UNSERE DATENSCHUTZSTANDARDS
Grundsätzliches
Wir stellen die Umsetzung und Einhaltung der geforderten technischen und organisatori-schen Maßnahmen gemäß § 32 DSGVO sicher. Dazu gehören Maßnahmen, die dazu die-nen, für die fortlaufende Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Verarbei-tungssysteme und Dienste zu sorgen. Zu den geeigneten technischen und organisatori-schen Maßnahmen zählen beispielsweise Pseudonymisierung und Verschlüsselung der personenbezogenen Daten.
Dokumentation und Revision
Wir verwenden Verfahren und Dokumentationen, die eine regelmäßige Prüfung, Beurtei-lung und Bewertung der Wirksamkeit der eingeführten technischen und organisatorischen Maßnahmen vorsehen, damit die Sicherheit der Verarbeitung gewährleistet wird.
Schulung
Wir führen halbjährlich Schulungen zum Thema Datenschutz und Datensicherheit durch.
Physischer Zugang zu Servern
Der physische Zugang zu Servern ist durch unseren Cloud-Dienstleister gewährleistet. Seine Server stehen in Irland.
Physischer Zugang zu Datenträgern
Datenträger werden an sicheren Standorten aufbewahrt, an denen starke physische Zutrittskontrollen stattfinden.
Speicher
• Der Zugang zu sämtlichen Kundendiensten und Daten wird durch ein Identitäts-Management geschützt. Dieses beinhaltet die Durchsetzung des IT-Berechtigungskonzepts und sieht starke Authentifizierungsmaßnahmen entsprechend dem Unternehmensstandard vor.
• Alle Zugangsrechte und Autorisierungen für Benutzer der IT-Systeme werden einmal pro Jahr geprüft und neu zertifiziert; hochprivilegierte Zugangsrechte werden mindestens einmal alle sechs Monate neu zertifiziert.
Benutzer*innen
• Erfolglose Zugangsversuche werden regelmäßig ausgewertet.
• Alle Server müssen über ordnungsgemäße Sicherheitskonfigurationen verfügen und fortlaufend auf Schwachstellen untersucht werden.
• Alle festgestellten Schwachstellen werden entsprechend bearbeitet.
• Für alle Dienste werden ein Benutzername und ein Passwort benötigt, das der Passwort-Richtlinie entspricht.
• Es wurde eine Passwort-Richtlinie eingeführt, die folgende Anforderungen enthält:
– Passwörter dürfen niemandem mitgeteilt werden. Alle Passwörter sind als sensible, vertrauliche Informationen zu behandeln.
– Standardpasswörter müssen unverzüglich geändert werden.
– Alle Passwörter auf Bedienerebene müssen mindestens einmal alle sechs Monate geändert werden. Bei kritischer Zugangsberechtigung muss die Änderung einmal pro Quartal erfolgen.
– Passwörter müssen Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen enthalten und mindestens zwölfstellig sein.
Arbeitsplatz-Richtlinie
• Es wurde eine Arbeitsplatz-Richtlinie eingeführt, die folgende Anforderungen enthält:
– Passwörter dürfen nur der betreffenden Person bekannt sein und niemandem sonst mit-geteilt werden. Alle Passwörter sind als sensible, vertrauliche Informationen zu behan-deln.
– Standardpasswörter müssen unverzüglich geändert werden.
– Alle Passwörter auf Bedienerebene müssen mindestens einmal alle sechs Monate ge-ändert werden. Bei kritischer Zugangsberechtigung muss die Änderung einmal pro Quar-tal erfolgen.
– Passwörter müssen Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen enthalten und mindestens zwölfstellig sein.
Datenzugriff
Wir stellen sicher, dass die Personen nur auf Daten zugreifen, für die ihre Zugangsberechtigung gilt:
• Ein Zugang zu Ressourcen darf nur gewährt werden, wenn die Person, die den Zugang benötigt oder anfordert, berechtigt ist, auf die entsprechende Ressource zuzugreifen.
• Die Benutzerzugangsberechtigungen für die Systeme und Daten, einschließlich der Ab-zeichnung durch Vorgesetzte und der Gewährung von Zugangsrechten, werden im Rah-men eines vordefinierten Arbeitsflusses angefordert, geändert oder widerrufen.
• Ein Benutzerkonto darf ausschließlich einem bestimmten Benutzer zugewiesen werden, Gruppenkonten (z. B. Administrationskonten) sind nicht zulässig.
• Alle Benutzer müssen konkreten Gruppen zugewiesen sein.
Datenweitergabe
Wir stellen sicher, dass personenbezogene Daten geprüft und bestätigt werden können, wenn deren Weitergabe beabsichtigt ist und die betroffenen Parteien ihre personenbezo-genen zu diesem Zweck zur Verfügung gestellt oder übermittelt haben:
• Das gesamte Personal ist dafür verantwortlich, sicherzustellen, dass Daten nur dann kommuniziert werden, wenn:
– dies unter Verwendung von vordefinierten Kommunikationstechnologien erfolgt
– ein eindeutiger rechtmäßiger oder geschäftlicher Zweck verfolgt wird
– der entsprechende Mitarbeiter eine Vertraulichkeitsvereinbarung unterzeichnet hat, mit der er die Verantwortung für den Schutz der Daten übernimmt
– dies im Einklang mit den bestehenden Vertraulichkeitsvereinbarungen steht
– der Empfänger befugt ist, die Daten zu erhalten
– dies nicht gegen die Sicherheitsprinzipien verstößt, die während der Sicherheitsschulung erläutert wurden.
• Das IT-Personal ist berechtigt, direkt mit Servern oder Applikationen zu kommunizieren, wenn:
– die Verbindung durch starke Verschlüsselung gesichert ist
– die Authentizität des Servers oder der Applikation verifiziert wurde.
• Die Kommunikation von Daten an Mitarbeiter von Nichtkunden oder Unternehmen ist nur dann zulässig, wenn die betreffende Partei die Sicherheit der übersendeten Daten garantieren kann.
• Die IT-Infrastruktur wird durch Firewalls vor unbefugter elektronischer Weiterleitung geschützt.
• Die IT-Infrastruktur wird durch Deaktivierung nicht benötigter Ports und durch Trans-portprotokolle geschützt.
Datenbearbeitung
Wir stellen sicher, dass nachvollzogen werden kann, ob und von wem personenbezogene Daten in die DV-Systeme eingegeben und ob und von wem diese personenbezogenen Daten geändert oder gelöscht wurden.
• Die Datenverarbeitungssysteme können nur verwendet werden, wenn die Benutzer vorher starken Identi-fizierungs- und Authentifizierungskontrollen unterzogen wurden.
• Es wurde eine Backup- und Aufbewahrungsrichtlinie eingeführt, in der die Verfahren für Datenbackups und die sichere Datenspeicherung während der Aufbewahrungsfrist defi-niert werden.
Transport
Wir stellen sicher, dass während der Weiterleitung personenbezogener Daten und wäh-rend des Transports von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt wird:
• Es wurden Richtlinien und Verfahren eingeführt, die sicherstellen, dass
– die Daten, die über öffentliche Netzwerke verschickt werden, mithilfe starker Ver-schlüsselung und gültiger und korrekter Zertifikate, die mindestens einmal im Quartal getestet sind, verschlüsselt werden,
– alle Authentifizierungsdaten verschlüsselt sind,
– alle Mitarbeiter und Partner über ihre Verantwortung Bescheid wissen.
• Eine Kommunikation von Daten in physischer Form (USB-Sticks, CDs etc.) erfolgt nicht.
Zuverlässigkeit
Wir stellen sicher, dass alle Funktionen der Datenverarbeitungssysteme betriebsbereit sind und sie betreffende Störfälle gemeldet werden, und zwar durch:
• von einem Störfall-Managementbeauftragten anzuwendende Verfahrensweisen, die auch Bestimmungen über Eskalationsverfahren und einen Aufrufbaum umfassen
• Verfahren für das Störfall-Management
• Verfahren für das Sicherheitsinformationen- und Ereignismanagement (SIEM) für den Fall von Sicherheitsverstößen, Informationsverlust, unbefugter Offenlegung und anderen Notfällen
• ein standardisiertes Änderungsmanagement und Testverfahren zur Sicherstellung der Dienstleistungserbringung ohne Unterbrechungen.
Datenintegrität
Wir stellen sicher, dass gespeicherte personenbezogene Daten nicht durch Systemfehlfunktionen korrumpiert werden, und zwar durch:
• eine redundante Infrastruktur des Datenzentrums und ein ausfallgesichertes Datenzent-rum
• die Anwendung von Datenbank-Managementtechniken, die die Wiederherstellung der Daten im Fall von Systemfehlfunktionen ermöglichen.
DV-Auftrag Wir tragen dafür Sorge, dass personenbezogene Daten nur entsprechend den Anweisun-gen des Kunden verarbeitet werden können, und zwar durch:
• die Regelung aller Aufträge für die Verarbeitung von personenbezogenen Daten in schriftlichen Verträgen
• die Regelung der Grundanforderungen bezüglich Haftung, Abtretung von Zuständigkei-ten, Sicherheitsanforderungen und Maßnahmen sowie Kontrollrechten
• die Unterstützung der Vergabebehörden bei der Ausübung ihrer Kontrollrechte
• die Unterstützung des Datenschutzbeauftragten unserer Kunden
• die Verifizierung der Einhaltung der vertraglichen Verpflichtungen.
Verfügbarkeit
Wir tragen dafür Sorge, dass die personenbezogenen Daten gegen zufälligen Untergang oder Verlust durch Regeln für Geschäftskontinuität und Notfallwiederherstellung auf der Grundlage einer Analyse der Geschäftsauswirkungen (BIA) geschützt sind.
Unsere Analyse der Geschäftsauswirkungen umfasst Folgendes:
• die Definition des Umfangs der Vermögenswerte und eine Identifizierung der in die-sem Umfang enthaltenen Vermögenswerte
• eine Identifizierung der bestehenden oder geplanten IT-Werte, Daten und Kontrollflüsse sowie deren jeweiliger Status
• eine Identifizierung der dargestellten Bedrohungen, der Arten von Bedrohungen und deren Quellen
• eine Einschätzung der Auswirkungen, die ein Verlust der Vertraulichkeit, der Integrität, der Authentizität oder der Verfügbarkeit nach sich ziehen könnte
• abgeleitete Schutzmaßnahmen für den Fall solcher Auswirkungen.
Unser Datenschutzzentrum hat geeignete Umweltkontrollen eingeführt, unter anderem:
• automatische Branderkennungsmechanismen
• Schutzmaßnahmen gegen Wasserschäden
• Einheiten für eine unterbrechungsfreie Stromversorgung (UPS)
• Klima- und Temperatursteuerungen
• Überwachung der Umweltbedingungen der Server.
Wir stellen sicher, dass für verschiedene Zwecke erhobene Daten getrennt verarbeitet werden:
• Getrennte Datenverarbeitung für verschiedene Kunden
• Zugang zu den Verarbeitungssystemen nur nach starken Identifizierungs- und Authentifizierungskontrollen für unser Personal
• Durchführung von Funktions- und Nichtfunktionstests
• Ein standardisiertes Verfahren für das Fehlermanagement.
Berlin im Mai 2020
