1.    Vertraulichkeit (Art. 32 Abs. 1b DSGVO)

Zutrittskontrolle

Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.

Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:

• Betrieb des Dienstes auf Servern in einem Colocation-Rechenzentrum (RZ)
• Zutrittskontrollsystem mit Videokamera, Gegensprechanlage und Magnetkartenleser / personengebundenen Transponderkarten
• Zutritt zum RZ nur für bestimmte berechtigte Personen und nur nach vorheriger schriftlicher Anmeldung
• Zeitlich limitierte Gewährung des Zutritts
• Ausschließlich begleiteter, beaufsichtigter und dokumentierter Zutritt für Fremdpersonal und Besucher zum RZ
• Verwaltung und Protokollierung von Zutrittsanforderungen durch RZ-Anbieter
• Einbruchsüberwachung (umfasst die Sicherung der Türen und ggf. vorhandenen Fenster, der Belüftungs- und Kabelschächte)
• Kontinuierliche Bestätigung des Aufenthalts durch Totmannschaltungen

Zugangskontrolle

Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern.

Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:

• Unterscheidung nach Benutzerrollen
  • Zugriff für Portaluser/Endnutzer nur über Webfrontend
  • Zugriff innerhalb des Firmennetzwerkes
    • zur Systempflege ausschließlich über Webfrontend
    • als Administrator auf Betriebssystemebene ohne Zugriff auf das Webfrontend; kein Zugriff für Administrationszugänge über das Internet, nur lokal und verschlüsselt über Firmennetzwerk von dedizierten Clients
  • Deaktivierung von Standardaccounts (auch root Zugänge) aus Sicherheitsgründen
  • Authentifizierung stets durch Username / sichere Passwörter (mindestens acht Zeichen, Groß- und Kleinbuchstaben, Ziffern, Satzzeichen)
  • Bei mehrmaligen fehlerhaften Authentifizierungsversuchen an Terminals Sperrung für definierten Zeitraum
  • Protokollierung erfolgloser Zugangsversuche

Zugriffskontrolle

Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.

Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:

• Zugriff von anderen Nutzern als Administratoren nur nach vorheriger Freigabe durch Administratoren und nur für jeweiligen Aufgabenbereich
• Festlegung des Zugriffs für bestimmte Person, Aufgabe und Zeitraum
• Vergabe und Entzug von Zugängen stets durch hierarchisch nächst höhere Stelle im Organigramm
• Trennung der Administration vom operativen Geschäft
• Keine wiederverwendbaren Zugänge
• Zugriffsberechtigungen nach Nutzerrollen
• Releasemanagerkonzept: Kein Programmierer hat direkten Zugriff auf die Systemebene des Dienstes um Code freizuschalten; Freigaben durchlaufen einen Stagingprozeß der die Qualität der Anwendungen sicherstellt; Anwendungsadministratoren sind von Systemadministratoren getrennt

Trennungskontrolle

Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten. Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:

• Sämtliche Prozesse, die für den Betrieb des Dienstes notwendig sind, sind spezifiziert (Kontakt mit Auftraggebern, Analyse von Produkten, Freischaltung von Anwendungen etc.)
• Keine Kundendatenverarbeitung in den Geschäftsräumen des Auftragnehmers

Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1a DSGVO; Art. 25 Abs. 1 DSGVO)

Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

• Einsatz von Verschlüsselungsmechanismen im Rahmen der Verarbeitung personenbezogener Daten:

Pseudonymisierung

• Protokolldateien der Services haben ausschließlich eine ID zur Unterscheidung der Nutzer.
• Endkundendaten werden generell nicht protokolliert
• Casedaten werden pseudonymisiert bis zum Ablauf oder weiteren Verabeitung gespeichert.

2. Integrität (Art. 32 Abs. 1 b DSGVO)

Weitergabekontrolle

Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, Übermittlungskontrolle

Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:

• (Arbeits-)vertragliche Verpflichtung der Mitarbeiter auf das Datengeheimnis
• Protokollierte Datenübertragung über spezifizierte Schnittstellen
• Verschlüsselter Datenstrom zum Nutzer per TLS
• Firewalls, nur Zulassung erlaubten Datenverkehrs
• Keine Übermittlung von Daten an Stellen außerhalb der EU
• Löschung temporärer Zwischenspeicher
• Verhinderung des Zugriffs auf mobile Datenspeicher innerhalb des Unternehmens
• Dokumentierte Datenträgerverwaltung
• Kein Versand von Kundendaten
• Physikalische Zerstörung von Datenträgern nach Außerdienststellung, im Übrigen Löschung gemäß BSI-Spezifikation

Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.

Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:

• Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt wurden, sind für den Dienst nicht relevant, da nur die Portalnutzer unter Eingabe ihres Benutzernamens / Passwortes ihre persönlichen Daten ändern können.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1b DSGVO)

Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.

Maßnahmen zur Datensicherung (physikalisch / logisch):

• Der Sourcecode der Services wird in einem zentralem Repository gehalten und kann von dort jederzeit neu publiziert werden
• Datenbanken werden nächtlich gesichert
• Die notwendige Infrastruktur für den Betrieb ist redundant ausgelegt und lässt sich bei Bedarf skalieren

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutz-Management;

• Der vertragsgegenständliche Service wurde bereits im Design auf Datenschutzprinzipen ausgerichtet und ist soweit wie möglich aus Sicht des Endkunden anonym.
• Alle Funktionserweiterungen durchlaufen einen strengen Prozeß zur Implementierung der auch die DSGVO beachtet
• Alle Serverlogdateien werden regelmäßig gesichtet ob und welche Informationen bei Systemfehlern protokolliert werden

Incident-Response-Management (Art.33 Abs. 1 DSGVO);

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragnehmer unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Art. 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung nicht binnen 72 Stunden, fügt der Auftragnehmer eine Begründung für die Verzögerung bei.

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);

• Alle Services erheben nur die Daten die für den Betrieb der Services notwendig sind.
• Fragen haben keine Voreinstellung und müssen beantwortet werden unabhängig ob sie positiv oder negativ beantwortet werden

Auftragskontrolle

▪          Keine Auftragsverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, Nennung des Dienstleisters, Vorabüberzeugungspflicht.

▪          Verpflichtung der Mitarbeiter zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO)

▪          Beim Einsatz von Subunternehmern werden schriftliche Vereinbarungen zur Auftragsdatenverarbeitung geschlossen, die eingesetzten Subunternehmer sind dem Auftraggeber abschließend benannt.