Sicherheit der Verarbeitung

Technische und organisatorische Maßnahmen des Auftragnehmers

Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.

Vorabinformation
Die Auflistung gibt die durch die AZOWO GmbH umgesetzten Maßnahmen zur Sicherheit der Verarbeitung wieder. Für die Kundensysteme werden Systeme der Amazon Web Services Inc. verwendet. Die Daten der Kundensysteme liegen aus-schließlich in ISO 27001 zertifizierten Rechenzentren in Europa, die den aktuellen Sicherheitsstandards und den Anforderungen der Europäischen Datenschutzgrundverordnung entsprechen.
Hierbei wird auf die Anlagen des Rechenzentrumsbetreibers AWS (aktuelle Versionen unter den Links compliance, global-infrastructure, data-center) verwiesen.

Zugangskontrolle

„Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte“

Büroräume
Die Büroräume befinden sich am Hauptsitz des Unternehmens im zweiten Stockwerk.
Der Zutritt zum Gebäude und zu den Büroräumen ist durch ein elektronisches Schließsystem gesichert.
Die Transponder sind personalisiert, Türöffnungen und Öffnungsversuche werden protokolliert.
Kritische Büroräume (Personalabteilung, Vorstandsbereich, Lohnbuchhaltung) sind bei Nichtanwesenheit der Mitarbeiter stets verschlossen, Zutrittsberechtigungen sind nur für speziell Berechtigte vergeben.
Eine Besucherregelung ist in Kraft, Besucher müssen begleitet werden.
Es existiert eine verbindliche Sicherheitsrichtlinie für alle Mitarbeiter, die Weisungen hinsichtlich der Nutzung der Transponder und Gebäudesicherheit beinhaltet.

Rechenzentrum
Sowohl die von der AZOWO GmbH zu Verwaltungszwecken genutzten Daten als auch die Daten der Kundensysteme liegen ausschließlich in ISO 27001 zertifizierten Rechenzentren in Europa, die den aktuellen Sicherheitsstandards entsprechen.
Bezüglich der Kundensysteme verweisen wir auf die Anlagen des Rechenzentrums-betreibers AWS (aktuelle Versionen unter den Links compliance, global-infrastructure, data-center.

Datenträgerkontrolle

„Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern“

Cloud-Daten
Die in den zentralen Rechenzentren gehosteten Daten sind nur über verschlüsselte Zugänge für den eingeschränkten Kreis der Administratoren zu erreichen und werden nicht weisungsgemäß nicht weiter transportiert.

Betrieb durch AZOWO
Über die IT- und Datenschutzrichtlinie ist geregelt, dass mobile Datenträger nur verschlüsselt verwenden dürfen. Dies wird durch entsprechende IT-Systeme erzwungen.
Als Endgeräte für die Mitarbeiter werden Laptops verwendet, deren Festplatten mit aktueller Verschlüsselungstechnologie verschlüsselt sind.
Datenträger werden datenschutzkonform durch einen zertifizierten Dienstleister entsorgt.
Verwendung von zentralen Richtlinien und Steuerungsmöglichkeiten für die Anbindung von Smartphones.

Speicherkontrolle

„Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten“

Cloud-Daten
Die in den zentralen Rechenzentren gehosteten Daten sind nur über verschlüsselte Zugänge für den eingeschränkten Kreis der Administratoren zu erreichen und werden nicht weiter transportiert.
Alle Zugriffe erfolgen über Firewalls und werden durch ein Netzwerk-Monitoring-System überwacht.

Betrieb durch AZOWO
Über die IT- und Datenschutzrichtlinie ist geregelt, dass mobile Datenträger nur verschlüsselt verwenden dürfen. Dies wird durch entsprechende IT-Systeme umgesetzt.
Als Endgeräte für die Mitarbeiter werden Laptops verwendet, deren Festplatten mit aktueller Verschlüsselungstechnologie verschlüsselt sind.
Es existiert ein Virenschutzsystem auf allen Laptops mit automatisierten Updates.

Benutzerkontrolle

„Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte“

Passwörter werden in allen Systemen generell irreversibel und verschlüsselt gespeichert (Hash-Werte).
Login nur mit den Passwortregeln entsprechendem Benutzername/Kennwort möglich.
Es existiert eine verbindliche Passwortrichtlinie im Rahmen der IT- und Datenschutzrichtlinie im Unternehmen.
Die Passwörter entsprechen Komplexitätsrichtlinien und müssen regelmäßig geändert werden.
Unbenutzte Konten werden durch die IT-Administration regelmäßig deaktiviert.
Bei Erkennung von Missbrauch besteht die Möglichkeit der zentralen Deaktivierung von Benutzerkonten und dadurch zentraler Steuerung der Zugriffserlaubnis für Benutzer.

Zugriffskontrolle

„Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben“

Es existiert ein dokumentierter Berechtigungsvergabeprozess – Beantragung von Berechtigungen werden in einem Ticketsystem durchgeführt und protokolliert.
Berechtigungen werden stets am Minimalprinzip ausgerichtet und regelmäßig überprüft.

Übertragungskontrolle

„Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können“

Die personenbezogenen Daten des Auftraggebers verbleiben im zentralen Rechenzentrum und werden nicht an andere Systeme übertragen.

Die Zugriffe durch die Endgeräte und Benutzer werden durch ein Firewall-System geleitet. Es existiert ein Netzwerk-Monitoring, welches Fehler erkennen kann und die Administratoren umgehend benachrichtigt.

Eingabekontrolle

„Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind“

Benutzerkonten werden nur personalisiert vergeben, dadurch können Änderungen immer einem Benutzer zugeordnet werden.
Alle Datenveränderungen werden in Protokollen festgehalten.
Implementierung von Change-Management in der IT, Veränderungen an den Systemen werden generell durch die Verwendung von IT-Tickets protokolliert.

Transportkontrolle

„Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden“

Cloud-Daten
Der Zugriff auf die Systeme durch die Nutzer ist ausschließlich verschlüsselt möglich.
Die Zugriffe durch die Endgeräte und Benutzer werden durch ein Firewall-System geleitet. Es existiert ein Netzwerk-Monitoring, welches Fehler erkennen kann und die Administratoren umgehend benachrichtigt.

Betrieb durch AZOWO
USB-Datenträger sind gesperrt für die Benutzer und nur mit Ausnahmeregelung - und wenn dann nur verschlüsselt - benutzbar.
Begrenzung der E-Mail-Größe bei ausgehenden E-Mails.
Das Netzwerk ist gegenüber öffentlichen Netzwerken (Internet) durch ein Firewall-System geschützt. Ein- und ausgehender Verkehr kann protokolliert werden.
Die Benutzer sind durch die verbindliche IT- und Datenschutzrichtlinie verpflichtet, personenbezogene Daten nur verschlüsselt zu übermitteln.
Verwendung von aktuellen Verschlüsselungsalgorithmen bei der Übermittlung von personenbezogenen Daten.
Verwendung von verschlüsselter VPN-Technologie für den Zugang zu IT-Systeme durch Mitarbeiter und Dienstleister.
Verwendung von Schreddern für die datenschutzkonformen Entsorgung.

Wiederherstellbarkeit

„Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können“

Es existiert eine Dokumentation der Datensicherungsmaßnahmen mit einem Datensicherungskonzept.
Zentrales Backup mit Snapshot-Technologie durch den zentralen Rechenzentrumsbetreiber.
Die Backupfunktionalität wird regelmäßig auf Funktionsfähigkeit überprüft und getestet.

Zuverlässigkeit

„Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden“

Verwendung eines Netzwerk-Monitoring-Systems mit Mailbenachrichtigungen an Administratoren.
Es existiert ein Lifecycle-Management-System mit Trennung von Entwicklung, Test und Produktion, in dem Änderungen vor Inbetriebnahme im Produktionssystem aus-führlich getestet werden.
Aktuelle Entwicklungsmethoden zur Entwicklung im Team tragen zur Fehlerreduzierung bei.

Datenintegrität

„Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können“

Umsetzung von Datenintegrität durch Berücksichtigung beim Datenbankdesign, Umsetzung von referenzieller Integrität und dadurch verbundene Verhinderung von fehlerhaften Löschvorgängen.
Durch umfassende Protokollfunktionalität können unbeabsichtigte Änderungen erkannt und rückgängig gemacht werden.

Auftragskontrolle

„Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können“

Implementierung von Weisungsvorrang von Weisungen des Auftraggebers im Falle, dass Daten als Auftragsverarbeiter im Sinne des Art. 28 DSGVO Daten verarbeitet werden - durch Verpflichtung der Mitarbeiter auf Datenschutz und spezifischer Datenschutzregelungen.
Kontrolle der Dienstleisterverträge und der beim Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen durch den Datenschutzbeauftragten.
Sorgfältige Auswahl von Auftragnehmern.
Eindeutige Vertragsgestaltung, insbesondere Abgrenzung der Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmer und Festlegung der durchzuführenden Kontrollmaßnahmen.
Klare und eindeutige Erteilung von Weisungen (im besten Fall in schriftlicher Form).
Festlegung der zur Erteilung und zum Empfang von Weisungen berechtigten Personen,
Regelung des Einsatzes von Unterauftragnehmern.

Verfügbarkeitskontrolle

„Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind“

Der Rechenzentrumsbetreiber garantiert im Rahmen seiner an den Kundenvertrag angepassten Service Level Agreements die garantierte Verfügbarkeit.
Dies wird durch die Verwendung von gespiegelten Systemen, unterbrechungsfreien Stromversorgungen, redundanten Leitungsanbindungen und weiteren Maßnahmen unterstützt.
Hier wird ebenfalls auf die Dokumentation des Rechenzentrumsbetreibers verwiesen.

Trennbarkeit

„Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können“

Produktiv-, Test- und Entwicklungssystem werden getrennt.
Kennzeichnung der Datensätze hinsichtlich der Mandantenzugehörigkeit durch entsprechende Attribute in der Datenbank in allen wesentlichen Tabellen.
Berücksichtigung von datenschutzrechtlichen Vorgaben bei der Gestaltung der Prozesse.
Der Rechenzentrumsbetreiber trennt die Systeme und Datenträger mit Mandanten und damit verbundene personenbezogenen Daten strikt, sodass diese für Dritte nicht zugänglich sind.
Für weitere Informationen zur Trennung der personenbezogenen Daten siehe die Anlagen der AWS (aktuelle Versionen unter den Links compliance, global-infrastructure, data-center).

Pseudonymisierung und Verschlüsselung

Gemäß Art.32 Abs. 1 a) sind die Maßnahmen der Pseudonymisierung und Verschlüsselung bei der Gestaltung der Sicherheitsmaßnahmen zu berücksichtigen.
Die Pseudonymisierung ist aufgrund der relationalen Datenbankstruktur implementiert. Attribute wie Namen und Anschriften werden nicht mehrfach gehalten.
Im Datenaustausch mit Dienstleistern wird die Pseudonymisierung sofern möglich eingesetzt.
Statistiken und Auswertungen werden möglichst anonymisiert.
Die Grundsätze der Pseudonymisierung, Anonymisierung, Verschlüsselung und Datenminimierung werden in den für die Mitarbeiter verpflichtenden Datenschutzschulungen erklärt und die Wichtigkeit dieser Maßnahmen erläutert.
Die zum Einsatz kommenden Verschlüsselungsmaßnahmen sind u.a. in den vorherigen Punkten dieses Dokuments erläutert.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung - Art. 32 Abs. 1. d)

Das Unternehmen hat eine für alle Mitarbeiter verbindlichen IT- und Datenschutzrichtlinie erlassen, die die Beachtung der Datenschutzregeln im Unternehmen vorschreibt.
Das Unternehmen hat einen Datenschutzbeauftragten, der über seine Beauftragung die Umsetzung der technischen und organisatorischen Maßnahmen regelmäßig kontrolliert.
Alle Mitarbeiter, die in der Verarbeitung personenbezogener Daten beteiligt sind, erhalten verpflichtend Datenschutzschulungen.
Für alle Verarbeitungstätigkeiten sind Ansprechpartner bzw. Verantwortliche definiert, die Veränderungen mitteilen müssen und die Verarbeitungstätigkeiten zu überwachen haben.
Verarbeitungstätigkeiten müssen gemäß IT- und Datenschutzrichtlinie vor Inkrafttreten mit dem Datenschutzbeauftragten besprochen werden. Der Datenschutzbeauftragte überprüft die Angemessenheit der Sicherheit der Verarbeitung risikobezogen für die jeweilige Verarbeitungstätigkeit.

This site uses first- and third-party cookies and similar technologies to analyze your use of our site, personalize your browsing experience, and play interest-based advertisements. If you continue using our website, we assume that you agree to the use of cookies as described in our Privacy Policy. You can also find opt-out information there.