Pseudonymisierung / Anonymisierung und Verschlüsselung
Personenbezogene Daten werden soweit möglich pseudonymisiert in den IT-Systemen verarbeitet. Kann die Verarbeitung auch anonym erfolgen, wird der Personenbezug aufgelöst. Soweit technisch umsetzbar, wird zusätzlich eine Verschlüsselung für die Übermittlung und Speicherung eingesetzt.
Vertraulichkeit
Zugangskontrolle
Maßnahmen zur Absicherung der physischen Räumlichkeiten mit IT-Systemen
- Zutrittskontrollsystem (inkl. Berechtigungssystem), Ausweisleser, Magnetkarte, Chipkarte
- Schließsystem / Schlüsselvergabe (Chips) gemäß Rollenkonzept
- Türsicherung (elektrische Türöffner usw.)
- Überwachungseinrichtung / Alarmanlage
- EMA (Einbruchmeldeanlage) für das Rechenzentrum
- Personenempfang/-Kontrolle am Empfang der Bürogebäude bzw. durch zuständige Mitarbeiter, Tragepflicht von Besucherausweisen
- Ständige Begleitung Externer/Gäste im Haus, im Rechenzentrum Führung eines Besucherprotokolls
Maßnahmen zur Verhinderung der unbefugten Nutzung von IT-Systemen (Zugang)
- Zuordnung von Benutzerrechten
- Authentifikation mit Benutzername / Passwort
- Vergabe von Passwörtern gemäß Passwortrichtlinie (Komplexitätsregeln)
- Einsatz von Firewallsystemen
- Begrenzung der Anmeldeversuche
Datenträgerkontrolle
Implementierte Maßnahmen zur Verhinderung des unbefugten Lesens, Kopierens, Verändern oder Löschens von Datenträgern:
- Nur berechtigte Personen haben Zugang zu Räumen mit Datenträgern. Absicherung gemäß Beschreibung unter Punkt 1
- Sichere Aufbewahrung von Datenträgern (abgeschottete Bereiche, gesicherte Ablage)
- Definierter Prozess zur Vernichtung/Entsorgung von Datenträgern gemäß Datenschutzbestimmungen
- Vermeidung der Nutzung von Datenträgern soweit möglich – Datenaustausch überwiegend über WAN / LAN
- Mobile Geräte (Notebooks, Handy, Tablet) sind verschlüsselt und mit Passwörtern / bzw. PIN gesichert
- Anweisung zur zentralen Datenhaltung auf File-Server / keine lokale Speicherung von Daten auf mobilen Geräten (Notebooks, Handy, Tablet).
Speicherkontrolle
Eingeführte Maßnahmen zur Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderungen und Löschung von personenbezogenen Daten:
- Differenzierte Berechtigungskonzepte für den Zugriff auf IT-Systeme
- Berechtigungsvergabe/-Anforderungen nur durch Befugte (IT-Prozess)
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei Eingabe, Änderung und Löschung von Daten
- Administratorrechte beschränkt auf das Notwendigste
- Einsatz von Aktenvernichtern und Sammelbehältern zur Vernichtung von papierhaften Unterlagen mit personenbezogenen Daten
Benutzerkontrolle
Maßnahmen zur Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte:
- Externer Datenaustausch wird über abgesicherte Leitungen (MPLS-WAN / VPN) durchgeführt
- Authentifikation mit Benutzername / Passwort
- Vergabe von Passwörtern gemäß Passwortrichtlinie (Komplexitätsregeln)
- Führung eines Verzeichnisses von Verarbeitungstätigkeiten mit Übersicht aller Empfänger, gegenüber denen personenbezogene Daten offengelegt werden
- Absicherung der Zugänge (u. a. VPN, WLAN, FTP-Server) und Nutzung nur durch berechtigte Personen
- Sensibilisierung der Mitarbeiter durch Schulungen und Gefährdungsanalysen
Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben:
- Differenzierte Berechtigungskonzepte für den Zugriff auf IT-Systeme
- Berechtigungsvergabe/-Anforderungen nur durch Befugte (IT-Prozess)
- Administratorrechte beschränkt auf das Notwendigste
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- ausschließliche Verwendung individualisierter Accounts
Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können:
- Trennung von Produktiv- Support- und Testsystemen
- Logische Mandantentrennung
- Getrennte Speicherung auf gesonderten Systemen (bzw. Datenträgern)
- Speicherung in unterschiedlichen Tabellen gem. ERM bei Datenbankgestützten Systemen
- Festlegung von Datenbankrechten
- Anwendung dezidierter Berechtigungskonzepte
Auftragskontrolle
Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur durch entsprechende Weisungen des Auftraggebers verarbeitet werden können:
- Schriftliche Weisungen an den Auftragnehmer in Form eines AV-Vertrags (Auftragsverarbeitungsvertrag)
- Verpflichtung der Mitarbeiter auf die Vertraulichkeit gem. DSGVO
- Kontrolle der Benennung eines Datenschutzbeauftragten durch den Auftragnehmer
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
- Wirksame Kontrollrechte gegenüber dem Auftragnehmer
- Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen
- Laufende Überprüfung des Auftragsnehmers und seiner Tätigkeiten
Integrität
Datenintegrität
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können:
- Regelmäßige Updates der IT-Komponenten und Systeme
- Entwicklungs- / Testsysteme und Supportsysteme getrennt von Produktivsystemen
- Nur Einsatz getesteter und abgenommener Software gemäß Change-Prozess
- Monitoring der IT-Systeme
- Nutzung von transaktionsbasierten Verarbeitungen und Safe Points soweit möglich
- Redundante Speicherung soweit möglich (Serversysteme), zeitnahe Backups und Archivierungen
- Zeitnahe Löschung von veralteten Daten um Inkonsistenzen zu vermeiden
Übertragungskontrolle
Maßnahmen zur Gewährleistung der Überprüfung und Feststellung, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden:
- Datenaustausch wird über abgesicherte Leitungen (MPLS-WAN / VPN) durchgeführt
- Führung einer Übersicht über alle Datenübermittlungen an Dritte
- Protokollierung sämtlicher Datenübertragungen mit allen Details
- Datenübertragungen nur über gesicherte und explizit dafür vorgesehene Transportwege (VPN, FTP-Server, etc.)
Eingabekontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind:
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten nur auf Grund von Berichtigungsanforderungen gemäß IT-Prozess und auf Basis der Berechtigungskonzepte
- Nachvollziehbarkeit
Transportkontrolle
Maßnahmen zur Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden:
- Datenaustausch wird über dedizierte Leitungen durchgeführt
- Führung einer Übersicht über alle Datenübermittlungen an Dritte
- Beim physischen Transport geeignete Transportbehälter und Versandwege, Nutzung verschlüsselter Datenträger
- Datenübertragungen nur über gesicherte und explizit dafür vorgesehene Transportwege (VPN, FTP-Server, etc.)
Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind:
- Backup-Verfahren gemäß Datensicherungskonzept inkl. Recoverytests
- Räumlich getrennte Aufbewahrung von Sicherungsduplikaten
- Hochverfügbarkeitskonzept beim Server- und Storagebetrieb
- Notfallpläne zur Wiederherstellung der Systeme und Daten
- Absicherung des RZ gemäß Sicherheitsrichtlinie und bauliche Maßnahmen
- Unterteilung in verschiedene geschlossene Brandabschnitte
- USV und Notstromerzeugung
- Klimakontrolle und Brandfrüherkennung mit automatischer Löschanlage
- Mehrfache Anbindung (WAN)
- Einbruchmeldeanlage
- Anweisung zur zentralen Datenhaltung auf File-Server / keine lokale Speicherung von Daten auf mobilen Geräten (Notebooks, Handy, Tablet, …).
Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:
- Monitoring aller Systeme, Anwendungen und Datenbanken sowie der dazu gehörigen Infrastruktur
- Historische Aufzeichnung von Messpunkten und grafisches Reporting in Messkurven
- Alarmierungen im Störungsfall
- 24/7-IT-Betrieb mit Einsatz von Rufbereitschaft
- Präventivmaßnahmen für sicheren und stabilen Betrieb (Security-Maßnahmen gemäß Sicherheitsrichtlinie, regelmäßige Updates der IT-Komponenten)
Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können:
- Regelmäßige Durchführung von Datensicherungen gemäß Sicherungskonzept
- Regelmäßige Wiederherstellungstests (Rücksicherungen)
- Duplizierung von Sicherungen und Lagerung außerhalb des RZ
- Dokumentationen zum Recovery von Systemen und dem Wiederanlauf von Systemen
- Notfallpläne für Störungsfälle
- Regelmäßige Durchführung von Übungen zum Recovery von Systemen
- Langzeitarchivierung/-recherche von Daten/Dokumenten gemäß der gesetzlichen Bestimmungen und den definierten Löschfristen
Überprüfung und Wirksamkeit
Systemlandschaft
Es erfolgt eine regelmäßige Überprüfung und Analyse bzw. die Anpassung der Systeme an den Geschäftsbetrieb. Eingesetzte Software wird mit Updates aktuell gehalten und neue Programmversionen zeitnah eingesetzt.
Neue Software wird neben der fachlichen Nutzung / Einsatzfähigkeit auch auf Wirksamkeit hinsichtlich Datenschutz und Datensicherheit bewertet.
Erkenntnisse über Schwachstellen bei Hard- und Software werden mit der eigenen Systemlandschaft abgeglichen und Maßnahmen zur Beseitigung oder Risikominimierung – bis zur Beseitigung umgesetzt.
Die eingesetzte Hardware wird durch Service- und Wartungsverträge abgesichert. Der Austausch von Hardware erfolgt regelmäßig hinsichtlich der zu erwartenden Einsatzdauer oder Instandsetzbarkeit / Ersatzteilbeschaffung.
Mitarbeiter
Durch regelmäßige Schulungen werden unsere Mitarbeiter sensibilisiert. Über benannte Kontakte (Datenschutzbeauftragter, Administratoren, Vorgesetzte) werden Rückmeldungen zu Abläufen und Maßnahmen gegeben bzw. Gefahren aufgezeigt.
Neue Prozesse / Prozessänderungen
Ein Change-Prozess ermöglicht - neben der fachlichen Beurteilung - auch die Bewertung der notwendigen Anpassungen und Erweiterungen der bestehenden Maßnahmen. Zur Absicherung der geplanten Verarbeitung und der Einbindung in das Sicherheitskonzept werden diese stetig weiterentwickelt.