Technisch-organisatorische Maßnahmen
Beschreibung der technisch-organisatorischen Maßnahmen (TOMs)
1. Vertraulichkeit
Unser Unternehmen befindet sich in einem besonderen Vertrauensverhältnis zu den Kunden. Wir gehen daher mit allen erlangten Daten sowie Informationen verantwortungsbewusst um und wahren die Verschwiegenheit.
1.1. Zutrittskontrolle
Verwaltung:
- Alarmanlage
- Schlüsselregelung (Schlüsselausgabe etc.)
- Verschlossene Türen bei Abwesenheit
- Sorgfältige Auswahl von Reinigungspersonal
Rechenzentrum (Hetzner):
- elektronisches Zutrittskontrollsystem mit Protokollierung
- Hochsicherheitszaun um das gesamte Rechenzentrum
- dokumentierte Schlüsselvergabe
- Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
- 24/7 personelle Besetzung der Rechenzentren
- Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen
- Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen ist wie folgt beschränkt: nur in Begleitung eines Hetzner Online GmbH Mitarbeiters
1.2. Zugangskontrolle
Die folgenden Maßnahmen verhindern, dass timr Server von Unbefugten genutzt werden können:
- Verwendung von Benutzerrollen, Benutzerrechten
- RSA Key Authentifizierung für Authentifizierung an Servern
- Authentifikation mit Benutzername und Passwort bzw. 2-Faktor Authentifizierung wo möglich
- Authentifikation mit biometrischen Verfahren wo möglich
- Computer / Laptop Inhalte von troii Mitarbeitern sind verschlüsselt.
- Smartphone Inhalte von troii Mitarbeitern sind verschlüsselt.
- Einsatz von MDM Software um Sicherheitseinstellungen auf Geräten durchzusetzen
- Verwendung von Passwort-Manager Software bei troii
- Verwendung einer Software Firewall auf timr Servern
- Richtlinien für Passwörter/Löschen/Clean-desk
1.3. Zugriffskontrolle
Die folgenden Maßnahmen gewährleisten, dass troii Mitarbeiter ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Verwendung eines Berechtigungskonzepts. Die Rechte werden durch den Systemadministrator vergeben.
- Administrationszugriff ist auf die notwendigsten Mitarbeiter beschränkt.
- Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
- Verschlüsselung von Datenträgern
- Einsatz von Aktenvernichtern
- Festplatten im Rechenzentrum werden bei Serverwechsel mit einem definierten Verfahren mehrfach überschrieben (gelöscht)
2. Integrität
2.1. Weitergabekontrolle / Übermittlungskontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Daten wie Sicherungen werden rein auf elektronischen Transportwegen übertragen.
- Die Übertragung läuft ausschließlich über verschlüsselte Kanäle.
2.2. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Klare Zuständigkeiten für Löschungen
2.3. Auftragskontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden:
- Sorgfältige Auswahl des Auftragnehmers insbes. hinsichtlich Datensicherheit.
- Protokollierung aller eingegeben Daten für Arbeitszeiten, Projektzeiten, Fahrtenbuch
- Schriftliche Weisungen an den Auftragnehmer durch Auftragsdatenverarbeitungsvertrag
3. Verfügbarkeitskontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Automatische inkrementelle stündliche Datensicherung
- Automatische tägliche Datensicherung
- Regelmäßige Tests der Datensicherung und Datenwiederherstellung
- Datensicherungen werden an einem sicheren, ausgelagerten Ort aufbewahrt.
- Backup und Wiederherstellungskonzept für alle Daten
- Notfallplan für ein Reservesystem bei einem Serverausfall
- Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage im Rechenzentrum
- Dauerhaft aktiver DDoS-Schutz im Rechenzentrum
4. Trennungsgebot
Folgende Maßnahmen werden zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken getroffen:
- Berechtigungskonzept und Datenbankberechtigungen
- Softwareseitige Mandantentrennung
- Trennung von Produktiv und Testsystem
5. Datenschutz-Management
Die innerbetriebliche Organisation ist durch folgende Maßnahmen so gestaltet, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird:
- Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung
- Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
- Nachweise über durchgeführte Schulungen der Mitarbeiter zum Datenschutz liegen vor
- Nachweise über Einhaltung der datenschutzrechtlichen Verpflichtungen der verarbeitenden Mitarbeiter liegen vor
- Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich
- Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Daten-Pannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
- Datenschutzbeauftragter ist schriftlich bestellt
- Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
- Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden
6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich
- troii Datenschutz-Managementsystem (DSMS) ist vorhanden
- Datenschutzfreundliche Voreinstellungen werden bei der Softwareentwicklung berücksichtigt
- Ein Kontroll- und Verbesserungsprozess wir mindestens 1x jährlich durchgeführt