Anlage 2: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Im Folgenden werden die technischen- und organisatorischen Maßnahmen bei DETELLING dargestellt:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Physische Zutrittskontrolle

  • IT-Geräte befinden sich in Besitz der DETELLING Mitarbeiter, der Zugriff für Dritte ist ausgeschlossen.

1.2 Zugangskontrolle

  • Login nur mit Benutzernamen und Passwort
  • Einsatz von Anti-Viren Software für Server, Clients und mobile Geräte
  • Einsatz von Firewalls

1.3 Zugriffskontrolle

  • Die IT prüft und aktualisiert regelmäßig die Berechtigungen
  • Authentifizierung für Datenbankzugriff
  • Schutz der Rechner durch Sperrbildschirm und Kennwort

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

  • Alle Mitarbeiter sind vertraglich auf das Datengeheimnis verpflichtet
  • Bei externer Kommunikation werden Verschlüsselungen nach dem Stand der Technik eingesetzt, sofern der Kommunikationspartner dies unterstützt
  • Verschlüsselte Übertragung (SSH, HTTPS)

2.2 Eingabekontrolle

  • Verpflichtung auf das Datengeheimnis wird bei jedem Mitarbeiter durchgeführt

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Einsatz von Monitoring-Systemen (im Fehlerfall SMS, E-Mail und Push Service Benachrichtigungen)
  • Vertretungsregelungen für abwesende Mitarbeiter
  • Rufbereitschaft Montag bis Freitag per Telefon, Wochenends per E-Mail
  • Backup & Recovery Konzept
  • tägliche Backups

4. Zweckbindungskontrolle (Art. 28 Abs. 3 S. 3 b DSGVO)

  • Trennung von Produktiv- und Testumgebung
  • Mandantenfähigkeit relevanter Anwendungen
  • Getrennte Speicherung von Firmendaten (Buchhaltung / Personalverwaltung etc.)

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

5.1 Datenschutz-Management

  • Mindestens jährliche Sensibilisierung der Mitarbeiter bzgl. Informationssicherheit
  • Einhaltung der Informationspflichten nach Art. 13 und 14 DSGVO
  • Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

5.2 Incident-Response-Management

  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen

5.3 Datenschutzfreundliche Voreinstellungen

  • Alle zur Datenverarbeitung genutzten Systeme werden in der Regel so datenschutzfreundlich wie möglich benutzt und konfiguriert
  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
  • Eine Pseudonymisierung wird so früh wie möglich vorgenommen

5.4 Auftragskontrolle

  • Zwischen Auftragnehmer und evtl. Unterauftragnehmer wird bei Bedarf ein AVV-Vertrag geschlossen

DETELLING bedient sich für die Zwecke der Leistungserbringung im Bereich Hosting eines technischen Dienstleisters, derzeit: Amazon Web Services

Amazon Web Services EMEA SARL
38, avenue John F. Kennedy
L-1855 Luxembourg

Im Folgenden werden die technischen und organisatorischen Maßnahmen des technischen Dienstleisters dargestellt:

1. Informationssicherheitsprogramm

Amazon Web Services („AWS“) unterhält ein Informationssicherheitsprogramm (einschließlich der Einführung und Durchsetzung interner Richtlinien und Verfahren), das dazu dient, (a) dem Kunden dabei zu helfen, die Kundendaten vor versehentlichem oder unrechtmäßigem Verlust, Zugriff oder Offenlegung zu schützen, (b) vernünftigerweise vorhersehbare und interne Risiken für die Sicherheit und den unbefugten Zugriff auf das AWS-Netzwerk zu identifizieren und (c) Sicherheitsrisiken zu minimieren, auch durch Risikobewertung und regelmäßige Tests. AWS wird einen oder mehrere Mitarbeiter benennen, die das Informationssicherheitsprogramm koordinieren und dafür verantwortlich sind. Das Informationssicherheitsprogramm wird folgende Maßnahmen umfassen:

1.1 Netzwerksicherheit

Das AWS-Netzwerk ist für Mitarbeiter, Auftragnehmer und alle anderen Personen, die für die Erbringung der Services erforderlich sind, elektronisch zugänglich. AWS unterhält Zugriffskontrollen, um zu verwalten, welcher Zugriff auf das AWS-Netzwerk jeder Netzwerkverbindung und jedem Benutzer erlaubt ist, einschließlich der Verwendung von Firewalls oder funktional gleichwertiger Technologie und Authentifizierungskontrollen.

1.2 Physische Sicherheit

1.2.1 Physische Zugangskontrollen

Die physischen Komponenten des AWS-Netzwerks sind in nicht näher bezeichneten Einrichtungen (die „Einrichtungen“) untergebracht. Physische Schrankenkontrollen werden eingesetzt, um den unbefugten Zugang zu den Einrichtungen sowohl an der Außengrenze als auch an den Gebäudezugängen zu verhindern. Das Passieren der physischen Barrieren in den Einrichtungen erfordert entweder eine elektronische Zugangskontrolle (z. B. Kartenzugangssysteme usw.) oder eine Validierung durch menschliches Sicherheitspersonal (z. B. vertraglich vereinbarter oder interner Wachdienst, Empfangspersonal usw.). Mitarbeitern und Auftragnehmern werden Lichtbildausweise zugewiesen, die getragen werden müssen, während sich die Mitarbeiter und Auftragnehmer in einer der Einrichtungen aufhalten. Besucher müssen sich beim zuständigen Personal anmelden, sich ausweisen, erhalten einen Besucherausweis, den sie tragen müssen, solange sie sich in den Einrichtungen aufhalten, und werden beim Besuch der Einrichtungen ständig von autorisierten Mitarbeitern oder Auftragnehmern begleitet.

1.2.2 Beschränkter Zugang für Mitarbeiter und Auftragnehmer

AWS gewährt denjenigen Mitarbeitern und Auftragnehmern Zugang zu den Einrichtungen, die einen legitimen geschäftlichen Grund für diese Zugangsrechte haben. Wenn ein Mitarbeiter oder Auftragnehmer kein geschäftliches Bedürfnis mehr für die ihm zugewiesenen Zugriffsrechte hat, werden die Zugriffsrechte unverzüglich entzogen, auch wenn der Mitarbeiter oder Auftragnehmer weiterhin ein Mitarbeiter von AWS oder seinen verbundenen Unternehmen ist.

1.2.3 Physische Sicherheitsmaßnahmen

Alle Zugangspunkte (mit Ausnahme der Haupteingangstüren) werden in einem gesicherten (verschlossenen) Zustand gehalten. Die Zugangspunkte zu den Einrichtungen werden durch Videoüberwachungskameras überwacht, die alle Personen aufzeichnen, die die Einrichtungen betreten. Unterdienstleister von AWS unterhalten außerdem elektronische Einbruchserkennungssysteme, die darauf ausgelegt sind, unbefugten Zutritt zu den Einrichtungen zu erkennen, einschließlich der Überwachung von Schwachstellen (z. B. Haupteingangstüren, Notausstiegstüren, Dachluken, Türen von Verladerampen usw.) mit Türkontakten, Glasbruchvorrichtungen, Bewegungserkennung im Inneren oder anderen Vorrichtungen, die darauf ausgelegt sind, Personen zu erkennen, die versuchen, sich Zugang zu den Einrichtungen zu verschaffen. Der gesamte physische Zugang zu den Einrichtungen durch Mitarbeiter und Auftragnehmer wird protokolliert und routinemäßig geprüft.

2. Fortlaufende Bewertung

AWS führt regelmäßige Überprüfungen der Sicherheit seines AWS-Netzwerks und der Angemessenheit seines Informationssicherheitsprogramms durch, gemessen an den Sicherheitsstandards der Branche und seinen Richtlinien und Verfahren. AWS wird die Sicherheit seines AWS-Netzwerks und der zugehörigen Services kontinuierlich bewerten, um festzustellen, ob zusätzliche oder andere Sicherheitsmaßnahmen erforderlich sind, um auf neue Sicherheitsrisiken oder Erkenntnisse aus den regelmäßigen Überprüfungen zu reagieren.

3. AWS-Zertifizierungen und -Audits

3.1 AWS ISO-Zertifizierung und SOC-Berichte

Zusätzlich zu den in diesem DVZ enthaltenen Informationen wird AWS auf Anfrage des Kunden und unter der Voraussetzung, dass die Parteien eine anwendbare Geheimhaltungsvereinbarung abgeschlossen haben, die folgenden Dokumente und Informationen zur Verfügung stellen:

  1. die Zertifikate, die im Zusammenhang mit der ISO 27001-Zertifizierung, der ISO 27017-Zertifizierung und der ISO 27018-Zertifizierung ausgestellt wurden (oder die Zertifizierungen oder sonstigen Unterlagen, die die Einhaltung solcher alternativen Standards belegen, die im Wesentlichen gleichwertig zu ISO 27001, ISO 27017 und ISO 27018 sind); und
  2. den System- und Organisationskontrollbericht (SOC) 1, den System- und Organisationskontrollbericht (SOC) 2 und den System- und Organisationskontrollbericht (SOC) 3 (oder die Berichte oder sonstigen Unterlagen, die die Kontrollen beschreiben) die von AWS implementiert wurden und die SOC 1, SOC 2 und SOC 3 ersetzen oder ihnen im Wesentlichen gleichwertig sind.

3.2 AWS-Audits

AWS setzt externe Auditoren ein, um die Angemessenheit seiner Sicherheitsmaßnahmen zu überprüfen, einschließlich der Sicherheit der physischen Rechenzentren, aus denen AWS die Services bereitstellt. Diese Prüfung: (a) wird mindestens einmal jährlich durchgeführt; (b) wird gemäß den Standards von ISO 27001 oder anderen alternativen Standards durchgeführt, die im Wesentlichen mit ISO 27001 gleichwertig sind; (c) wird von unabhängigen Sicherheitsexperten Dritter nach Auswahl und auf Kosten von AWS durchgeführt; und (d) führt zur Erstellung eines Auditberichts ("Bericht"), der zu den vertraulichen Informationen von AWS gehört.

3.3 Audit-Berichte

Auf schriftliche Anfrage des Kunden und unter der Voraussetzung, dass die Parteien eine anwendbare Geheimhaltungsvereinbarung abgeschlossen haben, wird AWS dem Kunden eine Kopie des Berichts zur Verfügung stellen, damit der Kunde die Einhaltung der Verpflichtungen von AWS gemäß dieses DVZ angemessen überprüfen kann.

3.4 Datenschutzfolgenabschätzung und vorherige Konsultation

Unter Berücksichtigung der Art der Services und der AWS zur Verfügung stehenden Informationen, wird AWS den Kunden bei der Einhaltung seiner Verpflichtungen in Bezug auf die Datenschutz-Folgenabschätzung und die vorherige Konsultation gemäß Artikel 35 und 36 der DSGVO unterstützen, indem AWS die in diesem Abschnitt 10 zur Verfügung gestellten Informationen bereitstellt.

  • Impressum
  • AGB
  • AV
  • Datenschutz
  • Cookies

Logo

Made with in Aachen

© 2021 DETELLING UG (haftungsbeschränkt)