Darstellung der technischen und organisatorischen Maßnahmen bei einer Auftragsverarbeitung gemäß Art. 28 DS-GVO durch //SEIBERT/MEDIA

11/2023

Die folgenden technischen und organisatorischen Maßnahmen (kurz TOM) bei einer Auftragsverarbeitung gemäß Art. 28 DS-GVO sind implementiert:

Vertraulichkeit

Zutrittskontrolle

Folgende Maßnahmen verwehren Unbefugten den Zutritt zu den Büroräumen, in denen personenbezogene Daten verarbeitet, genutzt oder gespeichert werden:

Technische Maßnahmen

  • Alarmanlage (gilt für Standorte Luisenforum/Kirchgasse 6 und Tower/Kirchgasse 2)
  • Chipkarten/Transpondersystem
    • RFID-basiertes Zutrittskontrollsystem für den Zutritt aller Mitarbeiter*innen zu den Büroflächen (alle Standorte)
    • RFID-basiertes Zutrittskontrollsystem für den Zutritt in den Server-Raum, das Personal-Büro und das Archiv beschränkt auf bestimmte Mitarbeiter*innen (Need-to-Know-Prinzip)
  • Türen mit Knauf Außenseite
  • Videoüberwachung der Eingänge zu den Büroflächen

Organisatorische Maßnahmen

  • Empfang am Standort Luisenstraße 37-39 (Headquarter), Besetzung zu Geschäftszeiten 9-17 Uhr
  • Protokollierung der Besucher:innen in Besucherliste durch den Empfang
  • Besucher:innen werden in den durch das Transpondersystem geschützten Bereichen von Mitarbeiter*innen begleitet
  • Umgang mit Besucher*innen wird in einer Besucherrichtlinie explizit geregelt
  • Zentrales Netzwerk-Equipment in abgeschlossenen Schränken
  • Verwahrung mobiler Geräte im Büro in abschließbaren Schränken und Tresoren
  • Sorgfalt bei der Auswahl des Reinigungsdienstes
  • Sorgfalt bei der Auswahl von sämtlichen Dienstleistern und Lieferanten, welche Zutritt zu den Büroflächen erhalten sowie Begleitung dieser durch Mitarbeiter*innen
  • Sicherheitsdienst am Standort Luisenforum/Kirchgasse 6 (Headquarter)
    • außerhalb der Öffnungszeiten des Luisenforums patrouilliert der Sicherheitsdienst
    • Zugang zu den Büroräumen dann nur in Begleitung des Sicherheitsdienstes möglich

Zugangskontrolle

Folgende Maßnahmen verhindern, dass Anlagen von Unbefugten genutzt werden können:

Technische Maßnahmen

  • Login mit Benutzername und Passwort
  • Zentrale Passwortvergabe: Passwörter werden von einer IT-Software nach festgelegten Kriterien (Vorgabe Länge und Komplexität) generiert
  • Zwei-Faktor-Authentifizierung für Google-Workspace und darüber authentifizierte Anwendungen
  • Zentrale, softwaregestützte Kennwortverwaltung mit Zugriffshistorie
  • Zugriff auf Serversysteme nur mit persönlicher passwortgeschützter Schlüsseldatei über eine verschlüsselte Verbindung mittels SSH (Secure Shell)
  • Betrieb von Firewallsoftware auf jedem Serversystem
  • Mobile Device Management
  • Einsatz einer verschlüsselten VPN-Verbindung bei Remote-Zugriffen
  • Verschlüsselung von Datenträgern, insb. Notebooks und Smartphones sowie Backup-Datenträgern
  • Flächendeckender Einsatz von Encryption at Rest
  • Automatische Desktopsperre
  • Biometrische Zugangssperre für den Zugang zu Tresoren (Fingerabdruckscanner)

Organisatorische Maßnahmen

  • Verwalten von Benutzerberechtigungen auf Basis der Notwendigkeit und eindeutige Zuordnung von Benutzerkonten zu Benutzer*innen 
  • Dokumentierter und checklistenbasierter Ablauf für das Anlegen und Sperren von neuen/ausscheidenden Mitarbeiter*innen (On-/Offboarding) bzw. die Anpassung von Berechtigungen im Falle eines Rollen und/oder Teamwechsels (Changeboarding)
  • Regelmäßige Überprüfung der Benutzerberechtigungen auf deren weitere Erforderlichkeit
  • Jährlicher Passwortwechsel wird sichergestellt
  • Elektronische Schlüssel für den Remote-Zugang sind eindeutig autorisierten Benutzern zugeordnet
  • Softwaretechnische Steuerung, mit welchen Schlüsseln auf die Serversysteme zugegriffen werden kann
  • Passwort-Richtlinie zur sicheren Wahl und dem ordnungsgemäßen Umgang mit Passwörtern
  • Richtlinie zum Umgang mit personenbezogenen Daten
  • Richtlinie zum Umgang mit mobilen Datenträgern

Zugriffskontrolle

Folgende Maßnahmen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

Technische Maßnahmen

  • Aktenvernichtung nach DIN 66399 (Sicherheitsstufe 3)
  • Physische Löschung von Datenträgern durch qualifizierte Dienstleister
  • Zentrale Protokollierung von Zugriffen und Systemereignissen

Organisatorische Maßnahmen

  • Einsatz eines Berechtigungskonzeptes
  • Verwaltung der Benutzerrechte durch Administratoren
  • Prozess auf Basis diverser Checklisten zur Vergabe und zum Entzug von Rechten bei Eintritt in und Austritt aus dem Unternehmen sowie im Rahmen von Rollen-/Teamwechseln

Trennungskontrolle

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Technische Maßnahmen

  • Trennung von Produktiv- und Testsystem durch unterschiedliche virtuelle Maschinen
  • Abschottung unabhängiger Systeme durch VLANs, Firewalling und virtuelle Maschinen mit jeweils eigenen Datenbanken

Organisatorische Maßnahmen

  • Steuerung über ein Berechtigungskonzept

Integrität

Weitergabekontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Technische Maßnahmen

  • Einsatz von Verschlüsselungen bei Web-Übertragung (flächendeckender Einsatz von HTTPS und VPN)
  • Zentrale Protokollierung von Zugriffen und Systemereignissen
  • Sichere Transportbehälter bei Aktenvernichtung von Dokumenten mit personenbezogenen Daten

Organisatorische Maßnahmen

  • Weitergabe in anonymisierter oder pseudonymisierter Form, wenn möglich, bzw. erforderlich
  • Sorgfalt bei der Auswahl von Transportdienstleistern
  • Einsatz von verschlüsselten Datenträgern beim physischen Transport (dieser wird soweit möglich vermieden)

Eingabekontrolle

Folgende Maßnahmen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

Technische Maßnahmen

  • Zentrale Protokollierung von Zugriffen und Systemereignissen
  • Nutzung der Versionierungsfunktionen in den verschiedenen Anwendungen zur Protokollierung von Änderungen

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Technische Maßnahmen

  • Feuer- und Rauchmeldeanlagen
  • RAID-System
  • Stündliche Snapshots innerhalb des Kundensystems und tägliche Backups auf entfernten Storage-Systemen: https://seibert.biz/backupkonzept
  • Getrennte Partitionen für Betriebssysteme und Daten zur Begrenzung von Ausfällen beim Überschreiten von Storagekapazitäten
  • Monitoring in Bezug auf die Verfügbarkeit von Anwendungen, Diensten und IT-Systeme
  • Redundante Auslegung kritischer Systeme

Organisatorische Maßnahmen

  • Einsatz von ISO 27001 zertifizierten IaaS-Dienstleistern für den ausfallsicheren Betrieb der Kundensysteme
  • Backup- und Recovery-Konzept: https://seibert.biz/backupkonzept
  • Regelmäßige Tests zur Datenwiederherstellung
  • Betrieb von Produktivsystemen und Backup-Servern in unterschiedlichen, geographisch getrennten Rechenzentren oder Verfügbarkeitszonen
  • Dokumentiertes Vorgehen im Notfall auf Basis eines Business-Continuity-Management (BCM)-Handbuchs

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Maßnahmen

Organisatorische Maßnahmen

  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter*innen nach Bedarf/Berechtigungen
  • Jährliche Überprüfung und Evaluierung der technischen und organisatorischen Maßnahmen
  • Externer Datenschutzbeauftragter und interner Informationssicherheitsbeauftragter
  • Verpflichtung der Mitarbeiter:innen auf Daten- (Art. 32 Abs. 4 DS-GVO), Fernmelde- und Geschäftsgeheimnis
  • Regelmäßige Sensibilisierung der Mitarbeiter:innen in Schulungen und mindestens 2-jährlich stattfindenden, persönlichen Sensibilisierungen zum Thema IT-Sicherheit
  • Unternehmensweites Datenschutzkonzept sowie Leitlinie zur Informationssicherheit
  • Richtlinie zum Umgang mit personenbezogenen Daten
  • Softwaregestützte Verwaltung von Datenschutzverträgen (AVVs) und deren Anforderungen
  • Datenschutz-Folgenabschätzung wird bei Bedarf durchgeführt
  • Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

Incident-Response-Management

Technische Maßnahmen

  • Einsatz von Firewall und regelmäßige Aktualisierung
  • Einsatz von Virenscannern auf Kundensystemen
  • Einsatz von Monitoring zur Erkennung von fremden Prozessen auf Serversystemen

Organisatorische Maßnahmen

  • Dokumentierter Prozess zur Meldung zum Umgang von Sicherheits- und Datenschutzvorfällen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
  • Einbindung von DSB und ISB in Sicherheits- und Datenschutzvorfällen
  • Dokumentation von Sicherheits- und Datenschutzvorfällen via Ticket-System und Wiki
  • Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheits- und Datenschutzvorfällen

Auftragskontrolle (Outsourcing an Dritte)

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können:

Organisatorische Maßnahmen

  • Vorherige Prüfung der vom Subunternehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
  • Prüfung und Sicherstellung der mit den Kunden vereinbarten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit bei beauftragten Subunternehmen.
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln
  • Weisungen an Subunternehmen werden in Form von E-Mails dokumentiert
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Subunternehmer

Weitere technische Maßnahmen

  • Dokumentierte Löschung von Kundendaten, auf Wunsch des Kunden nach BSI-Vorgaben
  • Regelmäßiges Einspielen von Updates für alle Betriebssysteme und Anwendungen
    • Betriebssystem-Updates wöchentlich
    • interne Anwendungen der Seibert Group monatlich bei Verfügbarkeit
    • für Kunden betriebene Anwendungen
    • außerplanmäßig bei bekannten Sicherheitslücken
  • Detailliertes Monitoring aller Serversysteme zur Erkennung von Störungen https://seibert.biz/monitoring

Weitere Informationen zur IT-Sicherheit bei //SEIBERT/MEDIA

Kurzlink zu dieser Seite: https://seibert.biz/drawio-tom

Auftragsdatenverarbeitung

  • No labels
Diese Seite wurde zuletzt am 25.01.2024 geändert.