Page tree
Skip to end of metadata
Go to start of metadata


Darstellung der technischen und organisatorischen Maßnahmen bei einer Auftragsverarbeitung gemäß Art. 28 DS-GVO durch //SEIBERT/MEDIA

Die folgenden technischen und organisatorischen Maßnahmen (kurz TOM) zur Gewährleistung von Datenschutz und Datensicherheit sind bei der //SEIBERT/MEDIA GmbH implementiert:

Verschlüsselung (Art. 32 Abs. 1 lit. a DS-GVO)

  • Einsatz von Verschlüsselung bei Web-Übertragung (flächendeckender Einsatz von HTTPS)
  • Zugriff auf personenbezogene Daten nur über authentifizierte Kanäle
  • Einsatz von Datenträgerverschlüsselung für Clientsysteme insbesondere Notebooks und Smartphones sowie Verschlüsselung von Backup-Datenträgern
  • Zugriff auf das interne Netzwerk des Auftragnehmers ist nur über verschlüsselte VPN-Verbindung möglich
  • Zugriff auf Serversysteme nur mit persönlicher Schlüsseldatei über eine verschlüsselte Verbindung mittels SSH (Secure Shell)
  • Zusätzliche Passwortverschlüsselung der persönlichen Schlüsseldatei
  • Zentrale softwaregestützte Kennwortverwaltung mit Zugriffshistorie
  • Einsatz von verschlüsselten Datenträgern bei Atlassian Data Center Anwendungen bei Amazon Web Services

Gewährleistung der Vertraulichkeit und Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle 

Folgende Maßnahmen verwehren Unbefugten den Zutritt zu Datenverarbeitungsanlagen in den Büroräumen, mit denen personenbezogene Daten verarbeitet oder genutzt werden:

  • RFID-basiertes Zutrittskontrollsystem für den Zutritt zu den Büroflächen
  • Videoüberwachung der Eingangsbereiche der Büros
  • Zentrales Netzwerkequipment in abgeschlossenen Schränken
  • Verwahrung mobiler Geräte über Nacht in abschließbaren Schränken oder Tresoren
  • Standorte Luisenforum, ESWE-Hochhaus: Zentrales Alarmanlagensystem, regelmäßige Kontrollgänge des Sicherheitsdienstes
  • Begleitung von Besuchern durch Mitarbeiter

Zugangskontrolle 

Folgende Maßnahmen verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können: 

  • Die unternehmensweiten Mitarbeiterpasswörter werden zentral von einer IT-Software generiert und vorgegeben. Die Passwörter bestehen aus einer Kombination aus Klein-, Großbuchstaben, Zahlen und gebräuchlichen Sonderzeichen mit einer Mindestlänge von 12 Zeichen und laufen nach 12 Monaten ab.
  • Richtlinie zur sicheren Wahl und dem ordnungsgemäßen Umgang mit anderen Passwörtern
  • Einsatz von Datenträgerverschlüsselung für Clientsysteme insbesondere Notebooks und Smartphones sowie Verschlüsselung von Backup-Datenträgern
  • Zugriff auf das interne Netzwerk des Auftragnehmers ist nur über verschlüsselte VPN-Verbindung möglich
  • Zugriff auf Serversysteme nur mit persönlicher Schlüsseldatei über eine verschlüsselte Verbindung mittels SSH (Secure Shell)
  • Zusätzliche Passwortverschlüsselung der persönlichen Schlüsseldatei
  • Betrieb von Firewallsoftware auf jedem Serversystem
  • Automatisches Sperren des Bildschirms mit Passwortschutz nach maximal 10 Minuten
  • Zentrale softwaregestützte Kennwortverwaltung mit Zugriffshistorie
  • Dokumentierter Ablauf für das Anlegen und Sperren von neuen/scheidenden Mitarbeitern
  • Eindeutige Zuordnung von Benutzerkonten zu Benutzern in unseren Systemen
  • Zwei-Faktor-Authentifizierung für G Suite und darüber authentifizierte Anwendungen

Zugriffskontrolle 

Folgende Maßnahmen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können: 

  • Vergabe von Berechtigungen nur nach Prüfung der Notwendigkeit und Sinnhaftigkeit entsprechend der Rolle der Mitarbeitenden
  • Flächendeckend automatisch konfiguriertes Monitoring und Protokollierung von Zugriffen
  • Elektronische Schlüssel für den Fernzugriff sind eindeutig autorisierten Benutzern zugeordnet
  • Softwaretechnische Steuerung mit welchen Schlüsseln auf die Serversysteme zugegriffen werden kann
  • Aktenvernichtung nach DIN 66399 (Sicherheitsstufe 3)
  • Physische Löschung von Datenträgern durch qualifizierte Dienstleister
  • Der Auftraggeber sollte die Zugriffsrechte von Zugängen des Auftragnehmers innerhalb der Anwendung entsprechend dem Schutzbedarf der Informationen konfigurieren und einschränken

Weitergabekontrolle 

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

  • Einsatz von Verschlüsselung bei Übertragung (flächendeckender Einsatz von HTTPS und VPN)
  • Zugriff auf personenbezogene Daten nur mit persönlicher Benutzerauthentifizierung
  • Einsatz von verschlüsselten Datenträgern beim physischen Transport. Der physische Transport wird aber soweit möglich vermieden.
  • Sichere Transportbehälter bei Aktenvernichtung von Dokumenten mit personenbezogenen Daten
  • Flächendeckend automatisch konfiguriertes Monitoring und Protokollierung von Zugriffen
  • Weitergabe in anonymisierter oder pseudonymisierter Form

Eingabekontrolle 

Folgende Maßnahmen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: 

  • Flächendeckend automatisch konfiguriertes Monitoring und Protokollierung von Zugriffen

Trennungskontrolle 

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

  • Trennung von Test- und Produktivsystemen durch unterschiedliche virtuelle Maschinen
  • Abschottung unabhängiger Systeme durch VLANs, Firewalling und virtuelle Maschinen mit jeweils eigenen Datenbanken

Weitere technische Maßnahmen

  • Regelmäßiges Einspielen von Updates für alle Betriebssysteme und Anwendungen
    • Betriebssystem-Updates wöchentlich
    • interne Anwendungen von //SEIBERT/MEDIA monatlich
    • für Kunden betriebene Anwendungen
    • außerplanmäßig bei bekannten Sicherheitslücken

Gewährleistung der Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle 

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

  • Einsatz von ISO 27001 zertifizierten IaaS-Dienstleister für den ausfallsicheren Betrieb der Kundensysteme
  • Detailliertes Monitoring aller Serversysteme zur Erkennung von Störungen: https://seibert.biz/monitoring
  • Stündliche Snapshots innerhalb des Kundensystems und tägliche Backups auf entfernten Storage-Systemen: https://seibert.biz/backupkonzept
    • Automatische Überwachung und Protokollierung der Sicherungsvorgänge
    • Regelmäßige Wiederherstellungstests
    • Betrieb von produktiven System und Backup-Server in unterschiedlichen, geographisch getrennten Rechenzentren
  • Dokumentiertes Vorgehen im Notfall inkl. Kundeninformation und Retrospektive
  • Getrennte Partitionen für Betriebssysteme und Daten zur Begrenzung von Ausfällen beim Überschreiten von Storagekapazitäten

Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM (Art. 32 Abs. 1 lit. d DS-GVO)

Datenschutz-Management

  • Jährliche Überprüfung und Evaluierung der technischen und organisatorischen Maßnahmen
  • Verpflichtung der Mitarbeiter auf Daten- (Art. 32 Abs. 4 DS-GVO), Fernmelde- und Geschäftsgeheimnis
  • Regelmäßige Sensibilisierung der Mitarbeiter in mindestens jährlich stattfindenden, persönlichen Security-Interviews mit Mitarbeitern 

  • Bestellung eines betrieblichen Datenschutzbeauftragten und eines Informationssicherheitsbeauftragten
  • Softwaregestützte Verwaltung von Datenschutzverträgen (AVVs) und deren Anforderungen
  • Weisungen des Auftraggebers werden in Form von E-Mails dokumentiert

Incident-Response-Management

  • Dokumentierter Prozess zur Meldung und Vorgehensweise zum Umgang von Sicherheits- und Datenschutzvorfällen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)

  • Einbindung von DSB und CISO in Sicherheits- und Datenschutzvorfälle

  • Dokumentation von Sicherheits- und Datenschutzvorfällen via Ticketsystem

Auftragskontrolle (Outsourcing an Dritte)

  • Vorherige Prüfung der vom Subunternehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation

  • Prüfung und Sicherstellung der gegenüber Kunden vereinbarten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit bei eigen beauftragten Subunternehmen.
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln

  • Weisungen an Subunternehmen werden in Form von E-Mails dokumentiert
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Subunternehmer


Version: TOM 20200922

Weitere Informationen zur IT-Sicherheit bei //SEIBERT/MEDIA

Kurzlink zu dieser Seite: https://seibert.biz/sicheredaten

Auftragsdatenverarbeitung

Diese Seite wurde zuletzt am 02.03.2021 geändert.