wöchentliche Vollsicherung vor. Ausgelagerte Backups werden zudem verschlüsselt.
Alle Serversysteme im Rechenzentrum verfügen über eine unterbrechungsfreie Stromversorgung (Akkus und Dieselgeneratoren).
Ein Inergen-Gas basierendes Feuerlöschsystem mit Aufschaltung auf örtliche Feuerleitstellen ist im Einsatz.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
A) Datenschutz-Management
☑ Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Intranet, Collaboration-Software etc.)
☑ Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
☑ Regelmäßige und dem individuellen Bedarf angepasste Schulung der Mitarbeiter zum Datenschutz
☑ Durchführung Datenschutz-Folgenabschätzung soweit erforderlich
☑ Erfüllung sämtlicher Informationspflichten nach Art. 13 und 14 DSGVO
☑ Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen durch Betroffene
Alle selektierten Maßnahmen werden umgesetzt und regelmäßig überprüft und bei Änderungsbedarf entsprechend angepasst. Die getroffenen Maßnahmen werden entsprechend protokolliert.
B) Incident-Response-Management
☑ Einsatz von Firewall und regelmäßige Aktualisierung (s. auch Zugriffskontrolle)
☑ Einsatz von Spamfilter und regelmäßige Aktualisierung
☑ Einsatz geeigneter sowie regelmäßig aktualisierter Antivirus-Software (mit Virenscanner)
☑ Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (dieser berücksichtigt ebenfalls Meldepflicht gegenüber Aufsichtsbehörde und Betroffenen)
☑ Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
☑ Einbindung von DSB und der IT-Sicherheit in Sicherheitsvorfälle und Datenpannen
☑ Dokumentation von Sicherheitsvorfällen und Datenpannen (u.a. Ticketsystem)
☑ Definierter Prozess sowie Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen
Sämtliche selektierten Maßnahmen werden umgesetzt sowie die Verfahren in einem angemessenen Umfang auf Aktualität und insbesondere deren Wirksamkeit hin überprüft.
C) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Privacy by design & Privacy by default:
☑ Die Gestaltung und Voreinstellungen von Softwares und anderen Verarbeitungsvorgängen gewährleisten, dass lediglich solche personenbezogenen Daten verarbeitet, die für den jeweiligen Zweck auch tatsächlich erforderlich sind
☑ Technische Maßnahmen gewährleisten die einfache Ausübung des Widerrufsrechts von Betroffenen
D) Auftragskontrolle (Outsourcing)
☑ Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen sowie der Dokumentation (Vorabüberzeugungspflicht)
☑ Sorgfältige Auswahl des Auftragnehmers (insbesondere hinsichtlich Datenschutz und Datensicherheit)
☑ Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln
☑ Weisungen an den Auftragnehmer erfolgen grundsätzlich ausschließlich schriftlich oder in Textform (mündliche Weisungen werden zusätzlich entsprechend schriftlich oder in Textform erteilt)
☑ Verpflichtung der Mitarbeiter des Auftragnehmers auf den Datenschutz & Vertraulichkeit
☑ Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen einer Bestellpflicht
☑ Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
☑ Regelung zum Einsatz weiterer Subunternehmer
☑ Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus bei längerer Zusammenarbeit
☑ Sicherstellung der Löschung /Vernichtung von Daten nach Beendigung des Auftrags
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters und Vorabüberzeugungspflicht.
Stand: 06.2024