Technische und organisatorische Maßnahmen nach EU-DSGVO

 Version: 3.0 vom 20.09.2024 

Präambel

Riege Software betreibt eine hybride Cloud-Umgebung, bestehend aus

  • Rechenzentren in Deutschland

  • Services und Infrastruktur bei Microsoft Azure.

Für Microsoft Azure gelten die folgenden Technischen und Organisatorischen Maßnahmen ebenso mit der Ausnahme, dass hierbei Riege Software keine Hoheit über Zutrittskontrolle sowie die interne Infrastruktur bei Microsoft Azure hat.

Die Sicherheitsmaßnahmen zu Microsoft Azure und der Auftragsverarbeitungsvertrag sind unter folgendem Link zu finden:

https://www.microsoft.com/en-us/licensing/product-licensing/products

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Unbefugten ist der Zutritt zu Daten­verarbeitungsanlagen zu verwehren, mit denen perso­nenbezogene Daten verarbeitet oder genutzt wer­den bzw. in denen personenbezogene Daten gela­gert werden.

Sicherheitsbereiche

Die Bürogebäude (Sicherheitsbereich I) sind für alle Mitarbeiter der Firma Riege Software zugänglich. Die Geschäftsräume sind durch eine grundsätzlich geschlossene Sicherheitstür gesichert, die per Sicherheitsschlüssel und ggf. tagsüber per Transponder zugänglich ist. Alle Gäste werden registriert und erhalten einen Besucherausweis. Der Zutritt wird generell durch Mitarbeiter kontrolliert. Die Räume sind zudem außerhalb der Geschäftszeiten alarmgesichert.

Alle Bereiche, in denen die Netzwerkinfrastruktur betrieben wird oder Daten gespeichert werden, zählen zum Sicherheitsbereich II.

Interne Technikräume (innerhalb der Büroräume, Sicherheitsbereich II):

  • Zutritt zum Sicherheitsbereich I mit Transponder für die Alarmanlage und einem Sicherheitsschlüssel für die Schließanlage.

  • Zutritt zum Sicherheitsbereich II (separate Tür) über Transponder oder Sicherheitsschlüssel für berechtigtes Personal.

  • Die Alarmanlage ist auf einen externen Sicherheitsdienst geschaltet

Personenbezogene Daten werden in externen Rechenzentren (Sicherheitsbereich II) gespeichert.

  • Alarmsicherung durch Betreiber des Rechenzentrums

  • Einsatz von Sicherheitstüren

  • Zutritt nur für berechtigtes Personal durch Identitätsnachweis mithilfe des Personalausweises / Reisepasses bei der Anmeldung

  • Protokollierung des Zutritts im Schlüsselbuch

  • Sicherung der Racks durch separate Schlösser

Festlegung zutrittsberechtigter Personen

Berechtigtes Personal wird nach jeweiligen Aufgabengebieten von der Geschäftsleitung festgelegt.

Besucher und Fremdpersonal

Besucher haben grundsätzlich nur Zutritt zum Sicherheitsbereich I und werden von einem Mitarbeiter der Firma Riege Software begleitet. Fremdfirmenmitarbeiter, insbesondere von Telekommunikationsdienstleistern,

  • werden in den internen Rechenzentren (Sicherheitsbereich II) von berechtigtem Personal begleitet und kontrolliert und

  • werden bei externen Rechenzentren (Sicherheitsbereich II) von berechtigtem Personal temporär und nach Prüfung angemeldet; es gelten die oben beschriebenen Zutrittsmerkmale.

Das Reinigungs-, Wartungs- und Wachpersonal hat Zutritt zum Sicherheitsbereich I und ist sorgfältig ausgewählt und ist zur Wahrung des Datengeheimnisses nach DSGVO (Datenschutzgrundverordnung) und von Geschäftsgeheimnissen verpflichtet.

Unbefugten Personen wird der Zutritt zu den Sicherheitsbereichen grundsätzlich nicht gewährt.

Zugangskontrolle

Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern.


Authentifizierung

Der Zugang zu den Systemen erfolgt gegen Authentifizierung mit einem individuellen Benutzerzugang, dessen Passwort nur dem zugeordneten Benutzer bekannt ist. Bei Inaktivität werden auf Serversystemen die Konsolenzugriffe automatisch ausgeloggt, bei PCs starten automatisch passwortgeschützte Sperrbildschirme.

Sofern möglich und sinnvoll, werden alle Systeme an den zentralen Microsoft M365 AD / Entra ID mit Zweifaktor-Authentisierung angeschlossen. Passworte haben generell eine Mindestlänge von 8 Zeichen, sofern Mehrfaktor-Authentisierung erfolgt, andernfalls werden mindestens 12 Zeichen und 4 Zeichenarten eingesetzt bzw. mindestens 20 Zeichen bei 2 Zeichenarten.

Auf Betriebssystemebene (z.B. SSH) ist auch eine Authentifizierung über ein asymmetrisches Kryptosystem (Schlüssel) anstelle eines Passwortes möglich.

Protokollierung

Jede erfolgreiche und fehlgeschlagene Authentifizierung an den Systemen wird in Logdateien protokolliert. Nach fünf erfolglosen Loginversuchen an der Windowsdomäne wird der Benutzer gesperrt und muss manuell von einem Mitarbeiter der IT-Abteilung wieder freigeschaltet werden.

Verschlüsselung

Mobile Datenträger werden verschlüsselt, sofern personenbezogene oder -beziehbare Daten oder sensible Unternehmensdaten gespeichert werden. Generell gilt dies für Festplatten mobiler Geräte. Es werden Verschlüsselungsverfahren auf dem aktuellen Stand der Technik verwendet.

Über ungesicherte Netzwerke, insbesondere über das Internet, werden VPN-Technologien nach dem derzeitigen Stand der Technik eingesetzt, um Mitarbeitern und Kunden entsprechend des Berechtigungsschemas Zugriff auf Daten zu gewähren.

Authentisierungsinformationen werden auf dem Transportweg mit Verschlüsselungsprotokollen und -algorithmen auf aktuellen Stand der Technik verschlüsselt.

Die eingesetzten Verfahren zur Kryptographie entsprechen der aktuellen technischen Richtlinie TR-02102-1 des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Benutzerstammsätze

Jeder Benutzer hat seinen eigenen Stammsatz.

Beim Einsatz von Anwendungssoftware (wie z. B. Procars, Scope und Webdiensten) werden die berechtigten Benutzer entweder

  • vom Verantwortlichen benannt. Es wird ein Datenstammsatz je Benutzer gepflegt.

  • vom Verantwortlichen selbst verwaltet. Der Verantwortliche muss Maßnahmen ergreifen, die den Zugang durch Unbefugte auf seine Datenverarbeitungssysteme (vor allem durch lange Passwörter) verhindert.

Smartphones

Es wird ein separiertes Netzwerk für Geräte mit mobiler Internet-Anbindung wie Smartphones bereitgestellt. Richtlinien verbieten eine anderweitige Nutzung, vor allem in internen Netzwerken.

Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsbe­rechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verar­bei­tung, Nutzung und nach der Speicherung nicht unbe­fugt gelesen, kopiert, verändert oder entfernt werden können.

Berechtigungsschema

Die Zugriffsberechtigungen bei der Firma Riege Software werden von der Geschäftsleitung in einem geregelten schriftlich dokumentierten Verfahren festgelegt.

Der Zugriff für das berechtigte Personal wird in Form von Gruppenrichtlinien geregelt, bei der die Berechtigungen dem Tätigkeitsbereich entsprechend auf das notwendige Maß einschränkt sind. Grundsätzlich haben Administratoren einen uneingeschränkten Zugriff auf die Daten. Mitarbeiter des Supports und der Softwareentwicklung haben über die Anwendungen Zugriff auf die Kundendaten, während außerhalb der Anwendungen (bspw. Datenbanken) nach Möglichkeit nur Lesezugriffe gewährt werden.

Datenmanipulation

Ein Zugriff auf die Kundendaten und eine Manipulation erfolgt ausschließlich nach Beauftragung durch den Verantwortlichen oder im notwendigen Fall einer Fehleranalyse. Die Dokumentation erfolgt elektronisch über Support-Tickets (elektronische Akten).

Gravierende Änderungen an Datenbanksystemen (z.B. Statements zur Änderung von Datensätzen) werden im Vier-Augen-Prinzip / Mehr-Augen-Prinzip und von verschiedenen Rollen vorbereitet, geprüft und durchgeführt. Eine Dokumentation dieser Änderungen erfolgt über ein Ticket.

Für Kunden betriebene Systeme

Beim Einsatz von Anwendungssoftware wie Procars, Scope oder bei Webservices definiert der Verantwortliche über Gruppenregelungen, Anwendungsmodule und / oder über die Niederlassung die Berechtigung seiner Nutzer.

Protokollierung

Auf Betriebssystemebene werden vor allem der jeweilige Login bzw. Logout in Logfiles und die Befehle des einzelnen Benutzers in der Historie gespeichert. Scope protokolliert die Anlage, letzte Änderung und Löschung von Daten in Logfiles. Durchgeführte Manipulationen auf Datenbanksystemen werden in Tickets und in einem Logbuch (Dokumentation) festgehalten.

Die Protokolle werden mindestens 6 Monate gespeichert, die Historie enthält die letzten 1.000 ausgeführten Befehle.

Datenvernichtung

Ausgemusterte Akten und alte Datenträger werden gesichert gelagert und vorschriftsgemäß vernichtet.

Sicherheitsmanagement

Software wird in regelmäßigen Abständen entsprechend des Veröffentlichungsrhythmus der Hersteller aktualisiert. Updates werden regelmäßig evaluiert und bei Sicherheitsrelevanz / Dringlichkeit innerhalb von drei Tagen installiert.

Trennungskontrolle

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten ge­trennt verarbeitet werden können.

Funktionstrennung

Systeme werden in Produktions-, Test- und Entwicklungssysteme mit unterschiedlichen Umgebungen getrennt. Software-Updates werden für die Produktivumgebung über ein differenziertes Verfahren freigegeben.

Trennung der Kundensysteme

Die Daten unterschiedlicher Auftraggeber werden logisch voneinander getrennt. Die Trennung erfolgt über Zugriffskontrollmechanismen bzw. logische Teilnetze (VLANs).

Ein Auftraggeber hat nur die Möglichkeit, die eigenen Daten einzusehen und hat keinen Zugriff auf fremde Daten.

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Es ist zu gewährleisten, dass per­sonenbezogene Daten bei der elektronischen Über­tragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an wel­che Stellen eine Übermittlung perso­nenbezogener Daten durch Einrichtungen zur Da­tenübertragung vorgesehen ist.

Transportsicherung / Verschlüsselung

Sofern nicht individuell anders vereinbart, werden die Daten über dedizierte Anbindungen, verschlüsselte VPN-Verbindungen (Virtual Private Network) oder verschlüsselt über das Internet übertragen. Alle Verschlüsselungsverfahren entsprechen dem aktuellen Stand der Technik.

Die eingesetzten Verfahren zur Kryptographie entsprechen der aktuellen technischen Richtlinie TR-02102-1 des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Protokollierung

Alle Datenübertragungen werden elektronisch protokolliert.

Speicherung

Ein unbefugtes Lesen, Kopieren oder Verändern der Daten wird durch die Zutritts-, Zugangs- und Zugriffskontrolle und deren Schutzmaßnahmen verhindert.

Eingabekontrolle

Es ist zu gewährleisten, dass nach­träglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbei­tungssysteme eingegeben, ver­ändert oder entfernt wurden.

Nachvollziehbarkeit

Eine anonyme manuelle Eingabe von Daten zur Weiterverarbeitung ist systemseitig unmöglich. Benutzeranmeldungen werden in Logdateien protokolliert. Innerhalb der Anwendungen werden Manipulationen zusammen mit dem Benutzernamen und dem Zeitstempel gespeichert.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass per­sonenbezogene Daten gegen zufällige Zerstö­rung oder Verlust geschützt sind.

Systembezogene Maßnahmen

Alle Daten, die zur Verarbeitung an die Systeme von Riege Software gesendet werden, werden auf Festplattensystemen redundant gespeichert. Die Systeme sind zudem redundant an mehrere Stromversorgungen (bspw. USVs) in den betriebenen Rechenzentren angeschlossen.

Monitoring

Zustände von Systemen und Diensten werden überwacht (Monitoring) und regelmäßig überprüft. Im Fehlerfall erfolgt eine Alarmierung auch außerhalb der üblichen Geschäftszeiten.

Infrastrukturdienste

Zentrale Infrastrukturdienste (wie Datenbanken, Firewallsysteme und Netzwerkkomponenten) sind redundant ausgelegt.

Firewall / Virenschutz

Riege Software verwendet in den Rechenzentren Firewallsysteme (Paketfilter, Intrusion Prevention System, Web-Proxy), die die Zugriffe auf Internet und interne Netzen kontrolliert. Auf den PCs sind moderne Virenscanner installiert, die Ergebnisse zentral melden.

Sofern schützenswerte Daten in der Public Cloud verarbeitet werden, werden ebenfalls Firewalls mit angemessenem Schutzniveau vorgeschaltet.

PCs, interne E-Mail-Systeme und Proxy-Server für Mitarbeiter sind mit Virenscannern ausgestattet.

Brandschutz / Temperaturüberwachung / Elektrische Absicherung

Die Rechenzentren in Deutschland sind mit einer Brandfrüherkennung und Löschanlage ausgestattet. Die Temperaturen werden in allen Rechenzentren überwacht.

Zudem sind die Rechenzentren mit mehreren Stromkreisen inklusive Notstromaggregate ausgestattet.

Datenspeicherung

Die in der EU erhobenen Daten werden ausschließlich innerhalb der EU gespeichert. Dies gilt sowohl für den Rechenzentrums- als auch für den Public Cloud-Betrieb.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen ist bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Es wird eine tägliche Datensicherung durchgeführt und zwischen den EU-Rechenzentren synchronisiert. Eine Kopie wird außerdem auf Band geschrieben und sicher extern gelagert. Es werden die gesetzlichen Aufbewahrungsfristen eingehalten.

Ein etablierter Incident-Management-Prozess sorgt für die schnelle Feststellung und Kommunikation bei Systemstörungen. Dabei sind Rollen der Teams zur effizienten Bearbeitung der Störung definiert. Vom lokalen Backupsystem des Rechenzentrums können Daten im Bedarfsfall zügig wiederhergestellt werden.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

ISO 27001-Zertifizierung / ISMS

Riege Software betreibt ein Informationssicherheitsmanagementsystem (ISMS), über das regelmäßige Audits durchgeführt werden. Das ISMS und dessen Prozesse werden zudem regelmäßig extern auditiert. Riege Software ist ISO 27001 zertifiziert.

Im Kern werden dabei die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität, welche auch innerhalb des ISMS im Datenschutz gelten, geprüft und berücksichtigt.

Datenschutzmanagement

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung ist im Unternehmen zu implementieren.

Durch folgende Maßnahmen wird die Einhaltung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO von Riege Software sichergestellt:

  • Riege Software hat einen externen Datenschutzbeauftragten bestellt (Details siehe "Vereinbarung zur Auftragsverarbeitung"), der in regelmäßigen Abständen durch Audits die Einhaltung der gesetzlichen Datenschutzvorschriften prüft.
  • Das interne Datenschutzteam hat ein Datenschutzmanagement entwickelt, welches mit dem Datenschutzbeauftragten abgestimmt ist.
  • Die Mitarbeiter sind auf das Datengeheimnis nach DSGVO verpflichtet und werden zum Thema Datenschutz jährlich geschult.
  • Es existiert eine Datenschutzrichtlinie, mit der alle Mitarbeiter vertraut sind. 

Incident-Response-Management

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde.

Riege Software hat für Datenschutzvorfälle ein detailliertes Incident Management, das die notwendigen Prozesse definiert. Dies beinhaltet im Einzelnen

  • Die Identifikation und die Meldung des Vorfalls.
  • Die Analyse, Kategorisierung bzw. Priorisierung und die Risikoabschätzung des Vorfalls.
  • Die Meldung an die Geschäftsleitung, an den Datenschutzbeauftragten und an die Aufsichtsbehörden.
  • Die Information der Betroffenen.

Im Falle einer Betriebsstörung wird Riege Software den Verantwortlichen unverzüglich informieren.

Datenschutzfreundliche Voreinstellung (Art. 25 Abs. 2 DSGVO)

Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Die technischen Einstellungen bei der Verarbeitung von personenbezogenen Daten innerhalb der Systeme von Riege Software sind so gewählt, dass diese Daten nur in einem notwendigen und zweckgebundenen Umfang erhoben und verarbeitet werden. Verarbeitungen über diesen Rahmen hinaus sind nicht vorgesehen bzw. werden nicht ohne die Zustimmung des bzw. der Betroffenen durchgeführt.

Auftragskontrolle

Auftragsverarbeitung personenbezogener Daten erfolgt entsprechend den Weisungen des Verantwortlichen. Die folgenden Maßnahmen werden zur Erfüllung dieser Anforderung festgelegt.

Weisungserteilung und Auftragsabarbeitung

Für die Verarbeitung von Aufträgen beim Auftragsverarbeiter existieren definierte Prozesse. Alle relevanten Änderungen an Datenbanksystemen werden nach dem Vier- bzw. Mehr-Augen-Prinzip von verschiedenen Rollen vorbereitet, geprüft und ausgeführt.

Aufträge und dazugehörige Protokollierung erfolgen über die elektronischen Support-Ticket-Systeme von Riege Software. Aufträge werden vom Verantwortlichen schriftlich gestellt (bspw. per E-Mail). Mündliche Weisungen sind vom Verantwortlichen unverzüglich schriftlich zu bestätigen.