1.
...
Vertraulichkeit (Art. 32 Abs. 1 lit.
...
b DSGVO)
Zutrittskontrolle
Ein unbefugter Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, ist zu verhindern, wobei der Begriff „Zutritt“ räumlich zu verstehen ist. Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:
...
Die Firmenräume sind durch eine Alarmanlage und Sicherheitsschlösser abgesichert. Der Serverraum ist gesondert durch eine einbruchgesicherte Tür mit gesonderter Schließanlage gesichert. Schlüssel zu dem Serverraum haben nur die Administratoren und die Geschäftsführung.
43.) Angemietete Infrastruktur bei hetzner (www.hetzner.de)
Dieser Standort dient für das Verfügbarkeitsmonitoring der von Franke und Bornberg betriebenen Services und unterliegt keinem besonderen Schutzniveau da keine personenbezogenen Daten im Sinne der DSGVO dort verarbeitet werden. Weiterhin werden hier die reinen Homepages der diversen Domains (z.B. www.franke-bornberg.de, www.vers-award.de etc.) gehostet welche keine personenbezogenen Daten im Sinne der DSGVO verarbeiten oder speichern.
54.) Cloud Nutzung
Für spezielle Bereiche nutzt Franke und Bornberg Clouddienste von Amazon Web Services in Frankfurt. Der Zutritt zu den Rechenzentren unterliegt der Regelung von Amazon Web Services. In der Cloud werden keine personenbezogenen Daten im Sinne des DSGVO gehalten.
...
Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1a 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen:
Pseudonymisierung
- Protokolldateien der Services haben ausschließlich eine ID zur Unterscheidung der Lizenznehmer.
- Endkundendaten werden generell nicht in Logdateien gehalten.
- Casedaten werden pseudonymisiert bis zum Ablauf oder weiteren Verabeitung gespeichert.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, Übermittlungskontrolle. Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:
...
Externe Speichermedien wie z.B. USB-Sticks, DVD RW, DropBox Online-Speicherdienste sind für alle Mitarbeiter deaktiviert und müssen nach Bedarfsprüfung einzeln durch die Administration frei gegeben werden.
...
Die Lizenznehmer selbst haben ausschließlich Zugriff auf ihre Kunden. Eine Bearbeitung dieser personenbezogenen Daten durch Dritte ist nicht vorgesehen und wird programmtechnisch nicht unterstützt.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit.
...
b DSGVO)
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen. Maßnahmen zur Datensicherung (physikalisch / logisch):
...
Alle Rechenzentren betreiben eine Notstromanlage, welche die Infrastruktur gegen Stromausfall und andere Risiken wie z.B. Überspannungsschäden absichert. Zudem sind in allen Rechenzentren Brandschutz- und Klimaanlagen installiert.
...
Alle Server arbeiten auf hochverfügbaren Festplattenspeicher, der von einem Unified Storagesystem zur Verfügung gestellt wird.
Um den Anforderungen an einen umfassenden Schutz vor Virenbefall sicher zu stellen, hat Franke und Bornberg einen mehrstufigen Virenschutz implementiert, um die verschiedenen Eingangskanäle abgesichert zu haben.
...
- Auf jedem Arbeitsplatz ist eine zentral verwaltete Endpointsecurity installiert, die nur durch die Administration deaktiviert werden kann.
- Zudem überprüft die eingesetzte Firewall den Traffic auf bekannte Bedrohungen.
Von allen Systemen Datenbanksystemen werden täglich Datensicherungen durchgeführt und getrennt aufbewahrt.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit.
...
d DSGVO; Art. 25 Abs. 1 DSGVO)
Datenschutz-Management;
- Der vertragsgegenständliche Service wurde bereits im Design auf Datenschutzprinzipen ausgerichtet.
- Alle Funktionserweiterungen durchlaufen einen strengen Prozeß zur Implementierung, der auch die DSGVO beachtet.
- Alle Serverlogdateien werden regelmäßig gesichtet, ob und welche Informationen bei Systemfehlern protokolliert werden.
Incident-Response-Management (Art. 33 Abs. 1 DSGVO);
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragnehmer unverzüglich, nachdem ihm die Verletzung bekannt wurde, diese der verantwortlichen Stelle oder im Falle einer eigenverantwortlichen Arbeit gemäß Art. 55 DSGVO der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung nicht binnen 72 Stunden, fügt der Auftragnehmer eine Begründung für die Verzögerung bei.
...
Alle Services erheben nur die Daten die für den Betrieb der Services notwendig sind. Eine toolspezifische Auflistung kann hier eingesehen werden: https://wiki.fb-portal.de/display/FBR/Leistungsbeschreibungen.
Auftragskontrolle
Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten. Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Unterauftraggeber:
...
Die Arbeitsabläufe der Services sind fest vorgegeben und können nur im vorgegebenen Rahmen beeinflusst werden. Der Umfang der zur Verfügung stehen Möglichkeiten sind im Vorfeld mit dem Auftraggeber abgestimmt.
Alle Arbeiten des Kundenservice Kundenservices werden im direkten Dialog mit dem Auftraggeber durchgeführt. Eine Kontrolle findet im direkten Anschluss der Arbeiten über den Zugriff auf die Onlineservices statt.
...