...
Ein unbefugter Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, ist zu verhindern, wobei der Begriff „Zutritt“ räumlich zu verstehen ist. Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:
Franke und Bornberg Die fb research GmbH betreibt ihre Infrastruktur auf insgesamt vier Standorten verteilt:
...
Dieses Rechenzentrum ist nach der Prüfungsnorm: ISO/IEC 27001:2013 bis zum 06.06.2023 zertifiziert. Das Zertifikat hat die Registriernummer: 01 153 1401987
2.) Hauptzentrale der Franke und Bornbergfb research GmbH
Die Firmenräume sind durch eine Alarmanlage und Sicherheitsschlösser abgesichert. Der Serverraum ist gesondert durch eine einbruchgesicherte Tür mit gesonderter Schließanlage gesichert. Schlüssel zu dem Serverraum haben nur die Administratoren und die Geschäftsführung.
...
Dieser Standort dient für das Verfügbarkeitsmonitoring der von Franke und Bornberg der fb research GmbH betriebenen Services und unterliegt keinem besonderen Schutzniveau da keine personenbezogenen Daten im Sinne der DSGVO dort verarbeitet werden. Weiterhin werden hier die reinen Homepages der diversen Domains (z.B. www.frankefb-bornbergresearch.de, www.vers-award.de etc.) gehostet welche keine personenbezogenen Daten im Sinne der DSGVO verarbeiten oder speichern.
...
Für spezielle Bereiche nutzt Franke und Bornberg die fb research GmbH Clouddienste von Amazon Web Services in Frankfurt. Der Zutritt zu den Rechenzentren unterliegt der Regelung von Amazon Web Services. In der Cloud werden keine personenbezogenen Daten im Sinne des DSGVO gehalten.
...
Alle Komponenten der Infrastruktur sind durch Beschränkungen der Zugangswege und Usernamen/Passwörter abgesichert. Direkten Zugang zu den Servern haben ausschließlich die Administratoren und mit reduzierten Berechtigungen die Releasemanager. Administrativer Zugang ist nur für Computer aus der Hauptzentrale über VPN möglich.
Alle von Franke und Bornberg der fb research GmbH betriebenen Services sind durch Firewalls abgesichert welche alle Zugriffswege außer http/https gegen "Welt" sperren.
...
Unerlaubte Tätigkeiten in Datenverarbeitungssystemen außerhalb eingeräumter Berechtigungen sind zu verhindern. Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:
Franke und Bornberg Die fb research GmbH arbeitet über alle Bereiche mit rollenbasierten Zugriffsrechten. Durch die strikte Trennung von Kunde, Fachbereich, Service, Entwicklung und Administration wird sichergestellt dass niemand auf Daten zugreifen kann auf die kein Zugriff erforderlich ist. Nutzer der Anwendungen haben grundsätzlich nur die Berechtigung auf ihre eigenen Daten zuzugreifen.
...
Der Zugriff von Anwendern der Services geschieht einzig über Webbrowser und hat daher keinen Kontakt zu angeschlossener Hardware der Franke und Bornbergfb research GmbH.
Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten. Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:
...
Soweit nicht anders mit dem Kunden vereinbart, werden alle Daten der Franke und Bornberg fb research-Anwendungen in denselben Systemen gehalten. Die Datentrennung erfolgt durch eine logische Trennung der Mandanten und Services auf Basis von Berechtigungen im Bereich Datenbankzugriffe und Zugriffe auf Dateiebene.
...
Für alle Systeme gibt es Entwicklungs- und Testsysteme die einen getrennten Weiterentwicklungsworkflow ermöglichen.
Alle Services von Franke und Bornberg derfb research GmbH haben eigene Berechtigungen mit der dazugehörigen Trennung der Datenbanken soweit möglich.
...
Um ein unbefugtes Lesen zu verhindern kommunizieren alle von Franke und Bornberg der fb research GmbH betriebenen Services über TLS-verschlüsselte Kommunikationswege. Die Hauptzentrale ist über ein AES256 verschlüsseltes VPN mit den Rechenzentren verbunden. Der Mailversand der Services erfolgt über einen selbst betriebenen SMTP-Relayhost. Aus Sicherheitsgründen ist der Relayhost nur intern erreichbar und steht somit nur den eigenen Services zur Verfügung. Optional steht eine S/MIME Verschlüsselung für einzelne Empfangsadressen oder ganze Zieldomänen zur Verfügung.
...
Alle Aktivitäten des Kundenservice von Franke und Bornberg der fb research GmbH werden bei den entsprechenden Kunden vermerkt. Diese Logdaten können nicht von den Mitarbeitern nachträglich bearbeitet werden.
...
Um den Anforderungen an einen umfassenden Schutz vor Virenbefall sicher zu stellen, hat Franke und Bornberg die fb research GmbH einen mehrstufigen Virenschutz implementiert, um die verschiedenen Eingangskanäle abgesichert zu haben.
...
Alle Services erheben nur die Daten die für den Betrieb der Services notwendig sind. Eine toolspezifische Auflistung kann hier eingesehen werden: https://wiki.fb-portal.de/display/FBR/Leistungsbeschreibungenin den Leistungsbeschreibungen eingesehen werden (Link).
Auftragskontrolle
Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten. Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Unterauftraggeber:
...