Sicherheit der Verarbeitung
Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
Vorabinformation
Die Auflistung gibt die durch CGX umgesetzten Maßnahmen zur Sicherheit der Verarbeitung wieder. Für die Kundensysteme werden Systeme der Amazon Web Services Inc. verwendet. Die Daten der Kundensysteme liegen ausschließlich in ISO 27001 zertifizierten Rechenzentren in Europa (Frankfurt am Main), die den aktuellen Sicherheitsstandards und den Anforderungen der Europäischen Datenschutzgrundverordnung entsprechen.
Hierbei wird auf die Anlagen des Rechenzentrumsbetreibers AWS (aktuelle Versionen unter Compliance, Data Center und Global Infrastructure), verwiesen.
Zugangskontrolle
„Verwehrung des Zugangs für Unbefugte zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird“
Büroräume
Die Büroräume befinden sich am Hauptsitz des Unternehmens in Hamburg.
Der Zutritt zum Gebäude und zu den Büroräumen ist durch ein Schließsystem gesichert.
Zugriffskontrolle
„Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben“
Es existiert ein dokumentierter Berechtigungsvergabeprozess – Beantragung von Berechtigungen werden in einem Ticketsystem durchgeführt und protokolliert.
Berechtigungen werden stets am Minimalprinzip ausgerichtet und regelmäßig überprüft.
Rechenzentrum
Sowohl die von CGX zu Verwaltungszwecken genutzten Daten als auch die Daten der Kundensysteme liegen ausschließlich in ISO 27001 zertifizierten Rechenzentren in Europa, die den aktuellen Sicherheitsstandards entsprechen.
Bezüglich der Kundensysteme verweisen wir auf die Anlagen des Rechenzentrumsbetreibers AWS (aktuelle Versionen unter Compliance, Data Center und Global Infrastructure).
Eingabekontrolle
„Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind“
Benutzerkonten werden nur personalisiert vergeben, dadurch können Änderungen immer einem Benutzer zugeordnet werden.
Alle Datenveränderungen werden in Protokollen festgehalten.
Implementierung von Change-Management in der IT, Veränderungen an den Systemen werden generell durch die Verwendung von IT-Tickets protokolliert.
Transportkontrolle
„Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden“
Cloud-Daten
Der Zugriff auf die Systeme durch die Nutzer ist ausschließlich verschlüsselt möglich.
Die Zugriffe durch die Endgeräte und Benutzer werden durch ein Firewall-System geleitet. Es existiert ein Netzwerk-Monitoring, welches Fehler erkennen kann und die Administratoren umgehend benachrichtigt.
Betrieb durch CGX
USB-Datenträger sind gesperrt für die Benutzer und nur mit Ausnahmeregelung benutzbar.
Das Netzwerk ist gegenüber öffentlichen Netzwerken (Internet) durch ein Firewall-System geschützt. Ein- und ausgehender Verkehr kann protokolliert werden.
Die Benutzer sind durch die verbindliche IT- und Datenschutzrichtlinie verpflichtet, personenbezogene Daten nur verschlüsselt zu übermitteln.
Verwendung von aktuellen Verschlüsselungsalgorithmen bei der Übermittlung von personenbezogenen Daten.
Verwendung von verschlüsselter VPN-Technologie für den Zugang zu IT-Systemen durch Mitarbeiter und Dienstleister.
Verwendung von Shreddern für die datenschutzkonformen Entsorgung.
Verfügbarkeitskontrolle
„Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind“
Der Rechenzentrumsbetreiber garantiert im Rahmen seiner an den Kundenvertrag angepassten Service Level Agreements die garantierte Verfügbarkeit.
Dies wird durch die Verwendung von gespiegelten Systemen, unterbrechungsfreien Stromversorgungen, redundanten Leitungsanbindungen und weiteren Maßnahmen unterstützt.
Hier wird ebenfalls auf die Dokumentation des Rechenzentrumsbetreibers verwiesen.
Datenträgerkontrolle
„Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern“
Cloud-Daten
Die in den zentralen Rechenzentren gehosteten Daten sind nur über verschlüsselte Zugänge für den eingeschränkten Kreis der Administratoren zu erreichen und werden nicht weisungsgemäß nicht weiter transportiert.
Betrieb durch CGX
Über die IT- und Datenschutzrichtlinie ist geregelt, dass mobile Datenträger nur verschlüsselt verwendet werden dürfen. Dies wird durch entsprechende IT-Systeme erzwungen.
Als Endgeräte für die Mitarbeiter werden Laptops verwendet, deren Festplatten mit aktueller Verschlüsselungstechnologie verschlüsselt sind.
Datenträger werden datenschutzkonform durch einen zertifizierten Dienstleister entsorgt.
Verwendung von zentralen Richtlinien und Steuerungsmöglichkeiten für die Anbindung von Smartphones.
Speicherkontrolle
„Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten“
Cloud-Daten
Die in den zentralen Rechenzentren gehosteten Daten sind nur über verschlüsselte Zugänge für den eingeschränkten Kreis der Administratoren zu erreichen und werden nicht weiter transportiert.
Alle Zugriffe erfolgen über Firewalls und werden durch ein Netzwerk-Monitoring-System überwacht.
Betrieb durch CGX
Über die IT- und Datenschutzrichtlinie ist geregelt, dass mobile Datenträger nur verschlüsselt verwendet werden dürfen. Dies wird durch entsprechende IT-Systeme umgesetzt.
Als Endgeräte für die Mitarbeiter werden Laptops verwendet, deren Festplatten mit aktueller Verschlüsselungstechnologie verschlüsselt sind.
Benutzerkontrolle
„Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte“
Passwörter werden in allen Systemen generell irreversibel und verschlüsselt gespeichert (Hash-Werte).
Login nur mit den Passwortregeln entsprechendem Benutzername/Kennwort möglich.
Es existiert eine verbindliche Passwortrichtlinie im Rahmen der IT- und Datenschutzrichtlinie im Unternehmen.
Die Passwörter entsprechen Komplexitätsrichtlinien und müssen regelmäßig geändert werden.
Unbenutzte Konten werden durch die IT-Administration regelmäßig deaktiviert.
Bei Erkennung von Missbrauch besteht die Möglichkeit der zentralen Deaktivierung von Benutzerkonten und dadurch zentraler Steuerung der Zugriffserlaubnis für Benutzer.
Übertragungskontrolle
„Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können“
Die personenbezogenen Daten des Auftraggebers verbleiben im zentralen Rechenzentrum und werden nicht an andere Systeme übertragen.
Die Zugriffe durch die Endgeräte und Benutzer werden durch ein Firewall-System geleitet. Es existiert ein Netzwerk-Monitoring, welches Fehler erkennen kann und die Administratoren umgehend benachrichtigt.
Wiederherstellbarkeit
„Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können“
Es existiert eine Dokumentation der Datensicherungsmaßnahmen mit einem Datensicherungskonzept.
Zentrales Backup mit Snapshot-Technologie durch den zentralen Betreiber des Rechenzentrums.
Die Backupfunktionalität wird regelmäßig auf Funktionsfähigkeit überprüft und getestet.
Zuverlässigkeit
„Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden“
Verwendung eines Netzwerk-Monitoring-Systems mit Mailbenachrichtigungen an Administratoren.
Es existiert ein Lifecycle-Management-System mit Trennung von Entwicklung, Test und Produktion, in dem Änderungen vor Inbetriebnahme im Produktionssystem ausführlich getestet werden.
Aktuelle Entwicklungsmethoden zur Entwicklung im Team tragen zur Fehlerreduzierung bei.
Datenintegrität
„Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können“
Umsetzung von Datenintegrität durch Berücksichtigung beim Datenbankdesign, Umsetzung von referentieller Integrität und dadurch verbundene Verhinderung von fehlerhaften Löschvorgängen.
Durch umfassende Protokollfunktionalität können unbeabsichtigte Änderungen erkannt und rückgängig gemacht werden.
Auftragskontrolle
„Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können“
Implementierung von Weisungsvorrang von Weisungen des Auftraggebers im Falle, dass Daten als Auftragsverarbeiter im Sinne des Art. 28 DSGVO Daten verarbeitet werden – durch Verpflichtung der Mitarbeiter auf Datenschutz und spezifischer Datenschutzregelungen.
Kontrolle der Dienstleisterverträge und der beim Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen durch den Datenschutzbeauftragten.
Sorgfältige Auswahl von Auftragnehmern.
Eindeutige Vertragsgestaltung, insbesondere Abgrenzung der Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmer und Festlegung der durchzuführenden Kontrollmaßnahmen.
Klare und eindeutige Erteilung von Weisungen (im besten Fall in schriftlicher Form).
Festlegung der zur Erteilung und zum Empfang von Weisungen berechtigten Personen,
Regelung des Einsatzes von Unterauftragnehmern.
Trennbarkeit
„Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können“
Trennung von Produktiv-, Test- und Entwicklungssystem.
Kennzeichnung der Datensätze hinsichtlich der Mandantenzugehörigkeit durch entsprechende Attribute in der Datenbank in allen wesentlichen Tabellen.
Berücksichtigung von datenschutzrechtlichen Vorgaben bei der Gestaltung der Prozesse.
Der Rechenzentrumsbetreiber trennt die Systeme und Datenträger mit Mandanten und damit verbundene personenbezogenen Daten strikt, sodass diese für Dritte nicht zugänglich sind.
Für weitere Informationen zur Trennung der personenbezogenen Daten siehe die Anlagen der AWS (aktuelle Versionen unter Compliance, Data Center und Global Infrastructure).
Pseudonymisierung und Verschlüsselung
Gemäß Art.32 Abs. 1 a) sind die Maßnahmen der Pseudonymisierung und Verschlüsselung bei der Gestaltung der Sicherheitsmaßnahmen zu berücksichtigen.
Die Pseudonymisierung ist aufgrund der relationalen Datenbankstruktur implementiert. Attribute wie Namen und Anschriften werden nicht mehrfach gehalten.
Im Datenaustausch mit Dienstleistern wird die Pseudonymisierung sofern möglich eingesetzt.
Statistiken und Auswertungen werden möglichst anonymisiert.
Die zum Einsatz kommenden Verschlüsselungsmaßnahmen sind u.a. in den vorherigen Punkten dieses Dokuments erläutert.