1. Datenschutz
  2. TOM

Anlage 1 zum Auftrag gemäß Art. 28 DS-GVO

Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO


I. Vertraulichkeit

  • Zutrittskontrolle
    • Die Büroräume der Synesty GmbH (im Folgenden Auftragnehmer) befinden sich in einem Bürohaus in Jena.
      • Die Zugänge zu den Büroräumen der Auftragnehmers sind Tag und Nacht verschlossen. Zugang zu den Räumen haben nur die Mitarbeiter des Auftragnehmers. Es kommt ein elektronisches Schließsystem für den Zugang zum Gebäude sowie den Firmenräumen zum Einsatz, dass vom Synesty verwaltet wird.
      • Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt.
      • Zutrittsberechtigungen werden einem Beschäftigten erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Personalabteilung angefordert wurde. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen.
      • Besucher dürfen sich nicht ohne Begleitung in den Büroräumen frei bewegen.
      • Server (physikalisch) sind bei der Hetzner Online GmbH angemietet. Es gelten die technischen und organisatorischen Maßnahmen von Hetzner Online GmbH, Gunzenhausen unter https://www.hetzner.com/AV/TOM.pdf
    • Zugangskontrolle
      • Für die Zugangskontrolle sind nachfolgende Maßnahmen vom Auftragnehmer getroffen worden:
        • bei internen Verwaltungssystemen des Aufragnehmers
          • Um Zugang zu IT-Systemen zu erhalten, müssen Mitarbeiter über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde. Der Antrag kann auch über die Personalabteilung gestellt werden.
          • Der Mitarbeiter erhält dann einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.
          • Remote-Zugriffe auf IT-Systeme des Auftragnehmers erfolgen stets über verschlüsselte Verbindungen. Wenn möglich kommen zusätzliche Verfahren wie z.B. Multi-Faktor-Authentifizierung zum Einsatz.
          • Alle Client-Systeme verfügen über eine nicht deaktivierbare Virenschutzsoftware, bei der eine tagesaktuelle Versorgung mit Signaturupdates gewährleistet ist.
          • Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.
          • Der Zugriff von Servern und Clients auf das Internet und der Zugriff auf diese Systeme über das Internet ist ebenfalls durch Firewalls gesichert. So ist auch gewährleistet, dass nur die für die jeweilige Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind entsprechend gesperrt.
          • Alle Mitarbeiter-Computer werden per Gruppenrichtlinie automatisch nach wenigen Minuten Inaktivität gesperrt.
          • Alle Mitarbeiter zusätzlich sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.
          • Passwörter werden grundsätzlich verschlüsselt gespeichert.
        • Infrastruktur bei Hetzner Online GmbH
          • Der Zugriff auf Server erfolgt grundsätzlich verschlüsselt.
          • Wenn möglich kommen zusätzliche Verfahren wie z.B. Multi-Faktor-Authentifizierung zum Einsatz.
    • Zugriffskontrolle
      • bei internen Verwaltungssystemen des Auftragnehmers
        • Berechtigungen für IT-Systeme und Applikationen des Auftragnehmers werden ausschließlich von Administratoren eingerichtet.
        • Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind
        • Voraussetzung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei der Personalabteilung gestellt werden.
        • Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.
        • Die Vernichtung von Datenträgern erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet.
        • Alle Mitarbeiter beim Auftragnehmer sind angewiesen, Informationen mit personenbezogenen Daten und/oder Informationen über Projekte in die hierfür ausgewiesenen Vernichtungsbehältnisse einzuwerfen.
        • Beschäftigten ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren.
        • Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.
      • Trennung
        • Alle vom Auftragnehmer für Kunden eingesetzten IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden ist stets gewährleistet.
      • Pseudonymisierung & Verschlüsselung
        • Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.
        • Darüber hinaus werden Daten auf lokalen Computern auf verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende Festplattenverschlüsselungssysteme im Einsatz.
        • Kundendaten werden von dem Auftragnehmer pseudonymisiert

    II. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

    • Eingabekontrolle
      • Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die vom Auftragnehmer im Auftrag verarbeitet werden, wird grundsätzlich protokolliert.
      • Mitarbeiter sind verpflichtet, mit denen ihnen zugewiesenen Accounts zu arbeiten.
    • Weitergabekontrolle
      • Eine Weitergabe von personenbezogenen Daten, die im Auftrag von den Kunden von dem Auftragnehmer erfolgt, darf jeweils nur in dem Umfang, wie erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.
      • Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert.
      • Soweit möglich werden Daten verschlüsselt an Empfänger übertragen.
      • Die Nutzung von privaten Datenträgern ist den Beschäftigten beim Auftragnehmer im Zusammenhang mit Kundenprojekten untersagt.
      • Mitarbeiter beim Auftragnehmer werden regelmäßig zu Datenschutzthemen geschult. Alle Mitarbeiter sind auf zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.

    III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

    • Daten auf Serversystemen vom Auftragnehmer werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort aufbewahrt.
    • Das Einspielen von Backups wird regelmäßig getestet.
    • Verfügbarkeitskontrolle
      • Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst.
      • Einsatz von Festplattenspiegelung bei allen relevanten Servern.
      • Monitoring aller relevanten Server.
      • Server (physikalisch) sind bei der Hetzner Online GmbH angemietet. Es gelten die technischen und organisatorischen Maßnahmen von Hetzner Online GmbH, Gunzenhausen unter https://www.hetzner.com/AV/TOM.pdf
      • Es gibt bei dem Auftragnehmer einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.
    • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
      • Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.

    IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

    • bei internen Verwaltungssystemen des Auftragnehmers
      • Es ist Datenschutz- und Informationssicherheits-Team (DST) eingerichtet, das Richtlinien und Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.
      • Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.
      • Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.
      • Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.
    • Auftragskontrolle
      • Die Verarbeitung der Datenhaltung erfolgt ausschließlich in der Europäischen Union bzw. mit Ländern die ein Abkommen mit der Europäischen Union haben (z.B. durch entsprechende Modelklauseln).
      • Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.
    • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
      • Bei dem Auftragnehmer wird schon bei der Entwicklung der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. So können Pflichtfelder vorgesehen oder Felder deaktiviert werden.
      • Die Software des Auftragnehmers unterstützt sowohl die Eingabekontrolle durch einen Audit-Trail, der eine unveränderliche Speicherung von Änderungen an Daten und Nutzerberechtigungen ermöglicht.
      • Berechtigungen auf Daten oder Applikationen können flexibel gesetzt werden.