Technische und organisatorische Maßnahmen nach Art. 32 EU-Datenschutzgrundverordnung

Wir, die INSIGMA IT Engineering GmbH als Rechenzentrumsbetreiber mit eigener IT, berücksichtigen lt. Art. 32 der EU-Datenschutzgrundverordnung (DSGVO) nachfolgende technische und organisatorische Maßnahmen und bieten unseren Kunden diese Leistungen an. Alle getroffenen Maßnahmen können kundenspezifisch gegen Entgelt angepasst werden.

Der Umgang mit Kundendaten im Rahmen der Datenverarbeitung durch INSIGMA selber, in eigenen Systemen, unterliegt in jedem Fall den unten angegebenen Maßgaben. Die hierbei involvierten Mitarbeiter werden regelmäßig anhand einer gesonderten Verpflichtungserklärung zum Datenschutzgeheimnis nach DSGVO verpflichtet.

1. Vertraulichkeit

a. Zutrittskontrolle

Hiermit sind Maßnahmen gemeint, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:

Alle Serverräume und -schränke sind in Rechenzentren mit Einbruchmeldeanlage und angebundenem Wachdienst untergebracht. Die Zutrittskontrolle zu allen Serverräumen erfolgt durch vorherige telefonische Anmeldung und ausschließlich über personengebunden zeitgesteuerte Chipkarten sowie PIN-Abfrage an den Türen. In den Serverräumen sind Kameras mit Aufzeichnung vorhanden. Die Serverschränke sind jeweils mit Schlüsseln zusätzlich geschützt.

Die Geschäftsräume haben ein elektronisches Zutrittskontrollsystem für Mitarbeiter und Gäste, Alarmanlage, Sicherheitsfenster im Erdgeschoss und eine Videoüberwachung. Die sich im Haus befindlichen EDV-Räume sind durch eine zusätzliche Zutrittskontrolle nochmals separat abgesichert.

Regelmäßig erfolgt eine Überprüfung der Notwendigkeit der Zutrittsberechtigungen der Mitarbeiter. Die gesamten Maßnahmen orientieren sich an der DIN/ISO 27002 Punkt 9.1.2.

b. Zugangskontrolle

Hiermit sind Maßnahmen gemeint, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

Die Zugangskontrolle zu DV-Systemen orientiert sich an der DIN/ISO 27002 Punkt 11.1.1 bis 11.6.2. Hierunter fallen unter anderem Benutzerverwaltung, Rechtemanagement, Passwortverwendung, Netzzugangskontrolle, Zugriffskontrolle auf Betriebssysteme, Zugangskontrolle zu Anwendungssystemen und Informationen.

Die entsprechenden organisatorischen Anweisungen werden von den Mitarbeitern unseres Rechenzentrums umgesetzt und regelmäßig geprüft. Daten werden wo notwendig verschlüsselt gespeichert.

Alle Zugänge auf Systeme sind nur mittels individuellem Login und Kennwort möglich. Zusätzlich verwenden wir komplexe Passwortrichtlinien und eine automatische Sperrung der Clients nach festgelegtem Zeitablauf.

Mögliche Zugriffe von außen werden ausschließlich über verschlüsselte VPN Verbindungen oder SSL verschlüsselte Zugriffe und ein gesichertes WLAN erlaubt. Die Verschlüsselung der Festplatten aller Notebooks erfolgt mit Bitlocker. Unsere interne Systeme wie Finanzwesen, Warenwirtschaft oder Dokumenten Management Systemen werden über zusätzliche Kennwörter geschützt. Unsere Mitarbeiter erhalten nur Zugriff auf die Daten der Projekte an denen Sie arbeiten.

c. Zugriffskontrolle

Hiermit sind Maßnahmen gemeint, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

Es erfolgt eine kundenindividuelle bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung des jeweiligen Kundensystems. Die Systeme verschiedener Kunden sind technisch voneinander getrennt, so dass kein direkter Datenaustausch zwischen diesen möglich ist (siehe auch Verschlüsselung).

Die Maßnahmen zur Sicherstellung der Zugriffe auf INSIGMA eigene Systeme werden, wie unter Zugangskontrolle beschrieben, von den Mitarbeitern unseres Rechenzentrums ergriffen. Es werden durch technische und organisatorische Maßnahmen folgende Punkte umgesetzt: Ausschließlich personalisierte Zugangsberechtigungen, komplexe Passwortrichtlinien, differenzierte Zugriffberechtigungen auf alle Daten, insbesondere auf Kennwortdaten Dritter. Intrusion Prevention Systeme sind firewallseitig implementiert.

Die Berechtigungen werden nach Personen, Projekten und Geräten strukturiert im Active Directory verwaltet. Alle Systeme sind durch ein redundantes Firewall Cluster mit regelmäßigen Checks geschützt.

Für eine sichere Datenvernichtung werden diese gemäß DIN 66399 mit schriftlichem Vernichtungszertifikat entsorgt.

2. Integrität

a. Weitergabekontrolle

Hiermit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Wie unter Zugriffskontrolle beschrieben, werden die Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung kundenspezifisch gestaltet. Die Weitergabekontrolle im Bereich von DVSystemen orientiert sich an der DIN/ISO 27002 Punkt 10.8 „Informationsaustausch“.

Berücksichtigt werden können hierbei folgende Hauptpunkte:

• Prozeduren für den Schutz sensitiver Informationen durch separate zusätzliche Kennwörter. Lagerung von Backupmedien im Safe in einem separaten Gebäude, Spiegelung wesentlicher Informationen für den Zugriff auf Daten in ein separates Rechenzentrum.

• Individuelle Verfahren, um auszutauschende Informationen vor Abhören, Kopieren, Veränderung und Zerstörung zu schützen. Hier kommen gesicherte VPN-Verbindungen, SSL-Verbindungen, WebDAV-Laufwerke u. a. geschützt durch aktuelle Firewall-Systeme zum Einsatz.

Die Datenübertragungen werden durch separate Systeme im Rahmen der zulässigen Speicherung protokolliert und automatisch ausgewertet. Fernzugriffe werden ausschließlich über gesicherte und verschlüsselte Verbindungen ermöglicht.

b. Eingabekontrolle

Hiermit sind Maßnahmen gemeint, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

Die Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind, orientieren sich an den Möglichkeiten der jeweils eingesetzten Anwendungen / Systeme. Die Aktivitäten INSIGMA eigener Systeme werden durch Logging der relevanten Änderungen protokolliert.

3. Verfügbarkeit

Hiermit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Die Sicherstellung der Verfügbarkeit von identifizierten geschäftskritischen Daten orientiert sich an der DIN/ISO 27002 Punkt 14 „Prozess zur Sicherstellung des Geschäftsbetriebes“ – Business Continuity Management. Ein automatisches Monitoring aller IT-Systeme mit abgestuften Meldungsprioritäten und redundanten Meldungswegen per SMS, E-Mail und Wachdienst stellt eine kontinuierliche Verfügbarkeitskontrolle dar.

4. Verschlüsselung

Hiermit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten vor unberechtigtem Zugang geschützt sind:

Es erfolgt eine kundenindividuelle bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung des jeweiligen Kundensystems. Die Systeme verschiedener Kunden sind technisch voneinander getrennt, so dass kein direkter Datenaustausch zwischen diesen möglich ist. (siehe Zugriffskontrolle)

Details werden kundenspezifisch festgelegt. Zudem werden Maßnahmen, wie Bitlocker und das Verschlüsselungsprotokoll TLS (Transport Layer Security) verwendet.

Auf Kundenwunsch richten wir verschlüsselte Verbindungen zwischen den Mailservern ein.

5. Pseudonymisierung

Hiermit sind Maßnahmen gemeint, die die Pseudonymisierung von personenbezogenen Daten gewährleisten. Eine Pseudonymisierung von Daten findet nicht statt, da keine personenbezogenen Auswertungen erfolgen.

6. Belastbarkeit der Systeme

Hiermit sind Maßnahmen gemeint, die die Belastbarkeit der Systeme dauerhaft gewährleisten.

Wir setzen eine redundante VMWare Infrastruktur mit mehrfach redundant ausgelegten SSD/SAS/SATA Storages ein.

Für Kundensysteme stellen wir nach Leistungsschein einen Virenschutz bereit. Unsere Systeme sind durch Antivirenschutz sowohl auf der Firewall wie auch auf allen Systemen geschützt.

7. Wiederherstellung der Verfügbarkeit und des Zugangs

Hiermit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten nach Sicherheitsvorfällen schnellst möglich wieder verfügbar und zugänglich sind:

Durch bewährte Back-Up Verfahren, unterbrechungsfreie Stromversorgung (USV) und Vertretungsregelungen gewährleisten wir die Verfügbarkeit.

Die Notstromaggregate, USV, Klimaanlage sowie Brand- und Löschschutz werden vom Betreiber des Rechenzentrums nach aktuellen Normen bereitgestellt und regelmäßig geprüft. Alle Serversysteme von INSIGMA werden mindestens täglich über File to Disk to Tape gesichert und die Backups an separaten Standorten für 30 Tage aufbewahrt. Serversysteme werden je vereinbartem Leistungsschein gesichert.

8. Verfahren zur regelmäßigen Überprüfung

Hiermit sind Maßnahmen gemeint, die die regelmäßige Überprüfung der Datensicherungsmaßnahmen gewährleisten:

Durch Prüfroutinen und die Evaluierung von Prüfberichten wird eine regelmäßige Überprüfung gewährleistet. Diese Audits finden im Rahmen der regelmäßigen ISO Zertifizierungen statt. Der Qualitätsmanagementbeauftragte und der Datenschutzbeauftragte sind entsprechend involviert.

9. Verarbeitung personenbezogener Daten nur nach Anweisung

Hiermit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können:

Unsere Mitarbeiter stehen in der Verpflichtung des Datenschutzgeheimnisses. Im Rahmen der implementierten unternehmensinternen Datenschutzrichtlinien werden zugriffsberechtigte Mitarbeiter regelmäßig geschult und es erfolgt eine Bestimmung von Ansprechpartnern und verantwortlichen Projektmanagern für den konkreten Auftrag.