Technische und organisatorische Maßnahmen
Der AG trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
1. Vertraulichkeit
Zutrittskontrolle
Die HOCHZWEI GmbH & Co. KG gewährleistet, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird. Die Agenturräume der HOCHZWEI GmbH & Co. KG sind vor unbefugtem Zutritt geschützt. Die Eingangstür ist immer verschlossen und kann nur durch einen Transpon-der oder durch das Öffnen über die Telefonanlage geöffnet werden. Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt. Zutrittsberechtigungen werden einem Beschäftigten erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Personalabteilung angefordert wurde. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen. Besucher erhalten erst nach Türöffnung durch den Empfang Zutritt zu dem Büro-haus und dann den Büroräumen. Der Empfang kann die Eingangstür einsehen und trägt Sorge dafür, dass jeder Besucher sich beim Empfang meldet. Das Agenturgebäude der HOCHZWEI GmbH ist alarmgesichert. Die Alarmanlage wird jeden Abend aktiviert. Im Falle eines Alarms wird ein Sicherheitsunternehmen benachrichtigt, das den Sicherheitsvorfall unverzüglich untersucht.
Zugangskontrolle
Jedem Mitarbeiter der HOCHZWEI GmbH & Co. KG werden individuelle Benutzerrechte zugeordnet. Die Verwaltung von Benutzergruppen mit gruppenspezifischen Berechtigungen erfolgt über unseren Open Directory Server (speichert und organisiert Informationen über die Benutzer und Netzwerkressourcen und ermöglicht den Netzwerk-Administratoren, den Zugriff auf die Ressourcen zu verwalten) Eine Protokollierung erfolgt über einen Open Directory Server. Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde. Der Antrag kann auch über die Personalabteilung gestellt werden. Der Benutzer erhält dann einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort aus Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss. Passwörter werden alle 90 Tage gewechselt. Ausgenommen hiervon sind Passwörter, die über eine Mindestlänge von 32 Zeichen verfügen. Hier ist ein automatischer Passwortwechsel nicht indiziert. Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen 10 Passwörter nicht noch einmal verwendet werden können. Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung des jeweiligen Benutzer-Accounts. Remote-Zugriffe auf IT-Systeme der HOCHZWEI GmbH & Co. KG erfolgen stets über verschlüsselte Verbindungen. Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen. Passwörter werden grundsätzlich verschlüsselt gespeichert.
Zugriffskontrolle
Berechtigungen für IT-Systeme und Applikationen der HOCHZWEI GmbH & Co. KG werden ausschließlich von Administratoren eingerichtet. Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind. Voraussetzung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei der Personalabteilung gestellt werden. Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten. Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet. Alle Mitarbeiter bei HOCHZWEI GmbH & Co. KG sind angewiesen, Informationen mit personenbezogenen Daten und/oder Informationen über Projekte in die hier-für ausgewiesenen Vernichtungsbehältnisse einzuwerfen. Beschäftigten ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren. Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates ak-tualisiert.
Trennung
Alle von HOCHZWEI GmbH & Co. KG für Kunden eingesetzten IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden ist stets gewährleistet.
Pseudonymisierung & Verschlüsselung
Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen. Darüber hinaus werden Daten auf Server- und Clientsystemen auf verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende Festplattenverschlüsselungssysteme im Einsatz.
2. Integrität
Eingabekontrolle
Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die von HOCHZWEI GmbH & Co. KG im Auftrag verarbeitet werden, wird grundsätzlich protokolliert. Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Benutzeraccounts dürfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden.
Weitergabekontrolle
Eine Weitergabe von personenbezogenen Daten, die im Auftrag von Kunden von HOCHZWEI GmbH & Co. KG erfolgt, darf jeweils nur in dem Umfang erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist. Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert. Soweit möglich werden Daten verschlüsselt an Empfänger übertragen. Die Nutzung von privaten Datenträgern ist den Beschäftigten bei HOCHZWEI GmbH & Co. KG im Zusammenhang mit Kundenprojekten untersagt. Mitarbeiter bei HOCHZWEI GmbH & Co. KG werden regelmäßig zu Datenschutzthemen geschult. Alle Mitarbeiter sind auf zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.
3. Verfügbarkeit und Belastbarkeit
Daten auf Serversystemen von HOCHZWEI GmbH & Co. KG werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort verbracht. Das Einspielen von Backups wird regelmäßig getestet. Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung. Im Serverraum befindet sich eine Brandmeldeanlage sowie eine CO2-Löschanlage. Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst. Es gibt bei HOCHZWEI GmbH & Co. KG einen Notfallplan, der auch einen Wieder-anlaufplan beinhaltet.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Bei der HOCHZWEI GmbH & Co. KG ist ein Datenschutzmanagement implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird. Es ist ein Datenschutz- und Informationssicherheits-Team (DST) eingerichtet, das Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt. Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst. Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden. Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.
Auftragskontrolle
Die Verarbeitung der Datenhaltung erfolgt ausschließlich in der Europäischen Uni-on. Bei der HOCHZWEI GmbH & Co. KG ist eine betriebliche Datenschutzbeauftragte benannt. Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag nach zuvor durchgeführten Audit durch den Datenschutzbeauftragten von HOCHZWEI GmbH & Co. KG abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Bei der HOCHZWEI GmbH & Co. KG wird schon bei der Entwicklung der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formular-felder, Bildschirmmasken flexibel gestaltbar. So können Pflichtfelder vorgesehen oder Felder deaktiviert werden. Die Software der HOCHZWEI GmbH & Co. KG unterstützt sowohl die Eingabekontrolle durch einen flexiblen und anpassbaren Audit-Trail, der eine unveränderliche Speicherung von Änderungen an Daten und Nutzerberechtigungen ermöglicht. Berechtigungen auf Daten oder Applikationen können flexibel und granular gesetzt werden.