Datenschutz

DATENSCHUTZ

Technische und Organisatorische Maßnahmen gemäß Art. 32 DSGVO

1. Vertraulichkeit

1.1 Zutrittskontrolle
  • Zentrales Schließsystem mit Sicherheitsschlössern
  • dokumentierte Schlüsselvergabe an Mitarbeiter
1.2 Zugangskontrolle
  • Zugang ist Passwortgeschützt
  • Zugriffsrechte nur für zuständige Mitarbeiter 
1.3 Zugriffskontrolle
  • Berechtigungs- und Administrationskonzept vorhanden
  • Passwortschutz der Endgeräte 

Technische und Organisatorische Maßnahmen für die Software SmartWe & Turnportal

1. Vertraulichkeit

1.1 Zutrittskontrolle
  • Wachdienst mit Verbindung zur Polizei
  • Installierte und aktive Bewegungsmelder
  • Gebäude-Zugang überwiegend nur mit Chip-Key
  • Zentrales Schließsystem mit Sicherheitsschlössern
  • Zugang in den Serverraum nur für Berechtigte
  • Zentrale EDV überwiegend in Rechenzentrum ausgelagert (DIN ISO/IEC 27001:2005) (Housing)
1.2 Zugangskontrolle
  • User-ID- Abfrage mit Passwort
  • Passwortkonvention: mindestens 8 Zeichen mit Sonderzeichen, Zahlen, Groß-/Kleinschreibung
  • Zeitliche Begrenzung der Passwortgültigkeit: 15 Wochen
  • Passwortgenerationen: 10
1.3 Zugriffskontrolle
  • Berechtigungs- und Administrationskonzept vorhanden
  • Zugriffsprotokolle per Protokoll mit Logging von Richtlinienverstößen
  • Passwortgeschützter Bildschirmsperre, zeitgesteuerte Aktivierung
1.4 Auftragskontrolle
  • Verwendung der getroffenen Maßnahmen abhängig vom Auftrag
  • Schriftlich bestellter externer Datenschutzbeauftragter mit Stellvertreter
  • Einhaltung und Umsetzung der Vorgaben in § 11 BDSG
1.5 Trennungskontrolle
  • Getrennte Datenbanken für Unternehmen und Kunden
  • Verarbeitung der Projekt-Daten separat auf virtuellen Servern
2. Integrität

2.1 Weitergabekontrolle
  • Festplattenverschlüsselung
  • Verschlüsselung der Datenwege bei Fernwartung (VPN, HTTPS)
2.2 Eingabekontrolle
  • Alle Eingaben/Änderungen im zentralen CRM genesisWorld werden protokolliert
3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle
  • Zentrale EDV überwiegend in Rechenzentrum ausgelagert (DIN ISO/IEC 27001:2005) (Housing)
  • Datensicherungskonzept mit Vollsicherungen und Inkrementellen Sicherungen, Virtualisierung
  • Ablage der Sicherungen in getrennter Brandschutzzone
  • Zusatzsicherungen und getestete Rücksicherungen
  • RAID-Festplattenspeicher
  • Virenscanner und mehrstufige Firewalls
  • Serverraum-Klimatisierung, USV, CO2-Löschanlage, Brandmelder (RZ)

Technische und Organisatorische Maßnahmen für die Software GymNet

1. Vertraulichkeit

1.1 Zutrittskontrolle

Datacenter-Parks in Nürnberg und Falkenstein
  • elektronisches Zutrittskontrollsystem mit Protokollierung
  • Hochsicherheitszaun um den gesamten Datacenter-Park
  • dokumentierte Schlüsselvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder Auftraggeber ausschließlich für seinen Colocation Rack)
  • Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
  • 24/7 personelle Besetzung der Rechenzentren
  • Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen
  • Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen ist wie folgt beschränkt: nur in Begleitung eines Hetzner Online GmbH Mitarbeiters
Verwaltung
  • elektronisches Zutrittskontrollsystem mit Protokollierung
  • Videoüberwachung an den Ein- und Ausgängen
1.2 Zugangskontrolle
  • Zugang ist passwortgeschützt, Zugriff besteht nur für berechtigte Mitarbeiter vom Auftragnehmer; verwendete Passwörter müssen Mindestlänge haben und werden in regelmäßigen Abständen erneuert
1.3 Zugriffskontrolle
  • Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
  • Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers
  • Für übertragene Daten/Software ist einzig der Auftraggeber in Bezug auf Sicherheit und Updates zuständig.
1.4 Datenträgerkontrolle

Datacenter-Parks in Nürnberg und Falkenstein
  • Festplatten werden nach Kündigung mit einem definierten Verfahren mehrfach überschrieben (gelöscht). Nach Überprüfung werden die Festplatten wieder eingesetzt.
  • Defekte Festplatten, die nicht sicher gelöscht werden können, werden direkt im Rechenzentrum (Falkenstein) zerstört (geschreddert).
1.6 Trennungskontrolle
  • Daten werden physisch oder logisch von anderen Daten getrennt gespeichert.
  • Die Datensicherung erfolgt ebenfalls auf logisch und/oder physisch getrennten Systemen.
2. Integrität

2.1 Weitergabekontrolle
  • Alle Mitarbeiter sind i.S.d. Art. 32 Abs.4 DS-GVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.
  • Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.
  • Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des Hauptauftrages zur Verfügung gestellt.
2.2 Eingabekontrolle
  • Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
  • Änderungen der Daten werden protokolliert.
3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle
  • Backup- und Recovery-Konzept mit täglicher Sicherung der Daten je nach gebuchten Leistungen des Hauptauftrages.
  • Einsatz von Festplattenspiegelung.
  • Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.
  • Einsatz von Softwarefirewall und Portreglementierungen.
  • Dauerhaft aktiver DDoS-Schutz.
3.2 Rasche Wiederherstellbarkeit
  • Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
  • Das Datenschutz-Managementsystem und das Informationssicherheitsmanagementsystem wurden zu einem DIMS (Datenschutz-Informationssicherheits-Management-System) vereint.
  • Incident-Response-Management ist vorhanden.
  • Datenschutzfreundliche Voreinstellungen werden bei Softwareentwicklungen berücksichtigt (Art. 25 Abs. 2 DS-GVO).
4.1 Auftragskontrolle
  • Unsere Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers. Die AGB enthalten detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers.
  • Die AGB enthalten detaillierte Angaben über die Zweckbindung der personenbezogenen Daten des Auftraggebers.
  • Die Hetzner Online GmbH hat einen betrieblichen Datenschutzbeauftragten sowie einen Informationssicherheitsbeauftragten bestellt. Beide sind durch die Datenschutzorganisation und das Informationssicherheitsmanagementsystem in die relevanten betrieblichen Prozesse eingebunden.

Share by: