Technische und organisatorische Datenschutzmaßnahmen

A

Organisation Die technischen und organisatorischen Datenschutzmaßnahmen entsprechen den Anforderungen gemäß Anlage zu § 9 Satz 1 des Bundesdatenschutzgesetzes. Die innerbetriebliche Organisation der Infopark AG und der durch sie beauftragten Dritten, ist durch Maßnahmen so gestaltet, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Zu diesen Maßnahmen zählen: • schriftliche Arbeitsanweisungen, Richtlinien, Merkblätter; • Programme/Verfahren sind ordnungsgemäß dokumentiert; • Aufbewahrung maschinell erzeugter Protokolle/Logs ist geregelt; • Programmfreigabeverfahren ist eingerichtet; • Benachrichtigungen, Auskunftersuchen, Anliegen bzgl. Berichtigung, Löschung oder Sperrung werden dokumentiert.

B

Sicherungsmaßnahmen Die Server für das Online-System, Datenbanken sowie die Datensicherung (Backup) werden bei der Infopark AG oder beauftragten Dritten in professionellen Rechenzentren betrieben und gewartet. Die Unterbeauftragten werden sorgfältig ausgewählt und hinsichtlich ihres Sicherheitsbewusstseins und ihrer Fachkompetenz überprüft. Einige diesen Bereich betreffenden Sicherungsmaßnahmen der folgenden Prüfliste sind nicht gesondert ausgewiesen, da sie in die Verantwortung der Unterbeauftragten fallen oder aus Gründen der Aufrechterhaltung der Sicherheit durch Vertraulichkeit nicht detailliert veröffentlicht werden.

1

Zutrittskontrolle Die Zutrittskontrolle zu den Serverräumen wird durch die räumliche Struktur des jeweiligen Rechenzentrums und die dort durch den Betreiber eingesetzten Kontrollsysteme gewährleistet. Während der Zeiten des Geschäftsbetriebs ist der Zutritt zu den Räumen der Infopark AG in Berlin durch einen individualisierten elektronischen Schlüssel (Transponder) gesichert. Außerhalb der Zeiten des Geschäftsbetriebs werden die Räume permanent durch einen externen Dienstleister (Sicherheitsdienst) automatisiert überwacht (Schließung der Türen und Bewegungsmeldung). Zusätzlich werden die Aussentüren des Gebäudes ausserhalb der Zeiten des Geschäftsbetriebs mechanisch geschlossen. Während der Zeiten des Geschäftsbetriebs erfolgt eine Zutrittskontrolle durch Personal im Empfangsbereich. Permanent werden Eingangsbereiche und der Technikbereich durch eine optischen Raumüberwachung (Video) gesichert.

2

Zugangskontrolle

2.1

Die unbefugte Nutzung der DV-Systeme wird verhindert durch: • Passwortvergabe und • Protokollierung fehlerhafter Passworteingaben.

2.2

Jeder Berechtigte verfügt über ein eigenes, nur ihm bekanntes Passwort, welches nicht weitergegeben werden darf. Bei eventuellem Bekanntwerden des Passwortes muss dieses umgehend geändert werden

2.3

Für alle relevanten Aktivitäten auf der DV-Anlage werden automatisch Protokolle erstellt.

2.4

Die Protokolle werden vom Systemadministrator regelmäßig stichprobenartig sowie bei Auffälligkeiten (z.B. besonders hohe Aktivität) ausgewertet.

2011-01-01 • Technische und organisatorische Datenschutzmaßnahmen

1/4

2.5

Die Datenübertragung von und zum DV-System wird bei kritischen Aktivitäten (z.B. Systempflege, Softwareupdates, Backups) durch folgende Maßnahmen gegen Nutzung durch Unbefugte gesichert: • automatischer Rückruf des Servers auf bekannte IP des Nutzers; • Überprüfung bekannter öffentlicher Schlüssel bei Kontaktaufnahme; • verschlüsselte Datenübertragung (SSL/SSH); • Protokollierung der Systemnutzung und Protokollauswertung.

3

Zugriffskontrolle

3.1

Das unbefugte Lesen, Kopieren, Verändern oder Löschen von Datenträgern wird verhindert durch: • Benennung eines Verantwortlichen für die Datenträger; • softwareseitigen Ausschluss (Berechtigungskonzept); • softwareseitige Überwachung unplausibler Nutzung (Monitoring); • gesicherte Schnittstellen; • weitere Kontrollmechanismen des Rechenzentrum.

3.2

Die Datenträger werden auch außerhalb der Arbeitszeit an der DV-Anlage aufbewahrt. Reine Backupmedien befinden sich in einem verschließbaren Schrank (Aufbewahrung im RZ nach dort festgelegten Regeln).

3.3

Es werden nur die für den jeweiligen Arbeitsplatz relevanten Datenträger dort vorgehalten. Entwickler haben nur Zugriff auf fiktive Testdaten. Mit Entstörung beauftragtes Personal kann auf realen Daten zugreifen, soweit dies zur Entstörung notwendig ist.

3.4

Die Datenträgerverwaltung wird nach vorgegebenem Schema (Dienstanweisung) durchgeführt.

3.5

Die Einschränkung der Zugriffsmöglichkeit des zur Benutzung eines DV-Systems Berechtigten ausschließlich auf die seiner Zugriffsberechtigung unterliegenden Daten wird gewährleistet durch: • automatische Prüfung der Zugriffsberechtigung mittels Passwort; • ausschließliche Menüsteuerung je nach Berechtigung; • differenzierte Zugriffsberechtigung auf Anwendungsprogramme; • differenzierte Verarbeitungsmöglichkeiten (Lesen/Ändern/Löschen).

4

Weitergabekontrolle

4.1

Ein physischer Versand von Datenträgern ist nicht vorgesehen.

4.2

Private Datenträger dürfen nicht im Rechenzentrum eingesetzt werden (Regelung durch das Rechenzentrum).

4.3

Nicht mehr benötigte magnetische Datenträger werden durch mehrfaches Überschreiben zerstört (Regelung durch das Rechenzentrum).

4.4

Das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Daten bei der Übertragung wird verhindert durch: • SSL- bzw. SSH-Verschlüsselung der Datenübertragung; • Vollständigkeitsüberprüfung, soweit relevant; • Aufbau der Transportverbindung nur zwischen definierten und durch Zertifikate gesicherten Systemen.

4.5

Die Transportverfahren bestätigen den Empfang der Daten softwareseitig automatisch.

4.6

Alle zum Transport vorgesehenen sensitiven Daten werden verschlüsselt.

2011-01-01 • Technische und organisatorische Datenschutzmaßnahmen

2/4

4.7

Die Weitergabe personenbezogener Daten erfolgt durch Nutzung folgender Dienste: • regelmäßig WWW (HTTPS); • andere Dienste und Transportverfahren, die dem gewünschten Zweck und dem aktuellen Stand der Sicherheitstechnik äquivalent oder besser entsprechen. Folgende Sicherheitsmaßnahmen existieren: • Hardware- und Software-Firewall; • Intrusion Detection System; • Programme die das Eindringen von Viren verhindern bzw. das Eindringen erkennen.

4.8

An welchen Stellen Datenübermittlung durch Einrichtungen zur Datenübertragung vorgesehen ist, kann der Dokumentation der Übermittlungsstellen und –wege entnommen werden.

5

Eingabekontrolle

5.1

Ob und von wem Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind, kann nachträglich überprüft und festgestellt werden durch: • Benutzeridentifikation; • Protokollierung eingegebener Daten (Verarbeitungsprotokoll).

6

Auftragskontrolle

6.1

Es existieren Verträge für folgende Formen der Auftragsdatenverarbeitung: • Wartung / Fernwartung; • Administration / Fernadministration.

6.2

Die Verarbeitung personenbezogener Daten im Auftrag nur entsprechend den Weisungen des Auftraggebers wird gewährleistet durch schriftliche Vereinbarungen zum Datenschutz zwischen Auftraggeber und Auftragnehmer bzw. Rechenzentrum.

6.3

Über gravierende Änderungen im Verfahrensablauf wird der Auftraggeber durch den Auftragnehmer informiert.

6.4

Der Auftraggeber wird über Programmabbrüche und Programmfehler informiert.

6.5

Die Sicherung der Fernwartung entfällt, da keine Fernwartung beim Auftraggeber vorgesehen ist.

7

Verfügbarkeitskontrolle

7.1

Dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind, wird gewährleistet durch: • Einsatz von RAID-Festplattensystemen; • softwareseitigen Ausschluss: Aufteilung der Server zur unabhängigen und eigenständigen Erfüllung der Aufgaben (Shared-Nothing-Architektur); • mehrfache inkrementielle Datenbank- und Systembackups; • Backups nach einem Zeitplan der die Veränderungen der Daten durch Nutzung angemessen reflektiert; • Mehrfache, getrennte Ablage der Backup-Daten; • zusätzliche manuelle Backup-Möglichkeit des Auftraggebers; • zusätzliche Maßnahmen des Rechenzentrums.

7.2

Eine Planung für den Katastrophenfall liegt vor.

7.3

Das System kann wahlweise an geographisch getrennten Rechenzentren betrieben werden (Ausweich-Rechenzentrum).

2011-01-01 • Technische und organisatorische Datenschutzmaßnahmen

3/4

8

Trennungsgebot nach dem Prinzip der Zweckbindung

8.1

Personenbezogene Daten dürfen nur für den Zweck genutzt werden, für den sie ursprünglich erhoben wurden.

8.2

Dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können, wird gewährleistet durch: • softwareseitigen Ausschluss (Mandantentrennung; Multitenancy-Architektur); • das Datenbankprinzip, Trennung über Zugriffsregelung; • Trennung von Test- und Produktionsdaten; • Trennung von Entwicklungs- und Produktionsprogrammen.

2011-01-01 • Technische und organisatorische Datenschutzmaßnahmen

4/4