Technische und organisatorische Maßnahmen nach EU-DSGVO

 Version: 2.0 vom 26.01.2022 

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Räume und Gebäude

Unbefugten ist der Zutritt zu Daten­verarbeitungsanlagen zu verwehren, mit denen perso­nenbezogene Daten verarbeitet oder genutzt wer­den bzw. in denen personenbezogene Daten gela­gert werden.

Sicherheitsbereiche

Die Bürogebäude (Sicherheitsbereich I) sind für alle Mitarbeiter der Firma Riege Software zugänglich. Die Geschäftsräume sind durch eine grundsätzlich geschlossene Sicherheitstür gesichert, die per Sicherheitsschlüssel und ggf. tagsüber per Transponder zugänglich ist. Alle Gäste werden registriert und erhalten einen Besucherausweis. Der Zutritt wird generell durch Mitarbeiter kontrolliert. Die Räume sind zudem außerhalb der Geschäftszeiten alarmgesichert.

Personenbezogene Daten werden in Rechenzentren (Sicherheitsbereich II) gespeichert.

  • Interne Rechenzentren (innerhalb der Büroräume): 
    • Zutritt zum Sicherheitsbereich I mit Transponder für die Alarmanlage und einem Sicherheitsschlüssel für die Schließanlage
    • Zutritt zum Sicherheitsbereich II (separate Tür) über Transponder für berechtigtes Personal
    • Die Alarmanlage ist auf einen externen Sicherheitsdienst geschaltet
  • Externe Rechenzentren: 
    • Alarmsicherung durch Betreiber des Rechenzentrums
    • Einsatz von Sicherheitstüren
    • Zutritt nur für berechtigtes Personal durch Identitätsnachweis mithilfe des Personalausweises / Reisepasses bei der Anmeldung
    • Protokollierung des Zutritts im Schlüsselbuch
    • Sicherung der Racks durch separate Schlösser

Festlegung zutrittsberechtigter Personen

Berechtigtes Personal wird nach jeweiligen Aufgabengebieten von der Geschäftsleitung festgelegt.

Besucher und Fremdpersonal

Besucher haben grundsätzlich nur Zutritt zum Sicherheitsbereich I und werden von einem Mitarbeiter der Firma Riege Software begleitet. Fremdfirmenmitarbeiter, insbesondere von Telekommunikationsdienstleistern,

  • werden in den internen Rechenzentren (Sicherheitsbereich II) von berechtigtem Personal begleitet und kontrolliert und
  • werden bei externen Rechenzentren von berechtigtem Personal temporär und nach Prüfung angemeldet; es gelten die oben beschriebenen Zutrittsmerkmale.

Das Reinigungs-, Wartungs- und Wachpersonal hat Zutritt zum Sicherheitsbereich I und ist sorgfältig ausgewählt und ist zur Wahrung des Datengeheimnisses nach EU-DSGVO (EU-Datenschutzgrundverordnung) und von Geschäftsgeheimnissen verpflichtet.

Unbefugten Personen wird der Zutritt zu den Sicherheitsbereichen grundsätzlich nicht gewährt.

Zugangskontrolle

IT-Systeme, Anwendungen

Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern.

Authentifizierung

Der Zugang zu den Systemen erfolgt gegen Authentifizierung mit einem individuellen Benutzerzugang, dessen Passwort nur dem zugeordneten Benutzer bekannt ist. Triviale Passwörter sind technisch ausgeschlossen, die Mindestlänge beträgt 14 Zeichen. Bei Inaktivität werden auf Serversystemen die Konsolenzugriffe automatisch ausgeloggt, bei PCs starten automatisch passwortgeschützte Bildschirmschoner.

Auf Betriebssystemebene (z.B. SSH) ist auch eine Authentifizierung über ein asymmetrisches Kryptosystem (Schlüssel) anstelle eines Passwortes möglich.

Protokollierung

Jede erfolgreiche und fehlgeschlagene Authentifizierung an den Systemen wird in Logdateien protokolliert. Nach fünf erfolglosen Loginversuchen an der Windowsdomäne wird der Benutzer gesperrt und muss manuell von einem Mitarbeiter der IT-Abteilung wieder freigeschaltet werden.

Verschlüsselung

Mobile Datenträger werden verschlüsselt, sofern personenbezogene oder -beziehbare Daten gespeichert werden. Generell gilt dies für Festplatten mobiler Geräte. Es werden Verschlüsselungsverfahren auf dem aktuellen Stand der Technik verwendet.

Über ungesicherte Netzwerke, insbesondere über das Internet, werden VPN-Technologien nach dem derzeitigen Stand der Technik eingesetzt, um Mitarbeitern und Kunden entsprechend des Berechtigungsschemas Zugriff auf Daten zu gewähren.

Authentisierungsinformationen werden auf dem Transportweg mit Verschlüsselungsprotokollen und -algorithmen auf aktuellen Stand der Technik verschlüsselt.

Benutzerstammsätze

Jeder Benutzer hat seinen eigenen Stammsatz.

Beim Einsatz von Anwendungssoftware (wie z. B. Procars, Scope und Webdiensten) werden die berechtigten Benutzer entweder

  • vom Verantwortlichen benannt. Es wird ein Datenstammsatz je Benutzer gepflegt. 
  • vom Verantwortlichen selbst verwaltet. Der Verantwortliche muss Maßnahmen ergreifen, die den Zugang durch Unbefugte auf seine Datenverarbeitungssysteme (vor allem durch lange Passwörter) verhindert.

Smartphones

Es wird ein separiertes Netzwerk für Geräte mit mobiler Internet-Anbindung wie Smartphones bereitgestellt. Richtlinien verbieten eine anderweitige Nutzung, vor allem in internen Netzwerken.

Zugriffskontrolle

Datenzugriff

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsbe­rechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verar­bei­tung, Nutzung und nach der Speicherung nicht unbe­fugt gelesen, kopiert, verändert oder entfernt werden können.

Berechtigungsschema

Die Zugriffsberechtigungen bei der Firma Riege Software werden von der Geschäftsleitung in einem geregelten schriftlich dokumentierten Verfahren festgelegt.

Der Zugriff für das berechtigte Personal wird in Form von Gruppenrichtlinien geregelt, bei der die Berechtigungen dem Tätigkeitsbereich entsprechend auf das notwendige Maß einschränkt sind. Grundsätzlich haben Administratoren einen uneingeschränkten Zugriff auf die Daten. Mitarbeiter des Supports und der Softwareentwicklung haben über die Anwendungen Zugriff auf die Kundendaten, während außerhalb der Anwendungen (bspw. Datenbanken) nach Möglichkeit nur Lesezugriffe gewährt werden.

Datenmanipulation

Ein Zugriff auf die Kundendaten und eine Manipulation erfolgt ausschließlich nach Beauftragung durch den Verantwortlichen oder im notwendigen Fall einer Fehleranalyse. Die Dokumentation erfolgt elektronisch über Support-Tickets (elektronische Akten).

Gravierende Änderungen an Datenbanksystemen (z.B. Statements zur Änderung von Datensätzen) werden im Vier-Augen-Prinzip / Mehr-Augen-Prinzip und von verschiedenen Rollen vorbereitet, geprüft und durchgeführt. Eine Dokumentation dieser Änderungen erfolgt sowohl über ein Jira Ticket pro Änderung als auch über ein Changelog im Confluence.

Für Kunden betriebene Systeme

Beim Einsatz von Anwendungssoftware wie Procars, Scope oder bei Webservices definiert der Verantwortliche über Gruppenregelungen, Anwendungsmodule und / oder über die Niederlassung die Berechtigung seiner Nutzer.

Protokollierung

Auf Betriebssystemebene werden vor allem der jeweilige Login bzw. Logout in Logfiles und die Befehle des einzelnen Benutzers in der Historie gespeichert. Scope protokolliert die Anlage, letzte Änderung und Löschung von Daten in Logfiles. Durchgeführte Manipulationen auf Datenbanksystemen werden in Tickets und in einem Logbuch (Dokumentation) festgehalten.

Die Protokolle werden mindestens 6 Monate gespeichert, die Historie enthält die letzten 1.000 ausgeführten Befehle.

Datenvernichtung

Ausgemusterte Akten und alte Datenträger werden gesichert gelagert und vorschriftsgemäß vernichtet.

Sicherheitsmanagement

Software wird in regelmäßigen Abständen entsprechend des Veröffentlichungsrhythmus der Hersteller aktualisiert. Updates werden regelmäßig evaluiert und bei Sicherheitsrelevanz / Dringlichkeit innerhalb von sieben Tagen installiert.

Trennungskontrolle

Zweckbezogen

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten ge­trennt verarbeitet werden können.

Funktionstrennung

Systeme werden in Produktions-, Test- und Entwicklungssysteme mit unterschiedlichen Umgebungen getrennt. Software-Updates werden für die Produktivumgebung über ein differenziertes Verfahren freigegeben.

Trennung der Kundensysteme

Die Daten unterschiedlicher Auftraggeber werden logisch voneinander getrennt. Die Trennung erfolgt über Zugriffskontrollmechanismen bzw. logische Teilnetze (VLANs).

Ein Auftraggeber hat nur die Möglichkeit, die eigenen Daten einzusehen und hat keinen Zugriff auf fremde Daten.

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Es ist zu gewährleisten, dass per­sonenbezogene Daten bei der elektronischen Über­tragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an wel­che Stellen eine Übermittlung perso­nenbezogener Daten durch Einrichtungen zur Da­tenübertragung vorgesehen ist.

Transportsicherung / Verschlüsselung

Sofern nicht individuell anders vereinbart, werden die Daten über dedizierte Anbindungen, verschlüsselte VPN-Verbindungen (Virtual Private Network) oder verschlüsselt über das Internet übertragen. Alle Verschlüsselungsverfahren entsprechen dem aktuellen Stand der Technik.

Protokollierung

Alle Datenübertragungen werden elektronisch protokolliert.

Speicherung

Ein unbefugtes Lesen, Kopieren oder Verändern der Daten wird durch die Zutritts-, Zugangs- und Zugriffskontrolle und deren Schutzmaßnahmen verhindert.

Eingabekontrolle

Es ist zu gewährleisten, dass nach­träglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbei­tungssysteme eingegeben, ver­ändert oder entfernt wurden.

Nachvollziehbarkeit

Eine anonyme manuelle Eingabe von Daten zur Weiterverarbeitung ist systemseitig unmöglich. Benutzeranmeldungen werden in Logdateien protokolliert. Innerhalb der Anwendungen werden Manipulationen zusammen mit dem Benutzernamen und dem Zeitstempel gespeichert.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass per­sonenbezogene Daten gegen zufällige Zerstö­rung oder Verlust geschützt sind.

Systembezogene Maßnahmen

Alle Daten, die zur Verarbeitung an die Systeme von Riege Software gesendet werden, werden auf Festplattensystemen mit RAID-Controllern redundant gesichert. Die Systeme sind zudem redundant an mehrere Stromversorgungen (bspw. USVs) angeschlossen.

Monitoring

Zustände von Systemen und Diensten werden überwacht (Monitoring) und regelmäßig überprüft. Im Fehlerfall erfolgt eine Alarmierung auch außerhalb der üblichen Geschäftszeiten.

Infrastrukturdienste

Zentrale Infrastrukturdienste (wie Datenbanken, Firewallsysteme und Netzwerkkomponenten) sind redundant ausgelegt.

Firewall / Virenschutz

Riege Software verwendet ein "Unified Threat Management" (Paketfilter, Intrusion Prevention System, Web-Proxy), das Schutz vor Schadsoftware sowohl auf Ebene der Firewallsysteme als auch auf den einzelnen PCs bietet.

PCs, interne E-Mail-Systeme und Proxy-Server für Mitarbeiter sind mit Virenscannern ausgestattet.

Brandschutz / Temperaturüberwachung / Elektrische Absicherung

Am Standort Meerbusch ist der Serverraum klimatisiert und mit einem Brandmeldesystem und Feuerlöscher ausgestattet. Das Rechenzentrum in Frankfurt ist mit einer Brandfrüherkennung und Löschanlage ausgestattet. Die Temperaturen werden in allen Rechenzentren überwacht.

Zudem sind die Rechenzentren separiert von anderen Stromkreisen abgesichert und ausreichend dimensioniert.

Datenspeicherung

Die in der EU erhobenen Daten werden ausschließlich innerhalb der EU gespeichert.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen ist bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Es wird eine tägliche Datensicherung durchgeführt und zwischen den EU-Rechenzentren synchronisiert. Eine Kopie wird außerdem auf Band geschrieben und sicher extern gelagert. Es werden die gesetzlichen Aufbewahrungsfristen eingehalten.

Ein etablierter Incident-Management-Prozess sorgt für die schnelle Feststellung und Kommunikation bei Systemstörungen. Dabei sind Rollen der Teams zur effizienten Bearbeitung der Störung definiert. Vom lokalen Backupsystem des Rechenzentrums können Daten im Bedarfsfall zügig wiederhergestellt werden.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutzmanagement

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung ist im Unternehmen zu implementieren.

Durch folgende Maßnahmen wird die Einhaltung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO von Riege Software sichergestellt:

  • Riege Software hat einen externen Datenschutzbeauftragten bestellt (Details siehe "Vereinbarung zur Auftragsverarbeitung" ), der in regelmäßigen Abständen durch Audits die Einhaltung der gesetzlichen Datenschutzvorschriften prüft.
  • Das interne Datenschutzteam hat ein Datenschutzmanagement entwickelt, welches mit dem Datenschutzbeauftragten abgestimmt ist. 
  • Die Mitarbeiter sind auf das Datengeheimnis nach DSGVO verpflichtet und werden zum Thema Datenschutz jährlich geschult.
  • Es existiert eine Datenschutzrichtlinie, mit der alle Mitarbeiter vertraut sind. 

Incident-Response-Management

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde.

Riege Software hat für Datenschutzvorfälle ein detailliertes Incident Management, das die notwendigen Prozesse definiert. Dies beinhaltet im Einzelnen

  • Die Identifikation und die Meldung des Vorfalls.
  • Die Analyse, Kategorisierung bzw. Priorisierung und die Risikoabschätzung des Vorfalls.
  • Die Meldung an die Geschäftsleitung, an den Datenschutzbeauftragten und an die Aufsichtsbehörden.
  • Die Information der Betroffenen.

Im Falle einer Betriebsstörung wird Riege Software den Verantwortlichen unverzüglich informieren.

Datenschutzfreundliche Voreinstellung (Art. 25 Abs. 2 DSGVO)

Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Die technischen Einstellungen bei der Verarbeitung von personenbezogenen Daten innerhalb der Systeme von Riege Software sind so gewählt, dass diese Daten nur in einem notwendigen und zweckgebundenen Umfang erhoben und verarbeitet werden. Verarbeitungen über diesen Rahmen hinaus sind nicht vorgesehen bzw. werden nicht ohne die Zustimmung des bzw. der Betroffenen durchgeführt.

Auftragskontrolle

Auftragsverarbeitung personenbezogener Daten erfolgt entsprechend den Weisungen des Verantwortlichen. Die folgenden Maßnahmen werden zur Erfüllung dieser Anforderung festgelegt.

Weisungserteilung und Auftragsabarbeitung

Für die Verarbeitung von Aufträgen beim Auftragsverarbeiter existieren definierte Prozesse. Alle relevanten Änderungen an Datenbanksystemen werden nach dem Vier- bzw. Mehr-Augen-Prinzip von verschiedenen Rollen vorbereitet, geprüft und ausgeführt.

Aufträge und dazugehörige Protokollierung erfolgen über die elektronischen Support-Ticket-Systeme von Riege Software. Aufträge werden vom Verantwortlichen schriftlich gestellt (bspw. per E-Mail). Mündliche Weisungen sind vom Verantwortlichen unverzüglich schriftlich zu bestätigen.