Skip to end of metadata
Go to start of metadata




Darstellung der technischen und organisatorischen Maßnahmen bei einer Auftragsverarbeitung gemäß Art. 28 DS-GVO durch //SEIBERT/MEDIA


Die folgenden technischen und organisatorischen Maßnahmen (kurz TOM) zur Gewährleistung von Datenschutz und Datensicherheit sind bei der //SEIBERT/MEDIA GmbH implementiert:

Vertraulichkeit

Zutrittskontrolle

Folgende Maßnahmen verwehren Unbefugten den Zutritt zu den Büroräumen, in denen personenbezogene Daten verarbeitet, genutzt oder gespeichert werden:

Technische Maßnahmen

  • Alarmanlage (gilt für Standorte Luisenforum/Kirchgasse 6 (Headquarter) und Tower/Kirchgasse 2)
  • Chipkarten/Transpondersystem
    • RFID-basiertes Zutrittskontrollsystem für den Zutritt zu den Büroflächen (alle Standorte)
    • RFID-basiertes Zutrittskontrollsystem für den Zutritt in den Server-Raum
  • Biometrische Zugangssperre für den Zugang zum Verwaltungsarchiv/Kirchgasse 6 (Fingerabdruckscanner)
  • Türen mit Smart Lock
  • Videoüberwachung der Eingänge zu den Büroflächen

Organisatorische Maßnahmen

  • Empfang am Standort Luisenforum/Kirchgasse 6 (Headquarter), Besetzung zu Geschäftszeiten 9-17 Uhr
  • Protokollierung der Besucher:innen in Besucherliste durch dem Empfang
  • Besucher:innen werden in den durch das Transpondersystem geschützten Bereichen von Mitarbeiter:innen begleitet
  • Zentrales Netzwerk-Equipment in abgeschlossenen Schränken
  • Verwahrung mobiler Geräte im Büro in abschließbaren Schränken und Tresoren
  • Sorgfalt bei der Auswahl des Reinigungsdienstes
  • Sorgfalt bei der Auswahl von sämtlichen Dienstleistern und Lieferanten, welche Zutritt zu den Büroflächen erhalten sowie Begleitung dieser durch Mitarbeiter:innen
  • Sicherheitsdienst am Standort Luisenforum/Kirchgasse 6 (Headquarter)
    • außerhalb der Öffnungszeiten des Luisenforums patrolliert der Sicherheitsdienst
    • Zugang zu den Büroräumen dann nur in Begleitung des Sicherheitsdienstes möglich

Zugangskontrolle

Folgende Maßnahmen verhindern, dass Anlagen von Unbefugten genutzt werden können:

Technische Maßnahmen

  • Login mit Benutzername und Passwort
  • Zentrale Passwortvergabe: Passwörter werden von einer IT-Software nach festgelegten Kriterien (Vorgabe Länge und Komplexität) generiert
  • Zwei-Faktor-Authentifizierung für Google-Workspace und darüber authentifizierte Anwendungen
  • Zentrale softwaregestützte Kennwortverwaltung mit Zugriffshistorie
  • Zugriff auf Serversysteme nur mit persönlicher passwortgeschützter Schlüsseldatei über eine verschlüsselte Verbindung mittels SSH (Secure Shell)
  • Betrieb von Firewallsoftware auf jedem Serversystem
  • Mobile Device Management
  • Einsatz einer verschlüsselten VPN-Verbindung bei Remote-Zugriffen
  • Verschlüsselung von Datenträgern, insb. Notebooks und Smartphones sowie Backup-Datenträgern
  • Flächendeckender Einsatz von Encryption at Rest
  • Automatische Desktopsperre

Organisatorische Maßnahmen

  • Verwalten von Benutzerberechtigungen auf Basis der Notwendigkeit und eindeutige Zuordnung von Benutzerkonten zu Benutzern und dokumentierter Ablauf für das Anlegen und Sperren von neuen/ausscheidenden Mitarbeitern
  • Jährliche Erinnerung an die Notwendigkeit eines Passwortwechsels
  • Elektronische Schlüssel für den Remote-Zugang sind eindeutig autorisierten Benutzern zugeordnet
  • Softwaretechnische Steuerung mit welchen Schlüsseln auf die Serversysteme zugegriffen werden kann
  • Richtlinie zur sicheren Wahl und dem ordnungsgemäßen Umgang mit Passwörtern
  • Richtlinie zum Umgang mit personenbezogenen Daten
  • Richtlinie zur Nutzung von mobilen Datenträgern
  • Anleitung zur manuellen Desktopsperre

Zugriffskontrolle

Folgende Maßnahmen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

Technische Maßnahmen

  • Aktenvernichtung nach DIN 66399 (Sicherheitsstufe 3)
  • Physische Löschung von Datenträgern durch qualifizierte Dienstleister
  • Flächendeckende Protokollierung von Zugriffen

Organisatorische Maßnahmen

  • Einsatz eines Berechtigungskonzeptes
  • Verwaltung der Benutzerrechte durch Administratoren
  • Prozess auf Basis einer Check-Liste zum Entzug von Rechten bei Austritt aus dem Unternehmen

Trennungskontrolle

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Technische Maßnahmen

  • Trennung von Produktiv- und Testsystem durch unterschiedliche virtuelle Maschinen
  • Abschottung unabhängiger Systeme durch VLANs, Firewalling und virtuelle Maschinen mit jeweils eigenen Datenbanken

Organisatorische Maßnahmen

  • Steuerung über ein Berechtigungskonzept

Integrität

Weitergabekontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Technische Maßnahmen

  • Einsatz von Verschlüsselungen bei Web-Übertragung (flächendeckender Einsatz von HTTPS und VPN)
  • Flächendeckend automatisch konfiguriertes Monitoring und Protokollierung von Zugriffen
  • Sichere Transportbehälter bei Aktenvernichtung von Dokumenten mit personenbezogenen Daten

Organisatorische Maßnahmen

  • Weitergabe in anonymisierter oder pseudonymisierter Form
  • Sorgfalt bei der Auswahl von Transportdienstleistern
  • Einsatz von verschlüsselten Datenträgern beim physischen Transport (dieser wird soweit möglich vermieden)

Eingangskontrolle

Folgende Maßnahmen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

Organisatorische Maßnahmen

  • Dokumentierte Löschung von Kundendaten, auf Wunsch des Kunden nach BSI-Vorgaben

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Technische Maßnahmen

  • Feuer- und Rauchmeldeanlagen
  • RAID-System
  • Serverraum ist klimatisiert
  • Stündliche Snapshots innerhalb des Kundensystems und tägliche Backups auf entfernten Storage-Systemen: https://seibert.biz/backupkonzept
  • Getrennte Partitionen für Betriebssysteme und Daten zur Begrenzung von Ausfällen beim Überschreiten von Storagekapazitäten
  • Monitoring in Bezug auf die Verfügbarkeit von Anwendungen, Diensten und IT-Systeme

Organisatorische Maßnahmen

  • Einsatz von ISO 27001 zertifizierten IaaS-Dienstleistern für den ausfallsicheren Betrieb der Kundensysteme
  • Backup- und Recovery-Konzept: https://seibert.biz/backupkonzept
  • Regelmäßige Tests zur Datenwiederherstellung
  • Betrieb von Produktivsystemen und Backup-Servern in unterschiedlichen, geographisch getrennten Rechenzentren
  • Dokumentiertes Vorgehen im Notfall auf Basis eines Notfallplans

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Maßnahmen

Organisatorische Maßnahmen

  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter:innen nach Bedarf/Berechtigungen
  • Jährliche Überprüfung und Evaluierung der technischen und organisatorischen Maßnahmen
  • Externer Datenschutzbeauftragter und interner Informationssicherheitsbeauftragter
  • Verpflichtung der Mitarbeiter:innen auf Daten- (Art. 32 Abs. 4 DS-GVO), Fernmelde- und Geschäftsgeheimnis
  • Regelmäßige Sensibilisierung der Mitarbeiter:innen in Schulungen und mindestens 2-jährlich stattfindenden, persönlichen Sensibilisierungen zum Thema IT-Sicherheit
  • Richtlinie zum Umgang mit personenbezogenen Daten
  • Softwaregestützte Verwaltung von Datenschutzverträgen (AVVs) und deren Anforderungen
  • Datenschutz-Folgenabschätzung wird bei Bedarf durchgeführt
  • Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGO nach

Incident-Response-Management

Technische Maßnahmen

  • Einsatz von Firewall und regelmäßige Aktualisierung
  • Einsatz von Monitoring zur Erkennung von fremden Prozessen auf Serversystemen

Organisatorische Maßnahmen

  • Dokumentierter Prozess zur Meldung zum Umgang von Sicherheits- und Datenschutzvorfällen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
  • Einbindung von DSB und ISB in Sicherheits- und Datenschutzvorfällen
  • Dokumentation von Sicherheits- und Datenschutzvorfällen via Ticket-System und Wiki
  • Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheits- und Datenschutzvorfällen

Auftragskontrolle (Outsourcing an Dritte)

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können:

Organisatorische Maßnahmen

  • Vorherige Prüfung der vom Subunternehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
  • Prüfung und Sicherstellung der mit den Kunden vereinbarten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit bei beauftragten Subunternehmen.
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln
  • Weisungen an Subunternehmen werden in Form von E-Mails dokumentiert
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Subunternehmer

Weitere technische Maßnahmen

  • Regelmäßiges Einspielen von Updates für alle Betriebssysteme und Anwendungen
    • Betriebssystem-Updates wöchentlich
    • interne Anwendungen von //SEIBERT/MEDIA monatlich
    • für Kunden betriebene Anwendungen
    • außerplanmäßig bei bekannten Sicherheitslücken
  • Detailliertes Monitoring aller Serversysteme zur Erkennung von Störungen https://seibert.biz/monitoring

Version: TOM 202202

Weitere Informationen zur IT-Sicherheit bei //SEIBERT/MEDIA

Kurzlink zu dieser Seite: https://seibert.biz/tom

Auftragsdatenverarbeitung

Diese Seite wurde zuletzt am 25.07.2022 geändert.