Technische und organisatorische Maßnahmen

TOM Hinweis:

Das Dokument TOM enthält Informationen, welche Geschäftspartnern, Kunden sowie weiteren externen Stellen, die ein gesetzliches oder sonstige begründetes Einsichtsrecht haben, zur Verfügung gestellt werden.

Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.

be+ empfiehlt, den Maßnahmenempfehlungen einschlägiger Richtlinien und Standards, wie der ISO/IEC 27002 sowie des Bundesamtes für Sicherheit in der Informationstechnik, Folge zu leisten.

Prämbel

be+ hat die folgenden technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO zur Gewährleistung von Verschlüsselung und Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, Wiederherstellbarkeit sowie entsprechende Verfahren zur Überprüfung implementiert.

Der allgemeine Teil beschreibt technische und organisatorische Maßnahmen die unabhängig von den jeweiligen Dienstleistungen und Services, Standorten und Kunden gelten. In den Anhängen sind Maßnahmen beschrieben, die über die im allgemeinen Teil dokumentierten Maßnahmen hinaus gelten.

§ 1 Vertraulichkeit

Die Eigenschaft, dass personenbezogene Daten unberechtigten Personen, Einheiten oder Prozessen nicht verfügbar gemacht oder enthüllt werden.

  1. Zutrittskontrolle
    1. Besucher dürfen sich grundsätzlich nur in Begleitung eines Mitarbeiters im Gebäude aufhalten
    2. Sorgfältige Auswahl von Dienstleistern und Sub-Auftragsverarbeitern
    3. Büroräume sind außerhalb der Arbeitszeit verschlossen
  2. Zugangskontrolle
    1. Formale Benutzer- und Berechtigungsverfahren
    2. Login nur mit Benutzername, Passwort und wo erforderlich 2-Faktor-Authentifizierung
    3. Systemisch forcierte Passwortrichtlinien
    4. Keine Nutzung mobiler Datenträger
    5. Automatische Sperre von Desktops nach wenigen Minuten Inaktivität
    6. “Clean Desk”-Policy
  3. Zugriffskontrolle
    1. Nutzung kryptografischer Verfahren (z.B. Verschlüsselung)
    2. Richtlinien zur Arbeitsplatzsicherung
    3. Umsetzung von Berechtigungskonzepten nach dem Need-to-Know-Prinzip
    4. Trennung von Anwendungs- und Administrationszugängen
    5. Protokollierung von Zugriffsversuchen
  4. Pseudonymisierung
    1. Sofern möglich oder erforderlich werden personenbezogene Daten pseudonymisiert verarbeitet (Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem System)
  5. Trennungskontrolle
    1. Trennung von Entwicklungs-, Test- und Produktivumgebung
    2. Personenbezogene Daten dürfen nicht für Testzwecke verwendet werden
  6. Eingabekontrolle (nicht zutreffend, da Webanwendung)
  7. Auftragskontrolle (nicht zutreffend, da Webanwendung)
  8. Verfügbarkeitskontrolle
  9. Datentrennung (techn. Architektur mit Microservices)

§ 2 Integrität

Die Integrität personenbezogener Daten ist dann gewahrt, wenn sie richtig, unverändert und vollständig sind.

  1. Weitergabekontrolle
    1. Bereitstellung von Daten über verschlüsselte Verbindungen (z.B. SFTP)
    2. Elektronische Übermittlung von Daten: TLS & HTTPS
    3. Weitergabe von personenbezogenen Daten im Sinne des Need-to-Know / Need-to-Do-Prinzips
    4. Personenbezogene Daten werden nach ihrem Schutzbedarf klassifiziert, wobei vertrauliche Daten nur über sichere Kommunikationswege übertragen werden dürfen
    5. Wo möglich wird E-Mail-Verschlüsselung eingesetzt
    6. Wo möglich werden personenbezogene Daten nur in pseudonymisierter oder anonymisierter Form übermittelt
    7. Dokumentation der Weitergabe von physischen Speichermedien
    8. Weitergabe von Papierdokumenten mit personenbezogenen Daten in einem verschlossenen undurchsichtigen Umschlag
  2. Eingabekontrolle über rollenbasiertes Berechtigungskonzept (Lese-, Schreib-, und Löschrechte)
  3. Verfügbarkeit und Belastbarkeit
    Die Verfügbarkeit von personenbezogenen Daten ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können
    1. Einsatz von Hardware- und Softwarefirewalls
    2. Intrusion Detection Systeme
    3. Externe Audits und Sicherheitstests
  4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung wie wird gewährleistet, dass die genannten Datensicherungsmaßnahmen regelmäßig überprüft werden
    1. Datenschutz-Management
      1. Datenschutzbeauftragte und ein Informationssicherheitsbeauftragter sind benannt
      2. Etablierung einer Datenschutz- und Informationssicherheitsorganisation
      3. Alle Mitarbeiter sind auf die Vertraulichkeit im Umgang mit personenbezogenen Daten verpflichtet und werden auf das Telekommunikationsgeheimnis hingewiesen
      4. Mitarbeiter sind im Umgang mit personenbezogenen Daten sensibilisiert
      5. Neue Mitarbeiter erhalten Informationsmaterial bezüglich des Umganges mit personenbezogenen Daten
      6. Ein Verzeichnis von Verarbeitungstätigkeiten wird gepflegt und Datenschutzfolgenabschätzungen werden bei Bedarf durchgeführt
      7. Prozesse zur Wahrnehmung von Betroffenenrechten sind etabliert
    2. Auftragskontrolle
      1. Daten, die im Auftrag verarbeitet werden, werden nur nach Weisungen des Auftraggebers verarbeitet
      2. Auftragnehmer werden im Hinblick auf getroffene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten sorgfältig ausgewählt
      3. Weisungen zum Umgang mit personenbezogenen Daten werden in Textform dokumentiert
      4. Sofern erforderlich werden Auftragsverarbeitungsvereinbarungen bzw. geeignete Garantien zur Übermittlung von Daten an Drittländer geschlossen
    3. Datenschutzfreundliche Voreinstellungen
      1. Es wird möglichst sichergestellt, dass Systeme und Produkte datenschutzfreundlich entwickelt werden
      2. Es werden nur diejenigen personenbezogenen Daten erhoben, die für den jeweiligen Zweck erforderlich sind
    4. Incident-Response-Management
      1. Dokumentierter Prozess zur Erkennung, Meldung und Dokumentation von Datenschutzverletzungen unter Einbindung des Datenschutzbeauftragten
      2. Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen unter Einbindung des Informationssicherheitsbeauftragten
    5. Personalsicherheit (nach 7 ISO/IEC 27002:2017)
      1. Überprüfung und Bestätigung angegebener akademischer und beruflicher Qualifikationen
      2. Vertragliche Vereinbarungen zur Festlegung von Verantwortlichkeiten und Verhaltensregeln
      3. Durchführung von Schulungs-, Sensibilisierungs- sowie Kontrollmaßnahmen
      4. Sensibilisierungs- und Sanktionsprozess bei datenschutzrechtlichen Verstößen
      5. Durchführung eines dokumentierten Offboarding-Prozesses (inkl. Rücknahme von Schlüsseln, Entziehung von Zugriffsrechten, Sicherstellung der ausreichenden Dokumentation, Herausgabe und Weitergabe von Daten, Informationen und Wissen etc.) bei Beendigung des Arbeitsverhältnisses
  5. Informationen zu den TOM für das externe Server-Hosting sind abrufbar unter: https://aws.amazon.com/de/compliance/data-center/controls/
  6. Maßnahmen, um personenbezogene Daten gegen zufällige Zerstörung oder Verlust zu schützen, sind hier abrufbar: https://aws.amazon.com/de/security/

be+ wird sich vor Beginn der Beauftragung und danach regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen der von ihr eingesetzten Unterauftragnehmer überzeugen bzw. diese nachweisen lassen.