Annex 3: Technische organisatorische Maßnahmen
1. Zutrittskontrolle zu Räumlichkeiten und Einrichtungen, in denen Daten verarbeitet werden:
Der Auftragnehmer stellt durch die nachfolgenden Maßnahmen sicher, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt ist:
- Zutrittskontrollsysteme für das Betriebsgelände, für das Gebäude und für einzelne Räume/ Räumlichkeiten
- Zutritt zum Gebäude nur durch kontrollierte, dokumentierte Schlüsselvergabe, Schlüssel nicht duplizierbar, Besucher müssen klingeln
- Bürobereich nicht allgemein zugänglich. Einzelne Büros sind abschließbar.
- Die Server befinden sich bei Subunternehmern.
2. Zugangskontrolle
Der Auftragnehmer stellt durch die nachfolgenden Maßnahmen sicher, dass Datenverarbeitungssysteme nicht von Unbefugten genutzt werden können:
- Ausschließlich persönliche Übergabe aller relevanten Passwörter durch IT-Leitung (Admin) an verantwortliche Mitarbeiter
- Benutzeridentifikation durch persönlichen Login am Client
- Automatische Bildschirmsperre nach 5 Minuten
- Dienstanweisung zur manuellen Sperrung des Clients bei Verlassen des Arbeitsplatzes
- Je nach Anzahl erfolgloser Anmeldeversuche zeitlich ansteigende Sperrung der Anmeldung mit einem Benutzernamen/Passwort
- Passwortrichtlinie für alle Passwörter (mindestens 8 Zeichen, mindestens 1 Großbuchstabe; mindestens 1 Zahl), Zudem sind sämtliche Passwörter der Plattform gecrypted und gesalted. Weiterhin wird die Mindestlänge der Passwörter überprüft sowie die Nutzung eines Passwortmanagers empfohlen.
- Sicherung der Systeme über eine Firewall
- Benutzer-Authentifizierung über Active Directory
- Protokollierung aller Anmeldungen der letzten 30 Tage
- Fernzugriffe nur verschlüsselt über VPN-Client
- Automatisierte Standardroutinen für regelmäßige Aktualisierung von Schutzsoftware (z. B. Virenscanner)
- Revisionssicheres, verbindliches Verfahren zur Rücksetzung „vergessener“ Passwörter
- Eindeutige Zuordnung von Benutzerkonten zu Benutzern
- Richtlinie zum sicheren, ordnungsgemäßen Umgang mit Passwörtern
3. Zugriffskontrolle
Der Auftragnehmer gewährleistet durch die nachfolgenden Maßnahmen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Es existiert ein Berechtigungskonzept nach dem need-to-know-Prinzip, dass den Zugriff von Mitarbeitern auf Daten von Auftraggebern regelt.
- Protokollierung von Änderungen bei Zugriffsberechtigungen
- Verbot der Verwendung von privaten Speichermedien in der IT-Umgebung des Auftragnehmers
- Authentifizierung auf Betriebssystemebene erforderlich
- Separate Authentifizierung und Berechtigungsvergabe auf Anwendungsebene
- Protokollierung der Zugriffe durch Logfiles
- Wiederherstellung von Daten aus Backup nur durch Mitarbeiter im IT-Team
- Alle Netzwerklaufwerke sind verschlüsselt
- Vorgaben zur Passwortvergabe anhand einer Richtlinie sowie zusätzliche Sicherheitsmaßnahmen durch crypten und salten der Passwörter
- Einträge mit Bezug auf personenbezogene Daten werden mittels Data Masking anonymisiert
4. Weitergabekontrolle
Der Auftragnehmer gewährleistet durch die nachfolgend genannten Maßnahmen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
- Verschlüsselung von Daten auf dem Webportal über https /SSL
- Protokollierung der Übertragungsvorgänge
- Verschlüsselung von Daten auf Laptops
- Emails verschlüsselt; S/MIME bzw. PGP
- Protokollierung von Datenübertragungen (30 Tage) durch Logfiles
- IT-Security-Überprüfungen: regelmäßiger Penetration-Test der exponierten (von außen erreichbaren) Systeme.
- Transport von Sicherungsbändern in Sicherungsschließfach ausschließlich durch Mitarbeiter
5. Eingabekontrolle
Der Auftragnehmer stellt durch die nachfolgend genannten Maßnahmen sicher, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- Logfiles (mindestens 30 Tage)
- Überwachung der Protokollierung: anlassbezogen (Troubleshooting) durch die Systemadministratoren
- Passwort-Rücksetzung nur manuell durch Systemadministratoren (Archivierung über Ticket-System)
6. Auftragskontrolle
Der Auftragnehmer gewährleistet durch die nachfolgend genannten Maßnahmen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend seinen Weisungen verarbeitet werden:
- Mitarbeiter werden schriftlich auf das Datengeheimnis verpflichtet
- Weisungen nur schriftlich oder per E-Mail
- Weisungen hinreichend detailliert (Zeitpunkt/Ort/Versendungsform der Daten; Leistungsumfang etc.)
- Datennutzung nur gemäß den Weisungen
7. Verfügbarkeit und Belastbarkeit (Art.32 Abs. 1 lit. DSGVO)
Der Auftragnehmer gewährleistet durch die nachfolgend genannten Maßnahmen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Dokumentiertes Backup-Konzept und Recovery-Konzept mit täglicher Sicherung
- Festplatten-Echtzeitspiegelung auf redundantem Server in einem separaten Rechenzentrum
- Notstrom über Dieselaggregat für Server verfügbar
- Sicherheit: Sicherheits-Update für Betriebssystem und für Programme wird regelmäßig aufgespielt
- Sachkundiger Einsatz von IT-Security (Virenschutz; Verschlüsselung; Spam-Filter; Firewalls etc) und schriftliches Konzept des Einsatzes
8. Trennungskontrolle
Der Auftragnehmer gewährleistet durch die nachfolgend genannten Maßnahmen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
- Personenbezogene Daten vom Auftraggeber werden immer nach Auftraggebern getrennt abgelegt
- Es existiert ein Berechtigungskonzept, das der getrennten Verarbeitung von Daten des Auftraggebers von Daten anderer Auftraggeber/Mandanten Rechnung trägt
- Die in den verwendeten Systemen verfügbaren Berechtigungsmechanismen ermöglichen die exakte Umsetzung der Vorgaben des Berechtigungskonzepts
9. Privacy by Default
Der Auftragnehmer stellt sicher, dass die Voreinstellungen datenschutzfreundlich vorgenommen werden und für den Auftraggeber transparent sind
- Nutzer haben die Möglichkeit im System selbstständig Daten einzugeben und zu löschen
- Ansonsten werden nur Daten erhoben, die zur unmittelbaren Leistungserbringung bzw. Vermittlung der Reisen benötigt werden und keinerlei Daten zu Marketing- oder Werbezwecken.
10. Organisationskontrolle
Eine reibungslose Organisation des Datenschutzes wird vom Auftragnehmer durch folgende Maßnahmen sichergestellt:
- Organisation und Umsetzung des Datenschutzes durch einen internen Mitarbeiter, der den Datenschutzbeauftragten unterstützt
- Bestellung eines Datenschutzbeauftragten
- schriftliche Vertraulichkeitsanweisung an sämtliche Mitarbeiter zur Einhaltung der Datenschutzrichtlinien
- Arbeitsanweisung zum Umgang mit personenbezogenen Daten sowohl im Homeoffice als auch in den Büroräumlichkeiten
11. Wirksamkeitskontrolle
Der Auftragnehmer stellt durch folgende Kontrollen sicher, dass die Maßnahmen zur Einhaltung der Vorgaben funktionieren:
- Regelmäßige Kontrolle der Wirksamkeit der eingesetzten technischen und organisatorischen Maßnahmen
- Brandschutz/ Evakuierungskonzept